Badanie Mastercard przeprowadzone na przełomie 2025 i 2026 r. ujawnia, że cyberataki dotknęły co drugą dużą firmę, 44 proc. średnich oraz 25 proc. małych przedsiębiorstw w Polsce. Skutki incydentów są szczególnie dotkliwe dla najmniejszych podmiotów – 19 proc. małych firm wskazało, że cyberatak spowodował poważne zakłócenia działalności, a kolejne 23 proc. odczuło częściowe utrudnienia.
W przypadku średnich firm umiarkowane komplikacje zgłosiło 31 proc. badanych. Jednocześnie co piąta mała firma oceniła straty finansowe jako niewielkie (do 1 tys. zł), podczas gdy w średnich i dużych organizacjach koszty incydentów sięgają nawet 50 tys. zł. Część firm – 19 proc. średnich i 16 proc. dużych – nie potrafiła oszacować strat.
Jak podkreśla Małgorzata Domagała, dyrektorka ds. produktów i rozwiązań Mastercard na Polskę, Czechy i Słowację, duże firmy częściej dysponują planami reagowania na incydenty i regularnie szkolą pracowników, co zwiększa ich odporność. W małych organizacjach cyberatak częściej prowadzi do poważnych zakłóceń działalności.
Mimo doświadczenia incydentu, 32 proc. małych, 28 proc. dużych i 20 proc. średnich firm nie wprowadziło żadnych zmian w obszarze cyberbezpieczeństwa. Audyty i oceny ryzyka są standardem głównie w większych organizacjach – w ostatnich 12 miesiącach przeprowadzono je w 72 proc. dużych i 55 proc. średnich firm, podczas gdy 85 proc. małych przedsiębiorstw przyznało, że nie realizuje takich działań.
Wydatki na cyberochronę – duże różnice między firmami. Budżety na cyberbezpieczeństwo rosną wraz ze skalą działalności:
- 26 proc. małych firm nie ponosi żadnych kosztów związanych z cyberochroną,
- 55 proc. przeznacza na ten cel mniej niż 10 tys. zł rocznie,
- co trzecia średnia firma inwestuje 10–50 tys. zł,
- 44 proc. dużych organizacji wydaje ponad 50 tys. zł rocznie.
W małych firmach za cyberbezpieczeństwo odpowiada najczęściej właściciel (60 proc.). W średnich i dużych organizacjach dominują dedykowane zespoły IT (66 proc. i 76 proc.) lub wyspecjalizowani partnerzy zewnętrzni.
Przy wyborze dostawcy usług cyberbezpieczeństwa małe firmy kierują się głównie referencjami (53 proc.) i ceną (27 proc.). Średnie stawiają na doświadczenie i kompleksowość usług (po 53 proc.), a duże – na certyfikaty i zgodność z normami (61 proc.).
