Dane z SiteGuardian EU Web Security Benchmark — kwiecien 2026, 704 044 witryn ocenionych w 30 krajach.
94,8% nie zdaje egzaminu
Przeskanowalismy automatycznie 704 044 europejskich witryn internetowych — w szesciu wymiarach: naglowki bezpieczenstwa HTTP, konfiguracja TLS, bezpieczenstwo DNS, uwierzytelnianie poczty elektronicznej, dostepnosc i zgodnosc plikow cookie.
Wyniki:
| Ocena | Udzial |
|---|---|
| A | 0,0% (16 witryn) |
| B | 0,2% |
| C | 5,0% |
| D | 52,5% |
| F | 42,3% |
To nie sa niszowe strony. Benchmark obejmuje przedsiebiorstwa, instytucje rzadowe, szpitale, banki i platformy e-commerce z calej UE — organizacje dzialajace w ramach NIS2, DORA lub RODO, ktore codziennie przetwarzaja dane osobowe.
Krajobraz regulacyjny: Czego wymaga UE
W ciagu ostatnich trzech lat UE zbudowala ramy regulacyjne, ktore zamieniaja bezpieczenstwo stron z opcji w obowiazek prawny. Trzy regulacje wyrozniaja sie szczegolnie:
NIS2 (dyrektywa 2022/2555) — termin transpozycji krajowej minal w pazdzierniku 2024 r. Art. 21 ust. 2 wymaga od podmiotow kluczowych i waznych wdrozenia konkretnych srodkow: kryptografii, reagowania na incydenty, bezpieczenstwa lancucha dostaw, a w lit. e) — obslugi i ujawniania podatnosci. Sektory objete regulacja to m.in. energetyka, transport, ochrona zdrowia, infrastruktura cyfrowa, przemysl, zywnosc, uslugi pocztowe i dostawcy uslug cyfrowych. Kary: do 10 mln EUR lub 2% rocznych przychodow globalnych.
DORA (rozporzadzenie 2022/2554) — obowiazuje od stycznia 2025 r. w sektorze finansowym. Art. 6-8 nakladaja obowiazek zarzadzania ryzykiem ICT, w tym identyfikacji i usuwania podatnosci. Podmioty objete regulacja to banki, ubezpieczyciele, firmy inwestycyjne, dostawcy uslug kryptoaktywow i ich kluczowi dostawcy zewnetrzni ICT.
Cyber Resilience Act (rozporzadzenie 2024/2847) — obowiazkowe raportowanie aktywnie wykorzystywanych podatnosci od wrzesnia 2026 r. (art. 11), skoordynowane ujawnianie podatnosci od grudnia 2027 r. (art. 14). Dotyczy producentow, importerow i dystrybutow produktow cyfrowych. Kary: do 15 mln EUR lub 2,5% przychodow.
Wymogi sa juz ustanowione. Jak wyglada rzeczywistosc?
Naglowki bezpieczenstwa HTTP: Pierwsza linia obrony nie istnieje
Naglowki bezpieczenstwa to instrukcje po stronie serwera, ktore chronia przegladarke — przed atakami XSS, clickjackingiem, pomylkami MIME i atakami degradacji polaczenia. Nic nie kosztuja, zazwyczaj wymagaja jednej linii konfiguracji, a mimo to sa ledwie stosowane:
| Naglowek | Wdrozenie | Co chroni |
|---|---|---|
| Strict-Transport-Security (HSTS) | 27,6% | Zapobiega degradacji do HTTP |
| X-Content-Type-Options | 27,7% | Blokuje sniffing MIME |
| X-Frame-Options | 19,2% | Zapobiega clickjackingowi |
| Referrer-Policy | 13,1% | Kontroluje wycieki referrera |
| Content-Security-Policy (CSP) | 10,8% | Lagodzi ataki XSS i iniekcje |
| Permissions-Policy | 6,4% | Ogranicza API przegladarki |
Trzy na cztery witryny dopuszczaja polaczenia nieszyfrowane, mimo ze posiadaja certyfikat TLS — brakuje HSTS. 24,3% nie przekierowuje nawet na HTTPS automatycznie.
Content Security Policy — najskuteczniejsza obrona przed atakami XSS — jest nieobecna na 89% witryn.
Bezpieczenstwo poczty: Phishing bez przeszkod
Phishing i Business Email Compromise to najczestsze wektory ataku w Europie. Techniczne srodki zaradcze istnieja od lat — i pozostaja niewdrozone:
| Standard | Wdrozenie | Cel |
|---|---|---|
| SPF | 75,7% | Weryfikacja nadawcy |
| STARTTLS | 56,3% | Szyfrowanie transportu |
| DMARC | 46,8% | Egzekwowanie polityk |
| DKIM | 31,1% | Integralnosc wiadomosci |
| MTA-STS | 0,5% | Wymuszone szyfrowanie transportu |
Sam SPF nie wystarczy. Bez DMARC ustawionego na reject lub quarantine kazdy moze wysylac e-maile w imieniu Twojej domeny. Z 46,8% posiadajacych DMARC, 63% ustawia polityke na none — co oznacza brak egzekwowania. Domena pozostaje podatna na spoofing.
Szczegolnie wymowne sa bledy konfiguracyjne, ktore znajdujemy w praktyce. Widzimy polityki DMARC takie jak quarantaine, rejet, keiner, brak (tak, polski wpis oznaczajacy „brak"), beleidsnaam (holenderski dla „nazwa polityki") — a jedna witryna wkleila caly klucz RSA do pola polityki. Te bledy konfiguracyjne sa trudne do wykrycia — rekord istnieje, pole w liscie kontrolnej jest zaznaczone, ale ochrona nie dziala. Dokladnie te luke miedzy „skonfigurowanym" a „skutecznym" SiteGuardian zostal stworzony, aby wypelnic: automatyczne kontrole weryfikujace nie tylko obecnosc, ale poprawne dzialanie kazdego srodka.
DNS: Fundament bez zabezpieczen
| Standard | Wdrozenie | Cel |
|---|---|---|
| DNSSEC | 15,8% | Ochrona przed spoofingiem DNS |
| CAA | 3,0% | Kontrola nad wystawianiem certyfikatow |
| MTA-STS | 0,5% | Wymuszone szyfrowanie poczty |
| DANE/TLSA | <1% | Przypinanie certyfikatow dla SMTP |
84% europejskich domen nie posiada ochrony DNSSEC. Atakujacy, ktory potrafi manipulowac odpowiedziami DNS, moze przekierowac uzytkownikow na falszywe strony — z waznym certyfikatem TLS, jesli zaden rekord CAA nie ogranicza wystawiania certyfikatow. 97% ich nie posiada.
Wskaznik security.txt
RFC 9116 definiuje prosty plik tekstowy pod adresem /.well-known/security.txt, ktory zapewnia badaczom bezpieczenstwa ustandaryzowany kanal zglaszania podatnosci. ENISA zaleca go jako najlepsza praktyke, NIS2 wymaga ujawniania podatnosci, a Cyber Resilience Act czyni skoordynowane ujawnianie obowiazkowym.
Wskaznik wdrozenia w UE: 2,8%.
Ciekawe odkrycie: security.txt silnie koreluje z ogolna dojrzaloscia witryny.
| Metryka | Z security.txt | BEZ | Wspolczynnik |
|---|---|---|---|
| Wynik kompozytowy | 55 | 42 | +31% |
| HSTS | 72% | 26% | 2,8x |
| Content Security Policy | 47% | 10% | 4,7x |
| Ocena F | 6% | 44% | 7x mniej |
security.txt nie jest panaceum. Ci, ktorzy poswiecaja czas na jego konfiguracje, zazwyczaj zadbali tez o wszystko inne. To wskaznik dojrzalosci bezpieczenstwa — jesli go brakuje, zwykle brakuje tez reszty.
Pozycja Europy: Ranking krajow
| Pozycja | Kraj | Wynik | Liczba |
|---|---|---|---|
| 1 | Malta | 46 | 640 |
| 2 | Islandia | 45 | 928 |
| 3 | Niemcy | 45 | 203 075 |
| 4 | Wielka Brytania | 44 | 73 769 |
| 5 | Luksemburg | 44 | 1 303 |
| 6 | Szwajcaria | 43 | 26 248 |
| 7 | Norwegia | 43 | 8 814 |
| 8 | Holandia | 43 | 37 893 |
| ... | |||
| 26 | Hiszpania | 39 | 26 214 |
| 27 | Austria | 39 | 30 804 |
| 28 | Wegry | 38 | 6 886 |
| 29 | Litwa | 38 | 3 539 |
| 30 | Polska | 37 | 30 694 |
Niemcy prowadza wsrod duzych panstw czlonkowskich UE — ale z wynikiem 45 na 100 punktow. Najlepszy z najgorszych. Roznica miedzy 1. a 30. miejscem to zaledwie 9 punktow. Europa nie ma lidera wyznaczajacego standard. Ma deficit na skale kontynentu.
Co powinni teraz zrobic CISO
1. Zmierz swoj stan wyjsciowy. Nie mozna zarzadzac tym, czego sie nie mierzy. Skanuj swoje domeny — automatycznie, regularnie, we wszystkich szesciu wymiarach.
2. Wlacz naglowki bezpieczenstwa. HSTS, CSP, X-Content-Type-Options — trzy naglowki, ktore mityguja wiekszosc typowych atakow na strony. Wiekszosc frameworkow webowych potrafi je dodac jedna linia konfiguracji.
3. Ustaw DMARC na reject. Zacznij od quarantine i pct=10, monitoruj raporty, a nastepnie eskaluj do reject. policy=none nie chroni nikogo.
4. Wlacz DNSSEC. Porozmawiaj ze swoim dostawca DNS. Wiekszosc duzych dostawcow to wspiera — trzeba to tylko wlaczyc.
5. Skonfiguruj security.txt. Piec minut pracy, RFC 9116. Dwa wymagane pola: Contact i Expires. ENISA wymienia go jako najlepsza praktyke, a NIS2 art. 21 ust. 2 lit. e) wymaga ujawniania podatnosci.
6. Nie skanuj tylko strony glownej. Subdomeny, API, serwery pocztowe — powierzchnia ataku jest wieksza niz strona glowna. Automatyczny benchmark systematycznie odkrywa to, co reczne audyty pomijaja.
Metodologia
Ten artykul opiera sie na SiteGuardian EU Web Security Benchmark obejmujacym 704 044 witryn w 30 krajach europejskich (stan na kwiecien 2026). Benchmark ocenia szesc wymiarow: naglowki bezpieczenstwa HTTP, certyfikaty TLS, bezpieczenstwo DNS (DNSSEC, CAA, DANE, MTA-STS), uwierzytelnianie poczty (SPF, DKIM, DMARC, STARTTLS), dostepnosc (WCAG 2.2 AA) i zgodnosc plikow cookie. Wszystkie skany sa wykonywane automatycznie i ciagle, bez recznej selekcji ani sponsoringu.
Benchmark jest dostepny bezplatnie pod adresem siteguardian.io/benchmark.
SiteGuardian to europejskie narzedzie do monitorowania zgodnosci i bezpieczenstwa stron internetowych, opracowane w Niemczech.