260 000 cyberataków w Polsce w 2025 roku — a 71% małych firm wciąż twierdzi, że to ich nie dotyczy

W styczniu 2026 roku CERT Polska zarejestrowało 19 400 incydentów cyberbezpieczeństwa — w jeden miesiąc. W całym 2025 roku było ich 260 800. W tym samym czasie badanie Mastercard wykazało, że 71% polskich małych firm ocenia swoje ryzyko cyberataku jako niskie lub bardzo niskie. Te dwie liczby mówią o Polsce więcej niż jakikolwiek raport.

Ten artykuł nie jest kolejnym ogólnikowym tekstem o cyberbezpieczeństwie. To analiza twardych, polskich danych — z CERT Polska, ESET-a, Mastercard i IBM — zestawiona z postawami właścicieli firm, które te dane kompletnie ignorują. Jeśli prowadzisz firmę w Polsce i nie przeczytasz tego do końca, zrobisz dokładnie to, co 71% przedsiębiorców, którzy dowiedzą się o cyberbezpieczeństwie dopiero po pierwszym ataku.

Dane CERT Polska 2025 — rekord, który nikogo nie zaskakuje

Zacznijmy od liczb, bo to one powinny budzić w nocy.

CERT Polska — rządowy zespół reagowania na incydenty komputerowe — opublikował dane za 2025 rok. Wynik? 260 800 zarejestrowanych incydentów cyberbezpieczeństwa. Nie prób. Nie „podejrzanych zdarzeń". Zarejestrowanych, potwierdzonych incydentów.

Żeby to umieścić w kontekście:

• W 2023 roku CERT zarejestrował około 130 000 incydentów
• W 2024 — blisko 185 000
• W 2025 — 260 800
• Sam styczeń 2026 to 19 400 incydentów — więcej niż cały kwartał kilka lat temu

Trend jest jednoznaczny: co rok mamy około 40% więcej incydentów niż rok wcześniej. Nie 5%. Nie 10%. Czterdzieści procent, rok do roku, konsekwentnie.

Ale to nie koniec złych wiadomości.

Raport ESET Threat Report za pierwszą połowę 2025 roku umieścił Polskę na pierwszym miejscu na świecie pod względem wykrywalności ransomware. Nie w Europie. Na świecie. Przed Stanami Zjednoczonymi, Indiami, Japonią. Mały, 38-milionowy kraj w środku Europy — globalny lider w byciu atakowanym przez ransomware.

Dane Check Point Research z początku 2025 roku uzupełniają obraz: polskie firmy doświadczyły średnio 2 100 ataków tygodniowo w styczniu 2025. To wzrost o 83% w porównaniu z tym samym okresem roku poprzedniego.

Najczęściej atakowane branże w Polsce to:

• Produkcja przemysłowa — 49% firm doświadczyło incydentu
• Handel detaliczny — 38%
• E-commerce i usługi online — 34%
• Ochrona zdrowia — 28%
• Edukacja — 26%

Jeśli prowadzisz sklep internetowy, firmę produkcyjną albo gabinet medyczny — statystycznie masz co trzecią szansę na incydent w ciągu roku. To nie jest scenariusz „co jeśli". To jest scenariusz „kiedy".

Polska jest liderem — niestety w byciu atakowaną. Nie dlatego, że jesteśmy ważniejsi od innych krajów, ale dlatego, że jesteśmy łatwiejsi. Przestarzałe systemy, brak szkoleń, piracki software, hasła typu „firma123" — to zaproszenie dla każdego automatycznego skanera w internecie.

71% twierdzi „to nas nie dotyczy" — psychologia fałszywego bezpieczeństwa

W kwietniu 2026 roku Mastercard wraz z agencją Newseria opublikował wyniki badania „Cyberbezpieczeństwo polskich przedsiębiorstw". Raport jest brutalny w swojej prostocie.

71% polskich małych firm ocenia swoje ryzyko cyberataku jako „niskie" lub „raczej niskie".

Rozbijmy to dalej:

• 30% małych firm twierdzi, że ryzyko jest „bardzo niskie" — praktycznie zerowe
• 41% mówi „raczej niskie"
• Tylko 5% małych firm ocenia swoje ryzyko jako „bardzo wysokie"

Tymczasem rzeczywistość wygląda tak:

• 25% małych firm w Polsce już doświadczyło cyberataku — co czwarta
• Wśród firm średnich (50-249 pracowników) — 44%
• Wśród dużych (250+ pracowników) — blisko 50%

Widać tu wyraźną korelację, ale nie tę, której byśmy oczekiwali. Im większa firma, tym więcej ataków — ale nie dlatego, że duże firmy są słabiej zabezpieczone. Wręcz przeciwnie: duże firmy częściej wykrywają ataki, bo mają systemy monitoringu. Małe firmy nie wykrywają ataków, bo nie mają czym. To nie znaczy, że nie są atakowane — to znaczy, że nawet o tym nie wiedzą.

Kolejna przygnębiająca statystyka z raportu Mastercard:

Ponad 50% małych firm w Polsce nigdy nie przeprowadziło szkolenia pracowników z cyberbezpieczeństwa.

Żadnego. Ani jednego. Pracownik otwiera fakturę w załączniku od „DHL" i nie wie, że to może być ransomware, bo nikt mu nigdy nie powiedział.

To nie jest optymizm — to nieświadomość. Firma, która nie trenuje pracowników z phishingu w 2026 roku, to firma, która czeka na swój pierwszy incydent. Nie „czy", tylko „kiedy". A kiedy to się stanie, właściciel będzie mówił „nikt nas nie ostrzegł". Otóż nie — dane ostrzegały od lat. Tylko nikt ich nie czytał.

Ile kosztuje cyberatak małą firmę? Polskie przypadki

Globalne statystyki, jak raport IBM Cost of Data Breach 2025 ze średnim kosztem naruszenia danych na poziomie 4,35 mln USD, są spektakularne, ale mało przydatne dla właściciela 15-osobowej firmy handlowej z Poznania. Przełóżmy to na polskie realia.

Scenariusz 1: Ransomware w firmie handlowej (10 pracowników)

Poniedziałek rano. Pracownik otworzył załącznik „faktura_03_2026.pdf.exe". Ransomware zaszyfrował wszystkie dane na serwerze NAS, komputerach biurowych i wspólnych folderach sieciowych. Backup? Był na tym samym NAS-ie.

• Przestój: 5 dni roboczych bez dostępu do faktur, zamówień, bazy klientów — 25 000 - 40 000 zł utraconego przychodu
• Odzyskiwanie danych: firma IT próbuje odszyfrować — 8 000 - 25 000 zł (sukces niegwarantowany)
• Okup: przestępcy żądają 0,5 BTC (~50 000 zł) — nie płacić, bo nie ma gwarancji odszyfrowania
• Zakup nowego sprzętu/oprogramowania: formatowanie dysków, reinstalacja — 3 000 - 8 000 zł
• Utrata klientów: trudna do zmierzenia, ale realna — kontrahenci tracą zaufanie

Łączny koszt: 36 000 - 73 000 zł. Dla porównania: roczny koszt zabezpieczenia 10-osobowej firmy to około 5 000 zł.

Scenariusz 2: Wyciek danych klientów (sklep e-commerce)

Baza danych z danymi osobowymi klientów (imię, nazwisko, e-mail, adres, historia zakupów) wycieka przez niezałataną lukę w CMS-ie. Sklep dowiaduje się, gdy klienci zaczynają dostawać spersonalizowane phishingi.

• Kara RODO: Prezes UODO może nałożyć karę do 20 000 000 EUR lub 4% rocznego obrotu — w praktyce dla małych firm kary wynoszą od 10 000 do 500 000 zł
• Kara NIS2 (od 3 kwietnia 2026): do 10 000 000 EUR lub 2% obrotu — jeśli firma podlega dyrektywie
• Obsługa prawna: zgłoszenie do UODO, powiadomienie poszkodowanych — 5 000 - 15 000 zł
• Reputacja: negatywne recenzje, utrata lojalnych klientów — niemierzalna, ale fatalna

Scenariusz 3: Phishing na prezesa (firma usługowa)

Cyberprzestępca podszywa się pod kontrahenta. Zmieniona o jedną literę domena, identyczny podpis e-mailowy, „zmiana numeru konta bankowego". Księgowa przelewa 85 000 zł na konto mułów finansowych. Pieniądze znikają w 24 godziny.

Koszt: 85 000 zł. Odzyskanie: praktycznie niemożliwe.

Każdy z tych scenariuszy zdarza się w Polsce codziennie. Nie w Ameryce. Nie w filmie. W Łodzi, Gdańsku, Krakowie, w firmach, które miesiąc wcześniej twierdziły, że „to ich nie dotyczy".

NIS2 zmienia reguły gry — od kwietnia 2026 nieświadomość jest karalna

3 kwietnia 2026 roku weszły w życie polskie przepisy implementujące dyrektywę NIS2 (Network and Information Security Directive 2). To nie jest kolejna unijna rekomendacja, którą można zignorować. To prawo z konkretnymi karami.

Co się zmieniło:

• 40 000 polskich firm jest teraz objętych obowiązkami NIS2 — nie tylko „infrastruktura krytyczna", ale też produkcja, handel, poczta, gospodarka odpadami, żywność
• Osobista odpowiedzialność zarządu — członkowie zarządu odpowiadają osobiście za brak wdrożenia wymaganych środków bezpieczeństwa
• Obowiązkowe zgłaszanie incydentów: 24 godziny na wstępny raport, 72 godziny na pełny — kto nie zgłosi, zapłaci karę niezależnie od samego incydentu
• Wymagane minimum: oprogramowanie antywirusowe, szyfrowanie danych, backup, szkolenia pracowników, plan reakcji na incydenty
• Kary: do 10 000 000 EUR lub 2% rocznego obrotu — stosowana jest kwota wyższa

Firma na Windows 10 bez antywirusa nie narusza tylko dobrych praktyk — narusza prawo. Windows 10 stracił wsparcie bezpieczeństwa od Microsoft w październiku 2025 roku. Każdy komputer z Windows 10 podłączony do sieci firmowej to otwarte drzwi dla atakujących i potencjalne naruszenie NIS2.

Jeśli Twoja firma ma powyżej 50 pracowników lub działa w jednym z 18 sektorów objętych NIS2, obowiązki są natychmiastowe. Nie za rok. Teraz.

Przeczytaj szczegółowy poradnik: NIS2 w Polsce — jakie oprogramowanie musi mieć Twoja firma w 2026?

Minimalna ochrona za rozsądne pieniądze — co kupić w 2026?

Oto realistyczny, przetestowany zestaw zabezpieczeń dla typowej 10-osobowej firmy w Polsce. Żadnych enterprise'owych rozwiązań za 200 000 zł. Minimum, które chroni przed 95% typowych ataków.

5 250 zł za zabezpieczenie 10-osobowej firmy w pierwszym roku. Średni koszt jednego ataku ransomware na małą polską firmę? 50 000 zł. Matematyka jest bezlitosna — każda złotówka wydana na prewencję zwraca się dziesięciokrotnie.

Dlaczego Windows 11 Pro, a nie Home?

Windows 11 Home to system dla domowego użytkownika. Nie ma BitLockera (szyfrowania całego dysku), nie obsługuje zasad grupy (GPO), nie pozwala na centralne zarządzanie aktualizacjami. Dla firmy — nawet jednoosobowej — jedyną sensowną opcją jest Windows 11 Pro.

Jeśli nadal masz Windows 10 — czas jest krytyczny. Microsoft zakończył wsparcie bezpieczeństwa w październiku 2025. Każdy miesiąc zwłoki to miesiąc z niezałatanymi lukami. Kup klucz Windows 11 Pro na KluczeSoft.pl — aktywacja natychmiastowa, klucz dostarczany e-mailem.

Dlaczego ESET, a nie Windows Defender?

Windows Defender (Microsoft Defender Antivirus) znacząco się poprawił w ostatnich latach i jest akceptowalnym minimum dla użytkowników domowych. Ale dla firmy brakuje mu kluczowych funkcji:

• Centralna konsola zarządzania — ESET PROTECT pozwala zarządzać ochroną wszystkich 10 komputerów z jednego miejsca
• Ochrona poczty e-mail — skanowanie załączników i linków w czasie rzeczywistym
• Firewall dwukierunkowy — kontrola ruchu wychodzącego (Defender tego nie robi)
• Szyfrowanie plików — dodatkowa warstwa ponad BitLocker
• Polska obsługa techniczna — ESET ma biuro w Krakowie, support po polsku

Przy 67 zł rocznie za stanowisko to inwestycja, nie koszt. Zamów ESET Home Security Premium na KluczeSoft.pl.

Co zrobić w poniedziałek rano — 5 kroków, które możesz wdrożyć dziś

Nie za kwartał. Nie „przy okazji". W najbliższy poniedziałek rano, zanim otworzysz pocztę:

Krok 1: Sprawdź, na czym pracujesz

Na każdym firmowym komputerze: Ustawienia → System → Informacje. Jeśli widzisz „Windows 10" — to jest Twój priorytet numer jeden. Zamów upgrade do Windows 11 Pro.

Krok 2: Zainstaluj antywirusa z centralną konsolą

Nie „jakiegokolwiek antywirusa". Rozwiązanie z centralną konsolą zarządzania, które pozwoli Ci (lub Twojemu informatykowi) kontrolować ochronę wszystkich stanowisk z jednego miejsca. ESET PROTECT lub Norton Small Business — oba mają tę funkcję.

Krok 3: Włącz BitLocker na każdym laptopie

Jeśli masz Windows 11 Pro — BitLocker jest wbudowany i darmowy. Panel sterowania → Szyfrowanie dysków funkcją BitLocker → Włącz BitLocker. Zajmuje 10 minut. Jeśli laptop zostanie skradziony lub zgubiony, dane są zaszyfrowane — złodziej widzi pusty dysk.

Krok 4: Skonfiguruj backup w modelu 3-2-1

Zasada 3-2-1: 3 kopie danych, na 2 różnych nośnikach, 1 poza siedzibą firmy. Najprostsze rozwiązanie: OneDrive (chmura) + dysk zewnętrzny odłączany po backupie (nie podłączony na stałe — ransomware zaszyfruje też podłączony backup).

Krok 5: Przeprowadź 30-minutowe szkolenie z phishingu

Zbierz zespół. Pokaż 5 przykładów prawdziwych phishingów — fałszywe faktury DHL, powiadomienia „Twoje konto zostało zablokowane", prośby o zmianę danych bankowych od „kontrahenta". CERT Polska udostępnia gotowe materiały na cert.pl/cyberswiadomosc. Nie musisz być ekspertem — materiały są przygotowane do samodzielnego przeprowadzenia.

Te 5 kroków zajmie łącznie 2-3 godziny. Kosztuje głównie czas, nie pieniądze. I zmniejsza ryzyko incydentu o szacunkowo 80%.

Pełny checklist z 30 punktami znajdziesz tutaj: Cyberbezpieczeństwo małej firmy w Polsce 2026 — kompletny checklist.

Dlaczego to się nie zmieni bez regulacji

Można by napisać kolejny artykuł o tym, że „firmy powinny się zabezpieczać, bo to w ich interesie". Problem w tym, że ten argument nie działa od 20 lat. Ludzie nie zapinają pasów „bo to w ich interesie" — zapinają je, bo jest mandat 100 zł. Podobnie z cyberbezpieczeństwem.

NIS2 jest pierwszym realnym mandatem. Ale dotyczy tylko części firm — tych powyżej pewnych progów lub w określonych sektorach. Dla mikrofirm (1-9 pracowników), które stanowią 97% polskich przedsiębiorstw, nie ma żadnego obowiązku prawnego posiadania antywirusa.

RODO teoretycznie wymaga „odpowiednich środków technicznych i organizacyjnych", ale w praktyce UODO rzadko kontroluje mikrofirmy. Dopóki nie dojdzie do wycieku — a gdy dojdzie, jest już za późno.

Dlatego zmiana musi przyjść oddolnie. Od księgowych, które odmawiają pracy na Windows 10. Od informatyków, którzy stawiają twarde wymagania. Od kontrahentów, którzy pytają: „czy masz antywirusa i backup?" zanim podpiszą umowę. Od artykułów takich jak ten, które nazywają problem po imieniu.

Podsumowanie — liczby, które warto zapamiętać

• 260 800 — incydentów cyberbezpieczeństwa w Polsce w 2025 (CERT Polska)
• 19 400 — incydentów w samym styczniu 2026
• 71% — małych firm bagatelizujących ryzyko (Mastercard 2026)
• 25% — małych firm, które już zostały zaatakowane
• 50%+ — firm, które nigdy nie przeszkoliły pracowników
• 5 250 zł — roczny koszt zabezpieczenia 10-osobowej firmy
• 50 000 zł — średni koszt jednego ataku ransomware na małą firmę
• 10 000 000 EUR — maksymalna kara za naruszenie NIS2

Polska nie jest krajem o szczególnie niskiej świadomości cyberbezpieczeństwa — jest krajem o szczególnie wysokiej liczbie ataków i szczególnie niskich wydatkach na ochronę. Ta kombinacja jest wybuchowa i dane z roku na rok to potwierdzają.

Zabezpieczenie firmy nie wymaga budżetu korporacji. Wymaga decyzji.

FAQ — Najczęściej zadawane pytania

Zabezpiecz swoją firmę — produkty w KluczeSoft.pl

• ESET Home Security Premium — od 67 zł/rok za stanowisko
• Norton 360 Standard — od 49 zł/rok
• Windows 11 Pro — 239 zł (klucz ESD, natychmiastowa dostawa)
• Windows Server 2022 Standard — od 899 zł

Powiązane artykuły

• NIS2 w Polsce — jakie oprogramowanie musi mieć Twoja firma w 2026?
• Cyberbezpieczeństwo małej firmy w Polsce 2026 — kompletny checklist
• Jak wyłączyć Windows Defender w Windows 11 i 10 — wszystkie metody
• Ranking antywirusów 2026 — najlepsze programy antywirusowe dla Windows
• NIS2 a oprogramowanie firmowe — jak spełnić wymagania cyberbezpieczeństwa UE

Źródła: CERT Polska (raport roczny 2025), Mastercard/Newseria „Cyberbezpieczeństwo polskich przedsiębiorstw" (kwiecień 2026), ESET Threat Report H1 2025, Check Point Research — Cyber Attack Trends 2025, IBM Cost of Data Breach Report 2025, Dyrektywa NIS2 — Dziennik Urzędowy UE 2022/2555.