Raport KPMG: 56% firm ma działy ds. cyberbezpieczeństwa, ale tylko 40% czuje się bezpiecznie

Choć polskie przedsiębiorstwa coraz intensywniej rozwijają struktury i inwestują w ochronę danych, ich poczucie bezpieczeństwa spada. Najnowsze raporty KPMG pokazują, że firmy w Polsce deklarują rekordowe nakłady na cyberbezpieczeństwo, a jednocześnie coraz częściej mierzą się z incydentami i nie wierzą w pełną skuteczność swoich zabezpieczeń.

Rosnące inwestycje, rosnące obawy

Październik, Europejski Miesiąc Cyberbezpieczeństwa, to okazja do podsumowania stanu polskich firm w tym obszarze. Najnowsza edycja badania KPMG „Monitor Transformacji Cyfrowej Biznesu” wskazuje, że wskaźnik cyberbezpieczeństwa i ryzyka wzrósł do 5,9 pkt, czyli o 1 pkt więcej niż rok wcześniej. Rośnie także liczba organizacji z wyspecjalizowanymi działami ds. bezpieczeństwa, bo w 2025 roku posiada je już 56% firm, co oznacza wzrost o 16 punktów procentowych w ciągu roku.

Jednocześnie spadł odsetek firm z formalnymi procedurami zarządzania bezpieczeństwem. Obecnie ma je 59% organizacji, o 13 p.p. mniej niż w poprzedniej edycji badania. Najlepiej wypada sektor finansowy, w którym aż 82% firm stosuje sformalizowane procedury, a 73% posiada własne struktury ds. cyberbezpieczeństwa.

Co ważne, firmy deklarują coraz wyższe wydatki na ten obszar, a odsetek przedsiębiorstw planujących znaczący wzrost nakładów w ciągu najbliższych 12 miesięcy wzrósł o 20 p.p. w porównaniu do roku 2024.

Mimo tego tylko 40% liderów uważa, że ich organizacje są wystarczająco chronione. To spadek aż o 17 p.p. rok do roku, co wskazuje na pogłębiający się rozdźwięk między rosnącymi budżetami a faktycznym poczuciem odporności.

Ataki i awarie na pierwszym planie

Równolegle opublikowany raport „Barometr Cyberbezpieczeństwa” pokazuje, że w 2024 roku jedynie 17% firm nie odnotowało żadnego incydentu i jest to najniższy wynik w historii badania. Najczęściej na celowniku ataków są duże organizacje: aż 55% z nich przyznało, że w ubiegłym roku liczba prób ataków wzrosła lub znacząco wzrosła. Dla porównania, wśród średnich firm ten wskaźnik wyniósł 38%, a wśród małych 40%.

Najczęściej wskazywanym zagrożeniem pozostaje malware, a więc ataki prowadzące do wycieku danych poprzez złośliwe oprogramowanie.

Z perspektywy transformacji cyfrowej organizacje najbardziej obawiają się jednak awarii systemów dostawców zewnętrznych i własnej infrastruktury. Cyberataki, choć znalazły się niżej na liście ryzyk, aż przez 64% firm uznawane są za czynnik o co najmniej umiarkowanym wpływie na biznes, a w przypadku 28%, o dużym lub bardzo dużym.

Cyberbezpieczeństwo jako element kultury organizacyjnej

Eksperci podkreślają, że bezpieczeństwo nie może być traktowane jako odrębny obszar. Jak zaznacza Michał Kurek, Partner i Szef Zespołu Cyberbezpieczeństwa w KPMG w Polsce i Europie Środkowo-Wschodniej, kluczowe staje się myślenie całościowe.

„Tradycyjne podejścia do bezpieczeństwa przestają wystarczać. Liczy się integracja z procesami biznesowymi, uwzględnienie łańcucha dostaw, cyklu życia oprogramowania oraz czynnika ludzkiego” – mówi ekspert.

W praktyce oznacza to konieczność budowania świadomości wśród pracowników, elastycznego dostosowywania strategii oraz traktowania cyberbezpieczeństwa jako nieodłącznej części kultury organizacyjnej. W dobie rozbudowanych ekosystemów IT, rosnącej roli zewnętrznych dostawców i szybkiej popularyzacji rozwiązań AI, firmy muszą łączyć inwestycje technologiczne z edukacją i zarządzaniem ryzykiem na każdym poziomie organizacji.