IO's seneste Status for informationssikkerhedsrapport fremhæver en branche, der både er uundværlig for den digitale økonomi og unikt udsat for risici. IT-udbydere og MSP-organisationer befinder sig i hjertet af sammenkoblede forsyningskæder, administrerer komplekse kundemiljøer og implementerer nye teknologier i hastig takt. Årets resultater afslører, hvordan disse pres omformer deres sikkerhedsprioriteter, og hvorfor mange genovervejer, hvordan de strukturerer styring, compliance og robusthed.
Vores respondenter omfattede ledende cyberledere i Storbritannien og USA. Deres indsigter afdækker de mest presserende trusler, som sektoren står over for i dag, de operationelle udfordringer, der former det daglige sikkerhedsarbejde, og den strategiske retning, organisationer tager for at styrke modstandsdygtigheden.
Nedenfor udpakker vi 11 nøglestatistikker, som alle IT- og MSP-ledere bør forstå fra dette års rapport.
Vigtig informationssikkerhedsstatistik for IT- og MSP-sektoren
Ledelse og strategi
- 50 % siger, at den øverste ledelse stadig behandler compliance med informationssikkerhed som en eftertanke.
- 67 % siger, at hastigheden og omfanget af lovgivningsmæssige ændringer gør det stadig vanskeligere at overholde reglerne.
Færdigheder, kapacitet og operationelt pres
- 42 % nævner kompetencekløften inden for informationssikkerhed som en af de største udfordringer.
- 34 % rapporterer udbrændthed inden for infosec- og compliance-teams på grund af stigende arbejdsbyrde.
- 41 % siger, at opgaver erstattes af AI uden det rette menneskelige tilsyn for at sikre overholdelse af regler.
Fragmentering og procesudfordringer
- 38 % kæmper med teknologisk spredning, og 24 % siger, at isolerede sikkerhedsindsatser er et centralt problem.
- 44 % siger, at skygge-IT nu er den mest almindelige sikkerhedsfejl blandt medarbejdere.
Overholdelse af regler og resultater
- Kun 35 % føler sig fuldt rustet til at håndtere overholdelse af GDPR, NIS 2 og DORA internt.
- 74 % af organisationerne har modtaget mindst én bøde i de seneste 12 måneder.
- Forbedret kvalitet af forretningsbeslutninger (46%) og kundefastholdelse (44%) er de største investeringsafkast (ROI'er) fra compliance af informationssikkerhedsregler.
Forretningsrisiko og -påvirkning
- 66 % blev påvirket af tredjepartshændelser, med konsekvenser lige fra økonomisk tab (36 %) til driftsforstyrrelser (34 %) og myndighedskontrol (33 %).
Tredjeparts- og forsyningskædesikkerhed
Få sektorer mærker ringvirkningerne af kompromitteret forsyningskæde så skarpt som IT- og MSP-organisationer, især dem, der er direkte integreret i deres kunders infrastruktur. Fundet om, at 66 % oplevede en sikkerhedshændelse, der stammede fra en tredjepart eller leverandør, understreger, hvor indbyrdes afhængigt økosystemet er blevet. Disse hændelser forbliver sjældent under kontrol: respondenterne rapporterede økonomiske tab, kontrol fra tilsynsmyndigheder, driftsforstyrrelser og kundevendte afbrydelser som følge af leverandørsvigt.
Denne voksende afhængighed forklarer, hvorfor 80 % har styrket deres tredjepartsrisikostyring i løbet af det seneste år. For mange går skiftet fra reaktiv due diligence til en mere kontinuerlig, evidensbaseret tilgang: løbende overvågning, validering og dokumentation af partnerkontroller. De virksomheder, der er mest udsatte, er dem, der er afhængige af fragmenterede processer eller inkonsekvent styring, netop hvor strukturerede, gentagelige compliance-praksisser gør en målbar forskel.
Det skiftende trusselslandskab
Selvom velkendte trusler stadig dominerer sikkerhedsbelastninger, oplever sektoren en kraftig stigning i AI-aktiverede og AI-målrettede angreb. Den iøjnefaldende statistik er, at 41 % rapporterer, at AI erstatter opgaver uden tilstrækkelig menneskelig overvågning, hvilket, kombineret med 27 %, der oplever dataforgiftning, illustrerer, hvor hurtigt organisationer kan miste synligheden af procesintegritet, når nye teknologier overhaler governance.
Samtidig er hændelsesdataene fortsat stædigt høje på tværs af linjen:
- 32% oplevede databrud
- 29% blev ramt af cloud-brud
- 31% rapporterede malwareinfektioner
- 22% oplevede insidertrusler
Oven i dette kommer den fortsatte stigning i social engineering, manipulation af autentificeringssystemer og multivektorangreb, der blander teknisk og menneskelig bedrag. For IT- og MSP-miljøer, hvor et enkelt sæt legitimationsoplysninger kan låse op for adgang til flere kundenetværk, kan selv små fejl have vidtrækkende konsekvenser, en risiko der intensiveres, når skygge-IT (rapporteret af 44%) bliver en del af de daglige arbejdsgange.
Færdigheder, udbrændthed og operationel overbelastning
Rapporten afslører også en sektor, der kæmper med ressourcebegrænsninger og strukturelle kapacitetsudfordringer. De 42 %, der nævner et kompetenceunderskud inden for cybersikkerhed, repræsenterer en branche, hvor efterspørgslen efter ekspertise overstiger udbuddet, især inden for områder som cloudsikkerhed, AI-sikkerhed og compliance.
Men det handler ikke kun om færdigheder. De 34 %, der rapporterer udbrændthed i deres infosec- og compliance-teams, afspejler stigende forventninger uden en tilsvarende stigning i antal medarbejdere, værktøjer eller budget. Mange respondenter beskrev arbejdsbyrder, der er blevet udvidet i takt med nye teknologier, nye regler og større afhængigheder upstream/downstream.
Dette pres forstærkes af teknologisk spredning, som 38 % nævner som en stor udfordring, og isolerede teams (24 %), hvilket skaber dobbeltarbejde, inkonsistente processer og større afhængighed af individuelle heltemod. Efterhånden som sikkerhedsteams jonglerer med flere værktøjer, overlappende dashboards og uforbundne arbejdsgange, bliver det sværere at opretholde en enkelt kilde til sandhed, sikre ensartede bevisspor og holde styringspraksis på linje.
Reguleringspres og kompleksitet inden for compliance
Regulering udvikler sig hurtigere, end mange organisationer kan tilpasse sig. I år sagde 67 %, at hastigheden og omfanget af regulatoriske ændringer gør det vanskeligt at overholde reglerne, hvilket er en væsentlig indikator for, hvor hurtigt kravene omkring databeskyttelse, AI-styring, operationel robusthed og sikkerhed i forsyningskæden udvides.
Dataene viser også, at organisationerne ikke er lige så forberedte. Kun 35 % føler sig fuldt ud i stand til at håndtere GDPR, NIS 2 og DORA compliance internt. Størstedelen kræver ekstern støtte, kæmper med begrænset ekspertise eller mangler den nødvendige tid og bestyrelsesopbakning til at være på forkant med forpligtelserne.
Denne kapacitetskløft afspejles i resultaterne: 74 % af organisationerne modtog mindst én bøde i henhold til lovgivningen i de seneste 12 måneder, herunder betydelige bøder for brud på reglerne, datatab og utilstrækkelige kontroller.
Det, der fremgår af dataene, er et billede af organisationer, der forsøger at overholde reglerne, men ofte gør det gennem manuelle, inkonsistente eller silobaserede tilgange, der er vanskelige at skalere.
Dataene viser dog også, at når organisationer overholder reglerne korrekt, er fordelene betydelige. Respondenterne identificerede forbedret kvalitet af forretningsbeslutninger (46 %) og kundefastholdelse (44 %) som de største afkast af stærk overholdelse af informationssikkerhed. Dette understreger et skift i, hvordan IT- og MSP-ledere ser på governance: ikke som en forpligtelse, men som en strategisk fordel, når den udføres konsekvent.
Medarbejderadfærd og interne risici
Sikkerhedskultur er fortsat en betydelig udfordring. Skygge-IT er den mest almindelige rapporterede medarbejderfejl (44%), tæt efterfulgt af uautoriseret brug af generative AI-værktøjer (38%) og usikre enheds- eller netværkspraksisser.
Disse adfærdsmønstre peger på et bredere problem: Når processer ikke er klare, konsistente eller integreret i de daglige arbejdsgange, udfylder medarbejdere hullerne med værktøjer og metoder, der introducerer nye risici. Dette er især risikabelt i IT- og MSP-miljøer, hvor personale ofte har privilegeret adgang til kundesystemer eller følsomme data.
Udfordringen er derfor ikke blot træning, men at udstyre teams med problemfri, velstrukturerede processer, der gør den sikre vej til den nemme vej.
Ledelse og strategisk retning
En af de mere opmuntrende resultater fra rapporten er, at 87 % siger, at deres organisation har en klar og velkommunikeret sikkerhedsstrategi, og 88 % mener, at alle virksomheder bør have en person, der er ansvarlig for informationssikkerhed på bestyrelsesniveau. Dette skift i retning af ledelsesengagement tyder på en modnende forståelse af cyberrisiko som et strategisk spørgsmål, ikke blot et teknisk.
Denne fremgang går dog hånd i hånd med den konstatering, at 50 % stadig føler, at den øverste ledelse behandler compliance som en eftertanke, hvilket afslører en markant kløft mellem strategisk intention og daglig prioritering.
For organisationer, der allerede er begrænset af mangel på kvalificeret arbejdskraft, operationelle risici og regulatorisk efterspørgsel, kan denne ubalance have reelle konsekvenser. Ledelsen signalerer, hvad "godt" ser ud, og uden ensartede signaler er teams overladt til at udfylde hullerne.
At forblive på forkant gennem struktureret modstandsdygtighed
IT- og MSP-sektoren navigerer i et miljø, hvor risiciene mangedobles, forventningerne stiger, og den interne kapacitet er under pres. Men retningen er klar: Organisationer investerer i modstandsdygtighed, styrker tilsynet med forsyningskæden og lægger mere vægt på strategisk styring og ledelsestilpasning.
De udfordringer, der fremhæves i rapporten, fra teknologisk spredning til mangel på færdigheder, fra skygge-IT til bøder fra myndigheder, er ikke isolerede problemer. De er indikatorer for et økosystem, der er vokset fra manuelle processer og fragmenterede værktøjer. De organisationer, der er bedst positioneret i de næste 12 måneder, vil være dem, der implementerer integrerede, gentagelige, organisationsdækkende systemer, der understøtter konsistens på tværs af mennesker, processer og teknologi.
Ved at integrere stærke, organisationsdækkende tilgange til informationssikkerhed og compliance kan virksomheder reducere risiko, styrke kundernes tillid og skabe et mere stabilt fundament for innovation i et stadig mere uforudsigeligt landskab.
