71% av de spanska företagen tror att deras Huvudhotet i cybersäkerhet kommer från sina egna leverantörer. Detta är en av slutsatserna från den senaste rapporten Tillståndet för cybersäkerhet i Spanien 2025förberedd av Deloitte, som också varnar för att endast 29% av de ansvariga känns rimligt säkert med avseende på dess mest kritiska leverantörer.
Studien indikerar en oroande ökning av cyberattacker genom tredje part, Precis när självarbetslösa och mikropymer börjar ockupera en väsentlig roll som tekniska eller logistikleverantörer.
Det andra stora larmet som anges i rapporten är bristen på digital talang. På bara ett år har andelen små och medelstora företag citerat av bristen på kvalificerad personal som huvudproblemet gått från 17% till 49%. Även om denna brist påverkar särskilt stora enheter, Digital kompetensunderskott straffar också självarbetslösa och små företagsärskilt för dem som inte har någon kapacitet att bilda eller anställa specialiserade profiler. Parallellt har 65% av företagen ökat sin budget i cybersäkerhet, men även utan tydlighet för hur man mäter den verkliga effekten av den investeringen.
Det finns mer budget för cybersäkerhet, men utan kontroll av de risker som kommer från tredje part
Rapporten visar en tydlig tendens att fördela mer resurser till digitalt skydd: 71% av cybersecurity -budgeten ägnas åt outsourcade tjänstersom konsultation, övervakning, molntjänster eller försvarsprogramvara. Detta gör små leverantörer av IKT -tjänster till nyckelaktörer inom affärsskyddskedjan. Denna outsourcing avslöjar emellertid också sprickor: mer än hälften av små och medelstora företag använder inte specifika verktyg för att kontrollera de risker som kommer genom tredje parter.
Dessutom integrerar många organisationer inte cybersäkerhet från utformningen av sina processer. Enligt Deloitte -data, 33% lag reaktivt, tillämpning av åtgärder först efter att ha upptäckt sårbarhet eller regleringsindikeringmedan 11% bara vidtar åtgärder efter att ha drabbats av en cyberattack. Detta lämnar leverantörer och små kollaboratörer i en situation med hög exponering om det inte finns några delade protokoll eller minsta standarder som krävs.
Med inträde i det europeiska direktivet NIS2, som tvingar företag att ha striktare kontroll över sin cybersäkerhet, Ansvaret för att förhindra en incident faller inte längre på de tekniska teamen, men i ledningsorganen. Faktum är att 63% av de spanska små och medelstora företagen förklarar att lagstiftningens efterlevnad är en av dess huvudsakliga problem inom detta område. Men endast 42% har skapat specifika kommittéer för att anpassa affärs- och digital säkerhet.
Denna situation har en direkt effekt på de självarbetslösa och mikropymer som samarbetar med dessa företag. I många fall Små företag tvingas anpassa sig till mycket krävande protokoll av sina kunder, utan att ha resurser eller råd för att göra det. Enligt experter som har deltagit i rapporten genererar detta friktion och ökar kedjans allmänna sårbarhet.
Ett annat fokus av oro är det snabba antagandet av konstgjorda intelligensverktyg
Medan 46% av små och medelstora företag ser AI som en allierad för att upptäcka hot eller automatisera svarsprocesser, Mer än 50% har inte använt specifika kontroller för att skydda AI -system Det använder redan, enligt Deloitte. Detta tomrum lämnar dörren öppen för dataläckar, utnyttjande av sårbarheter eller till och med attacker mot Deepfakes.
Denna typ av risker påverkar inte bara stora företag, som utvecklar denna teknik, utan också de minsta företag som innehåller dem utan förfallkontroller. Till exempel, Användningen av generativ kundservice, marknadsföring eller dataanalys har utvidgats, Utan specifika cybersäkerhetsgarantier, vilket kan leda till obehöriga läckor eller åtkomst.
Även om 74% av de som är ansvariga för cybersäkerhet tror att deras adress är medveten om den ekonomiska effekten av en möjlig cyberattack, återspeglar studiedata det motsatta. Endast 10% av små och medelstora företag kan beräkna exakt kostnaderna för en allvarlig incidentoch 40% vet inte ens hur lång tid det skulle ta att återställa verksamheten efter ett totalt stopp. Denna frånkoppling observeras också i förhållandet med leverantörer: endast 39% inkluderar dem i cybercormer -övningar.
För självarbetslösa och mikroföretag som fungerar som tekniska, logistik eller administrativa partners för dessa enheter, Detta planeringsunderskott kan översätta till förvirrande avtalsmässiga krav, Brist på tydlig information eller till och med bristning av det kommersiella förhållandet vid händelse.
Uppfattas som en säker leverantör gör en skillnad för att stänga kontrakt med stora kunder
Rapporten betonar det Kontinuiteten i verksamheten är överlägset prioritet för små och medelstora företag I cybersecurity är frågor. Men 49% av företaget medger att de aldrig har provat sin katastrofåterhämtningsplan. Denna brist på förberedelser förvärras i miljöer där flera leverantörer ingriper, eftersom många inte är integrerade i säkerhetssystem eller kommunikationsflöden till en incident.
I detta sammanhang, Små företag som beror på kontrakt med stora företag De måste vara medvetna att de också är en del av cybersecurity -ekosystem för sina kunderäven om de inte alltid är formellt inkluderade. Bristen på utbildning, resurser eller delade protokoll gör dem svaga punkter som kan utnyttjas av angriparna.
Inför detta panorama har vissa självarbetslösa och små och medelstora företag hittat en konkurrensfördel i specialiseringen inom cybersäkerhet eller erhållning av certifieringar som ISO 27001. För vissa sektorer som moln, konsultation eller mjukvaruutveckling, Att uppfattas som en säker leverantör kan göra en skillnad När du stänger avtal med större kunder, vilket i allt högre grad kräver större garantier.
Men denna professionalisering är inte generaliserad. I rapportens ord, ”många luckor kan komma från exceptionella leverantörer av vissa kontroller”, vilket återspeglar det brådskande behovet av förlänga cyberhantverkskulturen också bland små marknadsaktörer.
