Cyberbezpieczeństwo to nie problem IT, to problem finansowy

10.04.2026

Spis treści

Część 2, Seria #CISOimpact

mikolaj otmianowski — Autor: Mikołaj Otmianowski

Zarząd myśli w kategoriach EBITDA i ROI. CISO mówi o CVE, APT i zero-day. To zderzenie języków opisaliśmy w (pierwszym artykule z serii #CISOImpact). Ale jest jedna relacja, o której rzadko mówi się wprost — relacja między CISO a CFO. To właśnie CFO decyduje, ile organizacja jest gotowa zapłacić za bezpieczeństwo. I ile ryzykuje, nie płacąc. Bez tej rozmowy nawet najlepsza strategia cyberbezpieczeństwa pozostaje dokumentem bez pokrycia finansowego.

Ryzyko cyber obejmuje ryzyko strat finansowych, zakłóceń działalności i szkód wynikających z awarii systemów IT spowodowanych zagrożeniem cyber. Innymi słowy: cyberatak to zdarzenie finansowe. I właśnie dlatego CFO — nie tylko CISO — powinien być jego współwłaścicielem.

Dwa światy, które muszą się połączyć – CISO i CFO

Zarząd, a w praktyce szczególnie CFO, patrzy na bezpieczeństwo przez pryzmat kosztów, rentowności i priorytetów biznesowych, podczas gdy CISO koncentruje się na minimalizacji ryzyka i ciągłości działania. To nie jest konflikt złej woli. To konflikt perspektyw — i można go rozwiązać.

Każda ze stron widzi część obrazu, której nie widzi druga.

CISO zna zagrożenia, podatności, wektory ataku i scenariusze incydentów. Wie, co grozi organizacji technicznie. Ale rzadko potrafi — lub ma narzędzia, by — precyzyjnie wycenić finansowy skutek każdego z tych zagrożeń.

CFO z kolei umie kwantyfikować ryzyko finansowe, porównywać alternatywy kosztowe, zarządzać ekspozycją przez ubezpieczenia i rezerwy. Ale nie widzi incydentów, które zostały zablokowane — cyberbezpieczeństwo jest dla niego niewidoczne, gdy działa prawidłowo. Widzi koszty narzędzi. Nie widzi kosztów, których uniknął.

To rodzi klasyczny paradoks: bez wspólnej komunikacji CISO i CFO organizacja może nie być przygotowana na skuteczne stawienie czoła cyberatakom, a wynikające z tego straty finansowe mogą być znaczące.

Rozwiązanie nie jest techniczne. Jest komunikacyjne i procesowe.

Wspólny język: od CVE do złotówek

CISO powinien mówić językiem biznesu i przeliczać zabezpieczenia na pieniądze, czas oraz reputację — na przykład koszt godziny przestoju. To rada z pierwszego artykułu serii, skierowana do CISO w rozmowie z Zarządem. W relacji z CFO ta sama zasada obowiązuje — ale z jedną kluczową różnicą: CFO jest ekspertem od liczb. Nie wystarczy przybliżenie. Potrzeba metodyki.

Tradycyjnie profesjonaliści ds. cyberbezpieczeństwa opisują ryzyko jakościowo: „wysokie”, „średnie”, „niskie”. CFO powinien wspierać przejście na ilościową kwantyfikację ryzyka cyber we współpracy z CISO — zamiast podejścia jakościowego, które ogranicza obiektywną ocenę wydatków i priorytetyzację.

Co to oznacza w praktyce? Zamiast „mamy wysokie ryzyko ataku ransomware” — „w scenariuszu ataku ransomware szacujemy niedostępność systemów produkcyjnych przez 4–7 dni, co generuje stratę przychodów rzędu X milionów złotych, plus koszty odtworzenia, powiadomień i obsługi prawnej.”

To jest język, który CFO rozumie i z którym może pracować. W praktyce popularnym narzędziem do ilościowej wyceny ryzyk cyber jest metodologia FAIR (Factor Analysis of Information Risk) — premier framework do wyrażania ekspozycji na ryzyko w kategoriach finansowych.

Jak mierzyć wartość czegoś, co się nie wydarzyło?

To pytanie CFO zadają najczęściej: skoro firma nie została zaatakowana, skąd wiadomo, ile zaoszczędziła? CFO musi równoważyć ryzyko nadmiernych wydatków — które dają fałszywe poczucie bezpieczeństwa — i niedofinansowania, które oznacza zbyt wysoką ekspozycję na ryzyko. To jest możliwe tylko wtedy, gdy skutki finansowe potencjalnego incydentu są klarownie opisane w liczbach.

Odpowiedzią są dwa typy wskaźników. Wskaźniki opóźnione — koszty rzeczywistych incydentów, czas odtworzenia, liczba danych ujawnionych — mierzą skutki. Wskaźniki wyprzedzające — dojrzałość kontroli, pokrycie monitoringu, procent systemów z aktualnym patchowaniem — mierzą gotowość. Razem dają CFO pełny obraz: ile organizacja inwestuje i na jakim poziomie ryzyka operuje.

Analiza ryzyka: fundament strategii i most między CISO a CFO

Pisaliśmy, że strategia cyberbezpieczeństwa to mapa pokazująca drogę z punktu A do punktu B. Ale żeby tę mapę narysować, trzeba wiedzieć, co grozi po drodze i ile kosztuje każde zagrożenie. To właśnie zadanie analizy ryzyka — i jest to zadanie, które CISO i CFO muszą wykonać razem.

Ryzyko cyber należy do rejestru całej organizacji

Ryzyko cyber powinno być integrowane z Enterprise Risk Management, a CFO ma istotny wpływ na wdrożenie i działanie ERM w organizacji. To przesunięcie jest fundamentalne. Kiedy ryzyko trafia do rejestru ERM, przestaje być „problemem CISO” i staje się pozycją w rejestrze ryzyk całego przedsiębiorstwa — widoczną dla CFO, Zarządu i pozostałych członków kadry C-level.

Dla CFO to znajomy grunt. ERM to język, którym zarządzający posługują się od lat w odniesieniu do ryzyk operacyjnych, finansowych i rynkowych. Włączenie ryzyka cyber w ten framework pozwala CFO i CISO rozmawiać tym samym językiem zarządzania ryzykiem przedsiębiorstwa — bez konieczności tłumaczenia pojęć technicznych.

Apetyt na ryzyko: zanim padnie słowo „budżet”

Każda rozmowa o budżecie cyberbezpieczeństwa, która zaczyna się od cyfry, zaczyna się w złym miejscu. Właściwym początkiem jest pytanie: ile ryzyka organizacja jest gotowa zaakceptować?

Wayne Andrews, CFO Uniwersytetu w Sydney, podkreśla, że kluczowym elementem planowania i budżetowania cyberbezpieczeństwa jest najpierw ustalenie tolerancji ryzyka organizacji: wyeliminowanie ryzyka cyber jest nieskończenie kosztowne i niemożliwe, więc pytanie brzmi — ile ryzyka możesz tolerować i ile będzie kosztować zawężenie ekspozycji do akceptowalnego zakresu.

To proste przesunięcie punktu startu rozmowy zmienia wszystko. Poziom wydatków staje się konsekwencją ustalonego apetytu na ryzyko — nie odwrotnie. Bez wcześniejszego uzgodnienia tolerancji ryzyka decyzje budżetowe są arbitralne, a CISO i CFO negocjują liczby bez wspólnego punktu odniesienia.

(W pierwszym artykule pisaliśmy, że prawdziwa strategia to zbiór świadomych wyborów: co robimy, a czego nie robimy, co chronimy w pierwszej kolejności, a co akceptujemy jako ryzyko rezydualne. Artykuł 2 odpowiada na pytanie: kto i jak podejmuje te wybory finansowo. To właśnie wspólna rola CISO i CFO.)

Od scenariuszy technicznych do scenariuszy biznesowych

Analiza ryzyka, która ma być użyteczna dla CFO, nie może operować kategoriami technicznymi. „Podatność na atak DDoS” to kategoria dla inżyniera bezpieczeństwa. „Wielodniowa niedostępność platformy sprzedażowej prowadząca do utraty przychodów i zerwania kontraktów z klientami kluczowymi” — to kategoria dla CFO.

CISO powinien budować scenariusze ryzyka opisane językiem wpływu biznesowego, nie mechanizmu technicznego ataku, i zadbać o to, by scenariusze zawierały wystarczająco danych do estymacji strat. Dobrym punktem wyjścia jest lektura sprawozdań finansowych własnej organizacji — to pomaga CISO zrozumieć, które obszary działalności są finansowo krytyczne i powinny wyznaczać priorytety ochrony.

Następnie, wspólnie z właściwymi liderami — w tym z działem finansów — CISO identyfikuje obszary wpływu: biznesowy, zasoby ludzkie, odpowiedzialność prawna, komunikacja kryzysowa, dane, odtworzenie systemów IT — i szacuje koszty dla każdego obszaru.

Przykładowe scenariusze warte przepracowania:

Atak ransomware — systemy niedostępne przez N dni: utrata przychodów, koszty odtworzenia, okup (jeśli rozważany), powiadomienia regulacyjne.

Wyciek danych klientów — kary RODO, postępowania, koszty notyfikacji, odpływ klientów.

Kompromitacja dostawcy — przerwanie łańcucha dostaw, kary umowne, koszty przełączenia.

Niedostępność systemów produkcyjnych — straty w produkcji, kary za opóźnienia dostaw, szkody fizyczne.

Po incydencie koszty nie kończą się na IT: dochodzą koszty dochodzenia forensic, utrata przychodów z powodu przerw w działaniu, koszty reakcji i odtworzenia, koszty powiadomień, pozwy, wpływ na wycenę i reputację.

Kwantyfikacja ryzyka: dlaczego „wysoki/średni/niski” nie wystarczy CFO

Skale jakościowe mają jedną fundamentalną wadę: nie mówią CFO nic o tym, ile dane ryzyko może kosztować. Nie pozwalają porównywać ryzyk między sobą. Nie dają podstaw do priorytetyzacji inwestycji. Zespoły finansowe, w tym specjaliści forensic accounting, potrafią precyzyjnie policzyć straty w scenariuszach przerwania działalności — utratę zysku, nadgodziny, wydatki na strony trzecie — co bezpośrednio wspiera priorytetyzację działań mitygacyjnych, gdy koszty ochrony rosną.

Metodologia FAIR (Factor Analysis of Information Risk) pozwala wyrażać ekspozycję na ryzyko cyber w kategoriach finansowych — jako prawdopodobieństwo wystąpienia zdarzenia przemnożone przez szacowany finansowy wpływ — co daje CFO i CISO wspólny, obiektywny punkt odniesienia do rozmów o priorytetach i alokacji środków.

Od analizy ryzyka do strategii: decyzje budżetowe i inwestycyjne

W pierwszym artykule opisaliśmy, co strategia cyberbezpieczeństwa daje CFO: przewidywalność kosztów, optymalizację ROI i ochronę przed karami regulacyjnymi. Tu pokazujemy, jak CISO i CFO wspólnie budują tę strategię od strony finansowej.

Benchmarking budżetu: czy wydajemy za dużo czy za mało?

Wiodący CFO porównują budżet na cyberbezpieczeństwo swojej firmy z branżowymi odpowiednikami. Jeśli CFO zauważy, że średnia branżowa wynosi 10% budżetu IT, a firma przeznacza na ten cel jedynie 1%, najprawdopodobniej inwestuje zbyt mało. Benchmarking to nie wyrok — to punkt wyjścia do dyskusji. Organizacja operująca w silnie regulowanej branży (finanse, opieka zdrowotna, infrastruktura krytyczna) może potrzebować wydatków znacznie powyżej średniej. Organizacja o niższym profilu ryzyka może świadomie zdecydować się na mniejsze inwestycje — ale ta decyzja powinna być świadoma, a nie domyślna.

Czy pieniądze idą we właściwe miejsce?

Sama wysokość budżetu to tylko część równania. CISO Rahul Khurana, raportujący bezpośrednio do CFO w globalnej firmie technologicznej, podkreśla, że dysponuje niezależnym budżetem na cyberbezpieczeństwo — nie musi walczyć o jego udział w ramach wspólnego budżetu IT — i że łatwo rozmawia o liczbach oraz ROI przez pryzmat unikniętych kosztów: każdy dolar zainwestowany w cyberbezpieczeństwo, który skutkuje zmniejszeniem liczby incydentów lub ograniczeniem ich wpływu, odzwierciedla zwrot z inwestycji — czy to monetarny, w postaci redukcji ryzyka, czy poprawy dojrzałości operacyjnej.

CFO i CISO muszą wspólnie oceniać, czy środki są kierowane we właściwe inicjatywy. Częstym błędem jest zakup zaawansowanych, kosztownych narzędzi bez zapewnienia elementarnych podstaw — zarządzania podatnościami, uwierzytelniania wieloskładnikowego, segmentacji sieci. CFO jako kontroler finansowy najwyższego szczebla powinien być zainteresowany każdym ryzykiem wpływającym na pozycję finansową firmy, w tym ryzykiem cyber, i wspierać budżet umożliwiający budowę rzeczywistej cyberodporności — traktując cyberbezpieczeństwo jako inwestycję chroniącą przed stratami, a nie jako ciężar operacyjny.

W pierwszym artykule pisaliśmy: „Czy lepiej wydać 500 tys. zł na nowy SIEM czy na rozbudowę SOC?” — CFO oczekuje odpowiedzi w kontekście strategii i ryzyka, nie technicznej specyfikacji. Wspólna analiza scenariuszy ryzyka budowana z CFO jest właśnie tym, co daje tej odpowiedzi wiarygodne podstawy.

Mitygować, transferować czy akceptować?

Nie każde ryzyko da się — ani warto — mitygować technicznie. Zarządzanie ryzykiem cyber to trzy ścieżki: mitygacja (kontrole techniczne i organizacyjne), transfer (ubezpieczenie cyber) i akceptacja (świadoma decyzja o niedziałaniu powyżej pewnego progu).

Zakup ubezpieczenia cyber to forma transferu ryzyka — CFO zwykle odpowiada za zakup ubezpieczeń korporacyjnych, underwriting i due diligence zakresu ochrony. Ponieważ cyberataki mogą prowadzić do poważnych strat finansowych, ubezpieczenie cyber może pokrywać część tych strat, pomagając w zarządzaniu przepływami pieniężnymi i płynnością po incydencie.

Istotne zastrzeżenie: ubezpieczenie nie zastąpi programu zarządzania ryzykiem. Wayne Andrews podkreśla, że ubezpieczenie wygładza przepływ gotówki, ale bez wiarygodnego programu zarządzania ryzykiem organizacja może stać się dla ubezpieczycieli po prostu nieubezpieczalna.

Ryzyko stron trzecich: wspólna odpowiedzialność w procesie zakupowym

To, czy firma poradzi sobie z cyberzagrożeniami, nie jest kwestią „działu IT”, tylko ryzyka biznesowego — i to ryzyko coraz częściej przychodzi z zewnątrz. Ataki na łańcuch dostaw i kompromitacja dostawców należą dziś do najpoważniejszych wektorów zagrożeń.

CFO często współtworzy lub zatwierdza procesy zakupowe. To oznacza, że ocena ryzyka cyber u dostawców — przed nawiązaniem współpracy, nie po podpisaniu umowy — powinna być standardowym elementem due diligence finansowego. CISO dostarcza metodyki i kryteriów oceny. CFO włącza je w procesy zakupowe i kontrolę wydatków. Razem tworzą pierwszy filtr przed ryzykiem zewnętrznym.

Jak zorganizować współpracę w praktyce

Dobra współpraca CISO–CFO nie jest wynikiem jednorazowego spotkania. Wymaga rytmu, narzędzi i wspólnych rytuałów.

Regularne przeglądy ryzyka — nie tylko po incydencie

W pierwszym artykule rekomendowaliśmy miesięczny one-pager dla Zarządu: kluczowe metryki, status projektów, top 3 ryzyka. CFO powinien być jednym z regularnych odbiorców tego raportu — w ujęciu finansowym, nie technicznym.

Konkretne dane, które CFO potrzebuje regularnie widzieć:

Ryzyka niezmitygowane i ich szacowany finansowy wpływ.

Status realizacji roadmapy cyberbezpieczeństwa vs. plan.

Wskaźniki incydentów: liczba, dotkliwość, średni czas reakcji i odtworzenia.

Wykorzystanie budżetu vs. plan i prognoza na kolejny kwartał.

Zmiany w profilu ryzyka wynikające ze zmian w otoczeniu (nowe regulacje, nowi dostawcy, nowe systemy).

Roadmapa cyberbezpieczeństwa jako wieloletni plan finansowy

Strategia cyberbezpieczeństwa z fazami i konkretnymi budżetami pozwala CFO planować wydatki nawet na 2–3 lata do przodu. Roadmapa cyberbezpieczeństwa to narzędzie, które zamienia nieprzewidywalne „wrzutki budżetowe” w zaplanowany, wieloletni cykl inwestycyjny. CISO pokazuje cele dojrzałości i etapy ich osiągania. CFO przypisuje do nich budżety i planuje cash flow. Razem budują dokument, który Zarząd może zatwierdzić i śledzić jego realizację.

Warsztaty scenariuszowe jako rytuał strategiczny

Raz na kwartał — lub co pół roku jako minimum — CISO i CFO powinni razem przejść przez scenariusze ryzyka: które nowe zagrożenia pojawiły się w otoczeniu, jak zmieniła się ekspozycja finansowa, które scenariusze wymagają aktualizacji wyceny. To nie jest przegląd techniczny. To strategiczna rozmowa o pieniądzach i ryzyku.

Lista kontrolna: pytania otwierające dialog

Poniższe pytania warto zadać sobie przed kolejnym spotkaniem budżetowym:

Czy ryzyko cyber jest uwzględnione w rejestrze ERM organizacji?

Czy apetyt na ryzyko cyber jest formalnie uzgodniony z CFO i Zarządem?

Czy mamy skwantyfikowane finansowo co najmniej trzy kluczowe scenariusze ryzyka?

Czy budżet cyberbezpieczeństwa był benchmarkowany do branży w ciągu ostatnich 12 miesięcy?

Jaką część ryzyka transferujemy przez ubezpieczenie, a jaką mitygujemy?

Jak często CFO uczestniczy w przeglądach środowiska bezpieczeństwa?

Czy CFO potrafi dziś odpowiedzieć na pytanie: „Ile ryzykujemy finansowo, jeśli ten projekt bezpieczeństwa nie zostanie zrealizowany?”

Cyberbezpieczeństwo to wspólna odpowiedzialność finansowa

Średni koszt naruszenia danych wzrósł według IBM z 3,86 mln USD w 2020 roku do 4,24 mln USD w 2021 roku. FBI wskazało Business Email Compromise jako najkosztowniejszy typ cyberprzestępczości — z ok. 1,8 mld USD strat w samym 2020 roku. Liczby mówią same za siebie: cyberbezpieczeństwo to nie problem działu IT. To problem finansowy. I wymaga finansowego współwłaściciela.

Jak pisaliśmy w pierwszym artykule serii #CISOimpact odpowiedzialność CISO polega na jasnym przedstawieniu ryzyk. Odpowiedzialność Zarządu — na świadomych decyzjach. Artykuł 2 dodaje trzeci element: odpowiedzialność CFO za finansowy wymiar tych decyzji. Bez CFO strategia bezpieczeństwa jest planem bez budżetu. Bez CISO CFO zarządza ryzykiem, którego nie widzi.

Organizacja, w której CISO i CFO mówią tym samym językiem, podejmuje lepsze decyzje — szybciej, z pełną świadomością tego, co chroni, ile to kosztuje i ile ryzykuje, gdy tego nie robi.

Kiedy ostatnio CISO i CFO w Twojej organizacji siedzieli razem przy matrycy ryzyk — nie po incydencie, lecz zanim do niego doszło?

To drugi artykuł z serii #CISOImpact. Przeczytaj pierwszy artykuł: jak CISO powinien rozmawiać z Zarządem o cyberbezpieczeństwie.

Podobne wpisy z kategorii

11.05.2026
Ustawa KSC (NIS2) – co zmienia dla polskich podmiotów?

Ustawa KSC transponuje dyrektywę NIS2 w Polsce. Sprawdź czy podlegasz. Unikaj kar. Poznaj terminy i wymagania. Skorzystaj z planu wdrożenia.

Przeczytaj
17.02.2026
Whitepaper RED INTO GREEN

Z RED INTO GREEN organizacje utrzymują ciągłą gotowość regulacyjną. Czas przygotowania do audytu skrócił się o 70–85%.

Przeczytaj
03.02.2026
CISO i Zarząd: Strategiczne partnerstwo w erze presji regulacyjnej i wojny hybrydowej

Priorytetem CISO jest bezpieczeństwo. Zarząd z kolei musi balansować między wieloma priorytetami biznesowymi. Gdzie jest współpraca?

Przeczytaj