Poniedziałek rano. Włączasz komputer w biurze i… zamiast faktur i bazy klientów wyskakuje ci komunikat: „Twoje pliki zostały zaszyfrowane, zapłać, żeby je odzyskać”. I co teraz? Myślisz pewnie, że to scenariusz dla korpo z setkami serwerów. No więc nie. Coraz częściej dostają po głowie właśnie małe firmy, bo są łatwiejszym celem i raczej rzadziej mają porządne zabezpieczenia. I tu wraca pytanie, które lepiej zadać sobie ZANIM coś się stanie, a nie po fakcie: czy polisa cyber w ogóle ma sens dla kilkuosobowej działalności?
Policzmy to sobie na spokojnie, bez straszenia na siłę. Najpierw skala problemu, bo bez tego cała reszta wisi w próżni.
Czy mała firma w ogóle kogoś interesuje?
Tak, i to bardziej, niż się wydaje. Najnowszy Raport Roczny Cyberbezpieczeństwa CSIRT KNF za 2025 rok podaje liczby, które robią wrażenie: 41 751 niebezpiecznych domen zgłoszonych do blokady, 9 751 zablokowanych oszukańczych reklam i 787 ataków DDoS na sam sektor finansowy. To mniej więcej pokazuje, w jakiej skali działa dziś przestępczość w sieci.
Dla małego przedsiębiorcy najważniejszy jest jednak inny wątek z tego raportu. KNF zwraca uwagę, że rosną ataki na „dostawców technologii, usług IT i oprogramowania wykorzystywanego przez sektor finansowy”, a w efekcie „skutki incydentu mogą wykraczać poza pojedynczy podmiot i wpływać na bezpieczeństwo całego rynku”. Czyli po ludzku: nie musisz być bankiem, żeby oberwać. Wystarczy, że korzystasz z popularnego programu księgowego albo obsługujesz większego klienta… i już jesteś częścią łańcucha, w który ktoś celuje.
No i dochodzi do tego klasyka, czyli phishing. CSIRT KNF wskazuje, że „phishing w kanałach SMS i e-mail pozostawał jednym z najczęściej wykorzystywanych wektorów inicjujących incydenty”. To zwykle nie jest jakiś spektakularny włam genialnego hakera, tylko jeden kliknięty link przez zmęczonego pracownika w piątek po południu. I tyle. Więcej w samym raporcie KNF, do którego linkuję poniżej.
Co ta polisa właściwie pokrywa?
Tu jest chyba najczęstsze nieporozumienie. Ludzie myślą, że ubezpieczenie cyber to „zwrot okupu” i koniec tematu. A to akurat element, którego sporo polis w ogóle nie obejmuje. Prawdziwa wartość siedzi gdzie indziej — w kosztach, które lecą zaraz po ataku, kiedy firma stoi, a telefon się urywa.
W typowym zakresie znajdziesz najczęściej:
- Reagowanie na incydent — ekipa specjalistów IT, która w pierwszych godzinach ustala, co się właściwie stało, odcina zagrożenie i zaczyna sprzątać. To często decyduje o tym, czy strata jest duża, czy ogromna.
- Odzyskiwanie danych i odtworzenie systemów — czyli koszt przywrócenia firmy do działania z kopii zapasowych.
- Przerwa w działalności — rekompensata utraconego przychodu za czas, gdy nie możesz normalnie pracować, zwykle do określonego limitu z umowy.
- Obsługa prawna i RODO — wsparcie kancelarii, koszty zgłoszeń, a w części polis także administracyjne kary nałożone przez organ nadzoru.
- Komunikacja — powiadomienie klientów, których dane wyciekły, i ratowanie reputacji.
Wątek RODO jest tu kluczowy, bo to nie jest żadna dobra wola, tylko twardy obowiązek prawny. Zgodnie z art. 33 RODO administrator „bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu”. W praktyce po wycieku danych masz trzy doby na ruch wobec UODO, a to oznacza koszty, presję i decyzje podejmowane pod stresem. Dobra polisa zdejmuje przynajmniej część tego ciężaru z głowy.
Ile to realnie kosztuje?
Zacznę od szczerego zastrzeżenia: dokładnej kwoty nie poda ci nikt bez spojrzenia na twoją firmę. Składka zależy od przychodów, branży, sumy ubezpieczenia i tego, jak wyglądają twoje zabezpieczenia. Ale widełki da się jakoś tam nakreślić.
Dla mikrofirmy z niską sumą ubezpieczenia (rzędu 100 tys. zł) składki potrafią startować od kilkuset złotych rocznie. Dla małych i średnich firm z szerszym zakresem mówimy częściej o widełkach od kilku do kilkunastu tysięcy złotych rocznie. Działa tu prosta zależność: wyższy udział własny (franszyza) obniża składkę, bo bierzesz na siebie większy kawałek ryzyka.
No i druga strona równania, czyli ile kosztuje brak polisy. Z analizy kosztów ransomware dla polskich MŚP wynika, że okup to dopiero wierzchołek góry lodowej. Według tego zestawienia „okup stanowi zaledwie 20–25% całkowitych strat”, a reszta to przestój, odtworzenie systemów, obsługa prawna i utracone kontrakty. W przykładowej symulacji dla firmy zatrudniającej 25 osób łączna strata w pierwszym roku sięgnęła ponad pół miliona złotych. Zestaw to teraz z kilkutysięczną składką i kalkulacja zaczyna się sama bronić.
| Pozycja | Polisa cyber (rocznie) | Atak bez polisy (jednorazowo) |
|---|---|---|
| Mikrofirma | od kilkuset zł | dziesiątki tys. zł i więcej |
| Mała / średnia firma | kilka–kilkanaście tys. zł | nawet kilkaset tys. zł + |
| Co dostajesz | reagowanie, odzysk, obsługa RODO | przestój, kary, utrata klientów |
Widełki są oczywiście poglądowe i zależą od konkretnego OWU oraz oferty, ale kierunek jest raczej czytelny.
A gdzie jest haczyk?
No właśnie, bo haczyk jest… i to całkiem konkretny. Ubezpieczyciel nie da ci ochrony za darmo, jeśli sam nie zrobisz minimum. W praktyce coraz częściej warunkiem wypłaty jest posiadanie podstawowych zabezpieczeń: regularnych kopii zapasowych, uwierzytelniania dwuskładnikowego (MFA) i sensownej ochrony stacji roboczych. Brak tych rzeczy potrafi oznaczać, że po szkodzie usłyszysz „niestety, nie spełniono warunków umowy” i zostajesz z problemem sam.
Druga pułapka to wyłączenia. Część polis nie obejmuje okupu, strat czysto reputacyjnych ani kosztów ulepszenia infrastruktury po ataku (bo to już inwestycja, a nie naprawa szkody). Dlatego zanim podpiszesz, przeczytaj OWU pod kątem trzech rzeczy: co dokładnie jest objęte, jakie są limity i podlimity oraz czego musisz dopilnować po swojej stronie, żeby ochrona w ogóle zadziałała.
Moim zdaniem najgorszy scenariusz to firma, która kupuje polisę i traktuje ją jak alibi do olania bezpieczeństwa. To nie działa w tę stronę. Ubezpieczenie jest siatką bezpieczeństwa, a nie zamiennikiem backupu i zdrowego rozsądku przy klikaniu w linki.
Czy małej firmie to się w ogóle opłaca?
Tak naprawdę odpowiedź zależy od tego, ile danych przetwarzasz i jak bardzo firma staje, gdy padnie system. Sklep internetowy, biuro rachunkowe, gabinet medyczny czy kancelaria, które trzymają dane klientów, mają zupełnie inny profil ryzyka niż jednoosobowy warsztat działający głównie offline. Im więcej cyfrowych danych i im dłuższy potencjalny przestój, tym bardziej polisa się broni.
Jest też wątek, o którym łatwo zapomnieć: kontrakty B2B. Coraz więcej większych firm wymaga od podwykonawców posiadania ubezpieczenia cyber, zanim w ogóle podpisze umowę. W tym sensie polisa bywa nie tylko ochroną, ale i taką przepustką do współpracy.
No dobra, co z tym zrobić w praktyce?
Zacznij od rzeczy, które nic nie kosztują albo prawie nic: włącz MFA wszędzie, gdzie się da, ustaw automatyczne kopie zapasowe i sprawdź, czy faktycznie da się z nich odtworzyć dane (backup, którego nikt nigdy nie testował, to często złudzenie). Dopiero z takim minimum idź po wycenę, bo i taniej, i realnie liczysz na wypłatę.
No i potem zbierz dwie albo trzy oferty i porównaj nie ceny, tylko zakres: limity, wyłączenia, czy jest reagowanie na incydent i obsługa RODO. To jest treść informacyjna, a nie oferta ani porada ubezpieczeniowa, więc przed decyzją porównaj warianty u kilku ubezpieczycieli i, jeśli czujesz się niepewnie, pogadaj z agentem albo brokerem, który dopasuje sumę i zakres do twojej branży.
I pytanie na koniec, które warto sobie zadać już dziś: gdyby jutro ktoś zaszyfrował wszystkie twoje firmowe pliki, ile dni przetrwałaby firma… i kto pokryłby rachunek za powrót do działania?
Najczęstsze pytania
Co to jest ubezpieczenie cybernetyczne?
To polisa chroniąca firmę przed skutkami ataków hakerskich, wycieku danych i awarii IT. Pokrywa m.in. koszty odzyskania danych, przestoju, okup oraz odpowiedzialność wobec klientów.
Ile kosztuje ubezpieczenie cybernetyczne dla małej firmy?
Składka dla mikro i małej firmy zaczyna się zwykle od kilkuset złotych rocznie. Cena zależy od sumy ubezpieczenia, branży, obrotów oraz zakresu ochrony i poziomu zabezpieczeń IT.
Przed czym chroni polisa cyber?
Chroni przed skutkami ransomware, phishingu, wycieku danych osobowych i włamań do systemów. Obejmuje koszty informatyków, przerwy w działalności, kary RODO oraz roszczenia poszkodowanych.
Czy mała firma potrzebuje ubezpieczenia cybernetycznego?
Tak, bo to właśnie małe firmy są częstym celem ataków przez słabsze zabezpieczenia. Jeśli przetwarzasz dane klientów, prowadzisz sprzedaż online lub fakturujesz cyfrowo, polisa realnie ogranicza ryzyko.
Co obejmuje ubezpieczenie cyber?
Zakres zwykle dzieli się na koszty własne firmy (odzyskanie danych, przestój, śledztwo IT) i odpowiedzialność cywilną wobec osób trzecich. Dobre polisy zawierają też wsparcie ekspertów 24/7 po incydencie.
Czy ubezpieczenie cybernetyczne pokrywa okup za ransomware?
Wiele polis obejmuje koszt okupu, ale często z limitem i warunkami, np. zgłoszeniem incydentu i zgodą ubezpieczyciela. Zawsze sprawdź wyłączenia i wymagane zabezpieczenia w OWU.
Źródła
- Raport Roczny Cyberbezpieczeństwa CSIRT KNF (Komisja Nadzoru Finansowego)
- CSIRT KNF podsumował cyberbezpieczeństwo na rynku finansowym w 2025 roku — bank.pl
- Artykuł 33 RODO — zgłaszanie naruszenia ochrony danych organowi nadzorczemu (gdpr.pl)
- Ile kosztuje atak ransomware? Prawdziwe koszty dla małej i średniej firmy — DSX
Przeczytaj też
Ubezpieczenie transportu i towaru (cargo) — kiedy konieczne
Wyobraź sobie: naczepa pełna elektroniki, towar za jakieś trzysta tysięcy złotych, i w nocy wpada w poślizg na oblodzonej obwodnicy.…
Ubezpieczenie OC członków zarządu (D&O) — podstawy
Wracasz wieczorem z pracy i myślisz sobie, że firma to firma, a ty to ty — dwa osobne światy. No…
Ubezpieczenie utraty zysku (BI) — dla kogo ma sens
Wyobraź sobie taki scenariusz: jest noc, pali się hala produkcyjna. Maszyny? No dobra, te odtworzysz, od tego masz przecież polisę…