Polskie przedsiębiorstwa intensywnie rozbudowują struktury zajmujące się bezpieczeństwem cyfrowym, ale równolegle spada ich poczucie odporności na zagrożenia. Z danych KPMG wynika, że w 2025 roku już 56 procent firm posiada dedykowane działy ds. cyberbezpieczeństwa. To wyraźny wzrost w porównaniu z rokiem poprzednim. Jednocześnie tylko czterech na dziesięciu liderów uważa, że ich organizacje są rzeczywiście wystarczająco chronione.

„Monitor Transformacji Cyfrowej Biznesu 2025” pokazuje, że wskaźnik cyberbezpieczeństwa i ryzyka wyniósł w tym roku 5,9 punktu – o jeden więcej niż w poprzedniej edycji badania. Lepszy wynik nie przekłada się jednak na większą pewność siebie wśród decydentów. Wręcz przeciwnie: odsetek firm deklarujących posiadanie sformalizowanych procedur spadł do 59 procent, czyli o 13 punktów procentowych mniej niż rok wcześniej. Najlepiej w tym obszarze wypada sektor finansowy, gdzie formalne procesy ma ponad osiem na dziesięć firm, a niemal trzy czwarte posiada wyspecjalizowane zespoły bezpieczeństwa.

Równocześnie rośnie presja inwestycyjna. W porównaniu z rokiem ubiegłym aż o 20 punktów procentowych zwiększył się odsetek firm planujących podnieść wydatki na cyberochronę. Pomimo tego, tylko 40 procent liderów biznesowych jest przekonanych, że środki te realnie przełożą się na wzrost odporności organizacji. To znaczący spadek zaufania w stosunku do roku 2024.

Drugim ważnym źródłem wiedzy o kondycji polskich firm jest raport „Barometr Cyberbezpieczeństwa”. Wynika z niego, że aż 83 procent organizacji doświadczyło w 2024 roku co najmniej jednego incydentu – to najniższy poziom odporności od początku badania. Najczęściej powtarzającym się zagrożeniem pozostaje złośliwe oprogramowanie powodujące wycieki danych. Wzrost intensywności ataków szczególnie odczuły duże przedsiębiorstwa, gdzie ponad połowa badanych wskazała na zwiększoną częstotliwość prób włamań. W firmach średnich i małych ten odsetek był niższy i utrzymywał się w granicach 38–40 procent.

Niepokój budzą również obawy związane z rozwojem sztucznej inteligencji. Ponad połowa organizacji jest zdania, że wdrożenia oparte na AI zwiększą ryzyko cyberataków. Wskazywane bariery dotyczą przede wszystkim kwestii bezpieczeństwa oraz niedoboru kompetencji wewnętrznych.

Zestawiając oba raporty widać wyraźnie, że polskie firmy znajdują się w punkcie przejściowym. Z jednej strony rozbudowują struktury, podnoszą nakłady i zaczynają traktować cyberbezpieczeństwo jako element strategiczny, a nie wyłącznie domenę działów IT. Z drugiej, brakuje im spójnych procedur i zaufania do własnych rozwiązań. Formalizacja procesów nie nadąża za tempem inwestycji, a rosnąca liczba incydentów podważa poczucie stabilności.

Przyszłość pokaże, czy ten rozdźwięk między strukturą a rzeczywistą odpornością zostanie zniwelowany. Październik, obchodzony jako Europejski Miesiąc Cyberbezpieczeństwa, wydaje się dobrym momentem, aby firmy na nowo oceniły swoje podejście do ochrony danych i wprowadziły bardziej całościowe strategie, które obejmą nie tylko technologię, ale także procedury, kulturę organizacyjną i zarządzanie ryzykiem w całym łańcuchu dostaw.

“Skala i złożoność cyberzagrożeń rosną szybciej niż cyfrowe kompetencje firm. Choć wskaźnik cyberbezpieczeństwa poprawił się względem lat poprzednich, trudno jeszcze mówić o pełnej dojrzałości organizacji. Tylko 59% z nich posiada sformalizowane procedury zarządzania bezpieczeństwem, mimo rosnącej liczby incydentów, coraz bardziej wyrafinowanych ataków, presji regulatorów oraz wzrostu świadomości wśród liderów biznesu.
Cyberbezpieczeństwo przestaje być wyłącznie domeną działów IT. Staje się strategiczną dyscypliną, która musi być osadzona w kulturze organizacyjnej, decyzjach inwestycyjnych i codziennych procesach. Szybkość zmian technologicznych wymusza elastyczność – nie tylko w reagowaniu na incydenty, ale też w adaptacji strategii, integrowaniu bezpieczeństwa z transformacją cyfrową i rozwijaniu świadomości wśród pracowników. 
W obliczu coraz bardziej złożonych ekosystemów IT, rosnącej zależności od zewnętrznych dostawców i ekspansji rozwiązań opartych na AI, tradycyjne podejścia do bezpieczeństwa przestają wystarczać. Kluczowe staje się myślenie całościowe – uwzględniające łańcuch dostaw, cykl życia oprogramowania, a także czynnik ludzki” – mówi Michał Kurek, Partner, Szef Zespołu Cyberbezpieczeństwa w KPMG w Polsce i Europie Środkowo-Wschodniej.