Budżet cyberbezpieczeństwa
Baza wiedzy
Ile kosztuje program cyberbezpieczeństwa
Bezpieczeństwo organizacji

Ile kosztuje program cyberbezpieczeństwa

Rzeczywisty koszt programu cyberbezpieczeństwa składa się z sześciu obszarów: ludzie, narzędzia, audyty, szkolenia, reakcja na incydenty i zgodność regulacyjna. Większość organizacji zna tylko część tych kosztów, bo reszta jest rozproszona po budżetach HR, działu prawnego i CFO. Według Gartner firmy przeznaczają na bezpieczeństwo 8-12% budżetu IT, a polskie badania (Xopero Software) pokazują, że 77% firm w Polsce wydaje poniżej 50 tys. PLN rocznie.

www.sisoft.pl/baza-wiedzy/ile-kosztuje-program-cyberbezpieczenstwa
Grzegorz Surdyka
30.3.2026
14
min czytania

Spis treści

    Kiedy zaczynamy pracę z nową organizacją, jedno z pierwszych pytań brzmi: ile wydajecie na bezpieczeństwo? Odpowiedź to zazwyczaj kwota z budżetu IT, najczęściej licencje na oprogramowanie ochronne i roczny test penetracyjny. Suma wygląda na rozsądną. Problem w tym, że to ułamek rzeczywistych kosztów.

    Szkolenia pracowników rozlicza HR. Obsługę prawną incydentów pokrywa dział prawny. Audyty compliance idą z budżetu CFO. Czas, który zespół IT poświęca na reagowanie na alerty, zarządzanie dostępami i przeglądy konfiguracji, nie jest nigdzie wyodrębniony. Badanie McKinsey wskazuje, że blisko 15% korporacyjnych wydatków na cyberbezpieczeństwo pochodzi spoza biura CISO, a ta część rośnie szybciej niż budżet centralny.

    Kiedy zbierzemy te rozproszone pozycje w jedno miejsce, suma jest dwu- lub trzykrotnie wyższa niż to, co organizacja nazywa „budżetem na security". Ten artykuł pokazuje, z czego składa się rzeczywisty budżet programu bezpieczeństwa, jak polskie organizacje wypadają na tle benchmarków i jak krok po kroku policzyć własne wydatki.

    Sześć składników budżetu bezpieczeństwa

    Program cyberbezpieczeństwa to coś więcej niż oprogramowanie. Poniżej sześć obszarów, z których każdy generuje koszty. Jeśli któryś nie pojawia się w budżecie, nie oznacza to, że organizacja go nie ponosi. Oznacza, że nikt go nie mierzy.

    1. Ludzie

    Wynagrodzenia zespołu bezpieczeństwa (o ile istnieje), koszty rekrutacji, certyfikacje specjalistów. Według ISACA tylko 11% liderów bezpieczeństwa uważa, że ma wystarczający zespół. W organizacjach bez dedykowanego zespołu zadania bezpieczeństwa rozkładają się na dział IT i ich koszt staje się niewidoczny. Żeby go wydobyć, trzeba oszacować, ile godzin miesięcznie IT poświęca na zarządzanie dostępami, reagowanie na alerty, przeglądy konfiguracji i obsługę zapytań compliance.

    2. Narzędzia i licencje

    Oprogramowanie ochronne (EDR, SIEM, firewall, DLP, skanery podatności), zarządzanie tożsamością i dostępem (IAM), narzędzia do backupu i odtwarzania. To najłatwiejszy do zmierzenia składnik, bo generuje faktury. Według danych rynkowych oprogramowanie stanowi ok. 40% budżetu cyberbezpieczeństwa w dojrzałych programach. W organizacjach na wcześniejszym etapie ten udział bywa niższy, bo firma kupuje pojedyncze narzędzia zamiast budować zintegrowany stos.

    3. Audyty i testy

    Testy penetracyjne, audyty zgodności, przeglądy konfiguracji, ocena dojrzałości programu. Organizacja dążąca do certyfikacji ISO 27001 ponosi koszty audytów certyfikujących i nadzorczych w cyklu trzyletnim: audyt certyfikujący w pierwszym roku, audyty nadzorcze w drugim i trzecim, recertyfikacja w czwartym. Ta pozycja pojawia się nieregularnie i przez to łatwo ją pominąć w rocznym planowaniu.

    4. Szkolenia pracowników

    Programy awareness, symulacje phishingowe, szkolenia przy onboardingu. W organizacji liczącej 200 osób roczny program szkoleniowy kosztuje od kilkunastu do kilkudziesięciu tysięcy złotych, w zależności od formy (platforma e-learningowa, warsztaty, zewnętrzny dostawca). Ten koszt ponosi HR lub dział szkoleń, nie IT, więc w budżecie na „bezpieczeństwo" go nie widać.

    5. Reakcja na incydenty

    Procedury reagowania, retainer na zewnętrzny zespół incident response, obsługa prawna, komunikacja kryzysowa, powiadomienia regulatorów i osób, których dane dotyczą, ubezpieczenie cyber. W normalnym roku to koszt utrzymania gotowości. W roku incydentu potrafi przekroczyć cały roczny budżet na bezpieczeństwo. Połowa polskich firm nie posiada planu ciągłości działania i procedur reagowania na incydenty (Xopero Software), co oznacza, że ten koszt pojawi się, ale bez przygotowania i kontroli.

    6. Zgodność regulacyjna

    Wdrożenie wymagań KSC2 (NIS2), DORA, CRA, ISO 27001, TISAX. Każda regulacja wymaga analizy luk, dostosowania procesów, dokumentacji i bieżącego utrzymania. Organizacje objęte kilkoma ramami jednocześnie muszą koordynować prace, żeby nie ponosić kosztów podwójnie (wiele kontroli ISO 27001 pokrywa się z wymaganiami KSC2). Według Forrester 81% europejskich organizacji spodziewa się wzrostu budżetów na bezpieczeństwo, w znacznej mierze właśnie pod wpływem NIS2 i DORA.

    Gdzie szukać rozproszonych kosztów

    Większość organizacji nie ma jednej pozycji budżetowej „cyberbezpieczeństwo". Koszty siedzą w kilku miejscach jednocześnie. Poniższa tabela pokazuje, kogo zapytać i o co.


    Obszar kosztów Gdzie szukać Konkretnie co zbierać
    Ludzie IT, HR Wynagrodzenia zespołu security. Jeśli nie ma dedykowanego zespołu: ile godzin miesięcznie IT poświęca na zadania bezpieczeństwa, pomnożone przez stawkę wewnętrzną. Koszty rekrutacji i certyfikacji.
    Narzędzia IT Wszystkie licencje i subskrypcje z funkcją ochronną: EDR, SIEM, firewall, backup, IAM, skanery, MFA. Uwzględnij narzędzia wbudowane w pakiety (np. Defender w Microsoft 365), bo ich koszt jest ukryty w subskrypcji.
    Audyty i testy IT, CFO Faktury za testy penetracyjne, audyty certyfikujące i nadzorcze (ISO 27001, TISAX), przeglądy konfiguracji, oceny dojrzałości.
    Szkolenia HR, dział szkoleń Koszty platformy e-learningowej, zewnętrznych warsztatów, symulacji phishingowych, materiałów onboardingowych dotyczących bezpieczeństwa.
    Reakcja na incydenty IT, dział prawny, CFO Retainer na zespół IR, składka ubezpieczenia cyber, koszty obsługi prawnej incydentów z ostatnich 3 lat, koszty komunikacji kryzysowej (jeśli były).
    Zgodność regulacyjna CFO, dział prawny, IT Faktury za doradztwo przy wdrożeniu KSC2/NIS2, DORA, CRA. Czas wewnętrzny poświęcony na przygotowanie dokumentacji, odpowiadanie na zapytania regulatorów, wypełnianie ankiet dostawców.

    Częsty błąd: pomijanie czasu wewnętrznego. Organizacja, która nie ma zespołu bezpieczeństwa, nie wydaje „zero na ludzi". Wydaje czas zespołu IT, który zamiast rozwijać infrastrukturę, zarządza dostępami i reaguje na alerty. Ten czas ma konkretną wartość.

    Benchmarki rynkowe: ile wydają inni

    Kwoty bezwzględne różnią się w zależności od branży, skali i profilu ryzyka. Wskaźniki proporcjonalne pozwalają porównać się z rynkiem.


    Wskaźnik Wartość Źródło
    Udział w budżecie IT (większość sektorów) 8-12% Gartner, 2025
    Udział w budżecie IT (finanse, ochrona zdrowia) 10-15% Gartner, 2025
    Udział w przychodach (mediana) 0,69% IANS / Artico Search, 2024-2025
    Wzrost globalnych wydatków (rok do roku) 12,5% Gartner, 2025-2026

    Typowy podział budżetu w dojrzałym programie: ok. 40% oprogramowanie i platformy, 30% ludzie, 15% sprzęt, 15% usługi zewnętrzne. W organizacjach na wcześniejszym etapie dojrzałości proporcje wyglądają inaczej: więcej idzie na usługi zewnętrzne i audyty, mniej na narzędzia, bo nie ma jeszcze komu nimi zarządzać.

    Udział wydatków na bezpieczeństwo w budżecie IT różni się między branżami, ale stabilizuje się wewnątrz sektorów niezależnie od wielkości organizacji. Firma produkcyjna zatrudniająca 300 osób i koncern z tej samej branży zatrudniający 3000 osób wydają zbliżony procent budżetu IT na bezpieczeństwo. Dlatego benchmark sektorowy jest bardziej użyteczny niż średnia ogólnorynkowa.

    Polskie organizacje na tle rynku

    Polskie dane pokazują dwa zjawiska jednocześnie. Na poziomie rynku wydatki rosną: według IDC dynamika przekracza 15% rok do roku, szybciej niż w krajach Europy Zachodniej. Rząd przeznaczył 3,1 mld PLN na cyberbezpieczeństwo w sferze cywilnej w 2025 roku.

    Na poziomie pojedynczych firm obraz wygląda inaczej. Raport Xopero Software, oparty na badaniu 420 firm, pokazuje następujący rozkład:


    Roczne wydatki na zabezpieczenia IT Odsetek firm
    Poniżej 10 tys. PLN 37%
    10-50 tys. PLN 40%
    50-200 tys. PLN 13%
    Powyżej 200 tys. PLN 10%

    52% badanych firm nie planuje zwiększania wydatków na cyberbezpieczeństwo, mimo że co piąta z nich doświadczyła incydentu w ostatnim roku. 51% polega na samym oprogramowaniu antywirusowym jako głównej formie ochrony.

    Te liczby trzeba czytać z jednym zastrzeżeniem: dotyczą deklarowanych wydatków na „zabezpieczenia IT", czyli najczęściej tej jednej widocznej pozycji budżetowej. Rzeczywiste koszty, po uwzględnieniu rozproszonych pozycji opisanych wyżej, są wyższe. Firma deklarująca 30 tys. PLN rocznych wydatków na „security" może w rzeczywistości wydawać 80-100 tys. PLN, jeśli policzy czas IT poświęcony na bezpieczeństwo, szkolenia i obsługę prawną.

    Dowiedz się więcej o bezpieczeństwie w Twojej organizacji

    Jeśli nie masz jednego, spójnego obrazu kosztów cyberbezpieczeństwa, trudno ocenić, czy budżet naprawdę chroni to, co najważniejsze dla organizacji.

    Umów konsultację

    Jak policzyć budżet krok po kroku

    Zamiast zaczynać od pytania „ile powinniśmy wydawać", lepiej zacząć od pytania „ile wydajemy i na co". Pięć kroków do zebrania pełnego obrazu.

    Krok 1.
    Koszty widoczne

    Zsumuj wszystkie pozycje z budżetu IT, które mają funkcję ochronną: licencje EDR, SIEM, firewall, backup, IAM, skanery podatności, MFA. Nie pomijaj narzędzi wbudowanych w szersze pakiety (np. funkcje bezpieczeństwa w Microsoft 365 E5 lub Google Workspace Enterprise).

    Krok 2.
    Koszty rozproszone

    Poproś HR o łączny koszt szkoleń z obszaru bezpieczeństwa (awareness, phishing, onboarding). Poproś dział prawny o koszty obsługi incydentów i przeglądów umów z klauzulami dotyczącymi bezpieczeństwa danych. Poproś CFO o koszty audytów i certyfikacji (ISO 27001, TISAX, audyty dostawców).

    Krok 3.
    Ukryty czas

    Oszacuj, ile godzin miesięcznie zespół IT poświęca na zadania bezpieczeństwa: zarządzanie dostępami, reagowanie na alerty, przeglądy konfiguracji, obsługa zapytań compliance od klientów i partnerów, wypełnianie ankiet bezpieczeństwa dostawców. Pomnóż przez wewnętrzną stawkę godzinową. W organizacji bez dedykowanego zespołu security ta pozycja bywa największą częścią ukrytego budżetu.

    Krok 4.
    Porównanie z benchmarkami

    Zestawienie sumy z kroków 1-3 z benchmarkiem sektorowym (8-12% budżetu IT lub 0,5-0,7% przychodów). Wynik pokaże, czy organizacja odbiega od normy w swojej branży, i czy to odchylenie wynika ze świadomej decyzji, czy z przypadku.

    Krok 5.
    Zestawienie z profilem ryzyka

    Sprawdź, czy wydatki adresują największe ryzyka biznesowe. Organizacja może wydawać 12% budżetu IT na bezpieczeństwo, ale jeśli 80% kwoty idzie na ochronę infrastruktury sieciowej, a największe ryzyko leży w łańcuchu dostaw lub w danych klientów, to alokacja nie odpowiada rzeczywistemu profilowi ryzyka. Budżet jest wystarczający co do kwoty, ale źle rozłożony.

    Celem tego ćwiczenia nie jest zwiększenie budżetu. Celem jest świadomość: ile organizacja wydaje, na co i czy te wydatki chronią to, co dla firmy najważniejsze. Niekiedy wniosek prowadzi do przesunięcia środków, nie do ich zwiększenia.

    Czy wydajemy na właściwe rzeczy

    Znajomość łącznej kwoty to dopiero początek. Ważniejsze pytanie brzmi: czy pieniądze idą we właściwe miejsca.

    Typowy wzorzec w organizacjach na wczesnym etapie dojrzałości: większość budżetu pochłaniają narzędzia ochronne (firewall, antywirus, backup), bo to najbardziej namacalna kategoria wydatków. Jednocześnie organizacja nie ma procedur reagowania na incydenty, nie prowadzi programu awareness i nie wie, czy narzędzia, które kupiła, są prawidłowo skonfigurowane.

    Inny wzorzec: organizacja inwestuje w certyfikację ISO 27001, poświęcając większość budżetu na audyty i dokumentację, ale nie buduje zdolności operacyjnych, które certyfikacja ma potwierdzać. Audytor nadzorczy zauważy tę rozbieżność najdalej przy pierwszym audycie nadzorczym, dwanaście miesięcy po certyfikacji.

    Dobrze skonstruowany budżet odpowiada na trzy pytania: co chronimy (krytyczne aktywa i procesy), przed czym chronimy (realistyczna ocena zagrożeń dla naszej branży i skali), i co się stanie, jeśli ochrona zawiedzie (gotowość operacyjna do reagowania).

    Rola vCISO w porządkowaniu budżetu

    Organizacje bez etatowego CISO zazwyczaj nie mają nikogo, kto patrzy na bezpieczeństwo z perspektywy programowej. Poszczególne osoby odpowiadają za poszczególne narzędzia lub procesy, ale nikt nie widzi pełnego obrazu kosztów i nie potrafi go przedstawić zarządowi.

    vCISO (Virtual CISO) wnosi tę perspektywę. Jednym z pierwszych zadań jest przejście przez kroki 1-5 opisane wyżej: zebranie rozproszonych pozycji, oszacowanie ukrytego czasu, porównanie z benchmarkami sektorowymi i zestawienie z profilem ryzyka. Na tej podstawie powstaje argumentacja budżetowa w języku, który rozumie zarząd: koszt przestoju, koszt utraty kontraktu, koszt regulacyjny.

    vCISO ma dodatkową przewagę wynikającą z pracy z wieloma organizacjami: potrafi porównać strukturę kosztów z tym, co widzi w firmach o podobnym profilu i skali. To kontekst, którego organizacja pracująca w izolacji nie ma.

    Więcej o modelu vCISO: Czym jest vCISO, komu jest potrzebny i kiedy ma sens.

    Kluczowe wnioski

    1. Rzeczywisty budżet jest 2-3× wyższy niż widoczny. Koszty bezpieczeństwa są rozproszone po budżetach IT, HR, działu prawnego i CFO. Bez celowego zebrania tych pozycji organizacja widzi ułamek faktycznych wydatków.
    2. 77% polskich firm wydaje poniżej 50 tys. PLN rocznie na deklarowane zabezpieczenia IT. To jedne z najniższych kwot w Europie, mimo dynamiki wzrostu powyżej 15% rok do roku na poziomie rynku.
    3. Kwota ma mniejsze znaczenie niż alokacja. Budżet adekwatny co do wartości, ale skierowany na niewłaściwe ryzyka, nie chroni organizacji. Pierwszym krokiem jest zmapowanie wydatków na profil ryzyka, nie zwiększanie kwoty.
    4. Benchmark sektorowy jest ważniejszy niż średnia rynkowa. Udział bezpieczeństwa w budżecie IT stabilizuje się wewnątrz branż niezależnie od skali organizacji. Norma to 8-12% budżetu IT, 10-15% w sektorach regulowanych.
    5. vCISO porządkuje obraz kosztów jako jedno z pierwszych zadań — zbiera rozproszone pozycje, porównuje z benchmarkami i buduje argumentację budżetową zrozumiałą dla zarządu.

    Najczęściej zadawane pytania

    Ile trwa wdrożenie ISO/SAE 21434?

    Według Gartner od 8 do 12% budżetu IT, a w sektorach regulowanych 10-15%. W przeliczeniu na przychody mediana wynosi 0,69% (IANS/Artico Search, 2024-2025).

    Z czego składa się budżet na cyberbezpieczeństwo?

    Sześć obszarów: ludzie, narzędzia i licencje (EDR, SIEM, firewall, IAM), audyty i testy penetracyjne, szkolenia pracowników, reakcja na incydenty oraz zgodność regulacyjna (KSC2/NIS2, DORA, CRA).

    Dlaczego firmy nie znają swoich rzeczywistych wydatków na bezpieczeństwo?

    Koszty są rozproszone: IT pokrywa licencje, HR szkolenia, dział prawny incydenty, CFO audyty. Blisko 15% wydatków na cyberbezpieczeństwo pochodzi spoza biura CISO (McKinsey).

    Ile polskie firmy wydają na cyberbezpieczeństwo?

    37% polskich firm wydaje poniżej 10 tys. PLN rocznie, 40% mieści się w przedziale 10-50 tys. PLN, a tylko 10% wydaje powyżej 200 tys. PLN (Xopero Software, badanie 420 firm).

    Ile kosztuje wdrożenie ISO 27001?

    Koszt zależy od wielkości organizacji i stanu wyjściowego. Obejmuje przygotowanie (analiza luk, dokumentacja, wdrożenie kontroli), audyt certyfikujący oraz utrzymanie (audyty nadzorcze, recertyfikacja co 3 lata). Proces trwa od 6 do 18 miesięcy.

    Jak uzasadnić budżet na cyberbezpieczeństwo przed zarządem?

    Cztery argumenty: koszt przestoju operacyjnego, koszt utraty kontraktu z powodu braku certyfikacji, koszt regulacyjny (kary KSC2/DORA) i koszt reakcji na incydent bez przygotowania.

    Czy vCISO pomoże uporządkować budżet na bezpieczeństwo?

    Tak. vCISO zbiera rozproszone koszty, porównuje z benchmarkami sektorowymi i buduje argumentację budżetową zrozumiałą dla zarządu, wnosząc kontekst z wielu organizacji o podobnym profilu.

    Jaki jest typowy podział budżetu cyberbezpieczeństwa?

    W dojrzałym programie: ok. 40% oprogramowanie, 30% ludzie, 15% sprzęt, 15% usługi zewnętrzne. Na wcześniejszym etapie dojrzałości więcej idzie na usługi zewnętrzne i audyty.

    Bądźmy w kontakcie

    Chcesz porozmawiać o cyberbezpieczeństwie w Twojej organizacji i wspólnych możliwościach? Wypełnij formularz poniżej lub skontaktuj się z nami bezpośrednio.

    +48 12 44 66 844
    kontakt@sisoft.pl
    Odpowiemy szybciej niż się spodziewasz.
    Formularz został wysłany, wkrótce się odezwiemy :)
    Upss! Coś poszło nie tak, sprawdź wszystkie pola i spróbuj ponownie.

    Co jeszcze warto wiedzieć na temat cyberbezpieczeństwa?

    Bezpieczeństwo organizacji

    Jak wygląda współpraca z vCISO w praktyce

    Od diagnozy stanu zastanego po utrzymanie programu bezpieczeństwa. Co vCISO robi w pierwszych miesiącach, jak ustala priorytety i dlaczego certyfikat to początek, nie koniec.
    Grzegorz Surdyka
    3/23/2026
    14
    min czytania
    Bezpieczeństwo organizacji

    vCISO: czym jest, komu potrzebny i kiedy ma sens

    Od decyzji zarządu po codzienną współpracę z zespołem bezpieczeństwa. Przewodnik po modelu wirtualnego CISO w Polsce.
    Grzegorz Surdyka
    3/9/2026
    12
    min czytania
    Bezpieczeństwo organizacji

    Rok po wejściu UNECE R155. Co naprawdę zmieniło się w cyberbezpieczeństwie motoryzacyjnym

    Analiza skutków regulaminu UNECE R155 po roku obowiązywania: wycofane modele, efekt kaskadowy na dostawców, NIS2, ENX VCS, ASPICE for Cybersecurity 2.0 i krajobraz regulacyjny.
    Grzegorz Surdyka
    2/25/2026
    10
    min czytania
    Zobacz więcej