Między deklaracją a odpornością. Wnioski z raportu „Cyberbezpieczeństwo w sektorze MŚP w Polsce”

W świecie, w którym sprzedaż, produkcja, logistyka, obsługa klienta i finanse są nierozerwalnie związane z systemami cyfrowymi, incydent IT przestaje być problemem technicznym. Staje się zdarzeniem operacyjnym, które może wstrzymać działalność firmy, zachwiać jej płynnością finansową i osłabić zaufanie klientów.

Cyberbezpieczeństwo ważne nie tylko w teorii

Na przełomie 2025 i 2026 roku przeprowadziliśmy badanie wśród zatrudniających od 10 do 249 pracowników organizacji, które rozpoczęły lub planują działania związane z dostosowaniem do dyrektywy NIS2 i/lub nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC).
Wnioski z naszej analizy pokazują pewien paradoks. Choć blisko 80% firm deklaruje, że cyberbezpieczeństwo jest dla nich wysokim priorytetem, ale wdrożenie podstawowych mechanizmów ochrony pozostaje ograniczone. Wieloskładnikowe uwierzytelnianie stosuje 47% organizacji, regularne kopie zapasowe wykonuje 46%, szyfrowanie dysków deklaruje 34%, a wymuszoną zmianę haseł – 33%. Oznacza to, że poziom deklaratywny nie zawsze przekłada się na systemowe działania operacyjne.

Ta rozbieżność nie wynika z lekceważenia zagrożeń, ale raczej z braku spójnej architektury bezpieczeństwa i z ograniczeń organizacyjnych. W wielu firmach bezpieczeństwo funkcjonuje jako zbiór punktowych rozwiązań – zapora sieciowa, program antywirusowy, backup – bez jasnego osadzenia w modelu zarządzania ryzykiem. Tymczasem odporność wymaga integracji technologii z procesami i odpowiedzialnością zarządczą. Bez tego nawet najlepsze narzędzia nie gwarantują stabilności.

Realne zagrożenie

Wyniki raportu pokazują także jak realne jest cyberzagrożenie. Co druga ba dana firma (50%) doświadczyła incydentu naruszenia bezpieczeństwa w ciągu ostatnich 24 miesięcy. W grupie średnich przedsiębiorstw poważne incydenty wskazało 14% podmiotów, podczas gdy wśród małych firm było to 5%.
Wraz ze wzrostem skali działalności rośnie liczba systemów, zależności technologicznych i punktów styku z partnerami, co przekłada się na większą powierzchnię ataku. Incydent bezpieczeństwa coraz częściej oznacza przestój produkcji, brak dostępu do systemów sprzedażowych, opóźnienia w realizacji zamówień czy konieczność uruchomienia komunikacji kryzysowej. Pojawia się zatem bardzo konkretne ryzyko biznesowe.

Jak szybko wrócimy do działania?

W takim kontekście kluczowe pytanie zarządu nie brzmi już: „czy uda się uniknąć incydentu?”, lecz: „czy jesteśmy przygotowani na jego wystąpienie i jak szybko wrócimy do działania?”. To przesunięcie perspektywy – z ochrony przed atakiem na zarządzanie odpornością – jest jednym z najważniejszych wniosków raportu.

Odpowiedzialność zarządów

Istotnym czynnikiem zmiany jest oczywiście także presja regulacyjna. Implementacja dyrektywy NIS2 poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa rozszerza zakres odpowiedzialności za cyberbezpieczeństwo na poziom całej organizacji, w tym zarządu. Oznacza to formalizację procesów, obowiązek raportowania istotnych incydentów oraz konieczność systemowego zarządzania ryzykiem. W praktyce obszar cybersec staje się elementem nadzoru korporacyjnego.

Wydatki na IT wpłyną na ceny produktów i usług?

Raport Exea pokazuje ponadto, że 91% firm planuje wydatki IT związane z dostosowaniem do nowych wymogów, a 81% deklaruje wzrost budżetów na cyberbezpieczeństwo w perspektywie najbliższych dwóch lat. Jednocześnie 58% przedsiębiorstw przewiduje, że koszty związane z bezpieczeństwem mogą wpłynąć na ceny produktów lub usług. Oznacza to, że bezpieczeństwo przestaje być traktowane jako projekt inwestycyjny o określonym początku i końcu. Staje się stałym składnikiem modelu operacyjnego i budżetowego.

Wciąż brakuje specjalistów…

Wyzwaniem pozostaje jednak dostęp do kompetencji. Na brak wykwalifikowanych pracowników wskazuje 35% firm. Budowa własnego zespołu bezpieczeństwa – w tym struktur SOC – wymaga nie tylko rekrutacji, lecz także utrzymania specjalistów w warunkach silnej konkurencji rynkowej. W odpowiedzi 72% organizacji decyduje się na model hybrydowy, łączący własne zespoły IT ze wspar ciem zewnętrznych dostawców.

Model hybrydowy nie oznacza rezygnacji z odpowiedzialności. Oznacza podział ról: organizacja zachowuje kontrolę strategiczną i decyzyjną, natomiast operacyjny monitoring i reagowanie mogą być realizowane przy wsparciu partnera.

Co istotne, przy wyborze dostawcy kluczowe znaczenie mają specjalistyczna wiedza (39%) oraz elastyczność współpracy (36%), częściej niż cena (25%). Dla 29% firm to dostawcy usług i oprogramowania są głównym źródłem wiedzy o cyberbezpieczeństwie, podczas gdy oficjalne źródła rządowe wskazuje jedynie 4% respondentów. Rynek buduje się więc wokół kompetencji operacyjnych i praktycznego doświadczenia.

… i procesów w obszarze cybersec

Szczególnie wymowny jest obszar backupu. Kopie za pasowe przechowywane są najczęściej na urządzeniach NAS (52%) oraz serwerach wewnętrznych (48%), a backup w chmurze wykorzystuje 40% organizacji. Jednocześnie 30% firm nie posiada powtarzalnych procedur weryfikacji poprawności kopii zapasowych. Oznacza to, że część przedsiębiorstw formalnie dysponuje zabezpieczeniem danych, lecz nie testuje scenariuszy ich odtworzenia. W sytuacji ataku ransomware kluczowe znaczenie ma nie samo posiadanie kopii, lecz czas przywrócenia systemów i zdolność utrzymania ciągłości procesów biznesowych.

Raport wskazuje także na znaczenie procesowości. 70% organizacji posiadających wdrożone procedury BPM deklaruje ich bezpośredni wpływ na poziom dojrzałości cyfrowej. Jednocześnie 22% firm działa bez sformalizwanych schematów procesowych, a w grupie małych przedsiębiorstw odsetek ten sięga 31%. Brak formalizacji utrudnia przypisanie odpowiedzialności, eskalację incydentów i skuteczne zarządzanie kryzysem.

Profesjonalizacja podejścia do bezpieczeństwa

Zestawienie tych danych prowadzi do jednego, spójnego wniosku: polski sektor MŚP wchodzi w fazę profesjonalizacji bezpieczeństwa. Regulacje wymuszają formalizację, incydenty budują świadomość operacyjną, a ograniczenia kompetencyjne prowadzą do poszukiwania modeli hybrydowych. Kluczowa staje się cyberodporność – ro zumiana jako zdolność organizacji do utrzymania ciągłości działania mimo zakłóceń.

Cyberodporność obejmuje trzy wymiary. Pierwszy to architektura techniczna – segmentacja środowisk, kontrola dostępu, monitoring 24/7 i zabezpieczenia infrastrukturalne. Drugi to procesy – jasno zdefiniowane role, scenariusze reakcji, plan komunikacji kryzysowej i testowane procedury odtworzeniowe. Trzeci to kultura organizacyjna – świadomość pracowników i zaangażowanie kadry zarządzającej.

Cyberbezpieczeństwo warunkiem stabilności biznesu

Najważniejszym przesłaniem naszego raportu nie jest alarm, lecz kierunek. Między deklaracją a odpornością wciąż istnieje luka, ale jest ona możliwa do domknięcia poprzez integrację technologii, procesów i odpowiedzialności zarządczej. W warunkach rosnącej cyfryzacji i presji regulacyjnej przewidywalność działania staje się elementem przewagi konkurencyjnej.

Jest to o tyle ważne, że w realnym świecie o skutkach incydentu decyduje nie to, czy firma posiada konkretne narzędzia, ale czy ma jasno określone role, procedury i sposób podejmowania decyzji w momencie kryzysu. Organizacje mogą realnie poprawić swoją odporność, porządkując procesy reagowania, testując je w praktyce i zapewniając ciągłość monitoringu. NIS2 wymusza właśnie takie podejście, bo w obliczu incydentu bezpieczeństwa liczą się minuty i gotowość do działania, a nie szumne deklaracje.

Cyberbezpieczeństwo nie jest już wyłącznie kosztem ani projektem IT. Jest warunkiem stabilności operacyjnej i fundamentem dalszego rozwoju. Organizacje, które po traktują je jako element strategii, a nie reakcji na incydent, będą lepiej przygotowane na dynamicznie zmieniające się środowisko ryzyka.

Łukasz Ozimek, dyrektor operacyjny Exea Data Center