150 empleats de mitjanes i grans empreses han estat enquestats, incloent-hi consellers i consellers independents, gerents de risc, professionals de compliance i advocats, entre d'altres. Els resultats de les entrevistes, recollits a l'estudi D&O: Personal Exposure to Global Risk , són clars: els ciber riscos i la gestió adequada de les dades són les preocupacions més grans dels Directius avui dia.
De fet, en el 40% de les companyies participants algun dels seus D&O (directors and officers) s'havia vist involucrat en una investigació relacionada amb ciberatacs o riscos derivats de fuites de dades sensibles durant els 12 mesos anteriors a l'estudi. Per a la meitat dels enquestats, les bretxes en la seguretat de les dades i els riscos derivats del reglament general de protecció de dades de la Unió Europea (GDPR, per les sigles en anglès) són les principals preocupacions. No n'hi ha per menys, ja que incomplir el GPDR pot comportar sancions de fins al 4% de facturació anual del grup o de fins a 20 milions d'euros.
A més, un percentatge similar dels directius va assegurar que els ciberatacs són la segona gran preocupació. Les ciber amenaces posen en risc la continuïtat del negoci i la reputació de la companyia i poden comportar riscos importants en matèria de responsabilitats als seus directius. Per això cada vegada és més habitual que els consells d'administració de les companyies donin més importància a mitigar i transferir els riscos a què està exposada l'organització.
L'impacte que pot tenir una bretxa de seguretat o caiguda dels sistemes excedeix les conseqüències purament financeres o
econòmiques que puguin suposar la investigació i restauració dels sistemes de la companyia, o la deguda notificació als usuaris i afectats: altres aspectes relatius a la reputació, les possibles multes i sancions – tant a la companyia com als seus responsables – o la caiguda de la valoració per part d'accionistes a causa dels dubtes sobre la gestió de la pròpia companyia per part dels seus directius, són altres conseqüències.
Pòlisses de D&O davant de bretxes a la seguretat
Les pòlisses de D&O estan dissenyades per donar protecció al patrimoni personal de l'Alta Direcció davant de possibles reclamacions derivades d'errors o omissions en les seves funcions. Per exemple, decisions que impliquin els sistemes informàtics, infraestructures, gestió de dades arran del nou Reglament General de Protecció de Dades (RGPD) o ciberseguretat. En aquest context, cada vegada és més freqüent, sobretot als Estats Units, que aquestes pòlisses comptin amb exclusions específiques relacionades amb reclamacions relacionades amb la privadesa i la ciberseguretat.
Així, exclusions per danys materials i personals que cobreixen els perjudicis físics i morals després d'un atac o un robatori de dades sensibles o exclusions de terrorisme que protegeixen les organitzacions i els seus directius d'atacs perpetrats per hacktivistes són cada vegada més habituals.
D'altra banda, després de l'entrada en vigor del GDPR, les pòlisses de D&O s'estan adaptant al nou marc normatiu . Així, algunes assegurances comencen a incloure expressament a la definició de persona assegurada la figura del Delegat de Protecció de Dades, obligatori a les organitzacions que gestionin gran quantitat de dades. D'altra banda, les pòlisses s'han adaptat al nou règim de sancions ia les responsabilitats derivades de la gestió de la crisi per part dels directius després d'un incident cibernètic.