O cyberbezpieczeństwie mówimy i słyszymy bardzo dużo, a czujemy się… coraz mniej bezpiecznie. Z najnowszego raportu „Cyberportret polskiego biznesu 2026”, przygotowanego przez ESET i DAGMA Bezpieczeństwo IT wynika, że zaledwie 14% polskich pracowników ocenia swoje kompetencje w zakresie cyberbezpieczeństwa jako wysokie. To spory spadek w ciągu zaledwie dwóch lat (z 24% w 2024 roku). Polskie firmy wpadły w pułapkę: podczas gdy aż 85% przedsiębiorstw miało incydent cyberbezpieczeństwa w ciągu ostatniego roku, kompetencje zespołów zamiast rosnąć – kurczą się w zastraszającym tempie.

Z najnowszych danych, zebranych przez ESET i DAGMA Bezpieczeństwo IT, wyłania się alarmujący obraz: w polskich firmach gwałtownie spada wiara we własne cyfrowe możliwości. Okazuje się, że lawina cyberzagrożeń w połączeniu z brakiem realnego wsparcia ze strony pracodawców niszczy pierwszą linię obrony od środka. Zamiast budować cyfrową tarczę, pracodawcy niechcący wywołują u swoich zespołów paraliż decyzyjny i chroniczny stres. Efekty? Zaledwie 33% zatrudnionych uważa, że potrafiłoby w odpowiednim momencie właściwie zareagować na cyberatak. Taka bezradność może mieć bardzo wymierne konsekwencje, bo już aż 85% polskich firm spotkało się incydentem cyberbezpieczeństwa w ciągu ostatnich 12 miesięcy. Zagrożenia są coraz bardziej precyzyjne, coraz trudniejsze do wykrycia i coraz częściej wymierzone bezpośrednio w ludzi, nie w systemy.

Polscy pracownicy zagubieni wśród cyberzagrożeń

Współczesna technologia pędzi naprzód, zostawiając przeciętnych użytkowników daleko w tyle. Tylko 25% pracowników przyznaje, że są na bieżąco z informacjami na temat nowych form cyberataków. Przytłoczeni niezrozumiałym żargonem i doniesieniami o nowych sztuczkach cyberprzestępców, pracownicy zaczynają działać po omacku. Coraz częściej towarzyszy im poczucie zagubienia w gąszczu procedur i zagrożeń z obszaru cyberbezpieczeństwa. Ich bezradność nie wynika ze złej woli, ale z kompletnego braku transferu wiedzy w miejscu pracy. Analitycy podkreślają, że takie, zagubione w obliczu cyberzagrożeń osoby, to najczęściej (choć nie zawsze) pracownicy firm zatrudniających do 50 osób, po 45. roku życia, zatrudnione w działach back-office oraz wszędzie tam, gdzie krąży duża liczba dokumentów zewnętrznych.

Błędy po stronie organizacji

Z czego wynika taki stan rzeczy? Odpowiedzialność spoczywa na barkach organizacji, które nie potrafią skutecznie komunikować swoich wymagań. Tylko połowa badanych (49%) twierdzi, że dobrze zna firmowe zasady bezpieczeństwa. Druga połowa nie ma o nich pojęcia. Co gorsza, co czwarty pracownik (24%) wprost przyznaje, że istniejące w firmie zasady z tego obszaru utrudniają mu codzienne wykonywanie obowiązków służbowych.

– Jednym z największych wyzwań w cyberbezpieczeństwie pozostaje komunikacja i to w jaki sposób mówić o zagrożeniach możliwie najprostszym językiem, a jednocześnie budować realną, wspólną odpowiedzialność pracowników. Odpowiedź sprowadza się do czterech elementów: czego unikać w codziennej pracy, co powinno wzbudzić czujność, jak reagować w podejrzanej sytuacji i gdzie szybko szukać pomocy. Prosty, powtarzalny schemat niczym szkolenie z pierwszej pomocy. Tymczasem pracownicy albo nie otrzymują żadnych wytycznych, albo dostają długie, nieżyciowe procedury pisane z perspektywy regulacji i wymogów prawnych– mówi Paweł Jurek, dyrektor działu rozwoju biznesu w DAGMA Bezpieczeństwo IT.

Kultura zawahania

Kiedy pracownicy nie znają przejrzystych reguł, zaczynają improwizować, a to w kontekście prewencji najgorsza z możliwych strategii obronnych. Ciężar oceny ryzyka zostaje wtedy nieformalnie przerzucony na barki pojedynczych osób, które nie otrzymały do tego odpowiednich narzędzi ani wiedzy. W efekcie w polskich firmach rodzi się destrukcyjna kultura zawahania, lęku i milczenia. Pracownicy, niepewni swoich umiejętności, wolą zignorować podejrzany komunikat na ekranie monitora lub całkowicie zataić cyfrowy błąd, niż podnieść alarm. Aż 16% badanych, którzy doświadczyli incydentu bezpieczeństwa, przyznaje, że nie zgłosiło go nikomu w firmie.

Strach zatrudnionych staje się najlepszym paliwem i sprzymierzeńcem cyberprzestępców. Przemilczenie incydentu przez przerażonego pracownika odbiera organizacji „czerwoną flagę” – wczesne ostrzeżenie, które mogłoby uruchomić procedury. Zamiast natychmiastowej reakcji, atakujący zyskują bezcenne, „ciche godziny” na swobodną eksplorację sieci, kradzież baz danych czy instalację oprogramowania szyfrującego.

Jak przełamać ten impas?

Eksperci podkreślają: dopóki procedury nie staną się zrozumiałe i przyswajalne dla każdego, niezależnie od zajmowanego stanowiska, organizacja pozostanie tak silna, jak jej najsłabsze ogniwo. Trudno wymagać od zespołów bezbłędnego poruszania się w środowisku, którego nikt im wcześniej rzetelnie i prostym językiem nie wytłumaczył. Odpowiedź na ten postępujący kryzys niepewności sprowadza się do radykalnego uproszczenia komunikacji.

Czas skończyć z traktowaniem bezpieczeństwa jako domeny wyłącznie działu IT lub traktowaniem szkoleń jako zbędnego kosztu – to inwestycja w ciągłość działania i reputację biznesu. Zamiast zawiłych, pisanych prawniczym żargonem dokumentów, pracownicy powinni otrzymywać prosty, powtarzalny schemat postępowania, a błędy powinny stać się źródłem systemowej nauki dla całej firmy. Dopiero gdy z biur zniknie strach, a pojawi się kultura otwartego zaufania i edukacji, polskie firmy zyskają realną, cyfrową odporność.

- Zagadnienie to wykracza daleko poza sam aspekt szkoleniowy. Kwestia strachu i odpowiedzialności dotyczy nie tylko szeregowych pracowników, ale w coraz większym stopniu również administratorów systemów. W praktyce coraz częściej obserwujemy u nich paraliżujący lęk przed konsekwencjami incydentu. Znamy przypadki, w których administratorzy byli pociągani do odpowiedzialności karnej za rzekome zaniedbania w zabezpieczeniu organizacji lub niewłaściwą obsługę sytuacji kryzysowej. Dbając o kulturę zgłaszania incydentów, nie możemy zapominać o kadrze technicznej. Często z góry zakładamy, że jako profesjonaliści są oni odporni na stres. Oni jednak również potrzebują wsparcia i jasnych procedur – podkreślał Marcin Dudek, kierownik CERT Polska w NASK, podczas panelu dyskusyjnego towarzyszącego premierze raportu „Cyberportret Polskiego Biznesu”, który odbył się w ramach konferencji Cybersec Forum.

O raporcie: Trzecia edycja raportu „Cyberportret polskiego biznesu 2026” powstała na podstawie badania ilościowego zrealizowanego w marcu 2026 roku przez instytut ARC Rynek i Opinia na próbie 1026 Polaków pracujących przy komputerze co najmniej 3 dni w tygodniu (w tym ekspertów ds. cybersecurity z firm zatrudniających min. 10 osób). Badanie przeprowadzono techniką CAWI.