Tylko co trzecia polska firma nie boi się o swoje systemy – i słusznie?

Liczby są twarde. Zaledwie 29 proc. polskich firm deklaruje wysoką lub bardzo wysoką cyberodporność. Połowa ocenia się jako „średnia" – co w praktyce oznacza: coś mamy, ale nie wiadomo, czy zadziała. Kolejne 16 proc. przyznaje wprost do niskiego poziomu zabezpieczeń i braku procedur reagowania na incydenty.

Raport powstał we współpracy Xopero Software – polskiego producenta rozwiązań do backupu danych – z szerokim gronem ekspertów branżowych, m.in. CyberDefence24, APT Defend, Secfence i Labyrinth Security Solutions. Patronem instytucjonalnym jest Krajowa Izba Gospodarki Cyfrowej. Wyniki zaprezentowano podczas debaty eksperckiej w Centrum Prasowym PAP, z udziałem przedstawicieli UKE, NASK, Rządowej Agencji Rezerw Strategicznych i Sieci Badawczej Łukasiewicz.

Aż 88 proc. respondentów przewiduje dalszy wzrost liczby ataków w 2026 roku.

Za najbardziej destrukcyjne dla biznesu uznawane są ransomware (83 proc. wskazań) i phishing (71 proc.) – czyli kombinacja, która od lat króluje w statystykach, ale wciąż robi robotę, bo firmy nie wyciągają wniosków.

„Legislacja czy inne długoterminowe działania nigdy nie będą przed zmianą, ponieważ ona zawsze będzie pierwsza. Ale jeśli będziemy mieć dobrą świadomość tego, co się dzieje wokół nas, to jesteśmy w pewnej części przygotowani" – mówi Przemysław Kuna, prezes Urzędu Komunikacji Elektronicznej.

Luka rośnie – i to nie metafora

Eksperci nie mają złudzeń co do kierunku, w którym zmierzamy. 85 proc. respondentów rysuje pesymistyczny obraz: dynamika zagrożeń już teraz wyprzedza możliwości obronne firm, a w 2026 roku luka będzie się pogłębiać. 66 proc. przewiduje pogłębianie się tej przepaści, kolejne 19 proc. uważa, że zagrożenia będą wyraźnie wyprzedzać przygotowanie organizacji.

Dlaczego? Bo ataki przestały być dziełem hobbystów. Cyberprzestępczość działa dziś jak dobrze naoliwiona fabryka – zautomatyzowana, łatwo replikowana, wspierana przez AI i nierzadko finansowana przez państwa-sponsorów.

Średni koszt pojedynczego ataku ransomware w 2025 roku wyniósł 5,5–6 mln dolarów – niemal dwukrotnie więcej niż rok wcześniej. Dane CERT Polska pokazują z kolei, że w październiku 2025 roku zarejestrowano 40,1 tys. incydentów bezpieczeństwa, co oznacza wzrost o 375 proc. rok do roku.

Na tym tle trzy główne bariery wskazywane przez działy IT brzmią jak lista wymówek: gwałtownie rosnące koszty zabezpieczeń (76 proc. wskazań), coraz bardziej złożone wymogi regulacyjne (54 proc.) i chroniczny niedobór kompetencji (42 proc.). Jak wskazał podczas debaty dr Jacek Czech, dyrektor Biura Techniki Cyfrowej i Łączności w Rządowej Agencji Rezerw Strategicznych, skuteczne regulacje to warunek konieczny:

„Muszą być naprawdę egzekwowalne, bez jakichkolwiek relatywizmów, bo jeśli tworzy się relatywizm w prawie, to po prostu prawa nie ma" – argumentował dr Jacek Czech, RARS.

W kontekście wdrażania NIS2 i DORA największym wyzwaniem technicznym pozostają niedobór zasobów i kompetencji (42 proc.) oraz konieczność ciągłego monitorowania i raportowania (36 proc.). Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa wdrażająca NIS2 została podpisana przez Prezydenta Nawrockiego w lutym 2026 – firmy mają od 6 do 12 miesięcy na wdrożenie środków zarządzania ryzykiem i 24 miesiące, zanim zaczną spływać kary administracyjne.

Co zrobić, zanim przyjdzie ten „kiedy"?

Łukasz Jesis, prezes Xopero Software, stawia sprawę wprost: nie pytamy już, czy incydent nastąpi, ale kiedy. To zdanie powinno wisieć w każdej sali zarządu. W praktyce jednak raport ujawnia, że firmy wciąż reagują punktowo zamiast budować systemową odporność.

Konkretne luki są wręcz zatrważające:

• 55 proc. firm nie wykorzystuje danych wywiadowczych o zagrożeniach (threat intelligence) do proaktywnej ochrony
• 51 proc. polega wyłącznie na tradycyjnym antywirusie jako jedynym narzędziu detekcji
• 50 proc. nie automatyzuje procesów reagowania na incydenty (np. przez platformy SOAR)
• Co druga firma nie posiada planu ciągłości działania (BCP) ani planu reagowania na incydenty (IRP)

Osobna kwestia to sztuczna inteligencja: tylko 20 proc. polskich firm faktycznie używa AI w procesach IT. Niemal 40 proc. specjalistów nie ufa rozwiązaniom opartym na AI, wskazując podatność na manipulacje i ryzyko nowych wektorów ataku. Co trzeci badany wciąż się wstrzymuje z oceną – co w obecnym tempie zmian może oznaczać, że zostanie z przestarzałą infrastrukturą, zanim zdąży podjąć decyzję.

Jeśli twoja organizacja nie ma jeszcze planu reagowania na incydenty, zacznij od tego – zanim regulatorzy zmuszą cię do tego mandatem.

Warto zapamiętać

• Cyberodporność to dziś wyzwanie strategiczne dla całego biznesu – nie tylko problem działu IT
• Brak planu reagowania na incydenty dotyczy co drugiej polskiej firmy
• NIS2 – 12 miesięcy na środki zarządzania ryzykiem, kary od 2028
• Inwestycja w backup i automatyzację to dziś konieczność, nie opcja

Najczęstsze pytania

Co to jest cyberodporność i jak ją mierzyć?

Cyberodporność to zdolność organizacji do przewidywania ataków, obrony przed nimi i szybkiego powrotu do działania po incydencie. Mierzy się ją m.in. posiadaniem planów BCP i IRP, czasem wykrycia i reakcji na incydent oraz poziomem automatyzacji procesów bezpieczeństwa.

Jakie firmy muszą dostosować się do NIS2?

Dyrektywa NIS2, podpisana przez Prezydenta Nawrockiego w lutym 2026, obejmuje podmioty kluczowe i ważne z sektorów takich jak energetyka, transport, ochrona zdrowia, infrastruktura cyfrowa i finanse. Próg wejścia to zazwyczaj 50 pracowników lub 10 mln euro obrotu, choć są wyjątki dla mniejszych podmiotów z sektora krytycznego.

Ile kosztuje atak ransomware polską firmę?

Globalny średni koszt pojedynczego ataku ransomware w 2025 roku wyniósł 5,5–6 mln dolarów – uwzględniając okup, przestój operacyjny, odbudowę systemów i koszty prawne. Dla polskich MŚP kwoty są niższe, ale proporcjonalnie równie dotkliwe dla ciągłości biznesu.

Czy warto inwestować w AI do cyberbezpieczeństwa?

AI jest coraz skuteczniejsza w detekcji anomalii i automatyzacji reakcji na incydenty, ale wymaga dojrzałej infrastruktury i kompetentnego nadzoru. Polskie firmy są wciąż na etapie wyczekiwania – 40 proc. specjalistów nie ufa AI w kontekście bezpieczeństwa, co samo w sobie jest sygnałem ostrzegawczym dla decydentów.

Źródła: Xopero Software, CERT Polska, ENISA Threat Landscape 2025

Foto: Freepik