Czy małe biuro rachunkowe potrzebuje własnego specjalisty cyber?

Nie. 5-15 osobowe biuro nie ma masy krytycznej dla pełnoetatowego specjalisty. Lepsza opcja: roczny audyt zewnętrzny + zewnętrzny informatyk na 4-10 godzin miesięcznie.

Czy MSSP to dobra opcja pośrednia?

Tak, dla firm 30-80 osób w branżach z podwyższonym ryzykiem. MSSP w retainerze (5-15 tys. zł miesięcznie) dostarcza ciągły monitoring + szybką reakcję na incydent. Powyżej 100 osób często bardziej opłacalny jest własny zespół.

Co jeśli outsourcujemy IT, ale informatyk mówi, że wszystko jest pod kontrolą?

Wciąż potrzebujecie niezależnego audytu raz w roku. Wewnętrzna ocena (i taka też zewnętrznego informatyka opłacanego przez was) nigdy nie zastąpi niezależnego spojrzenia. RODO art. 32 + ubezpieczyciele cyber tego wymagają.

Czy NIS2 wymusza własnego specjalistę cyber?

Nie wprost. Art. 21 NIS2 wymaga 'odpowiednich środków' adekwatnych do ryzyka - może to być wewnętrzny zespół, outsourcing, lub kombinacja. Praktycznie podmioty kluczowe powyżej 100 osób mają wewnętrzny CISO; mniejsze - MSSP w retainerze.

Jaki jest koszt wdrożenia własnego działu cyber dla 50-osobowej firmy?

Specjalista cyber mid-level w 2026 r. - 12-18 tys. zł brutto miesięcznie + ZUS + benefity + szkolenia + narzędzia (Defender for Endpoint, vulnerability scanner, log management). Razem ~200-280 tys. zł rocznie. Próg opłacalności vs outsourcing jest gdzieś w okolicach 50-80 osób.

Czy CyberCerber to outsourcing czy konkurencja dla własnego IT?

Uzupełnienie. CyberCerber dostarcza niezależny zewnętrzny audyt - warstwę, której wewnętrzny IT z definicji nie może dostarczyć (brak niezależności). Każda firma, niezależnie od skali, potrzebuje zewnętrznego punktu odniesienia.

Outsourcing cyber vs własny dział IT - co bardziej opłaca się MŚP

Kryterium	Outsourcing	Własny IT
Próg opłacalności	Do 30-50 pracowników	Powyżej 30-50 pracowników
Roczny koszt typowy	5-25 tys. zł (audyt) + 10-50 tys. zł (informatyk godziny/retainer)	100-180 tys. zł brutto (specjalista cyber junior/mid) + narzędzia
Dostępność	W godzinach pracy + zlecenia ad-hoc	Pełny etat + dyżury jeśli umowa
Specjalizacja	Pentester / audytor / informatyk - osobne funkcje	Jedna osoba zwykle uniwersalna; trudno znaleźć dobrego seniora
Kontekst firmy	Wymaga przekazania wiedzy przy zmianie dostawcy	Wewnętrzna wiedza pozostaje
Skalowanie	Elastyczne - więcej godzin gdy potrzeba	Sztywne - zatrudnienie lub zwolnienie
Compliance RODO + NIS2	CyberAudyt CyberCerber zaspokaja regularne testowanie	Plus wewnętrzny IOD przy danych medycznych dużej skali
Ryzyko 'jednoosobowości'	Niskie - dostawca ma zespół	Wysokie - urlop / choroba / zmiana pracy = luka w obronie

Punkt łamania ekonomicznego

Koszt cyber dzieli się na dwa składniki: audyt niezależny (z definicji zewnętrzny - wewnętrzny człowiek nie może audytować własnej pracy) i operacje codzienne (patche, monitoring, reakcja na incydenty, administracja).

Audyt niezależny musi pozostać zewnętrzny w każdym scenariuszu. RODO art. 32 wymaga “regularnego testowania skuteczności”; ISO 27001 wymaga audytu zewnętrznego; ubezpieczyciel cyber wymaga raportu zewnętrznego audytora. Wewnętrzny CISO nie zastępuje tej warstwy.

Operacje codzienne to zmienna. Można je outsourcować w trzech modelach:

Informatyk godzinowo - 200-400 zł/godzinę, ad-hoc. Dla firm do 20-30 osób.
MSSP w retainerze - 5-15 tys. zł miesięcznie, ciągły monitoring + alerty + reakcja. Dla 30-100 osób.
Własny zespół - 200-500 tys. zł rocznie. Sens powyżej 100 osób.

Punkt łamania jest gdzieś w okolicach 50 pracowników: niżej outsourcing wygrywa cenowo (i dostępem do kompetencji), wyżej własny zespół ma więcej sensu.

Co dostajecie za 100 tys. zł rocznie

Roczny budżet 100 tys. zł brutto dla firmy 30-osobowej:

Wariant outsourcing. CyberAudyt CyberCerber raz w roku (wycena w cenniku), MSSP w retainerze 5-10 tys. zł miesięcznie (60-120 tys. zł rocznie). Razem z audytem ~65-130 tys. zł rocznie. Mieszczę się w 100 tys. zł.

Wariant własny. Junior cyber specialist ~12 tys. zł brutto miesięcznie + ZUS ~20% = 14,4 tys. zł, czyli 172 tys. zł rocznie tylko za pensję. Plus narzędzia 20-40 tys. zł rocznie. Plus brakuje audytora niezależnego (musicie i tak dokupić zewnętrzny audyt).

Wariant outsourcing wygrywa dla 30-osobowej firmy o ~70 tys. zł rocznie. Dla 80-osobowej firmy MSSP retainer rośnie do 10-15 tys. zł miesięcznie, własny mid-level ~16 tys. zł miesięcznie - już zbliżamy się do parity.

Co dostajecie za 250 tys. zł rocznie

Roczny budżet 250 tys. zł dla firmy 100-osobowej:

Wariant outsourcing. CyberAudyt CyberCerber raz w roku + Pentest co 2 lata + MSSP retainer 12-18 tys. zł miesięcznie. Razem ~200-260 tys. zł rocznie.

Wariant własny. Specjalista mid-level 15-18 tys. zł brutto miesięcznie + ZUS + benefity = ~250 tys. zł rocznie tylko pensja. Plus narzędzia. Plus zewnętrzny audyt. Razem ~300-350 tys. zł.

Outsourcing dla 100 osób wciąż delikatnie tańszy, ale punkt łamania już blisko. Powyżej 150 osób własny specjalista zaczyna mieć sens.

Strefa szarości 30-50 osób

Decyzja zależy od trzech czynników:

Regulacja: czy podlegacie NIS2 (rzadko poniżej 50 osób)? Czy klient korporacyjny wymaga “dedykowanego specjalisty bezpieczeństwa”? Niektóre branże (finanse, zdrowie) faktycznie tego żądają w przetargach.
Ryzyko: wysokie? Dane medyczne, dane finansowe, infrastruktura krytyczna = wcześniejsze przejście na własny zespół.
Wzrost: czy w ciągu 2-3 lat planujecie zwiększenie do 80+ osób? Lepiej zacząć budować zespół wcześniej niż później.

W tej strefie często działa hybryda: outsourcing + jeden wewnętrzny IT-owiec z funkcją bezpieczeństwa jako część etatu (np. 30% czasu poświęca cyber, 70% klasyczne IT).

Przykład: 60-osobowa sieć stomatologiczna

Sieć 5 gabinetów w Polsce, łącznie ~60 pracowników (lekarze, asystenci, recepcja, administracja). Wcześniej miała tylko zewnętrznego informatyka na godziny + roczny audyt CyberCerber.

W 2025 r. dwie zmiany: 1) podpisany kontrakt z dużym ubezpieczycielem (wymóg cyklicznego dowodu monitorowania), 2) plan rozwoju do 8 gabinetów w 2027 r.

Decyzja: zatrudnienie junior cyber specialist (12 tys. zł brutto), pozostawienie zewnętrznego audytu CyberCerber jako niezależnej warstwy. Roczny koszt wzrósł z ~50 tys. zł do ~180 tys. zł, ale sieć przygotowała się do wymagań ubezpieczyciela i wzrostu skali.

Sekwencja: outsourcing → punkt łamania (klient + plan rozwoju) → częściowo wewnętrzny zespół. Trzy lata przed osiągnięciem progu opłacalności pełnego CISO.