IO:s senaste Status för informationssäkerhetsrapport belyser en bransch som är både oumbärlig för den digitala ekonomin och unikt exponerad för risker. IT-leverantörer och MSP-organisationer befinner sig i hjärtat av sammankopplade leveranskedjor, hanterar komplexa kundmiljöer och anammar nya tekniker i hög takt. Årets resultat visar hur dessa påfrestningar omformar deras säkerhetsprioriteringar och varför många omvärderar hur de strukturerar styrning, efterlevnad och motståndskraft.

Bland våra respondenter fanns ledande cyberchefer i Storbritannien och USA. Deras insikter avslöjar de mest angelägna hoten som sektorn står inför idag, de operativa utmaningar som formar det dagliga säkerhetsarbetet och den strategiska riktning organisationer tar för att stärka motståndskraften.

Nedan tar vi upp 11 viktiga statistikuppgifter som varje IT- och MSP-ledare bör förstå från årets rapport.

Viktig informationssäkerhetsstatistik för IT- och MSP-sektorn

Styrning och strategi

  1. 50 % säger att den högsta ledningen fortfarande behandlar efterlevnad av informationssäkerhetsregler som en eftertanke.
  2. 67 % säger att hastigheten och volymen av regelförändringar gör det allt svårare att följa reglerna.

Kompetens, kapacitet och operativt tryck

  1. 42 % anger kompetensbristen inom informationssäkerhet som en av de största utmaningarna.
  2. 34 % rapporterar utbrändhet inom informationssäkerhets- och compliance-team på grund av ökande arbetsbelastning.
  3. 41 % säger att uppgifter ersätts av AI utan rätt mänsklig tillsyn för att säkerställa efterlevnad.

Fragmentering och processutmaningar

  1. 38 % kämpar med teknikspridning, och 24 % säger att isolerade säkerhetsinsatser är ett centralt problem.
  2. 44 % säger att skugg-IT nu är det vanligaste säkerhetsmisstaget bland anställda.

Efterlevnadsutförande och resultat

  1. Endast 35 % känner sig fullt utrustade för att hantera efterlevnaden av GDPR, NIS 2 och DORA internt.
  2. 74 % av organisationerna fick minst en böter under de senaste 12 månaderna.
  3. Förbättrad kvalitet på affärsbeslut (46 %) och kundlojalitet (44 %) är de viktigaste avkastningarna från efterlevnad av informationssäkerhetsregler.

Affärsrisk och påverkan

  1. 66 % påverkades av tredjepartsincidenter, med konsekvenser som sträckte sig från ekonomisk förlust (36 %) till driftstörningar (34 %) och myndighetsgranskning (33 %).

Tredjeparts- och leveranskedjesäkerhet

Få sektorer känner av ringeffekterna av kompromisser i leveranskedjan lika tydligt som IT- och MSP-organisationer, särskilt de som är direkt integrerade i sina kunders infrastruktur. Upptäckten att 66 % upplevde en säkerhetsincident som härrörde från en tredje part eller leverantör understryker hur ömsesidigt beroende ekosystemet har blivit. Dessa incidenter förblir sällan under kontroll: respondenterna rapporterade ekonomiska förluster, granskning från tillsynsmyndigheter, driftstörningar och kundkontakter till följd av leverantörsmisslyckanden.

Detta växande beroende förklarar varför 80 % stärkte sin riskhantering med tredjepartsinformation under det senaste året. För många går övergången från reaktiv due diligence till en mer kontinuerlig, evidensbaserad metod: övervakning, validering och dokumentering av partnerkontroller löpande. De företag som är mest utsatta är de som förlitar sig på fragmenterade processer eller inkonsekvent styrning, just där strukturerade, repeterbara efterlevnadspraxis gör en mätbar skillnad.

Det föränderliga hotlandskapet

Medan välkända hot fortfarande dominerar säkerhetsbelastningar, ser sektorn en kraftig ökning av AI-aktiverade och AI-riktade attacker. Den mest framträdande statistiken är att 41 % rapporterar att AI ersätter uppgifter utan tillräcklig mänsklig tillsyn, vilket, i kombination med 27 % som upplever dataförgiftning, illustrerar hur snabbt organisationer kan förlora insyn i processintegritet när nya teknologier överträffar styrning.

Samtidigt är incidentdata envist hög över hela linjen:

  • 32 % upplevde dataintrång
  • 29 % drabbades av molnintrång
  • 31 % rapporterade infektioner av skadlig kod
  • 22 % upplevde hot från insiders

Ovanpå detta läggs den fortsatta ökningen av social ingenjörskonst, manipulation av autentiseringssystem och multivektorattacker som blandar teknisk och mänsklig bedrägeri. För IT- och MSP-miljöer, där en enda uppsättning inloggningsuppgifter kan låsa upp åtkomst till flera kundnätverk, kan även små brister få långtgående konsekvenser, en risk som förstärks när skugg-IT (rapporterat av 44 %) blir en del av de dagliga arbetsflödena.

Färdigheter, utbrändhet och operativ överbelastning

Rapporten avslöjar också en sektor som brottas med resursbegränsningar och strukturella kapacitetsutmaningar. De 42 % som nämner kompetensbristen inom cybersäkerhet representerar en bransch där efterfrågan på expertis överstiger utbudet, särskilt inom områden som molnsäkerhet, AI-säkerhet och regelefterlevnad.

Ändå handlar det inte bara om kompetens. De 34 % som rapporterar utbrändhet inom sina informationssäkerhets- och efterlevnadsteam återspeglar stigande förväntningar utan motsvarande ökning av personalstyrka, verktyg eller budget. Många respondenter beskrev arbetsbelastningar som har ökat i takt med ny teknik, nya regler och större beroenden uppströms/nedströms.

Denna press intensifieras av teknikspridning, som 38 % anger som en stor utmaning, och isolerade team (24 %), vilket skapar dubbelarbete, inkonsekventa processer och större beroende av individuella hjälteinsatser. När säkerhetsteam jonglerar flera verktyg, överlappande dashboards och osammanhängande arbetsflöden blir det svårare att upprätthålla en enda sanningskälla, säkerställa konsekventa bevisspår och hålla styrningsmetoder i linje.

Regeltryck och komplexitet i efterlevnad

Regelverk utvecklas snabbare än många organisationer kan anpassa sig. I år uppgav 67 % att hastigheten och volymen av regelförändringar gör det svårt att följa regler, en viktig indikator på hur snabbt kraven kring dataskydd, AI-styrning, operativ motståndskraft och säkerhet i leveranskedjan utökas.

Uppgifterna visar också att organisationer inte är lika förberedda. Endast 35 % känner sig fullt kapabla att hantera GDPR, NIS 2 och DORA regelefterlevnad internt. Majoriteten behöver externt stöd, kämpar med begränsad expertis eller saknar nödvändig tid och styrelsestöd för att ligga steget före med sina förpliktelser.

Denna kompetensbrist återspeglas i resultaten: 74 % av organisationerna fick minst en böter under de senaste 12 månaderna, inklusive betydande påföljder för intrång, dataförlust och otillräckliga kontroller.

Det som framträder av uppgifterna är en bild av organisationer som försöker följa reglerna, men ofta gör det genom manuella, inkonsekventa eller isolerade metoder som är svåra att skala upp.

Data visar dock också att när organisationer uppfyller kraven på rätt sätt är fördelarna betydande. Respondenterna identifierade förbättrad kvalitet på affärsbeslut (46 %) och kundlojalitet (44 %) som de bästa avkastningarna på stark informationssäkerhetsefterlevnad. Detta understryker en förändring i hur IT- och MSP-ledare ser på styrning: inte som en skyldighet, utan som en strategisk fördel när den genomförs konsekvent.

Medarbetarnas beteende och interna risker

Säkerhetskulturen är fortfarande en betydande utmaning. Skugg-IT är det vanligaste rapporterade misstaget för anställda (44 %), tätt följt av otillåten användning av generativa AI-verktyg (38 %) och osäkra enheter eller nätverksmetoder.

Dessa beteenden pekar på ett större problem: när processer inte är tydliga, konsekventa eller integrerade i vardagliga arbetsflöden fyller anställda luckorna med verktyg och metoder som introducerar nya risker. Detta är särskilt riskabelt i IT- och MSP-miljöer där personal ofta har privilegierad åtkomst till kundsystem eller känsliga data.

Utmaningen är alltså inte bara utbildning, utan att utrusta team med friktionsfria, välstrukturerade processer som gör det säkra sättet till det enkla sättet.

Ledarskap och strategisk riktning

Ett av de mer uppmuntrande resultaten från rapporten är att 87 % säger att deras organisation har en tydlig och välkommunicerad säkerhetsstrategi, och 88 % anser att varje företag borde ha någon som ansvarar för informationssäkerhet på styrelsenivå. Denna förskjutning mot ledningsengagemang tyder på en mognare förståelse av cyberrisker som en strategisk fråga, inte bara en teknisk.

Denna utveckling går dock hand i hand med resultatet att 50 % fortfarande känner att den högsta ledningen behandlar efterlevnad som en eftertanke, vilket avslöjar ett märkbart gap mellan strategisk avsikt och daglig prioritering.

För organisationer som redan begränsas av kompetensbrist, operativa risker och regelefterfrågan kan denna felställning få verkliga konsekvenser. Ledarskapet signalerar hur "bra" ser ut, och utan konsekventa signaler får teamen fylla luckorna.

Att ligga steget före genom strukturerad motståndskraft

IT- och MSP-sektorn navigerar i en miljö där riskerna mångdubblas, förväntningarna ökar och den interna kapaciteten är under press. Ändå är riktningen tydlig: organisationer investerar i motståndskraft, stärker tillsynen av leveranskedjan och lägger större vikt vid strategisk styrning och ledarskapsanpassning.

De utmaningar som lyfts fram i rapporten, från teknikspridning till kompetensbrist, från skugg-IT till böter, är inte isolerade problem. De är indikatorer på ett ekosystem som har vuxit ifrån manuella processer och fragmenterade verktyg. De organisationer som är bäst positionerade för de kommande 12 månaderna kommer att vara de som anammar integrerade, repeterbara, organisationsomfattande system som stöder konsekvens mellan människor, processer och teknik.

Genom att integrera starka, organisationsomfattande strategier för informationssäkerhet och efterlevnad kan företag minska risker, stärka kundernas förtroende och skapa en mer stabil grund för innovation i ett alltmer oförutsägbart landskap.

Läs hela rapporten om informationssäkerhetsläget här.