Mariusz Szydłowski•11 maja 2026•9 min czytania

Backup Microsoft 365: Dlaczego brak kopii zapasowej to realny problem dla Twojej firmy

Aż 79% firm błędnie zakłada, że Microsoft 365 automatycznie chroni ich dane. W rzeczywistości usunięte maile znikają po 30 dniach, a pliki SharePoint po 93 dniach. Wyjaśniamy, co naprawdę chroni Microsoft, jak ransomware zagraża danym w chmurze i jak skutecznie wdrożyć backup M365 za kilka złotych miesięcznie na użytkownika.

BEZPIECZEŃSTWO

BACKUP

Aż 79% zespołów IT błędnie zakłada, że Microsoft 365 automatycznie tworzy pełne kopie zapasowe ich danych (Rewind, 2024). To jeden z najbardziej kosztownych mitów w biznesowym IT — i właśnie dlatego co roku dziesiątki firm tracą bezpowrotnie maile, pliki i dane klientów. Microsoft zapewnia dostępność i niezawodność infrastruktury, ale ochrona Twoich danych to już Twój obowiązek.

W tym artykule wyjaśniamy, co dokładnie Microsoft chroni (a czego nie), jakie są realne limity odzysku danych w M365, jak ransomware zagraża danym w chmurze i co możesz zrobić, żeby nie dowiedzieć się o problemie za późno.

Najważniejsze wnioski:
Microsoft nie tworzy backupów danych użytkowników — sam zaleca korzystanie z zewnętrznych rozwiązań do tworzenia kopii zapasowych
Usunięte maile znikają po maksymalnie 30 dniach, pliki SharePoint i OneDrive po 93 dniach — bez opcji odtworzenia
89% ataków ransomware celuje bezpośrednio w repozytoria kopii zapasowych (Veeam, 2025)
83% przypadków utraty danych w SaaS to błąd ludzki, nie awaria chmury (Rewind, 2024)
Średni koszt naruszenia danych wyniósł globalnie 4,88 mln USD w 2024 roku (IBM, 2024)

Co Microsoft naprawdę chroni — i dlaczego to nie wystarczy?

Zgodnie z modelem wspólnej odpowiedzialności (Shared Responsibility Model), Microsoft gwarantuje dostępność infrastruktury — serwerów, sieci i samej platformy M365 — ale nie odpowiada za dane, które w niej przechowujesz. Sam Microsoft w swojej Umowie o świadczenie usług pisze wprost: „Zalecamy regularne tworzenie kopii zapasowych zawartości i danych przechowywanych w usługach lub za pomocą aplikacji i usług innych firm." (Veeam / Microsoft Service Agreement, 2024).

Innymi słowy: Microsoft pilnuje, żeby serwery działały. Ale jeśli Twój pracownik przypadkowo usunie folder z umowami, złośliwe oprogramowanie zaszyfruje skrzynki pocztowe albo ktoś z zewnątrz przejmie konto — Microsoft nie odtworzy tych danych. To Twoja odpowiedzialność.

To rozróżnienie ma fundamentalne znaczenie dla firm w Polsce, które często traktują chmurę jako synonim bezpieczeństwa. Przeniesienie poczty do M365 to świetna decyzja — ale bez backupu zamieniasz fizyczną szafę z dokumentami na cyfrową, której drzwi mogą zniknąć w każdej chwili. Więcej o bezpieczeństwie IT dla firm piszemy w osobnym poradniku.

Jakie dane możesz stracić w M365 — i jak szybko upłynie czas na ich odzysk?

Limity retencji wbudowane w Microsoft 365 są krótsze, niż większość firm zakłada: usunięte wiadomości Exchange Online można odtworzyć przez maksymalnie 30 dni, a pliki z SharePoint i OneDrive znikają bezpowrotnie po 93 dniach (Microsoft Learn, 2024). Po rozwiązaniu subskrypcji dane są usuwane po zaledwie 30 dniach.

Brzmi jak dużo? Badania pokazują, że średni czas od wystąpienia incydentu do jego wykrycia wynosi około 140 dni (MSP360, 2024). Wyobraź sobie: pracownik usuwa folder ze współdzielonymi dokumentami przetargowymi w styczniu — IT dowiaduje się o tym w maju. Dane od dawna zniknęły.

Limity odzysku danych w Microsoft 365Exchange Online (maile)30 dniSharePoint / OneDrive93 dniTeams (wiadomości)93 dniPo zamknięciu konta/subskrypcji30 dniBardzo krótki — ryzykownyOgraniczony — niewystarczającyŚr. czas wykrycia incydentu:140 dniMSP360, 2024Każdy limit jest krótszyniż czas wykrycia!Źródło: Microsoft Learn, 2024 | MSP360, 2024

Wbudowane limity retencji Microsoft 365 vs. średni czas wykrycia incydentu danych. Źródło: Microsoft Learn, MSP360, 2024.

Najgroźniejszy scenariusz to nie awaria serwerów Microsoftu — to pracownik, który nie wie, że właśnie usunął coś ważnego, albo atak, którego nikt nie zauważył przez kilka miesięcy. Jeśli ostatnio przeszedłeś przez migrację poczty do Microsoft 365, to ten moment jest idealny, żeby zadbać też o backup.

Ransomware w chmurze: czy Microsoft 365 chroni przed utratą danych po ataku?

69% organizacji doświadczyło ataku ransomware w ciągu ostatnich 12 miesięcy — i tylko 10% z nich odzyskało ponad 90% swoich danych (Veeam Ransomware Trends Report, 2025). Przeniesienie firmowych danych do chmury nie chroni przed tym zagrożeniem — zmienia jedynie jego charakter.

Ransomware potrafi synchronizować zaszyfrowane pliki z chmurą. Jeśli złośliwe oprogramowanie zainfekuje komputer pracownika i zacznie szyfrować pliki lokalne, klient OneDrive automatycznie „zsynchronizuje" te zaszyfrowane wersje z chmurą — nadpisując oryginały. Efekt? Tracisz dane zarówno lokalnie, jak i w M365.

Ile danych odzyskują firmy po ataku ransomware?Firmy po atakuransomware57%odzyskało mniej niż 50% danych33%odzyskało 50–90% danych10%odzyskało ponad 90% danychŹródło: Veeam Ransomware Trends Report 2025 (n=900 organizacji z doświadczeniem ataku)

Skuteczność odzysku danych po ataku ransomware. Tylko 10% firm odzyskuje ponad 90% danych. Źródło: Veeam, 2025.

Co więcej, 89% ataków ransomware celuje bezpośrednio w repozytoria kopii zapasowych — bo cyberprzestępcy wiedzą, że zanim firma zapłaci okup, sięgnie po backup (Veeam, 2025). Backup w M365 wykonany tylko do SharePoint — który sam jest podatny na zsynchronizowanie zaszyfrowanych plików — to nie rozwiązanie. To złudzenie bezpieczeństwa. Szczegółowo o tym, jak przebiega atak ransomware w małej firmie, piszemy w osobnym artykule.

Błąd ludzki: najczęstsze i najtrudniejsze do przewidzenia źródło utraty danych

Badanie Rewind z 2024 roku wskazuje, że 83% przypadków utraty danych w środowiskach SaaS (w tym M365) spowodował błąd ludzki, a kolejne 82% — awarie integracji z aplikacjami zewnętrznymi (Rewind, 2024). Awaria infrastruktury Microsoft? Praktycznie marginalna przyczyna.

Jak wygląda to w praktyce? Pracownik porządkuje OneDrive i usuwa „nieważny" folder — a w nim ważne załączniki do kontraktów. Nowa osoba w dziale omyłkowo nadpisuje szablon oferty, kasując wersję, której wszyscy używali. Odejście pracownika, po którym konto zostaje usunięte — a z nim całe jego zasoby. Żaden z tych scenariuszy nie jest awarią Microsoftu. Żaden nie jest objęty wbudowaną ochroną po upływie okna retencji.

Przyczyny utraty danych w Microsoft 365Błąd ludzki / przypadkowe usunięcie47%Integracje aplikacji20%Błędy synchronizacji17%Złośliwe działanie10%Inne6%Źródło: Rewind 2024 State of SaaS Data and Recovery Report

Przyczyny utraty danych w środowiskach SaaS (w tym Microsoft 365). Błąd ludzki odpowiada za niemal połowę wszystkich incydentów. Źródło: Rewind, 2024.

29% dostawców usług IT (MSP) deklaruje, że u co najmniej jednego klienta doszło do utraty danych M365, której można było uniknąć, gdyby istniał dedykowany backup (Syncro, 2025). O tym, dlaczego warto myśleć o kopiach zapasowych szerzej — nie tylko w kontekście M365 — przeczytasz w naszym wcześniejszym artykule.

RODO a backup Microsoft 365: o czym Twoja firma musi wiedzieć

RODO nakłada na administratorów danych obowiązek zapewnienia integralności i dostępności danych osobowych — co oznacza, że musisz być w stanie odtworzyć dane po incydencie (Microsoft Learn / Azure Shared Responsibility, 2024). Wbudowana retencja M365 nie spełnia tych wymogów w sytuacji, gdy incydent zostanie wykryty po upływie okna odzysku.

Widzimy to regularnie w naszej pracy z firmami z Częstochowy i okolic: przedsiębiorcy są przekonani, że skoro płacą za Microsoft 365, ich dane są „bezpieczne". Kiedy pytamy, czy mają backup na wypadek usunięcia konta odchodzącego pracownika, odpowiedź jest często cisza. W Polsce brakuje konkretnych decyzji regulatora dotyczących backupu SaaS, ale ogólna zasada rozliczalności z art. 5 RODO jasno wskazuje: brak możliwości odtworzenia danych osobowych = naruszenie ochrony danych.

Jeśli Twoja firma przechowuje w M365 dane klientów, oferty, umowy lub dokumentację kadrową — brak zewnętrznego backupu to realne ryzyko prawne, nie tylko techniczne. To jeden z obszarów, który omawiamy w ramach audytu bezpieczeństwa IT dla firm z regionu.

Jak skutecznie zabezpieczyć dane w Microsoft 365?

Skuteczna ochrona danych M365 opiera się na trzech warstwach, których nie zastąpią wbudowane mechanizmy platformy. 92% organizacji planuje w 2024 roku zwiększyć budżety na ochronę danych — bo coraz więcej firm przekonało się o tym boleśnie na własnym przykładzie (Veeam Data Protection Trends Report, 2024).

Warstwa 1: Dedykowane rozwiązanie do backupu M365

Narzędzia takie jak Veeam Backup for Microsoft 365, Acronis Cyber Backup czy Datto SaaS Protection tworzą niezależne kopie całych skrzynek Exchange, zasobów SharePoint i OneDrive oraz wiadomości Teams. Kluczowe jest, żeby backup był przechowywany poza ekosystemem Microsoft — najlepiej w osobnej chmurze lub lokalnie.

Warstwa 2: Reguła 3-2-1

Reguła 3-2-1 to minimum dla każdej firmy: 3 kopie danych, na 2 różnych nośnikach, w tym 1 poza lokalizacją firmy. W kontekście M365 oznacza to: dane w chmurze Microsoft + backup w zewnętrznej chmurze (np. Azure Blob Storage, AWS S3) + opcjonalnie kopia lokalna. Więcej o usługach backupu danych oferowanych przez ITFast dla firm z Częstochowy.

Warstwa 3: Testowanie odtwarzania

Backup, którego nikt nie przetestował, to backup, który może zawieść w najważniejszym momencie. Regularny test odtworzenia wybranych zasobów (np. raz na kwartał) to jedyna metoda na pewność, że proces działa. Pamiętaj: liczy się czas odtworzenia (RTO), nie tylko to, że kopia istnieje.

Nie wiesz, od czego zacząć? Skontaktuj się z naszym serwisem outsourcingu IT w Częstochowie — pomożemy dobrać i wdrożyć odpowiednie rozwiązanie backupowe dla Twojej firmy.

Często zadawane pytania o backup Microsoft 365

Czy Microsoft 365 ma wbudowany backup?

Microsoft 365 nie oferuje backupu w tradycyjnym sensie. Platforma zapewnia krótkoterminowe mechanizmy retencji (kosz, wersjonowanie plików), ale nie zastępują one pełnego backupu. Usunięte maile można odtworzyć przez maksymalnie 30 dni, a pliki z SharePoint przez 93 dni — po tym czasie dane znikają bezpowrotnie. Sam Microsoft zaleca korzystanie z zewnętrznych rozwiązań backupowych i wyraźnie zaznacza to w swojej umowie serwisowej. Sprawdź nasze usługi backupu danych.

Czy ransomware może zaatakować dane przechowywane w Microsoft 365?

Tak, i to częściej niż większość firm zdaje sobie sprawę. Ransomware może zsynchronizować zaszyfrowane pliki z OneDrive przez klienta chmurowego, nadpisując oryginalne wersje w chmurze. 69% organizacji doświadczyło ataku ransomware w 2024/2025 roku (Veeam, 2025), a tylko 10% odzyskuje pełną ilość danych po ataku. Dowiedz się więcej o zagrożeniu ransomware dla małych firm.

Jak długo Microsoft przechowuje dane usuniętego pracownika?

Po usunięciu konta użytkownika jego dane (skrzynka, pliki OneDrive) są dostępne do odtworzenia przez 30 dni, po czym zostają trwale skasowane. Jeśli firma nie pobierze kopii zapasowej przed upływem tego terminu, dane przepadają. Dotyczy to umów, korespondencji i dokumentów, które pracownik tworzył przez lata pracy. Skontaktuj się z serwisem informatycznym ITFast, żeby zaplanować odpowiednią procedurę.

Czy backup M365 jest drogi?

Koszt profesjonalnego backupu Microsoft 365 to zazwyczaj kilka złotych miesięcznie na użytkownika — wielokrotnie mniej niż potencjalny koszt utraty danych. Dla porównania: średni koszt naruszenia bezpieczeństwa danych globalnie wyniósł 4,88 mln USD w 2024 roku (IBM, 2024). Nawet dla małej firmy w Polsce koszt przywracania danych, obsługi prawnej i przestojów operacyjnych może wynosić dziesiątki tysięcy złotych.

Podsumowanie: backup M365 to nie opcja, to konieczność

Microsoft 365 to świetna platforma — ale nie jest systemem backupu. Model wspólnej odpowiedzialności jasno określa granicę: Microsoft odpowiada za infrastrukturę, Ty odpowiadasz za dane. Limity retencji są krótkie, błąd ludzki jest nieunikniony, a cyberprzestępcy coraz chętniej celują właśnie w dane chmurowe.

Dobra wiadomość: zabezpieczenie danych M365 jest dziś prostsze i tańsze niż kiedykolwiek. Wystarczy właściwy dobór narzędzia i przemyślana strategia. Jeśli potrzebujesz pomocy w ocenie ryzyka lub wdrożeniu backupu dla Twojej firmy w Częstochowie — skontaktuj się z nami. Nasz zespół informatyków przeprowadzi audyt i zaproponuje rozwiązanie dopasowane do Twojej skali działalności.

Microsoft nie tworzy backupów Twoich danych — musisz zadbać o to sam
Okna retencji (30–93 dni) są krótsze niż średni czas wykrycia incydentu (140 dni)
83% utraty danych powoduje błąd ludzki, nie awaria Microsoftu
Ransomware potrafi nadpisać pliki w OneDrive przez synchronizację
Backup M365 to kilka złotych miesięcznie — bez niego ryzykujesz znacznie więcej

AutorMariusz Szydłowski

Informatyk, sieciowiec, założyciel ITFast. 25 lat doświadczenia w projektowaniu sieci, bezpieczeństwie IT i obsłudze firm w Częstochowie i na Śląsku. Pisze o tym, z czym firmy faktycznie mają problem — awariach, ransomware, backupie i tym dlaczego własny informatyk na etat to często przepłacanie.

Najczęściej zadawane pytania

Poniżej znajdziesz odpowiedzi na najczęściej zadawane pytania dotyczące naszych usług. Masz inne pytania? Skontaktuj się z nami!

Czy Microsoft 365 automatycznie tworzy kopie zapasowe moich danych?

Nie — Microsoft 365 nie oferuje backupu w tradycyjnym znaczeniu tego słowa. Platforma zapewnia krótkoterminowe mechanizmy retencji, takie jak kosz e-mail czy historia wersji plików, ale nie są one odpowiednikiem pełnej kopii zapasowej. Usunięte wiadomości Exchange Online można odtworzyć przez maksymalnie 30 dni, pliki z SharePoint i OneDrive przez 93 dni — po tym czasie dane znikają bezpowrotnie. Co istotne, sam Microsoft w swojej Umowie o świadczenie usług zaleca korzystanie z zewnętrznych narzędzi backupowych. Model wspólnej odpowiedzialności (Shared Responsibility Model) wyraźnie określa, że Microsoft odpowiada za dostępność infrastruktury, natomiast ochrona danych użytkowników leży po stronie firmy. Badania Rewind z 2024 roku wykazały, że aż 79% zespołów IT błędnie zakłada, że SaaS automatycznie obejmuje backup. To jeden z najczęstszych i najkosztowniejszych błędów w zarządzaniu IT małych i średnich przedsiębiorstw. Dedykowane rozwiązanie zewnętrzne to jedyna skuteczna odpowiedź.

Jakie dane mogę stracić bezpowrotnie po usunięciu konta pracownika w M365?

Po usunięciu konta użytkownika w Microsoft 365 firma ma zaledwie 30 dni na odtworzenie wszystkich powiązanych danych — skrzynki mailowej, plików OneDrive, udziałów w dokumentach SharePoint oraz historii czatów Teams. Po upływie tego okresu dane są permanentnie usuwane z serwerów Microsoft i nie istnieje żadna oficjalna metoda ich odzyskania. Problem polega na tym, że odchodzący pracownicy często jako jedyni mają dostęp do ważnych zasobów: umów z klientami, korespondencji negocjacyjnej, szablonów dokumentów czy baz kontaktów. Bez wcześniej skonfigurowanego backupu firma może nigdy nie dowiedzieć się, jakie dane utraciła. Dotyczy to szczególnie firm, które często rotują pracownikami lub korzystają z kont tymczasowych dla podwykonawców. Zgodnie z danymi MSP360 z 2024 roku, średni czas od zdarzenia do jego wykrycia wynosi aż 140 dni — co oznacza, że dane dawno przekroczyły limit retencji zanim ktokolwiek zorientuje się, że coś zginęło.

Czy ransomware może zniszczyć dane przechowywane w Microsoft 365 w chmurze?

Tak i jest to scenariusz realny, nie hipotetyczny. Ransomware atakujący komputer pracownika może poprzez klienta OneDrive automatycznie zsynchronizować zaszyfrowane wersje plików z chmurą — nadpisując oryginalne, czytelne wersje. Efekt jest identyczny jak przy ataku lokalnym: firma traci dostęp do danych zarówno na urządzeniu, jak i w chmurze. Veeam Ransomware Trends Report z 2025 roku pokazuje, że 89% ataków ransomware celuje bezpośrednio w repozytoria kopii zapasowych — cyberprzestępcy dobrze wiedzą, że dopóki backup istnieje, firmy nie płacą ocupu. Dlatego kluczowe jest przechowywanie backupu poza ekosystemem Microsoft, najlepiej z mechanizmem niezmienności (immutable backup), który uniemożliwia modyfikację lub usunięcie kopii przez oprogramowanie szyfrujące. Tylko 32% organizacji korzysta z takich repozytoriów. 69% firm doświadczyło ataku ransomware w ciągu ostatnich 12 miesięcy, a jedynie 10% odzyskało ponad 90% danych — co pokazuje skalę realnego zagrożenia.

Jak backup Microsoft 365 ma się do wymagań RODO?

RODO nakłada na administratorów danych obowiązek zapewnienia integralności, poufności i dostępności danych osobowych — co obejmuje zdolność do ich odtworzenia po incydencie (art. 32 RODO). Wbudowane mechanizmy retencji Microsoft 365 nie spełniają tego wymogu w sytuacji, gdy incydent zostanie wykryty po upływie okna odzysku (30–93 dni). Brak możliwości odtworzenia danych osobowych może zostać uznany za naruszenie ochrony danych w rozumieniu RODO, co rodzi obowiązek zgłoszenia incydentu do UODO w ciągu 72 godzin. Polskie firmy przechowujące w M365 dane klientów, pracowników lub partnerów powinny traktować zewnętrzny backup jako element polityki bezpieczeństwa przetwarzania danych, a nie opcjonalny dodatek. Ocena skutków dla ochrony danych (DPIA) powinna uwzględniać scenariusz utraty danych z chmury SaaS i opisywać środki zaradcze. Profesjonalny backup M365 z retencją punktów odtworzenia przez co najmniej 12 miesięcy odpowiada na te wymagania w sposób kompleksowy i audytowalny.

Ile kosztuje backup Microsoft 365 i czy warto w niego inwestować?

Koszt dedykowanego rozwiązania backupu Microsoft 365 wynosi zazwyczaj od 2 do 8 złotych miesięcznie na użytkownika, w zależności od wybranej platformy i zakresu ochrony. Dla firmy z 20 pracownikami to wydatek rzędu 50–160 złotych miesięcznie — mniej niż jedna wizyta serwisanta IT. Dla porównania, średni globalny koszt naruszenia bezpieczeństwa danych wyniósł w 2024 roku aż 4,88 miliona dolarów (IBM, 2024). Nawet w skali polskiego MŚP koszt przywracania danych ręcznie, obsługa prawna, utrata kontraktów i przestoje operacyjne mogą wynosić kilkadziesiąt tysięcy złotych — wielokrotnie więcej niż wieloletni koszt backupu. Według Veeam Data Protection Trends Report 2024, 92% organizacji planuje zwiększyć budżety na ochronę danych — bo coraz więcej firm przekonało się o tym na własnym przykładzie. Inwestycja w backup to nie koszt, lecz polisa ubezpieczeniowa z mierzalnym zwrotem. Dzięki temu każdy śpi spokojnie.

Jakie są najczęstsze przyczyny utraty danych w Microsoft 365?

Wbrew popularnym przekonaniom, utrata danych w Microsoft 365 rzadko wynika z awarii infrastruktury samego Microsoftu — platforma działa z dostępnością na poziomie 99,9%. Realne zagrożenia są inne. Według raportu Rewind z 2024 roku, 83% incydentów powoduje błąd ludzki: przypadkowe usunięcie e-maili, nadpisanie pliku, omyłkowe skasowanie całego katalogu lub folderów współdzielonych. Kolejne 82% przypadków wynika z problemów z integracjami zewnętrznych aplikacji — synchronizacja danych, migracje, narzędzia CRM lub automatyzacje mogą nieintencjonalnie usuwać lub nadpisywać zasoby. Do listy dochodzą złośliwi pracownicy kasujący dane przed odejściem z firmy oraz ataki ransomware synchronizujące zaszyfrowane pliki z chmurą. Ponad 67% firm wciąż polega wyłącznie na wbudowanych mechanizmach retencji M365, nie mając zewnętrznego backupu. Dopiero pierwsze poważne zdarzenie uświadamia, że kosz e-mail i historia wersji to nie to samo co profesjonalna i całkowicie pełna kopia zapasowa.