- sponsorowane
- WIADOMOŚCI
SIEM to dopiero początek. Raport pokazuje luki w polskim cyberbezpieczeństwie
Autor. Canva
Polskie organizacje coraz mocniej inwestują w SIEM – 45,8% badanych firm już go posiada, a kolejne 32,5% planuje wdrożenie. Jednak samo posiadanie narzędzia to dopiero początek drogi. Jak wynika z najnowszego raportu Trecom i Splunk „SIEM 2026”, kluczowym wyzwaniem dla rodzimego rynku pozostaje dojrzałość operacyjna. Brak całodobowego monitoringu SOC, nieuporządkowana centralizacja logów oraz niedobór specjalistów sprawiają, że zaawansowane systemy często nie wykorzystują swojego pełnego potencjału, pozostawiając firmy w złudnym poczuciu bezpieczeństwa wobec nadchodzących wymogów dyrektywy NIS2.
Materiał sponsorowany
Czasem cyberatak zaczyna się po cichu: ktoś uzyskuje dostęp do skrzynki mailowej pracownika, ustawia automatyczne przekierowanie wiadomości i przez tygodnie lub miesiące czyta firmową korespondencję. Na naszych łamach opisywaliśmy przypadek polskiego przedsiębiorstwa, w którym wiadomości z trzech kont pracowników przez ok. miesiąc były automatycznie przekazywane na nieznany firmie adres pocztowy.
Dobrze działający SOC i właściwie skonfigurowany SIEM, w takiej sytuacji poprawiają zdolność wcześniejszego wychwycenia nietypowych „ruchów”: logowania z nowej lokalizacji, zmiany reguł pocztowych czy podejrzanej aktywności na koncie – im szybciej takie sygnały zostaną połączone i przekazane analitykom, tym większa szansa, że incydent zostanie zatrzymany zanim przerodzi się w poważne naruszenie.
Właśnie temu przygląda się raport „SIEM 2026. Najważniejsze ustalenia o stanie polskiego rynku cyberbezpieczeństwa” przygotowany przez Trecom we współpracy ze Splunk. Badanie, zrealizowane przez BGR Quantic na próbie 1008 decydentów ds. cyberbezpieczeństwa z organizacji zatrudniających ponad 50 osób, pokazuje rynek, który z jednej strony coraz chętniej wdraża platformy SIEM, a z drugiej nadal mierzy się z bardziej operacyjnymi niż technologicznymi problemami.
Kluczowym wnioskiem nie jest brak narzędzi, lecz brak procesów.
Rafał Okun, inżynier ds. bezpieczeństwa IT
Coraz ważniejsze staje się też to, czy podmiot potrafi z niego korzystać: czy zbiera właściwe logi, rozwija reguły detekcji, zapewnia całodobowy monitoring, automatyzuje reakcję na incydenty, a do tego ma ludzi, którzy wiedzą, co zrobić, gdy alert okaże się początkiem realnego ataku.
Samo wdrożenie SIEM nie daje wartości
Autor. Raport Trecom & Splunk: SIEM 2026. Najważniejsze ustalenia o stanie polskiego rynku cyberbezpieczeństwa
Na pierwszy rzut oka polski rynek cyberbezpieczeństwa wygląda coraz dojrzalej: według badania Trecom niemal połowa (45,8%) badanych firm korzysta już z platform SIEM, a kolejne firmy planują jej wdrożenia w najbliższym roku.
Sama obecność narzędzia jeszcze jednak nie oznacza faktycznej zdolności do wykrywania i obsługi incydentów. 13,1% firm korzystających z SIEM deklaruje automatyzację procesów reagowania na incydenty powyżej 40%, co oznacza to, że wiele wdrożeń „zatrzymuje się” po stronie infrastruktury.
Największą różnicę robią fundamenty. Organizacje, które potrafią centralizować logi i korzystają z bardziej zaawansowanej analityki, oceniają swoją skuteczność detekcji znacznie wyżej (7,28/10) niż te, które takiej centralizacji nie mają (4,04/10), co pokazuje, że wartość SIEM bierze się jakości danych, które do niego trafiają, i z umiejętności ich interpretowania – bez tego system ten pozostaje kosztowną platformą do gromadzenia alertów.
Podobnie działa to w przypadku reguł detekcyjnych. Jeśli ta korzysta głównie z ustawień domyślnych, SIEM nie jest dostosowany do konkretnego środowiska i jego potrzeb. Z raportu wynika, że tylko 14,1% firm regularnie aktualizuje reguły, natomiast 28,1% opiera się na konfiguracji fabrycznej, ograniczając to możliwość precyzyjnego dostosowania detekcji.
Raport podkreśla też „ludzką” stronę SIEM – przeciążenie zespołów i braki kadrowe są wyzwaniem o którym mówi 59% badanych. SIEM bez automatyzacji, filtracji i dobrze ustawionych procesów może zwiększać chaos, gdyż już i tak ograniczone grono analityków musi się przedzierać się przez szum, opóźniając ich reakcje.
Według raportu więc, firmy osiągające skuteczność na poziomie 7/10 i wyżej to przede wszystkim te, które łączą SIEM z monitoringiem 24/7 i stałą inżynierią detekcji – wszystkie te warunki jednocześnie spełnia 11,3% badanych organizacji.
Fundamenty detekcji - centralizacja logów i inżynieria reguł
Skuteczna detekcja zaczyna się dużo wcześniej niż w momencie pojawienia się alertu. Najpierw organizacja musi wiedzieć, skąd zbiera dane, jakie systemy obejmuje i czy da się je połączyć w jeden obraz zdarzeń. Bez tego zespół bezpieczeństwa widzi raczej pojedyncze sygnały niż pełną historię incydentu – to centralizacja logów pozwala zobaczyć, realny scenariusz ataku (jeśli taki wystąpi).
Z raportu wynika, że ten fundament wciąż jest nierównomiernie rozwinięty. 18,1% organizacji nie centralizuje logów, 37,4% robi to częściowo, a 25,7% obejmuje tym procesem większość kluczowych systemów. Pełny poziom centralizacji – połączony z korelacją zdarzeń lub bardziej zaawansowaną analityką – osiąga łącznie 18,8% rynku. Ponad połowa firm działa więc w modelu, w którym dane bezpieczeństwa są rozproszone lub zbierane tylko fragmentarycznie.
Drugim filarem jest wspomniana już inżynieria reguł. Dzięki niej łatwiej odróżnić realny sygnał od szumu i wykrywać zarówno oczywiste incydenty, te bardziej skomplikowane jak uruchomienie Mimikatz czy koparki kryptowalut, jak i słabsze symptomy, np. serię nieudanych logowań na konto z potencjalnie ujawnionym hasłem.
Raport pokazuje też, że reguły wymagają stałego aktualizowania, co 21,6% firm robi nieregularnie, 27,3% sporadycznie, a 8,9% uznaje, że ten obszar ich nie dotyczy. Te organizacje, które systematycznie rozwijające detekcję, oceniają jej skuteczność na 6,56/10, wobec 4,53/10 przy regułach domyślnych.
Luka monitoringu 24/7
Stały monitoring bezpieczeństwa wciąż nie jest w Polsce standardem. Z raportu wynika, że spośród 1008 badanych firm (zatrudniających 50+ pracowników) tylko 39,2% ma SOC działający całodobowo. Jednocześnie 46,5% organizacji funkcjonuje w modelach niepełnych – z monitoringiem ograniczonym godzinowo, hybrydowym albo realizowanym przez zewnętrznego dostawcę bez trybu 24/7. Monitoring ad hoc deklaruje 26,6% badanych.
Najczęściej wybieranym modelem jest MSSP 24/7, z którego korzysta 29,8% firm. Wewnętrzny SOC pracujący całą dobę ma tylko 9,4% organizacji – głównie tych największych. W praktyce spośród 395 firm z ciągłym monitoringiem aż 300 (czyli 75,9%), opiera się na zewnętrznym dostawcy.
Ciągły monitoring nie jest elementem dojrzałości, lecz absolutnym minimum w realnym zarządzaniu bezpieczeństwem.
Michał Kaczmarek, SOC Manager, Trecom
Skala firmy również mocno wpływa na możliwości utrzymania całodobowego SOC. Ponad 60% firm których liczba pracowników przewyższa 1000 pracowników, takowy posiada. Jednak w segmencie 501-1000 wynik ten spada do 38,8%.
Różnice widać też między sektorami. Najlepiej wypadają energetyka i utilities (47,2%), ochrona zdrowia (46,3%) i finanse (43,3%). Administracja publiczna osiąga 38,1%, a przemysł tylko 29,9% – mimo że jest jednym z kluczowych sektorów objętych wymaganiami 2026 roku.
Luka monitoringu 24/7 wynika więc mniej z braku narzędzi, a bardziej z trudności w zapewnieniu stałej gotowości operacyjnej. Sposobem jest MSSP (Managed Security Service Provider), który daje firmom możliwość zapewnienia całodobowego nadzoru bez konieczności budowania pełnego SOC we własnej organizacji.
Zobacz też

Sektorowa mapa dojrzałości - ze szczególnym uwzględnieniem sektora publicznego i przemysłu
Dojrzałość cyberbezpieczeństwa w Polsce nie rozkłada się równomiernie między branżami – aby zbadać każdą z nich, tak jak w przypadku monitoringu, twórcy raportu podzielili rynek na kilka poziomów gotowości do NIS2.
Wysoką gotowość deklaruje:
- finanse i ubezpieczenia - 51,5% firm
- energetyka i utilities - 44,4% firm
- ochrona zdrowia - 40,2% firm
- IT i telekomunikacja - 32,1% firm
- transport i logistyka - 30,1% firm
- handel i e-commerce - 27,4% firm
Autor. Raport Trecom & Splunk: SIEM 2026. Najważniejsze ustalenia o stanie polskiego rynku cyberbezpieczeństwa
Sektor publiczny jest przykładem rozjazdu między posiadaniem narzędzi a realną dojrzałością organizacyjną. 44,2% urzędów deklaruje wdrożenie SIEM – jest to wynik zbliżony do średniej rynkowej. Nie przekłada się to jednak wprost na wysoką gotowość do NIS2. W administracji tylko 23,9% respondentów ocenia ją wysoko, a 37,2% lokuje się w najniższym przedziale. W raporcie uwidoczniły się też problemy z porządkiem procesowym: 29,2% urzędów wskazuje NIST jako stosowany standard, 23,0% ISO 27035, a 18,6% w ogóle nie potrafi powiedzieć, według jakich zasad działa ich organizacja.
To oznacza, że w tej kwestii wyzwaniem również nie jest brak technologii, a nieuporządkowany sposób pracy: brak klarowności co do tego kto odpowiada za incydent, według jakiej procedury jest on obsługiwany, jak dokumentuje się działania i jak mierzy gotowość.
SIEM jako proces, nie projekt – raz napisane i dostrojone reguły korelacyjne nigdy nie będą działać wiecznie. W dzisiejszym świecie, z ciągle rozwijającymi się nowymi technologiami nie ma miejsca na stanie w miejscu.
Marcin Kądzik, Security Engineer, Trecom
Jeszcze trudniejsza sytuacja dotyczy przemysłu, który będąc największym sektorem w próbie badania (197 firm), był też jednym z najmniej przygotowanych. 49,2% organizacji przemysłowych ocenia swoją gotowość NIS2 w najniższym przedziale – 24,4% w wysokim. SIEM ma 37,1% firm z tego sektora, a średnia liczba wdrożonych technologii bezpieczeństwa wynosi 4,15 z 12. Dla porównania, administracja publiczna osiąga 4,35, przy średniej rynkowej 4,49.
W tym przypadku problem ma dodatkowy ciężar regulacyjny – znaczna część firm produkcyjnych będzie traktowana jako podmioty ważne lub kluczowe (NIS2, zawyżając tym samym oczekiwania względem nich. Raport wskazuje, że to właśnie w przemyśle luka wdrożeniowa może być najbardziej odczuwalna w 2026 roku – nie dlatego, że przemysł nie inwestuje, ale dlatego, że startuje z niższego poziomu dojrzałości niż sektory silniej oswojone z regulacjami.
Automatyzacja i CTI - przepaść między deklaracją a praktyką
Automatyzacja w SOC nie zaczyna się też od wdrożenia SOAR (Security Orchestration, Automation and Response). Zaczyna się dopiero wtedy, gdy powtarzalne czynności (jak klasyfikacja alertu czy uruchomienie playbooka) dzieją się bez ręcznej pracy analityka. W polskich organizacjach różnica jest wyraźna: 42,6% firm deklaruje posiadanie SOAR, ale tylko 13,1% automatyzuje ponad 40% działań związanych z obsługą incydentów.
Nastąpiła daleko idąca automatyzacja w łańcuchu ataku na systemy, w tym wsparcie modelami językowymi. Podejście „kupimy SIEM i będziemy bezpieczni" w tym kontekście po prostu nie działa.
Aleksander Bronowski, GTM Manager
W większości organizacji automatyzacja procesów reagowania na incydenty pozostaje na bardzo wczesnym etapie – ponad połowa badanych (54,8%) nie robi tego wcale, a duża część pozostałych tylko w ograniczonym zakresie. Co istotne, nawet wśród firm, które mają SOAR, tylko 30,8% przekracza próg 40% automatyzacji.
Podobna luka dotyczy CTI (cyber threat intelligence) – wywiadu o zagrożeniach. W teorii powinno ono pomagać zespołom bezpieczeństwa szybciej rozumieć, z czym mają do czynienia: czy dany adres IP, domena, plik albo sposób działania pasuje do znanej kampanii lub grupy atakujących. W praktyce tylko 11,4% firm korzysta z CTI regularnie i automatycznie, integrując dane z platformami bezpieczeństwa. Pozostałe organizacje używają ich ręcznie i okazjonalnie (23,1%), dopiero planują wdrożenie (22,9%) albo nie korzystają z nich wcale (24,9%).
W tym przypadku również znaczącą rolę gra skali firmy. W najmniejszych organizacjach automatyczne feedy CTI są rzadkością – korzysta z nich kilka procent firm. W największych ten odsetek rośnie do 35%, czyli jest ponad siedmiokrotnie wyższy. Oznacza to, że dostęp do kontekstu o zagrożeniach nadal częściej mają duże organizacje z bardziej rozwiniętymi zespołami i procesami.
Wyzwania i predykcje
Najczęściej wskazywane w raporcie Trecom bariery rozwoju zdolności reagowania na incydenty to braki kadrowe stanowiące 27,8% wszystkich przypadków i ograniczenia finansowe – 25,7%. Wskazuje on także na mniej widoczne, ale równie istotne problemy: brak dojrzałych procesów (12,8%), nadmiar alertów (11,1%), a trudności z integracją narzędzi (8,3%).
Raport pokazuje też, że dojrzałość organizacji zależy nie tylko od narzędzi, ale też od tego, czy wiadomo, jak postępować w razie incydentu. Formalne standardy, takie jak NIST czy ISO 27035, stosuje około czterech na dziesięć firm, a kolejne organizacje korzystają z wybranych elementów (26,5%). Problem w tym, że 15% firm nadal nie pracuje według żadnego uznanego frameworku, a 17,4% nawet nie potrafi wskazać, jaki standard obowiązuje u nich wewnętrznie.
Raport bardzo trafnie pokazuje, że dyskusja o cyberbezpieczeństwie w Polsce przestaje być wyłącznie rozmową o narzędziach, a coraz bardziej dotyczy zdolności do ich efektywnego wykorzystania.
Paweł Sokół, Dyrektor sprzedaży, Trecom
Podobnie jest z testowaniem scenariuszy ataków. Regularne ćwiczenia prowadzi wciąż niewielka grupa firm (11,4%), część robi to raz do roku lub rzadziej (22,7%), a prawie co czwarta organizacja nie testuje takich sytuacji wcale. Tymczasem różnica między firmami, które ćwiczą kwartalnie, a tymi, które nie robią tego w ogóle, jest bardzo duża: pierwsze oceniają skuteczność detekcji niemal dwukrotnie wyżej.
Trecom przewiduje więc że, coraz więcej firm będzie przesuwać część odpowiedzialności operacyjnej na zewnątrz – dla organizacji 51-250 pracowników model MSSP może być najbardziej realistyczną drogą do spełnienia wymagań NIS2 bez budowania pełnego zaplecza od zera. W firmach powyżej 500 pracowników większe znaczenie zyska model hybrydowy, czyli połączenie własnego zespołu z kompetencjami partnera zewnętrznego.




Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].