Europejska Agencja ds. Cyberbezpieczeństwa (ENISA) zaprezentowała w październiku 2025 r. najnowszą edycję raportu „Thread Landscape 2025”, obejmującą okres od lipca 2024 do czerwca 2025. Dokument opisuje aktualny stan cyberzagrożeń w Unii Europejskiej oraz analizuje, jak zmieniają się motywacje i metody działania cyberprzestępców.

Skala i charakter incydentów

W badanym roku ENISA przeanalizowała 4875 przypadków incydentów bezpieczeństwa w UE.
1. W jaki sposób atakujący dostał się do systemu?

• Zdecydowana większość ataków komputerowych zaczynała się od phishingu, czyli fałszywych wiadomości e-mail lub stron internetowych, które mają nakłonić ofiarę do kliknięcia linku albo podania danych. Takie ataki stanowiły około 60% infekcji;
• następnie wykorzystane były luki w zabezpieczeniach systemów lub programów – ok. 21%;
• botnety, czyli sieci zainfekowanych komputerów – ok. 10%;
• złośliwe aplikacje – 8%.

2. Jaki był efekt ataku, czyli co ostatecznie się stało, po uzyskaniu dostępu przez hackera?
Najczęstszym rodzajem zdarzeń był ataki DDoS – czyli przeciążenie stron internetowych lub serwerów, żeby przestały działać. Działania te stanowiły 76% szkodliwych sytuacji;
na drugim miejscu uplasowały się włamania do systemów komputerowych – ok. 18 %;
w kolejnych 5% przypadków nie udało się ustalić, jak były dalsze konkretne działania.

3. Najczęściej atakowanym sektorem była administracja publiczna. Niemal 40% wszystkich zgłoszeń dotyczyło instytucji rządowych i samorządowych. Ponad połowa incydentów obejmowała organizacje uznane w dyrektywie NIS2 za kluczowe dla funkcjonowania państw członkowskich.

Główne trendy w krajobrazie cyberzagrożeń

1. Phishing wciąż królem ataków.
   Pomimo rosnącej świadomości użytkowników, fałszywe wiadomości e-mail, SMS-y i rozmowy telefoniczne pozostają najczęstszym sposobem infekowania organizacji. Coraz częściej kampanie te są wspierane przez narzędzia sztucznej inteligencji, które generują realistyczne treści i podszywają się pod osoby publiczne czy partnerów biznesowych.
2. Wspólne narzędzia – różne motywacje.
   ENISA zauważa, że granica między grupami cyberprzestępczymi, szpiegowskimi i hacktywistycznymi zaczynają się zacierać. Różne środowiska wykorzystują podobne techniki, zestawy narzędzi i infrastrukturę, co utrudnia jednoznaczne przypisanie ataku do osób za niego odpowiedzialnych. To nowy typ tzw. konwergencji zagrożeń.
3. Ransomware nadal najbardziej dotkliwy.
   Choć nie dominuje liczbowo, ransomware pozostaje najgroźniejszym typem ataku pod względem skutków finansowych i operacyjnych. Model „Ransomware-as-a-Service” (RaaS) – który oznacza dosłownie wykupienie lub dzierżawę złośliwego oprogramowania. Taki system ułatwia prowadzenie ataków mniej zaawansowanym technicznie grupom cyberprzestępców.
4. Sztuczna inteligencja w rękach przestępców.
   AI wykorzystywana jest nie tylko do tworzenia treści, lecz także do automatyzacji rozpoznania celów, generowania kodu malware (złośliwego oprogramowania) oraz modyfikowania ataków w czasie rzeczywistym. Według ENISA, w pierwszej połowie 2025 r. większość kampanii phishingowych zawierała elementy generowane przez modele językowe lub deepfake.
5. Najbardziej narażone sektory. Najwięcej incydentów dotknęło:
   – administrację publiczną (ok. 38%);
   – transport i logistykę (ok. 7%);
   – infrastrukturę cyfrową (ok. 5%);
   – sektor finansowy (ok. 4%);
   – przemysł i produkcję (poniżej 3%).
   W sektorach operujących systemami OT (Operational Technology – wykorzystującymi sprzęt i oprogramowanie, które monitoruje, kontroluje i zarządza procesami fizycznymi w przemyśle, np. w fabrykach, zakładach energetycznych,) zauważalny jest wzrost ataków, które mogą wpływać na bezpieczeństwo fizyczne i ciągłość działania przedsiębiorstw.
6. Hacktywizm na masową skalę.
   Ataki motywowane politycznie lub ideologicznie odpowiadały za 75 % wszystkich incydentów – głównie w formie krótkotrwałych kampanii DDoS (Distributed Denial of Service, w wolnym tłumaczeniu: rozproszona odmowa usługi – cyberatak, który polega na przeciążeniu serwera, usługi lub strony internetowej poprzez jednoczesne wysłanie z wielu źródeł ogromnej liczby zapytań. Skutkiem tego jest spowolnienie, a nawet całkowita niedostępność usługi dla prawdziwych użytkowników). Choć większość z nich nie powodowała trwałych szkód, ich częstotliwość i zasięg stanowią poważne wyzwanie dla stabilności infrastruktury cyfrowej w UE.

Co oznacza raport dla Polski i Unii Europejskiej?

1. Bezpieczeństwo publiczne jako priorytet – administracja publiczna pozostaje najbardziej narażonym sektorem, dlatego konieczne są dalsze inwestycje w systemy ochrony i reagowania.
2. Nowa fala ataków opartych na AI wymaga wdrożenia systemów detekcji opartych na analizie zachowań, a nie tylko sygnatur.
3. Patching (proces aktualizacji oprogramowania) i segmentacja sieci stają się fundamentem odporności – luki są wykorzystywane w ciągu godzin od ujawnienia.
4. Sektor przemysłowy i transportowy powinien rozszerzyć politykę bezpieczeństwa o ochronę infrastruktury OT.
5. Współpraca międzynarodowa i wymiana danych o incydentach (zgodnie z NIS2) są kluczowe w walce z coraz bardziej zorganizowanymi grupami atakujących.

Wnioski

Z analizy ENISA wynika, że europejski ekosystem cyfrowy wszedł w erę ciągłej presji cybernetycznej. Zamiast pojedynczych incydentów mamy do czynienia z nieustannym strumieniem ataków różnego typu. Połączenie działań przestępców, grup państwowych i hacktywistów, a także gwałtowny rozwój narzędzi sztucznej inteligencji sprawiają, że odporność organizacji (resilience) staje się ważniejsza niż sam poziom zabezpieczeń.
Dla Polski oznacza to konieczność dalszego wzmacniania świadomości, automatyzacji procesów reagowania i inwestowania w cyberkompetencje — zarówno w administracji publicznej, jak i w sektorze prywatnym.
W ramach tego, Eksperci CompNetu cyklicznie przeprowadzają dla współpracujących organizacji szkolenia z zakresu bezpiecznego przetwarzania danych osobowych oraz zagrożeń cybernetycznych, aktywnie uczestnicząc w podnoszeniu wiedzy z tego zakresu i świadomości sytuacyjnej. Maja także swój udział w uszczelnianiu architektury sieciowej swoich Klientów poprzez Audyty Bezpieczeństwa Sieci (ABS), których podstawowym zadaniem jest identyfikacja krytycznych oraz słabych punktów.