Geopolityka coraz mocniej wpływa na strategie technologiczne firm i podejście do budowania cyberodporności. W obliczu globalnych napięć przedsiębiorstwa analizują ryzyka, które jeszcze kilka lat temu uznawano za skrajne. Z najnowszej edycji raportu KPMG w Polsce pt. „Barometr cyberbezpieczeństwa 2026. Cyberodporność w erze zmian” wynika, że 37% firm bierze pod uwagę zagrożenie utratą kluczowego dostawcy chmury, 36% – długotrwały brak energii, a 26% – wojnę hybrydową i sabotaż. Skala przygotowań wciąż nie nadąża za tempem zmian w środowisku bezpieczeństwa, w którym infrastruktura cyfrowa staje się jednym z pierwszych celów destabilizacji. Raport wskazuje również na dwukrotny wzrost liczby organizacji posiadających dedykowanego CISO (chief information security officer), natomiast na pierwsze miejsce wśród barier budowania skutecznego cyberbezpieczeństwa wysunął się brak zaangażowania najwyższego kierownictwa.
Rosnąca złożoność incydentów cyberbezpieczeństwa, ich powiązanie z niestabilną sytuacją geopolityczną, a także ewolucja technologii stosowanej zarówno w atakach, jak i w narzędziach ochrony sprawiają, że badane firmy coraz częściej identyfikują nieadekwatność dotychczasowych rozwiązań.
Deklarowane przez ankietowanych mechanizmy zapewnienia cyberodporności koncentrują się przede wszystkim na rozwiązaniach o charakterze organizacyjnym i procesowym. 46% respondentów deklaruje wdrożenie programu zarządzania bezpieczeństwem łańcucha dostaw w postaci audytu dostawców, 35% firm przygotowuje kompleksowe plany zapewnienia ciągłości działania (BCP), a 30% prowadzi regularne analizy ryzyka w obszarze cyberbezpieczeństwa i ciągłości działania.
Zakres scenariuszy zagrożeń uwzględnianych w analizach ryzyka w ramach zarządzania ciągłością działania pokazuje, na ile organizacje przygotowują się na zdarzenia o charakterze systemowym i długotrwałym. Scenariuszami zagrożeń najczęściej wskazywanymi w analizie ryzyka są: utrata kluczowego dostawcy usług chmurowych (37%) oraz długotrwały brak energii elektrycznej (36%). 29% ankietowanych firm wśród scenariuszy zagrożeń uwzględnia długotrwały brak dostępu do Internetu. Jednocześnie już co czwarty ankietowany (26%) zwraca uwagę na wojnę hybrydową i sabotaż. Kolejnymi zagrożeniami uwzględnianymi w firmowych analizach ryzyka są awarie technologicznego łańcucha dostaw, np. zainfekowane aktualizacje (23%), rozległy atak ransomware (21%), a 16% ankietowanych bierze pod uwagę również ryzyko pełnoskalowego konfliktu zbrojnego.
– Niestabilna sytuacja geopolityczna sprawia, że polskie przedsiębiorstwa aktualizują swoje strategie bezpieczeństwa. W analizach ryzyka pojawia się scenariusz wojny pełnoskalowej. Co czwarta organizacja przygotowuje się na ryzyka związane z wojną hybrydową i sabotażem. Jednoczesna utrata wszystkich centrów przetwarzania danych w wyniku działań dywersyjnych staje się realnym zagrożeniem. Dlatego obserwujemy m.in. przyspieszoną adopcję chmury publicznej, również dla celów zapewnienia bezpieczeństwa – mówi Michał Kurek, partner, advisory, szef zespołu cyberbezpieczeństwa w KPMG w Polsce i Europie Środkowo-Wschodniej.
Cyberbezpieczeństwo coraz częściej poza IT
Wyniki raportu KPMG potwierdzają postępującą profesjonalizację i specjalizację zarządzania bezpieczeństwem informacji w polskich przedsiębiorstwach. Choć za cyberbezpieczeństwo nadal najczęściej odpowiada CIO (chief information officer) lub inny przedstawiciel działu IT, odsetek takich wskazań spadł do 36% (z 47% w 2023 roku). Równocześnie ponad jedna czwarta firm posiada już dedykowaną rolę CISO (chief information security officer), co jest podwojeniem zeszłorocznego wyniku, a liczba organizacji, które nie przypisały odpowiedzialności za ten obszar, zmniejszyła się z 11% do 2%.
Zmianie ulega także postrzeganie barier. Na pierwszym miejscu wśród wyzwań znalazł się brak wsparcia najwyższego kierownictwa (29% wskazań). Następne w kolejności uplasowały się ex aequo – trudności w rekrutacji i retencji pracowników oraz brak zaangażowania biznesu (26% firm).
Phishing i ataki indywidualnych hakerów na czele zagrożeń
Największym zagrożeniem dla firm pozostają hakerzy działający w pojedynkę – wskazało ich 46% respondentów. Na drugim miejscu znaleźli się cyberterroryści (35%), zaś na trzecim haktywiści (24%). W tegorocznej edycji badania phishing ponownie został uznany za cyberzagrożenie generujące najpoważniejsze ryzyko operacyjne – wyprzedzając m.in. ataki wykorzystujące błędy w aplikacjach oraz kradzież danych przez pracowników.
– Rekordowy odsetek firm dotkniętych incydentami bezpieczeństwa nie jest przypadkowy. Wchodzimy w erę, w której sztuczna inteligencja fundamentalnie zmienia charakter cyberataków. Obserwujemy już kampanie phishingowe wykorzystujące modele językowe do generowania spersonalizowanych, bezbłędnych językowo wiadomości, które omijają tradycyjne filtry. Deepfake audio i wideo umożliwiają coraz bardziej przekonujące ataki socjotechniczne, a automatyzacja pozwala przestępcom przeprowadzać jednocześnie tysiące ukierunkowanych ataków. W najbliższych latach złożoność ataków będzie rosła wykładniczo – AI nauczy się identyfikować podatności szybciej niż zespoły bezpieczeństwa zdążą je łatać, a ataki staną się bardziej adaptacyjne i inteligentne. Kluczowe pytanie brzmi –czy organizacje zdążą zbudować cyberodporność w tempie dorównującym ewolucji zagrożeń? – mówi Michał Kurek, partner, advisory, szef zespołu cyberbezpieczeństwa w KPMG w Polsce i Europie Środkowo-Wschodniej.
Spada deklarowana dojrzałość zabezpieczeń
Respondenci badania KPMG ocenili poziom dojrzałości zabezpieczeń niżej niż rok wcześniej w 11 z 14 analizowanych kategorii. Drugi rok z rzędu żadna z badanych organizacji nie zadeklarowała pełnej dojrzałości we wszystkich obszarach. Jedynie 3% firm oceniło swoje cyberzabezpieczenia jako w pełni dojrzałe w większości badanych obszarów.
Najwyżej oceniono reagowanie na incydenty bezpieczeństwa, natomiast jedyną kategorią, w której odnotowano bezwzględną poprawę rok do roku, było zarządzanie tożsamością i dostępem. Jednocześnie jedynie jedna trzecia firm uznaje swój poziom cyberodporności za adekwatny do aktualnego krajobrazu zagrożeń, a 58% wskazuje na konieczność usprawnień w wybranych obszarach.
Najbardziej dofinansowane obszary cyberbezpieczeństwa w 2026 roku
W 2026 roku firmy planują koncentrować swoje budżety przede wszystkim na ochronie przed złośliwym oprogramowaniem, programach podnoszenia świadomości pracowników oraz bezpieczeństwie sieci wewnętrznej. Wyraźnie wzrosło także znaczenie inwestycji w zarządzanie bezpieczeństwem partnerów biznesowych, co odzwierciedla rosnącą presję regulacyjną.
Aż 94% organizacji zleca na zewnątrz co najmniej jedną funkcję z obszaru cyberbezpieczeństwa, jednak większość robi to selektywnie – 51% firm powierza dostawcom tylko jeden wybrany obszar.
– Wdrożenie dyrektywy NIS2 oraz postępująca implementacja Rozporządzenia AI Act stawiają przed firmami nowe wyzwania, ale także tworzą szansę na uporządkowanie i wzmocnienie fundamentów cyberbezpieczeństwa. Jak pokazują wyniki badania, największą barierą nie jest już brak budżetu czy technologii, lecz niewystarczające wsparcie najwyższego kierownictwa i zaangażowanie biznesu. To wyraźny sygnał, że cyberbezpieczeństwo musi przestać być domeną wyłącznie działów IT i stać się strategicznym priorytetem całej organizacji – mówi Marcin Kieszkowski, dyrektor, advisory, zespół cyberbezpieczeństwa w KPMG w Polsce.
Pełny raport jest dostępny na stronie KPMG: Barometr cyberbezpieczeństwa 2026.
