MŚP ma jeden problem, którego duże firmy nie mają: nikt nie ma czasu na bezpieczeństwo. Właściciel 10-osobowej firmy nie ma działu IT. Często nie ma jednej osoby, która wie, czym jest VPN. I to jest właściwy punkt startowy - nie lista zagrożeń, tylko co zrobić w przyszłą środę rano.

43%
ataków cybernetycznych celuje w małe i średnie firmy
CERT Polska, 2025
60%
małych firm zamyka działalność w ciągu 6 miesięcy od poważnego incydentu
Verizon DBIR, 2024
200 zł
miesięcznie wystarczy na sensowną ochronę firmy do 10 osób
szacowanie własne

Zanim kupisz cokolwiek - trzy darmowe kroki

Zanim wydasz złotówkę, zrób trzy rzeczy. Każda zajmuje mniej niż godzinę i każda robi więcej niż niejeden płatny produkt.

  1. Włącz uwierzytelnianie dwuskładnikowe wszędzie. Poczta firmowa, chmura (Google Workspace, Microsoft 365), bankowość, panel hostingowy. 90% włamań na konta firmowe to skradzione hasła - dwuskładnikowe uwierzytelnienie blokuje atak nawet gdy hasło wycieknie. Aplikacja Google Authenticator lub Microsoft Authenticator jest darmowa.
  2. Sprawdź kopie zapasowe. Nie "prawie na pewno masz", tylko faktycznie otwórz plik z kopii i sprawdź, czy się odtwarza. Ransomware atakuje polskie firmy kilkaset razy dziennie. Firmy ze sprawdzonymi kopiami wychodzą z ataku w ciągu godzin. Bez kopii płacą okup albo tracą dane.
  3. Zaktualizuj system i aplikacje. Większość ataków wykorzystuje znane luki, na które łatki istniały od miesięcy. Windows Update, aktualizacje przeglądarek, aktualizacje oprogramowania biurowego - to nie irytujące przerwy, to zamykanie drzwi.
Efekt tych trzech kroków Eliminujesz większość ataków oportunistycznych - tych, które nie celują konkretnie w twoją firmę, tylko szukają łatwego celu. A takie stanowią ponad 80% incydentów w MŚP.

Co kupić i w jakiej kolejności

Jeśli masz budżet, oto kolejność, która ma sens dla firmy do 50 osób. Nie zaczynaj od antywirusa - zaczynaj od haseł.

1. Menedżer haseł dla całego zespołu

Każdy w firmie używa haseł. Statystycznie większość używa tego samego hasła w kilku miejscach albo trzyma je w Excelu na udostępnionym dysku. Menedżer haseł rozwiązuje ten problem raz i na zawsze.

1Password Business

Nasz wybór

Prosty interfejs, dobra aplikacja mobilna, wbudowane raportowanie (widać, którzy pracownicy mają słabe hasła). Integruje się z Google Workspace i Microsoft 365.

Cena: ok. 35 zł / użytkownik / miesiąc

Bitwarden Business

Budżetowa alternatywa

Open source, tańszy, działa dobrze. Mniej dopracowany interfejs niż 1Password, ale spełnia swoje zadanie. Wersja darmowa dla małych zespołów jest naprawdę darmowa.

Cena: ok. 15 zł / użytkownik / miesiąc

2. Antywirus klasy biznesowej

Nie dlatego, że antywirus jest mniej ważny niż menedżer haseł. Tylko dlatego, że menedżer haseł załatwia więcej wektorów ataku przy niższym koszcie. Antywirus to drugi krok, nie pierwszy.

Główna różnica między wersją domową a biznesową: scentralizowane zarządzanie. Administrator widzi stan ochrony wszystkich urządzeń z jednego miejsca i dostaje alert, gdy coś jest nie tak. W firmie 10-osobowej to sprawdzanie jednego panelu zamiast zaglądania na każdy komputer osobno.

Bitdefender GravityZone Business Security

Wysoka wykrywalność

Najwyższe wyniki w testach AV-TEST od kilku lat z rzędu. Lekki dla systemu, panel zarządzania działa w przeglądarce. Dobry wybór jeśli chcesz "zainstalować i zapomnieć".

Cena: ok. 20-30 zł / urządzenie / miesiąc (zależy od liczby stanowisk)

ESET PROTECT Essential

Polska obsługa

Słowacka firma, polska obsługa techniczna i dokumentacja. Trochę bardziej rozbudowane opcje konfiguracji niż Bitdefender - plus dla tych, którzy chcą mieć kontrolę nad detalami. Minus dla tych, którzy chcą prostoty.

Cena: ok. 25 zł / urządzenie / miesiąc

3. VPN - tylko jeśli pracownicy łączą się z publicznych sieci

VPN jest potrzebny konkretnie wtedy, gdy pracownicy łączą się z firmowymi zasobami przez sieci publiczne - kawiarnie, hotele, lotniska. Jeśli wszyscy pracują z domu lub z biura, VPN jest opcjonalny.

NordLayer

Łatwa konfiguracja

Biznesowa wersja NordVPN. Nie wymaga specjalistycznej wiedzy IT - pracownik instaluje aplikację i łączy się. Administrator zarządza dostępem przez panel webowy. Obsługuje do kilkudziesięciu osób bez osobnego serwera.

Cena: ok. 25-40 zł / użytkownik / miesiąc

Szkolenia - najtańsza ochrona, której nikt nie robi

Phishing odpowiada za ponad 40% incydentów w polskich firmach według danych CERT Polska. Żadne oprogramowanie nie zastąpi pracownika, który po prostu wie, jak wygląda fałszywy mail.

Szkolenie nie musi trwać dnia. Wystarczy 30-minutowa rozmowa o konkretnych przykładach - jakie ataki trafiają do firm podobnych do waszej, jak wygląda fałszywa faktura od "dostawcy", co zrobić gdy ktoś już kliknął podejrzany link.

Bezpłatne zasoby CERT Polska udostępnia materiały szkoleniowe na cert.pl. Google prowadzi bezpłatny kurs "Bezpieczeństwo online" dostępny po polsku. Jedno lub drugie wystarczy na start - nie musisz zatrudniać zewnętrznego szkoleniowca.
Uwaga na pozorne szkolenia Jednogodzinne webinary z certyfikatem robią złudzenie, że "zrobiliśmy szkolenie". Pracownicy zapominają 80% materiału po tygodniu. Skuteczniejsze są krótkie, regularne przypomnienia - raz w miesiącu jedno konkretne zdarzenie z życia (atak na podobną firmę, nowa metoda oszustwa).

Ile to kosztuje - konkretne liczby

Firma 10-osobowa, wszyscy pracują na laptopach, część łączy się przez kawiarniany wi-fi:

Narzędzie Dostawca Koszt / miesiąc
Menedżer haseł Bitwarden Business (10 os.) 150 zł
Antywirus biznesowy Bitdefender GravityZone (10 urządzeń) 200 zł
VPN NordLayer (5 os. pracujących zdalnie) 175 zł
Razem ~525 zł

To mniej niż mandat za złe parkowanie w centrum Wrocławia - i chroni coś, co dla firmy warte jest wielokrotnie więcej.

Jeśli budżet jest napięty, zacznij od menedżera haseł (Bitwarden ma darmową wersję dla małych zespołów) i dwuskładnikowego uwierzytelnienia wszędzie. To daje 80% ochrony za 0 złotych.

Co z certyfikatami i zgodnością?

Jeśli obsługujesz dane osobowe klientów (a prawie każda firma tak), RODO nakłada na ciebie obowiązek stosowania "odpowiednich środków technicznych i organizacyjnych". W praktyce oznacza to mniej więcej to, co opisaliśmy wyżej: hasła, kopie zapasowe, aktualizacje, szyfrowanie dysków.

Nie musisz certyfikować się w ISO 27001 ani wdrażać ISMS. Te certyfikaty mają sens przy przetargach z dużymi klientami. Dla typowego MŚP wystarczy dokumentacja tego, co robisz - polityka haseł, plan reagowania na incydenty, rejestr przetwarzania danych. To kilka stron tekstu, nie projekt wielomiesięczny.

Darmowy punkt startowy UODO (Urząd Ochrony Danych Osobowych) udostępnia na swojej stronie wzory dokumentacji RODO dla małych firm. Wystarczy wypełnić szablony - nie trzeba pisać od zera.

Powiązane artykuły

Zagrożenia

Phishing w polskich firmach - jak się bronić w 2026?

Jak rozpoznać fałszywy mail od InPostu i co zrobić gdy już klikniesz.
Oprogramowanie

Antywirus vs Internet Security vs Total Security
Ranking

Ranking menedżerów haseł 2026

Za co płacisz i który wariant wystarczy w 2026 roku.