IO's nieuwste Rapport over de staat van de informatiebeveiliging Dit onderzoek belicht een sector die onmisbaar is voor de digitale economie, maar tegelijkertijd ook bijzonder kwetsbaar voor risico's. IT-providers en MSP-organisaties vormen het hart van onderling verbonden toeleveringsketens, beheren complexe klantomgevingen en implementeren in hoog tempo nieuwe technologieën. De bevindingen van dit jaar laten zien hoe deze druk hun prioriteiten op het gebied van beveiliging verandert en waarom velen hun governance, compliance en veerkracht herzien.

Onze respondenten bestonden uit senior cybersecurityleiders in het Verenigd Koninkrijk en de Verenigde Staten. Hun inzichten onthullen de meest urgente bedreigingen waarmee de sector momenteel te maken heeft, de operationele uitdagingen die het dagelijkse beveiligingswerk bepalen, en de strategische richting die organisaties inslaan om hun weerbaarheid te versterken.

Hieronder bespreken we 11 belangrijke statistieken uit het rapport van dit jaar die elke IT- en MSP-leider zou moeten begrijpen.

Belangrijke statistieken over informatiebeveiliging voor de IT- en MSP-sector

Bestuur & Strategie

  1. 50% zegt dat het hoger management informatiebeveiligingsnaleving nog steeds als een bijzaak beschouwt.
  2. 67% zegt dat de snelheid en omvang van de wetswijzigingen het steeds moeilijker maken om aan de regels te blijven voldoen.

Vaardigheden, capaciteit en operationele druk

  1. 42% noemt het tekort aan informatiebeveiligingsvaardigheden als een van de grootste uitdagingen.
  2. 34% van de medewerkers binnen informatiebeveiligings- en compliance-teams meldt een burn-out als gevolg van de toenemende werkdruk.
  3. 41% zegt dat taken worden vervangen door AI zonder het juiste menselijke toezicht om naleving te garanderen.

Fragmentatie en procesuitdagingen

  1. 38% heeft moeite met de wildgroei aan technologie, en 24% zegt dat de versnipperde beveiligingsinspanningen een belangrijk probleem vormen.
  2. 44% zegt dat schaduw-IT tegenwoordig de meest voorkomende beveiligingsfout is die werknemers maken.

Naleving en resultaten

  1. Slechts 35% voelt zich volledig toegerust om de naleving van de AVG, NIS 2 en DORA intern te beheren.
  2. 74% van de organisaties heeft de afgelopen 12 maanden minstens één boete van de toezichthouder ontvangen.
  3. Verbeterde kwaliteit van zakelijke beslissingen (46%) en klantbehoud (44%) zijn de belangrijkste rendementen op investering (ROI) van naleving van de informatiebeveiligingsvoorschriften.

Bedrijfsrisico's en -impact

  1. 66% werd getroffen door incidenten met derden, met gevolgen variërend van financieel verlies (36%) tot operationele verstoring (34%) en toezicht door regelgevende instanties (33%).

Beveiliging van derden en de toeleveringsketen

Weinig sectoren ondervinden de gevolgen van problemen in de toeleveringsketen zo sterk als IT- en MSP-organisaties, met name die organisaties die direct in de infrastructuur van hun klanten zijn geïntegreerd. De bevinding dat 66% een beveiligingsincident heeft meegemaakt dat afkomstig was van een derde partij of leverancier, onderstreept hoe onderling afhankelijk het ecosysteem is geworden. Deze incidenten blijven zelden beperkt tot de kern: respondenten meldden financiële verliezen, toezicht van regelgevende instanties, operationele verstoringen en storingen die klanten ondervonden als gevolg van tekortkomingen van leveranciers.

Deze groeiende afhankelijkheid verklaart waarom 80% het afgelopen jaar hun risicomanagement met betrekking tot derden heeft versterkt. Voor velen is de verschuiving van reactieve due diligence naar een meer continue, op bewijs gebaseerde aanpak: het continu monitoren, valideren en documenteren van de controles van partners. De bedrijven met het grootste risico zijn die bedrijven die afhankelijk zijn van gefragmenteerde processen of inconsistente governance, juist waar gestructureerde, herhaalbare compliancepraktijken een meetbaar verschil maken.

Het veranderende dreigingslandschap

Hoewel bekende dreigingen nog steeds de boventoon voeren in de beveiligingswerkzaamheden, ziet de sector een sterke toename van aanvallen die gebruikmaken van en gericht zijn op AI. Een opvallend gegeven is dat 41% meldt dat AI taken vervangt zonder voldoende menselijk toezicht. Samen met de 27% die te maken heeft met datavergiftiging, illustreert dit hoe snel organisaties het overzicht over de procesintegriteit kunnen verliezen wanneer opkomende technologieën de governance voorbijstreven.

Tegelijkertijd blijven de incidentcijfers over de hele linie hardnekkig hoog:

  • 32% heeft te maken gehad met datalekken.
  • 29% werd getroffen door datalekken in de cloud.
  • 31% meldde malware-infecties.
  • 22% heeft te maken gehad met bedreigingen van binnenuit.

Daar bovenop komt de voortdurende toename van social engineering, manipulatie van authenticatiesystemen en multi-vectoraanvallen die technische en menselijke misleiding combineren. Voor IT- en MSP-omgevingen, waar één set inloggegevens toegang kan verschaffen tot meerdere klantnetwerken, kunnen zelfs kleine fouten verstrekkende gevolgen hebben. Dit risico wordt versterkt wanneer schaduw-IT (gerapporteerd door 44%) onderdeel wordt van de dagelijkse werkprocessen.

Vaardigheden, burn-out en operationele overbelasting

Het rapport onthult tevens een sector die kampt met beperkte middelen en structurele capaciteitsuitdagingen. De 42% die een tekort aan cybersecurity-experts noemt, vertegenwoordigt een sector waar de vraag naar expertise het aanbod overstijgt, met name op gebieden als cloudbeveiliging, AI-beveiliging en compliance.

Het gaat echter niet alleen om vaardigheden. De 34% die aangeeft een burn-out te hebben binnen hun informatiebeveiligings- en compliance-teams, weerspiegelt de stijgende verwachtingen zonder een overeenkomstige toename in personeel, tools of budget. Veel respondenten beschreven een toegenomen werkdruk als gevolg van nieuwe technologieën, nieuwe regelgeving en grotere afhankelijkheden in de toeleveringsketen.

Deze druk wordt versterkt door de wildgroei aan technologie, die door 38% als een grote uitdaging wordt genoemd, en door teams die in afzonderlijke systemen werken (24%). Dit leidt tot dubbel werk, inconsistente processen en een grotere afhankelijkheid van individuele heldendaden. Doordat beveiligingsteams met meerdere tools, overlappende dashboards en niet-verbonden workflows moeten werken, wordt het steeds moeilijker om één betrouwbare bron van informatie te behouden, consistente bewijsvoering te garanderen en governancepraktijken op elkaar af te stemmen.

Regelgevingsdruk en complexiteit van naleving

De regelgeving evolueert sneller dan veel organisaties zich kunnen aanpassen. Dit jaar gaf 67% aan dat de snelheid en omvang van de wetswijzigingen het naleven ervan moeilijk maken. Dit is een belangrijke indicator van hoe snel de eisen op het gebied van gegevensbescherming, AI-governance, operationele veerkracht en beveiliging van de toeleveringsketen toenemen.

De gegevens laten ook zien dat organisaties niet allemaal even goed voorbereid zijn. Slechts 35% voelt zich volledig in staat om de situatie te beheersen. GDPR, NIS 2 en DORA Compliance wordt intern geregeld. De meeste bedrijven hebben externe ondersteuning nodig, kampen met beperkte expertise of missen de nodige tijd en steun van de raad van bestuur om aan hun verplichtingen te voldoen.

Deze capaciteitskloof komt tot uiting in de resultaten: 74% van de organisaties ontving de afgelopen 12 maanden minstens één boete van de toezichthouder, waaronder aanzienlijke boetes voor datalekken, gegevensverlies en ontoereikende controles.

Uit de gegevens komt naar voren dat organisaties weliswaar proberen te voldoen aan de regelgeving, maar dit vaak doen via handmatige, inconsistente of gefragmenteerde methoden die moeilijk op te schalen zijn.

De gegevens laten echter ook zien dat wanneer organisaties de naleving van de regels goed aanpakken, de voordelen aanzienlijk zijn. Respondenten noemden een verbeterde kwaliteit van zakelijke beslissingen (46%) en klantbehoud (44%) als de belangrijkste voordelen van een sterke naleving van de informatiebeveiligingsregels. Dit onderstreept een verschuiving in de manier waarop IT- en MSP-leiders governance beschouwen: niet langer als een verplichting, maar als een strategisch voordeel wanneer deze consequent wordt toegepast.

Werknemersgedrag en interne risico's

De beveiligingscultuur blijft een grote uitdaging. Schaduw-IT is de meest voorkomende fout die werknemers melden (44%), op de voet gevolgd door... ongeoorloofd gebruik van generatieve AI-tools (38%) en onveilige apparaat- of netwerkpraktijken.

Dit gedrag wijst op een breder probleem: wanneer processen niet duidelijk, consistent of ingebed zijn in de dagelijkse workflows, vullen medewerkers de hiaten op met tools en methoden die nieuwe risico's met zich meebrengen. Dit is vooral riskant in IT- en MSP-omgevingen waar medewerkers vaak bevoorrechte toegang hebben tot klantsystemen of gevoelige gegevens.

De uitdaging is dus niet alleen het trainen, maar ook het voorzien van teams van soepele, goed gestructureerde processen die de veilige weg de gemakkelijke weg maken.

Leiderschap en strategische richting

Een van de meest bemoedigende bevindingen uit het rapport is dat 87% aangeeft dat hun organisatie een duidelijke, goed gecommuniceerde beveiligingsstrategie heeft, en 88% is van mening dat elk bedrijf iemand op bestuursniveau verantwoordelijk moet hebben voor informatiebeveiliging. Deze verschuiving naar meer betrokkenheid van het management duidt op een groeiend begrip van cyberrisico als een strategische kwestie, en niet louter als een technische.

Deze vooruitgang gaat echter gepaard met de bevinding dat 50% nog steeds vindt dat het senior management compliance als een bijzaak beschouwt, wat een opmerkelijke kloof blootlegt tussen strategische intentie en dagelijkse prioriteiten.

Voor organisaties die al te maken hebben met tekorten aan gekwalificeerd personeel, operationele risico's en wettelijke eisen, kan deze discrepantie reële gevolgen hebben. Leiderschap geeft aan wat "goed" inhoudt, en zonder consistente signalen moeten teams zelf de gaten opvullen.

Voorop blijven door gestructureerde veerkracht

De IT- en MSP-sector opereert in een omgeving waar risico's toenemen, verwachtingen stijgen en de interne capaciteit onder druk staat. Toch is de richting duidelijk: organisaties investeren in veerkracht, versterken het toezicht op de toeleveringsketen en leggen meer nadruk op strategisch bestuur en afstemming van leiderschap.

De uitdagingen die in het rapport worden belicht, van technologische wildgroei tot tekorten aan gekwalificeerd personeel, van schaduw-IT tot boetes van toezichthouders, zijn geen op zichzelf staande problemen. Het zijn indicatoren van een ecosysteem dat de handmatige processen en gefragmenteerde tools ontgroeid is. De organisaties die het best gepositioneerd zijn voor de komende twaalf maanden, zijn de organisaties die geïntegreerde, herhaalbare, organisatiebrede systemen implementeren die consistentie waarborgen tussen mensen, processen en technologie.

Door sterke, organisatiebrede benaderingen van informatiebeveiliging en compliance te implementeren, kunnen bedrijven risico's verminderen, het klantvertrouwen versterken en een stabielere basis creëren voor innovatie in een steeds onvoorspelbaarder wordend landschap.

Lees hier het volledige rapport over de stand van zaken op het gebied van informatiebeveiliging.