Aon presenta la sexta edición del Estudio sobre Ciberseguridad y Gestión del Riesgo Ciber en España.
El Estudio sobre Ciberseguridad y Gestión del Riesgo Ciber en España tiene como objetivo analizar y actualizar a las organizaciones de las tendencias que están teniendo lugar y los retos a afrontar en la gestión integral del riesgo y su transferencia al mercado asegurador.
El estudio, promovido por Aon, ha contado con la participación de las firmas Garrigues y Fundacion Esys, para abordar las novedades regulatorias con respecto a la ciberseguridad, así como con la colaboración los principales aseguradores que suscriben el riesgo ciber en España: AIG, Allianz Commercial, Arch, AXA XL, Beazley, BHSI, Chubb, Hiscox, QBE, Resilience, Tokio Marine HCC, Zurich, para tratar los aspectos clave de la evolución y la gestión del riesgo en España: inversión en ciberseguridad, tendencias del mercado asegurador y evolución de la siniestralidad, entre otros.
Principales conclusiones del Estudio
Novedades regulatorias: El entorno normativo se endurece de cara a 2025 con la futura implementación de la Directiva NIS 2, que sustituye a la anterior, con el objetivo de reforzar el nivel común de ciberseguridad de todos los Estados miembros. Regula las obligaciones de gestión de riesgos y notificación y exigirá a muchas organizaciones adaptar rápidamente sus estructuras de seguridad digital. La directiva, que se amplía para incluir sectores críticos que antes no estaban regulados directamente, como el sector agroalimentario, farmacéutico, manufacturero, residuos, logística, distribución digital o proveedores de servicios en la nube, entre otros, también refuerza la supervisión y el régimen sancionador. Además, cabe destacar la exigencia de la gestión estructurada de la cadena de suministro, obligando a las empresas a evaluar los riesgos que puedan derivarse de sus proveedores y subcontratistas. Esto impactará en el diseño de las pólizas ciber.
Mercado asegurador: El mercado asegurador ha entrado en una fase de consolidación. Durante el último año, se ha observado una ampliación de coberturas y capacidades aseguradoras, una reducción generalizada de primas y un aumento de competencia. Las aseguradoras empiezan a ofrecer servicios de valor añadido de prevención y gestión de incidentes, facilitando la contratación de mayores límites. En relación con las empresas medianas, el proceso de suscripción ha evolucionado hacia modelos más flexibles, basados en mayor compromiso y acompañamiento integrando prevención, detección, respuesta y recuperación. Las evaluaciones automáticas y los formularios simplificados permiten adaptar condiciones y límites según la evolución del cliente, lo que hace que el seguro se convierta en una herramienta real de resiliencia.
Siniestralidad: El riesgo cibernético se intensifica: más incidentes, más coste por siniestro, y una clara desigualdad en la capacidad de respuesta entre sectores y tamaños empresariales. La proliferación de incidentes ligados al uso inadecuado de tecnologías emergentes (como la IA generativa), la persistencia de fallos humanos básicos y la fragilidad de las cadenas de suministro dibujan un escenario complejo, donde la velocidad de adopción tecnológica supera ampliamente a la capacidad de defensa. Este desequilibrio se refleja con contundencia al observar la relación entre el número de siniestros y su coste total: muchos incidentes en empresas pequeñas o mal preparadas generan tanto gasto como los ataques más sofisticados a grandes compañías. Las brechas de seguridad son los incidentes más frecuentes, y el ransomware continúa siendo la amenaza más costosa.
Evolución de las primas: El mercado de ciber continúa su consolidación y es un mercado que sigue creciendo. El volumen de primas de seguros Ciber en España se ha incrementado un 12% en el último año, alcanzando ya los 190 millones de euros.
Sectores de actividad: En España, la banca y la energía actúan como locomotoras de madurez en la gestión del riesgo ciber, mientras que agro y logística se encuentran en la parte menos desarrollada.
“Los riesgos cibernéticos que enfrentamos hoy ya no se limitan a malware, phishing o ataques de denegación de servicio. Estamos entrando en una era de amenazas sistémicas, automatizadas y altamente interconectadas, donde la frontera entre lo interno y lo externo, lo humano y lo automático, lo visible y lo oculto se vuelve cada vez más difusa. En este contexto, el ciberseguro debe dejar de ser visto como una póliza pasiva y transformarse en un instrumento dinámico de gestión estratégica del riesgo. Comprender a fondo fenómenos como la IA, la computación cuántica o el Shadow IT ya no es una opción técnica, sino una necesidad comercial”, afirma Verónica Jiménez, Directora de Ciber de Aon España.
El estudio se apoya en datos propios de Aon y del resto de firmas colaboradoras para presentar el estado del arte del riesgo cibernético en España, comparándolos en un entorno europeo y global. Dentro del estudio se han identificado industrias, actividades y sectores de operación de referencia en el país, y se ha analizado su evolución a lo largo de 2024.
Acceso al informe completo para más información.
