Ćwiczenia tabletop w ramach KSC

Przećwicz reagowanie na incydent, zanim się wydarzy

Ćwiczenie tabletop (symulacja incydentu) to najtańszy sposób, by sprawdzić, czy Twój zespół naprawdę wie, co robić podczas poważnego incydentu. Reglyze prowadzi je z udziałem facylitatora AI, w scenariuszu osadzonym wyłącznie w polskich ramach (Krajowy System Cyberbezpieczeństwa, UKSC, Dz.U. 2026 poz. 252), na zegarze zgłoszeń do właściwego CSIRT: 24 godziny, 72 godziny i 1 miesiąc. Na koniec otrzymujesz gotowy raport poćwiczeniowy.

Dlaczego to ma znaczenie: art. 8 ust. 1 UKSC wymaga systemu zarządzania bezpieczeństwem informacji, którego elementem jest zarządzanie incydentami. Sprawdzona w praktyce gotowość do reagowania to oczekiwany dowód, że ten obowiązek faktycznie działa.

Czym jest ćwiczenie tabletop?

Ćwiczenie tabletop to ustrukturyzowana, beznakładowa próba reagowania na incydent. Zespół zbiera się przy stole (lub w wideokonferencji) i przechodzi przez realistyczny scenariusz cyberataku, omawiając krok po kroku: jak wykrywamy zdarzenie, kto podejmuje decyzje, jak się komunikujemy wewnętrznie i kiedy uruchamiamy zgłoszenia.

Kluczowa cecha: nie rusza się żadnych systemów produkcyjnych. Ćwiczy się wyłącznie decyzje, role i procedury. Dzięki temu ćwiczenie można przeprowadzić w dowolnym momencie, bez ryzyka i bez przestoju usługi. Dobry tabletop ujawnia luki (niejasne role, brakujące kontakty, zbyt wolny obieg decyzji), zanim ujawni je prawdziwy atak.

Dlaczego art. 8 ust. 1 UKSC tego oczekuje

Art. 8 ust. 1 UKSC nakłada na podmioty kluczowe i ważne obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji obejmującego pięć obszarów środków. Jednym z nich jest zarządzanie incydentami: zdolność do wykrycia, obsługi i zgłoszenia poważnego incydentu.

Posiadanie spisanego planu reagowania to dopiero połowa drogi. Plan, którego nikt nigdy nie przećwiczył, w praktyce zwykle zawodzi pod presją czasu. Ćwiczenie tabletop dostarcza tego, czego brakuje: dowodu, że gotowość została sprawdzona, oraz listy konkretnych luk do usunięcia.

  • weryfikuje, że role i odpowiedzialności są jasne, gdy zegar zgłoszeń już biegnie;
  • sprawdza, czy zespół rozumie progi: kiedy zdarzenie staje się poważnym incydentem wymagającym zgłoszenia;
  • ujawnia luki w komunikacji i obiegu decyzji, zanim zrobi to prawdziwy atak;
  • wytwarza auditowalny zapis (raport poćwiczeniowy), który wpisuje się w obowiązek z art. 8 ust. 1 UKSC.

Jak Reglyze prowadzi ćwiczenie

Cztery kroki, w całości wewnątrz platformy. Bez ręcznego przygotowywania materiałów i bez zewnętrznego konsultanta.

  1. 1

    Wybór scenariusza dopasowanego do podmiotu

    Reglyze generuje scenariusz osadzony w profilu Twojej organizacji (sektor, wielkość, klasyfikacja jako podmiot kluczowy lub ważny). Sytuacja jest realistyczna: ransomware, kompromitacja dostawcy, wyciek danych uwierzytelniających, atak na ciągłość usługi.

  2. 2

    Prowadzenie ćwiczenia przez AI

    Facylitator AI wprowadza kolejne zdarzenia (zastrzyki informacji) w realistycznym tempie i zadaje zespołowi pytania decyzyjne. Każda decyzja jest rejestrowana, a moderator utrzymuje rytm ćwiczenia bez potrzeby przygotowywania materiałów ręcznie.

  3. 3

    Zegar zgłoszeń do właściwego CSIRT

    Scenariusz prowadzi zespół przez sekwencję zgłoszeń obowiązującą w Krajowym Systemie Cyberbezpieczeństwa: wczesne ostrzeżenie w ciągu 24 godzin, zgłoszenie incydentu w ciągu 72 godzin oraz sprawozdanie końcowe w ciągu 1 miesiąca. Ćwiczycie podejmowanie decyzji, kiedy zegar już biegnie.

  4. 4

    Raport poćwiczeniowy (after-action report)

    Po zakończeniu Reglyze automatycznie składa raport poćwiczeniowy: przebieg ćwiczenia, decyzje zespołu, zidentyfikowane luki oraz wnioski do planu naprawczego. To gotowy dowód, że gotowość do reagowania na incydenty została sprawdzona.

Scenariusz osadzony w polskich ramach

Sama sytuacja kryzysowa (atak ransomware, kompromitacja dostawcy, wyciek danych) jest uniwersalna. To, co odróżnia dobre ćwiczenie, to warstwa decyzyjna: kiedy uruchomić zgłoszenie, do kogo i z jaką treścią. Reglyze prowadzi zespół dokładnie przez sekwencję obowiązującą w Krajowym Systemie Cyberbezpieczeństwa.

  • Wczesne ostrzeżenie (24 godziny): zespół ćwiczy, w którym momencie zdarzenie staje się poważnym incydentem i wymaga pierwszego sygnału do właściwego CSIRT.
  • Zgłoszenie incydentu (72 godziny): ćwiczy ocenę dotkliwości i rzeczywisty wpływ na usługę, decydując, co przekazać w pełnym zgłoszeniu.
  • Sprawozdanie końcowe (1 miesiąc): ćwiczy domknięcie obsługi i analizę powłamaniową, łącząc wnioski z planem naprawczym.

Ćwiczenie nie tworzy żadnego rzeczywistego zgłoszenia. To w pełni wewnętrzna symulacja. W razie prawdziwego poważnego incydentu zgłoszenie do właściwego CSIRT (CSIRT NASK dla sektora ogólnego i prywatnego) składa zawsze operator przez portal incydent.cert.pl. Reglyze nigdy nie zgłasza za Ciebie.

Raport poćwiczeniowy jako dowód gotowości

Po zakończeniu ćwiczenia Reglyze automatycznie składa raport poćwiczeniowy (after-action report). Nie musisz pisać go ręcznie ani spisywać notatek po spotkaniu.

  • Przebieg ćwiczenia i kolejne zdarzenia (zastrzyki informacji) wprowadzone przez facylitatora;
  • Decyzje zespołu w każdym punkcie scenariusza;
  • Zidentyfikowane luki (niejasne role, brakujące kontakty, zbyt wolny obieg decyzji);
  • Rekomendacje do planu naprawczego, które domykają pętlę zarządzania incydentami.

Taki raport to konkretny, auditowalny zapis, że gotowość do reagowania została sprawdzona, spójny z obowiązkiem z art. 8 ust. 1 UKSC. Warstwa metodyczna jest zgodna z Narodowymi Standardami Cyberbezpieczeństwa (NSC, opartymi na NIST).

Najczęstsze pytania

Czym jest ćwiczenie tabletop?
Ćwiczenie tabletop (symulacja incydentu przy stole) to ustrukturyzowana, beznakładowa próba reagowania na incydent. Zespół omawia, jak zareagowałby na realistyczny scenariusz cyberataku, przechodząc krok po kroku przez wykrycie, decyzje, komunikację i zgłoszenia. Nie rusza się przy tym żadnych systemów produkcyjnych: ćwiczy się wyłącznie decyzje i procedury.
Czy ćwiczenia tabletop są oczekiwane w ramach Krajowego Systemu Cyberbezpieczeństwa?
Art. 8 ust. 1 UKSC wymaga wdrożenia systemu zarządzania bezpieczeństwem informacji obejmującego pięć obszarów środków, w tym zarządzanie incydentami. Sprawdzona w praktyce gotowość do reagowania na incydent jest naturalnym elementem tego obowiązku. Ćwiczenie tabletop to najtańszy sposób, by wytworzyć dowód, że plan reagowania faktycznie działa, zanim wystąpi prawdziwy poważny incydent.
Jak Reglyze prowadzi symulację incydentu?
Reglyze generuje scenariusz dopasowany do profilu Twojego podmiotu i prowadzi ćwiczenie z udziałem facylitatora AI. Moderator wprowadza kolejne zdarzenia, zadaje pytania decyzyjne i utrzymuje tempo, a wszystkie decyzje zespołu są rejestrowane. Scenariusz jest w całości osadzony w polskich ramach (Krajowy System Cyberbezpieczeństwa, UKSC) i prowadzi przez sekwencję zgłoszeń do właściwego CSIRT.
Co zawiera raport poćwiczeniowy?
Raport poćwiczeniowy (after-action report) podsumowuje przebieg ćwiczenia, decyzje podjęte przez zespół, zidentyfikowane luki oraz rekomendacje do planu naprawczego. Jest generowany automatycznie po zakończeniu ćwiczenia i stanowi auditowalny dowód, że gotowość do zarządzania incydentami została sprawdzona w ramach art. 8 ust. 1 UKSC.
Czy podczas ćwiczenia Reglyze zgłasza coś do CSIRT NASK?
Nie. Ćwiczenie tabletop jest w pełni wewnętrzną symulacją: nie powstaje żadne rzeczywiste zgłoszenie. Ćwiczycie wyłącznie decyzje i tempo na zegarze 24 h / 72 h / 1 miesiąc. W razie prawdziwego poważnego incydentu zgłoszenie do właściwego CSIRT (CSIRT NASK dla sektora ogólnego i prywatnego) składa zawsze operator przez portal incydent.cert.pl, a Reglyze jedynie przygotowuje treść pakietu.

Sprawdź swoją gotowość do reagowania

Zacznij od bezpłatnej diagnozy w 2 minuty, by poznać swoją klasyfikację (podmiot kluczowy, podmiot ważny lub poza zakresem). Moduł ćwiczeń tabletop i automatyczny raport poćwiczeniowy są dostępne w planie płatnym.

Ćwiczenie tabletop to wewnętrzna symulacja. Reglyze nie zastępuje porady prawnej i nigdy nie składa zgłoszenia do CSIRT w Twoim imieniu.

Prawdziwe zgłoszenia poważnych incydentów składasz samodzielnie do właściwego CSIRT przez incydent.cert.pl.