IOs nyeste Status for informasjonssikkerhetsrapport fremhever en bransje som både er uunnværlig for den digitale økonomien og unikt utsatt for risiko. IT-leverandører og MSP-organisasjoner befinner seg i hjertet av sammenkoblede forsyningskjeder, administrerer komplekse kundemiljøer og tar i bruk nye teknologier i rask takt. Årets funn avslører hvordan dette presset omformer sikkerhetsprioriteringene deres, og hvorfor mange revurderer hvordan de strukturerer styring, samsvar og robusthet.

Blant respondentene våre var erfarne cyberledere i Storbritannia og USA. Innsiktene deres avdekker de mest presserende truslene sektoren står overfor i dag, de operative utfordringene som former det daglige sikkerhetsarbeidet, og den strategiske retningen organisasjoner tar for å styrke motstandskraften.

Nedenfor pakker vi ut 11 viktige statistikker som alle IT- og MSP-ledere bør forstå fra årets rapport.

Viktig informasjonssikkerhetsstatistikk for IT- og MSP-sektoren

Styring og strategi

  1. 50 % sier at toppledelsen fortsatt behandler samsvar med informasjonssikkerhet som en ettertanke.
  2. 67 % sier at hastigheten og omfanget av regelendringer gjør det stadig vanskeligere å overholde regelverket.

Ferdigheter, kapasitet og operasjonelt press

  1. 42 % nevner kompetansegapet innen informasjonssikkerhet som en av de største utfordringene.
  2. 34 % rapporterer utbrenthet i infosec- og compliance-team på grunn av økende arbeidsmengde.
  3. 41 % sier at oppgaver erstattes av AI uten riktig menneskelig tilsyn for å sikre samsvar.

Fragmentering og prosessutfordringer

  1. 38 % sliter med teknologisk spredning, og 24 % sier at isolerte sikkerhetstiltak er et sentralt problem.
  2. 44 % sier at skygge-IT nå er den vanligste sikkerhetsfeilen blant ansatte.

Etterlevelse av regelverk og resultater

  1. Bare 35 % føler seg fullt rustet til å håndtere samsvar med GDPR, NIS 2 og DORA internt.
  2. 74 % av organisasjonene mottok minst én regulatorisk bot de siste 12 månedene.
  3. Forbedret kvalitet på forretningsbeslutninger (46 %) og kundelojalitet (44 %) er de viktigste avkastningene fra samsvar med informasjonssikkerhetsregler.

Forretningsrisiko og -påvirkning

  1. 66 % ble påvirket av tredjepartshendelser, med konsekvenser som varierte fra økonomisk tap (36 %) til driftsforstyrrelser (34 %) og regulatorisk gransking (33 %).

Tredjeparts- og forsyningskjedesikkerhet

Få sektorer opplever ringvirkningene av kompromisser i forsyningskjeden like kraftig som IT- og MSP-organisasjoner, spesielt de som er direkte integrert i kundenes infrastruktur. Funnet om at 66 % opplevde en sikkerhetshendelse som stammet fra en tredjepart eller leverandør, understreker hvor gjensidig avhengig økosystemet har blitt. Disse hendelsene forblir sjelden under kontroll: respondentene rapporterte økonomiske tap, gransking fra regulatorer, driftsforstyrrelser og kundevendte avbrudd som følge av leverandørsvikt.

Denne økende avhengigheten forklarer hvorfor 80 % har styrket sin tredjeparts risikostyring det siste året. For mange går skiftet fra reaktiv due diligence til en mer kontinuerlig, evidensbasert tilnærming: overvåking, validering og dokumentasjon av partnerkontroller på en kontinuerlig basis. Virksomhetene som er mest utsatt er de som er avhengige av fragmenterte prosesser eller inkonsekvent styring, nettopp der strukturerte, repeterbare samsvarspraksiser utgjør en målbar forskjell.

Det skiftende trussellandskapet

Selv om kjente trusler fortsatt dominerer sikkerhetsarbeidsmengder, ser sektoren en kraftig økning i AI-aktiverte og AI-målrettede angrep. Den mest fremtredende statistikken er at 41 % rapporterer at AI erstatter oppgaver uten tilstrekkelig menneskelig tilsyn, noe som, kombinert med 27 % som opplever dataforgiftning, illustrerer hvor raskt organisasjoner kan miste synligheten til prosessintegritet når nye teknologier overgår styring.

Samtidig er hendelsesdataene fortsatt sta høye over hele linja:

  • 32 % opplevde datainnbrudd
  • 29 % ble rammet av skybrudd
  • 31 % rapporterte skadevareinfeksjoner
  • 22 % opplevde trusler fra innsiden

I tillegg til dette kommer den fortsatte økningen i sosial manipulering, manipulering av autentiseringssystemer og flervektorangrep som blander teknisk og menneskelig bedrag. For IT- og MSP-miljøer, der et enkelt sett med legitimasjonsinformasjon kan låse opp tilgang til flere kundenettverk, kan selv små feil ha vidtrekkende konsekvenser, en risiko som forsterkes når skygge-IT (rapportert av 44 %) blir en del av de daglige arbeidsflytene.

Ferdigheter, utbrenthet og operasjonell overbelastning

Rapporten avslører også en sektor som sliter med ressursbegrensninger og strukturelle kapasitetsutfordringer. De 42 % som nevner kompetansegapet innen cybersikkerhet representerer en bransje der etterspørselen etter ekspertise overgår tilbudet, spesielt innen områder som skysikkerhet, AI-sikkerhet og samsvar.

Likevel handler det ikke bare om ferdigheter. De 34 % som rapporterer utbrenthet i sine infosec- og compliance-team gjenspeiler økende forventninger uten en tilsvarende økning i antall ansatte, verktøy eller budsjett. Mange respondenter beskrev arbeidsmengder som har økt i takt med ny teknologi, nye forskrifter og større avhengighet mellom oppstrøms og nedstrøms.

Dette presset forsterkes av teknologisk spredning, som 38 % oppgir som en stor utfordring, og silobaserte team (24 %), som skaper duplisert innsats, inkonsekvente prosesser og større avhengighet av individuelle heltemoter. Etter hvert som sikkerhetsteam sjonglerer flere verktøy, overlappende dashbord og usammenhengende arbeidsflyter, blir det vanskeligere å opprettholde en enkelt sannhetskilde, sikre konsistente bevisspor og holde styringspraksis på linje.

Reguleringspress og kompleksitet i samsvar

Regelverk utvikler seg raskere enn mange organisasjoner kan tilpasse seg. I år sa 67 % at hastigheten og volumet av regelendringer gjør det vanskelig å overholde regelverket, en betydelig indikator på hvor raskt kravene rundt databeskyttelse, AI-styring, driftsrobusthet og sikkerhet i forsyningskjeden utvides.

Dataene viser også at organisasjonene ikke er like forberedt. Bare 35 % føler seg fullt ut i stand til å håndtere GDPR, NIS 2 og DORA samsvar internt. De fleste trenger ekstern støtte, sliter med begrenset ekspertise eller mangler nødvendig tid og styrestøtte for å være i forkant av forpliktelsene.

Dette kompetansegapet gjenspeiles i resultatene: 74 % av organisasjonene mottok minst én regulatorisk bot de siste 12 månedene, inkludert betydelige bøter for brudd, datatap og utilstrekkelige kontroller.

Det som fremkommer av dataene er et bilde av organisasjoner som prøver å overholde regler, men ofte gjør det gjennom manuelle, inkonsekvente eller silobaserte tilnærminger som er vanskelige å skalere.

Dataene viser imidlertid også at når organisasjoner overholder regelverket på riktig måte, er fordelene betydelige. Respondentene identifiserte forbedret kvalitet på forretningsbeslutninger (46 %) og kundelojalitet (44 %) som de viktigste resultatene av god samsvar med informasjonssikkerhet. Dette understreker et skifte i hvordan IT- og MSP-ledere ser på styring: ikke som en forpliktelse, men som en strategisk fordel når den utføres konsekvent.

Ansattes atferd og interne risikoer

Sikkerhetskultur er fortsatt en betydelig utfordring. Skygge-IT er den vanligste rapporterte feilen til ansatte (44 %), tett fulgt av uautorisert bruk av generative AI-verktøy (38 %) og usikre enhets- eller nettverkspraksiser.

Denne atferden peker mot et større problem: Når prosesser ikke er tydelige, konsistente eller integrert i daglige arbeidsflyter, fyller ansatte hullene med verktøy og metoder som introduserer ny risiko. Dette er spesielt risikabelt i IT- og MSP-miljøer der ansatte ofte har privilegert tilgang til kundesystemer eller sensitive data.

Utfordringen er derfor ikke bare opplæring, men å utstyre team med friksjonsfrie, velstrukturerte prosesser som gjør den sikre måten til den enkle måten.

Lederskap og strategisk retning

Et av de mer oppmuntrende funnene fra rapporten er at 87 % sier at organisasjonen deres har en tydelig og godt kommunisert sikkerhetsstrategi, og 88 % mener at alle bedrifter bør ha noen som er ansvarlig for informasjonssikkerhet på styrenivå. Dette skiftet mot lederengasjement tyder på en modnende forståelse av cyberrisiko som et strategisk spørsmål, ikke bare et teknisk spørsmål.

Denne fremgangen går imidlertid side om side med funnet om at 50 % fortsatt føler at toppledelsen behandler etterlevelse som en ettertanke, noe som avslører et betydelig gap mellom strategisk intensjon og daglig prioritering.

For organisasjoner som allerede er begrenset av kompetansemangel, driftsrisiko og regulatorisk etterspørsel, kan denne feilstillingen få reelle konsekvenser. Lederskapet signaliserer hva «bra» ser ut, og uten konsistente signaler blir teamene overlatt til å fylle hullene.

Å holde seg i forkant gjennom strukturert motstandskraft

IT- og MSP-sektoren navigerer i et miljø der risikoen mangedobles, forventningene øker og den interne kapasiteten er under press. Likevel er retningen klar: organisasjoner investerer i robusthet, styrker tilsynet med forsyningskjeden og legger mer vekt på strategisk styring og lederskapstilpasning.

Utfordringene som fremheves i rapporten, fra teknologisk spredning til mangel på kompetanse, fra skygge-IT til bøter fra myndighetene, er ikke isolerte problemer. De er indikatorer på et økosystem som har vokst fra manuelle prosesser og fragmenterte verktøy. Organisasjonene som er best posisjonert for de neste 12 månedene, vil være de som tar i bruk integrerte, repeterbare, organisasjonsomfattende systemer som støtter konsistens på tvers av mennesker, prosesser og teknologi.

Ved å integrere sterke, organisasjonsomfattende tilnærminger til informasjonssikkerhet og samsvar med regelverk, kan bedrifter redusere risiko, styrke kundenes tillit og skape et mer stabilt grunnlag for innovasjon i et stadig mer uforutsigbart landskap.

Les hele rapporten om tilstanden til informasjonssikkerhet her.