Koszt wycieku danych w polskiej firmie 2026 — raport redakcji

Każdy raport o kosztach wycieku danych zaczyna się od tej samej liczby z IBM Cost of a Data Breach Report — średnia globalna 4,88 miliona dolarów za incydent w 2024 roku ¹. Dla polskich szefów IT ta liczba jest niewykorzystywalna, bo dotyczy głównie korporacji amerykańskich z gigantycznymi zespołami bezpieczeństwa i drogimi godzinami kancelaryjnymi. Większość polskich firm nie należy do tej kategorii nawet w przybliżeniu.

Ten raport robi coś innego: rozkłada koszt wycieku na sześć mierzalnych składników, podstawia pod nie realia polskiego rynku i sprawdza wynik na publicznie znanych polskich sprawach z lat 2019–2025. To materiał dla osób, które negocjują budżet bezpieczeństwa, kupują ochronę albo chcą wiedzieć, ile naprawdę kosztuje to, czego boją się ich klienci.

W skrócie: — Mediana kosztu wycieku dla polskiej firmy średniej wielkości (MŚP) to 1,3–6 mln zł łącznie, dla mikrofirmy 200–700 tys. zł, dla dużej firmy 8–65 mln zł. — Kara z UODO to tylko jeden ze składników i bywa najmniej przewidywalna — od zera (brak zaniedbań) do milionów (stwierdzone zaniedbanie). — Cztery podstawowe kontrole (2FA, backup z testem, szkolenia, EDR) kosztują MŚP 30–80 tys. zł rocznie i obniżają oczekiwany koszt incydentu o 50–70%. — Polisa cyber pokrywa reakcję i odszkodowania, ale nigdy kary administracyjnej.

Skąd te liczby: widełki kosztów to model redakcji — sumujemy sześć składników opisanych niżej, każdy oparty na publicznych komunikatach polskich firm reagujących na incydenty, raportach CERT Polska, danych IBM i Verizon oraz wykazie decyzji UODO. To nie jest pojedyncze badanie ankietowe, lecz złożenie. Konkretna firma może wpaść poniżej lub powyżej tych przedziałów w zależności od skali wycieku, charakteru danych i jakości reakcji.

Z czego składa się koszt wycieku w 2026 roku

Wbrew popularnemu uproszczeniu („zapłacisz karę i tyle„), koszt incydentu rozkłada się na sześć odrębnych kategorii. Każda rządzi się inną logiką i każda jest mierzalna osobno.

Koszt reakcji na incydent — pierwsze 2–8 tygodni po wykryciu. Obejmuje: zewnętrzną firmę informatyki śledczej (analiza śladów, ustalenie zakresu wycieku, izolacja złośliwego oprogramowania), kancelarię prawną (negocjacje z UODO, ocena odpowiedzialności cywilnej, komunikacja z poszkodowanymi), firmę komunikacji kryzysowej, koszty IT (odbudowa infrastruktury, czyszczenie systemów, wymiana zaatakowanych urządzeń). Dla polskiej firmy średniej wielkości ten etap kosztuje 80–250 tysięcy złotych ². Dolna granica dotyczy incydentów ograniczonych (jeden serwer, jeden segment sieci); górna pojawia się przy ransomware lub kompromitacji usługi katalogowej — wtedy sama informatyka śledcza potrafi pochłonąć 100–150 tys. zł, a odbudowa katalogu kolejne 80–100 tys.

Powiadomienia poszkodowanych — obowiązek z art. 34 RODO przy wycieku stanowiącym wysokie ryzyko dla osób, których dane dotyczą. Koszt na osobę: 1–3 zł listownie (zalecane przy wrażliwych danych), 0,30–0,80 zł e-mailowo. Wyciek 50 tysięcy rekordów to 25–150 tys. zł samej korespondencji plus koszt infolinii zwrotnej (ludzie będą dzwonić). Dla polskiej średniej firmy zamyka się to typowo w przedziale 30–180 tysięcy złotych.

Kary administracyjne — art. 83 RODO daje UODO kompetencję do nałożenia kary do 20 milionów euro lub 4% rocznego obrotu (wyższa z tych wartości). W praktyce polskie kary były znacznie niższe i bardzo zróżnicowane: od kilkudziesięciu tysięcy do kilku milionów złotych ³. Najwyższa głośna kara za wyciek to 2,8 mln zł dla Morele.net (2019), później uchylona przez sąd administracyjny. Kluczowe: UODO uwzględnia, czy firma miała zaniedbania. Współpraca z urzędem i szybkie powiadomienie redukują karę; ignorowanie wezwań — podwyższają. To najmniej przewidywalny składnik całego rachunku.

Odszkodowania cywilnoprawne — osoby fizyczne mogą żądać zadośćuczynienia za naruszenie ochrony danych. Polskie sądy potwierdziły, że za wyciek z firmy należy się odszkodowanie nawet bez wykazania konkretnej szkody majątkowej — w sprawach dotyczących wycieku z ALAB Laboratoria sądy zasądzały 1500 zł na osobę ³. W praktyce część poszkodowanych z dużych polskich wycieków składa pozwy (procesy grupowe są coraz częstsze). Dla wycieku 30 tysięcy rekordów, przy założeniu, że pozew złoży kilkanaście procent poszkodowanych po średnio 1000–1500 zł, scenariusz typowy to setki tysięcy złotych, a pesymistyczny — kilka milionów.

Utrata przychodu i klientów — najtrudniejszy do oszacowania, ale często największy składnik. Verizon Data Breach Investigations Report ⁴ od lat pokazuje, że firmy B2C tracą istotną część bazy klientów w pierwszych miesiącach po publicznym ujawnieniu wycieku — w zależności od branży kilkanaście do ponad dwudziestu procent. Dla małej firmy o rocznym przychodzie 2 mln zł oznacza to utratę kilkuset tysięcy złotych. Firmy B2B tracą mniej klientów wprost, ale wykluczenia z postępowań przetargowych w sektorze publicznym i bankowym potrafią być dotkliwe na lata.

Wymiana infrastruktury i programy audytu — często pomijane w pierwszych szacunkach, ale strukturalne. Po wycieku ubezpieczyciele wymagają corocznych audytów bezpieczeństwa, wdrożenia narzędzi monitorowania i ochrony urządzeń końcowych. Skumulowany koszt przez 2–3 lata po incydencie to dla polskiej firmy średniej wielkości 100–400 tys. zł.

Modele dla trzech wielkości polskich firm

Z powyższych składników wynikają trzy wzorcowe scenariusze. To mediany z modelu redakcji — konkretna firma może wpaść w niższy lub wyższy przedział.

Mikrofirma (1–9 pracowników, do 2 mln zł obrotu)

• Reakcja na incydent: 30–80 tys. zł
• Powiadomienia poszkodowanych: 15–40 tys. zł (baza 1–10 tys. rekordów)
• Kara UODO: 0–200 tys. zł (zero, jeśli nie ma stwierdzonego zaniedbania)
• Odszkodowania cywilne: 20–100 tys. zł w typowym scenariuszu
• Utrata przychodu (6 mc): 150–400 tys. zł
• Wymiana infrastruktury (2 lata): 30–100 tys. zł

Łączny koszt: 200–700 tysięcy złotych.

Dla firm o przychodzie 1–2 mln zł rocznie to 40–70% rocznego obrotu — co tłumaczy, dlaczego znacząca część mikrofirm po dużym wycieku nie wraca do działalności w pełnym wymiarze w ciągu roku.

MŚP (10–249 pracowników, 2–50 mln zł obrotu)

• Reakcja na incydent: 80–250 tys. zł
• Powiadomienia poszkodowanych: 30–180 tys. zł (baza 10–100 tys. rekordów)
• Kara UODO: 0–1,5 mln zł w zależności od zaniedbań
• Odszkodowania cywilne: 300 tys. – 1,2 mln zł
• Utrata przychodu (6 mc): 600 tys. – 3 mln zł
• Wymiana infrastruktury (2 lata): 100–400 tys. zł

Łączny koszt: 1,3–6 milionów złotych.

To kategoria, dla której polisa cyber o limicie 5–10 mln zł pokrywa największą część kosztu. Cena takiej polisy dla firmy usługowej wynosi kilka–kilkanaście tysięcy złotych rocznie — to mniej niż 1% potencjalnego kosztu wycieku.

Duża firma (250+ pracowników, powyżej 50 mln zł obrotu)

• Reakcja na incydent: 300 tys. – 1,5 mln zł
• Powiadomienia poszkodowanych: 200–800 tys. zł (baza od 100 tys. do kilku mln rekordów)
• Kara UODO: od setek tysięcy do kilku mln zł (kary skalują się z obrotem)
• Odszkodowania cywilne: od miliona do kilkunastu mln zł (więcej pozwów grupowych)
• Utrata przychodu (6 mc): kilka–kilkadziesiąt mln zł zależnie od sektora
• Wymiana infrastruktury (2 lata): 0,5–3 mln zł

Łączny koszt: 8–65 milionów złotych w scenariuszu typowym, z górnym brzegiem rozkładu sięgającym znacznie wyżej przy wyciekach obejmujących całą bazę klientów.

Trzy polskie sprawy, na których sprawdziliśmy model

Morele.net (2019)

Wyciek danych ok. 2,2 mln klientów (imię, e-mail, numer telefonu, hasła). UODO nałożyło 2,8 mln zł kary, wskazując na niewystarczające zabezpieczenia — brak dwuskładnikowego uwierzytelniania i podatność na SQL injection. Decyzja przeszła długą drogę sądową: była utrzymywana i uchylana na różnych etapach, aż Naczelny Sąd Administracyjny uchylił ją, wskazując na brak wystarczających dowodów na nieprawidłowości, i sprawa wróciła do UODO ³. To najważniejsza lekcja proceduralna: nawet głośna milionowa kara nie jest automatyczna ani ostateczna — postępowania ciągną się latami, a sądy realnie weryfikują ustalenia urzędu.

ALAB Laboratoria (2023)

Listopadowy wyciek wyników badań laboratoryjnych pacjentów z ponad 200 placówek — dane wrażliwe, bo medyczne. Postępowanie UODO w sprawie kary nadal trwało dwa lata po incydencie i do maja 2026 nie zakończyło się ostateczną decyzją administracyjną ³. Równolegle ruszyły procesy cywilne: sądy uznały wyciek za naruszenie RODO i zasądzały poszkodowanym 1500 zł odszkodowania na osobę, pojawiły się też powództwa grupowe. To pokazuje, że ścieżka cywilna (odszkodowania dla poszkodowanych) działa szybciej niż administracyjna (kara UODO) i potrafi w sumie przewyższyć karę, gdy poszkodowanych są dziesiątki tysięcy.

Pracuj.pl (2024)

W grudniu 2024 serwis ujawnił cyberatak i wyciek z bazy CV, który mógł objąć dane nawet kilku milionów użytkowników. Spółka publicznie odniosła się do spekulacji o karze UODO — do maja 2026 żadna ostateczna kara nie została potwierdzona, a postępowanie pozostaje w toku ³. To przypomnienie, że między incydentem a rozstrzygnięciem mijają lata, a publiczne „firmę czeka kara X” w pierwszych dniach po wycieku to zwykle spekulacja, nie fakt. Dane HR (CV, historia zatrudnienia) są jednak traktowane jako wysokiego ryzyka, więc stawka jest wysoka.

Co realnie chroni przed tym kosztem

Analiza Verizon DBIR ⁴ i polskie dane CERT Polska ⁵ wskazują cztery najskuteczniejsze inwestycje w przeliczeniu na wydaną złotówkę:

1. Dwuskładnikowe uwierzytelnianie na wszystkich kontach administracyjnych — koszt 0–100 zł na konto rocznie (klucze sprzętowe), zatrzymuje większość prób przejęcia konta. To najlepszy zwrot z inwestycji w całym budżecie bezpieczeństwa. Jak je wdrożyć w praktyce, opisujemy w przewodniku o 2FA dla polskich banków i usług.

2. Backup z testem przywracania — koszt 0,5–2% budżetu IT rocznie. Krytyczny przy ransomware: redukuje koszt incydentu o 60–80%, bo nie trzeba płacić okupu i można szybciej odbudować systemy. Niewykonane testy przywracania to najczęstszy powód, dla którego mimo posiadania backupów polskie firmy nadal płacą okup.

3. Szkolenie pracowników (anty-phishing, socjotechnika) — koszt 50–150 zł na pracownika rocznie. Verizon DBIR od lat podaje, że większość naruszeń ma czynnik ludzki. Skuteczne szkolenie istotnie ten wskaźnik obniża w ciągu roku. Warto połączyć je z menedżerem haseł w firmie — patrz nasz przewodnik po menedżerach haseł.

4. Monitorowanie i reakcja na urządzeniach końcowych (EDR) lub zewnętrzny zespół bezpieczeństwa — koszt 50–200 zł na urządzenie miesięcznie. Skraca czas wykrycia wycieku z mediany przekraczającej pół roku (IBM) do tygodni. Wykrycie w pierwszych 30 dniach redukuje koszt o 35–45% (mniejszy zakres, szybsza izolacja, niższe odszkodowania).

Łącznie te cztery inwestycje to dla MŚP koszt 30–80 tys. zł rocznie. Redukcja oczekiwanego kosztu wycieku (prawdopodobieństwo razy skutek) jest wielokrotnie wyższa — to jedna z najlepszych dźwigni finansowych w zarządzaniu ryzykiem.

Polskie polisy cyber w 2026 — co realnie pokrywają

Polski rynek ubezpieczeń cyber rośnie szybko. Stan na maj 2026:

• Pokrywane: koszty reakcji na incydent (informatyka śledcza, prawnicy, PR), odszkodowania cywilne dla poszkodowanych (do limitu polisy), przerwa w działalności, koszt ransomware (negocjacje i ewentualny okup, z ograniczeniami), powiadomienia poszkodowanych.
• Wyłączone: kary administracyjne. Polskie polisy wyłączają kary RODO/UODO zgodnie z zasadą, że ubezpieczyciel nie może pokrywać sankcji za naruszenie prawa. Wyłączone są też kary KNF dla sektora finansowego i URE dla energetycznego.

Cena polisy o limicie 5 mln zł dla średniej firmy usługowej to typowo kilka–kilkanaście tysięcy złotych rocznie — w stosunku do potencjalnej straty 1,3–6 mln zł jest to jedna z najlepszych relacji koszt-ochrona w firmowym zarządzaniu ryzykiem.

Ubezpieczyciele wymagają minimum: 2FA na kontach administracyjnych, regularne i testowane kopie zapasowe, polityka aktualizacji oprogramowania. Brak tych elementów oznacza brak oferty albo znacznie wyższą składkę. To znak, że nawet ubezpieczyciele uznają te kontrole za standard wymagany przed jakąkolwiek ochroną.

Jak czytać ten raport przy decyzji budżetowej

Nie traktuj tych liczb jako prognozy dla konkretnego incydentu. Wyciek danych jest zjawiskiem losowym: większość firm w danym roku nie ma wycieku w ogóle, część ma drobny, kilka procent ma katastrofalny. Mediana 380–700 tys. zł dla średniej firmy oznacza, że w roku, w którym ten wyciek nastąpi, taki będzie typowy rachunek — ale można go uniknąć w ogóle.

Praktyczne wnioski dla decydenta:

• Budżet bezpieczeństwa rzędu 0,5–2% rocznego obrotu redukuje oczekiwany koszt incydentu o 50–70%. To najlepsza dźwignia.
• Polisa cyber z limitem co najmniej dwukrotnym rocznego budżetu IT to rozsądne minimum dla MŚP — pokrywa nieubezpieczalne samodzielnie składniki (informatyka śledcza, PR, prawnicy), bez których incydent eskaluje.
• Procedura powiadomienia UODO w 72 godziny (art. 33 RODO) powinna być przećwiczona i zapisana w planie reagowania, zanim będzie potrzebna. Pominięcie terminu jest osobnym naruszeniem, niezależnym od skali wycieku.
• Najgorszą decyzją po incydencie jest milczenie. Sprawy Morele, ALAB i Pracuj.pl pokazują, że firmy komunikujące się transparentnie i szybko ponoszą mniejsze straty wizerunkowe niż te, które próbują sprawę zminimalizować.

Wyciek danych w polskiej firmie nie jest pytaniem „czy„, tylko „kiedy” — roczne prawdopodobieństwo dla średniej firmy szacuje się na kilkanaście procent, dla mikrofirmy mniej, dla dużej więcej. Powyższe widełki to nie maksimum, jakie można zapłacić; to mediana, czyli to, czego można się spodziewać w typowym przypadku. Górny brzeg rozkładu sięga znacznie wyżej.

Decyzja jest budżetowa: 30–80 tys. zł rocznie na cztery podstawowe kontrole plus polisa, albo 1,3–6 mln zł oczekiwanego kosztu w roku, w którym sprawa się wydarzy. Ekonomicznie wybór jest oczywisty. W praktyce wiele polskich firm wybiera drugą ścieżkę, bo pierwszy koszt jest natychmiastowy i pewny, a drugi prawdopodobny i odroczony. To błąd poznawczy, nie racjonalna kalkulacja.

Źródła

Zobacz też

• Wycieki danych w polskich firmach 2026 [RAPORT]. Największe wpadki i kary UODO
• Wycieki danych 2025: Polska w czołówce zagrożonych krajów
• Wyciek 30 tys. kont Facebook 2026

Footnotes

1. IBM Cost of a Data Breach Report 2024 — globalna analiza ponad 600 incydentów z 17 sektorów; średnia globalna 4,88 mln USD za incydent — https://www.ibm.com/reports/data-breach ↩

2. Szacunki kosztu reakcji na incydent dla polskich firm pochodzą z publicznych komunikatów polskich firm reagujących na incydenty oraz raportów rocznych CERT Polska — https://www.cert.pl/publikacje/raporty/ ↩

3. Wykaz decyzji nakładających administracyjne kary pieniężne publikowany przez Urząd Ochrony Danych Osobowych; status spraw Morele.net (kara 2,8 mln zł, następnie uchylona przez NSA), ALAB Laboratoria (postępowanie w toku, odszkodowania cywilne 1500 zł zasądzane przez sądy) i Pracuj.pl (postępowanie w toku) wg stanu publicznego na maj 2026 — https://uodo.gov.pl/pl/138/3060 ↩ ↩² ↩³ ↩⁴ ↩⁵

4. Verizon Data Breach Investigations Report — coroczna analiza dziesiątek tysięcy incydentów bezpieczeństwa, w tym statystyki utraty klientów po wycieku, czasu wykrycia i czynnika ludzkiego — https://www.verizon.com/business/resources/reports/dbir/ ↩ ↩²

5. CERT Polska — Krajowy Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego publikuje roczne raporty o stanie cyberbezpieczeństwa polskiej infrastruktury — https://www.cert.pl/publikacje/raporty/ ↩