Blog
Tabletop exercise: Jak otestovat krizový plán za hodinu, aniž byste paralyzovali firmu

Tabletop exercise: Jak otestovat krizový plán za hodinu, aniž byste paralyzovali firmu

David Martínek
11. května 2026
6 min čtení

V prosinci jsme na blogu rozebrali, jak si připravit funkční plán kontinuity (BCP) a obnovy (DRP). Sepsali jste kroky, identifikovali kritické procesy, zdokumentovali postupy obnovy. Plán je hotový, leží na disku, šéfová ho schválila, NÚKIB ať si klidně přijde.

A teď to nepříjemné: plán, který nikdy nikdo nevyzkoušel, je jen literární dílo.

Vyhláška 409/2025 Sb. (vyšší povinnosti) to v § 4 odst. 1 písm. i) formuluje jasně – vrcholné vedení musí zajistit „testování plánů kontinuity činností, plánů obnovy a procesů spojených se zvládáním kybernetických bezpečnostních incidentů". § 15 písm. e) pak doplňuje konkrétní povinnost na úrovni řízení kontinuity: plány „pravidelně testovat". Ne jednorázově. Pravidelně.

Pro režim nižších povinností (vyhláška 410/2025) je situace volnější – ta v § 6 vyžaduje pouze pravidelné zálohy a stanovení priorit obnovy, samotné testování plánu kontinuity tam jako explicitní požadavek není. Ale i tak: i když to zákon přímo nevyžaduje, mezinárodní best practice (HSEEP, ISO 22301) i zdravý rozum říkají, že netestovaný plán nemá hodnotu. Pokud na vás přijde reálná krize, vyhláška vás nezachrání.

Většina firem, kterých se zákon týká, se testování BCP zalekne. Plnou simulaci si představují jako třídenní cvičení s deseti lidmi v zasedačce, vypnutými servery a zákazníky, kteří nadávají, proč nefunguje aplikace. Realita je naštěstí jiná. Nejúčinnější forma testu se jmenuje tabletop exercise a ve své základní variantě zabere hodinu kvalitního času pětičlenného týmu.

Pojďme si projít, jak to udělat tak, aby z toho něco vypadlo.

Co tabletop je a co není

Tabletop exercise (česky někdy „cvičení u stolu" nebo „štábní cvičení") je moderovaná diskuse nad připraveným scénářem. Sedíte v zasedačce, facilitátor přečte výchozí situaci („v sobotu ráno přišlo hlášení od zaměstnance, že nejde přihlásit k e-mailu") a tým postupně rozhoduje, co by udělal. Žádné servery se nevypínají, žádné zálohy se neobnovují. Cílem není navodit krizový stav – cílem je odhalit, kde plán nedrží pohromadě.

Co tabletop není:

  • Není to test technologie. Pokud chcete vědět, jak rychle se obnoví databáze ze zálohy, potřebujete partial test. Pokud chcete vědět, jak se tým chová pod tlakem rozhodnutí, máte v rukou tabletop.
  • Není to teoretická diskuse o bezpečnosti. Tabletop má jednu konkrétní situaci, jednu časovou osu a tým, který musí vyřešit, co dělat.
  • Není to audit. Není tu hodnocení, že někdo udělal něco špatně. Hodnotí se proces, ne lidé.

V Česku má cvičení dlouhou tradici. NÚKIB provozuje vlastní vzdělávací program Train-the-Trainer, který firmy učí připravovat tabletop scénáře samy. Cyber Rangers, BDO, AEC a další konzultanti to nabízejí jako placenou službu. Smyslem tohoto článku je ukázat, že základní formu zvládnete bez konzultanta.

Anatomie hodinového tabletopu

Mezinárodní standard HSEEP (Homeland Security Exercise and Evaluation Program), na kterém staví i CISA Tabletop Exercise Packages, počítá u úplného cvičení s 2–4 hodinami. Pro firmu, která tabletop dělá poprvé a nemá hotový scénář, je to ale moc velký skok.

Zkrácená varianta, která funguje, vypadá takto:

Příprava: 2 hodiny předem, jeden člověk (typicky bezpečnostní manažer nebo IT vedoucí). Připraví scénář, časovou osu, otázky.

Samotné cvičení: 60 minut, 4–6 lidí. Optimální složení: někdo z IT, někdo z byznysu (provoz, prodej), někdo z managementu, případně právník a komunikace. Méně než čtyři lidé = chybí pohledy. Více než šest = nediskutuje se, monologuje.

Vyhodnocení a After-Action Report: 30 minut bezprostředně po cvičení. Tady se rozhoduje, jestli tabletop měl smysl, nebo to byla ztráta času. K tomu se za chvíli dostaneme.

Čtyři role, kterým se vyplatí přidělit jména

CISA definuje pro tabletop čtyři standardní role. Pro hodinovou variantu vystačíte s redukovanou verzí:

Facilitátor je ten, kdo cvičení vede. Čte scénář, klade otázky, hlídá čas. Nesmí to být nikdo, kdo se účastní jako hráč – facilitátor totiž zná všechny budoucí zvraty a nesmí je hráčům prozradit. V malé firmě je toto klasicky bezpečnostní manažer nebo externí konzultant. Pokud máte interní bezpečnostní roli, ideální obsazení.

Hráči jsou ti, kdo rozhodují. Zástupci IT, byznysu, managementu, případně dalších oddělení. Diskutují, ne IT samostatně, ne management samostatně. Kombinací pohledů vznikne to nejcennější – zjistíte, kde si oddělení neumí předat informace.

Pozorovatelé (volitelné) jsou lidé, kteří poslouchají, ale nezasahují. Externí konzultant, někdo od zřizovatele, advokát. Mohou pomoci v after-action diskusi, ale ve cvičení samotném mlčí.

Zapisovatel sedí stranou a píše, co se říká. Konkrétní rozhodnutí, otevřené otázky, nejasnosti. Bez zapisovatele nebude vyhodnocení – paměť je notoricky špatný nástroj. V minimální variantě může zapisovat sám facilitátor, ale je lepší to oddělit.

Jak postavit scénář

Existují dvě cesty.

Cesta první: stáhnout si hotový scénář od CISA. CISA Tabletop Exercise Packages (CTEP) jsou volně dostupné na webu cisa.gov, obsahují anglicky psané situační manuály pro ransomware, phishing, insider threat, výpadek datacentra a další. Plus prezentační šablony, dotazníky pro účastníky a šablonu After-Action Reportu. Anglicky, ale použitelné přímo s minimální úpravou pro české prostředí.

Cesta druhá: napsat si vlastní scénář. Trvá to déle (tady mluvím o 2–3 hodinách přípravy), ale můžete ho přesně přizpůsobit svému provozu. Doporučená struktura:

  1. Výchozí situace (5–10 vět): Co se stalo, kdy, kdo to první zaznamenal. Buďte konkrétní – město, čas, role lidí. „V sobotu 7. června v 6:32 ráno volá dispečer paní Nováková z provozu, že nejde přihlásit do skladového systému." Místo: „Někdy se stalo, že nešel systém."

  2. Timeline s injects (3–5 zvratů): Tzv. „injects" jsou nové informace, které facilitátor přidává v průběhu cvičení a tím situaci eskaluje. Klasické injects: o hodinu později se ukáže, že útočník stáhl data. O další hodinu se na webu objeví ukázka uniklých informací. Pak přijde e-mail od novináře. Takhle se z incidentu stává krize.

  3. Klíčová rozhodovací místa: Kdy bude tým muset rozhodnout něco velkého? Vypnout síť? Informovat zákazníky? Zaplatit výkupné? Tyhle uzly v scénáři identifikujte předem.

  4. Diskusní otázky pro každou fázi: „Kdo má autoritu vypnout produkční systém?" „Kdy informujeme NÚKIB?" „Kdy informujeme zákazníky a kým?" „Co řekneme novinářům?"

Konkrétní scénář, který si můžete rovnou vytisknout

Tady je vzorové zadání, které funguje pro většinu středně velkých firem nebo ORP. Klidně si ho zkopírujte a upravte.

Název: Ransomware útok přes phishing v účetním oddělení

Výchozí situace (řekne facilitátor): „Je sobota 13. června 2026, 8:14 ráno. Volá paní Hájková z účetního oddělení – přišla do práce zpracovat faktury před uzávěrkou. Když chtěla otevřít sdílený disk s účetními daty, dostala místo tabulky obrázek lebky a anglický text. Říká, že 'něco šifruje její soubory'. IT pohotovost dorazí za 30 minut. Co dělá tým mezi 8:14 a 8:44?"

Inject 1 (po 10 minutách diskuse): „IT pohotovost dorazila. Zjišťují, že stejný symbol je na pěti dalších počítačích v účtárně, na souborovém serveru začíná blikat aktivita disku. Útok zjevně postupuje. Co teď?"

Inject 2 (po dalších 10 minutách): „Je 9:30. Ukázalo se, že útočníci zašifrovali také zálohu z páteční noci, která byla připojená k síti. Zálohovací server na separátním VLAN je netknutý, ale poslední záloha v něm je z čtvrtka. Jste schopni obnovit data ze čtvrtka? Co s tím, co se za pátek udělalo?"

Inject 3 (po dalších 10 minutách): „Je 10:15. Na e-mail finanční ředitelky přišel anglicky psaný e-mail: 'Stáhli jsme 14 GB účetních dat. Pokud do 24 hodin neobdržíme 30 BTC, zveřejníme je včetně mzdové agendy a obchodních smluv.' Jak reagujete?"

Inject 4 (po dalších 10 minutách): „Je 11:00. Volá redaktorka Hospodářských novin – někdo jí poslal odkaz na darknet, kde už visí ukázka 200 MB dat z vaší firmy včetně tří obchodních smluv. Ptá se, jestli chcete situaci komentovat. Komentujete? Kým? Co řeknete?"

Závěrečná otázka po vyčerpání injects: Co bychom měli mít připravené, aby toto všechno zítra nebyla improvizace?

Co dělat ihned po cvičení: After-Action Report

Tady je největší díra v praxi většiny firem. Tabletop proběhne, lidé z toho mají dobrý pocit („to bylo zajímavé!"), rozejdou se a o měsíc později nikdo neví, co z toho vyplynulo.

After-Action Report (AAR) musí vzniknout do 24 hodin po cvičení, jinak se ztratí detaily. Stačí dvoustránkový dokument se třemi sekcemi:

Co fungovalo: Procesy, role, postupy, které tým bezproblémově použil. To je vaše silná stránka, na které se dá stavět.

Co nefungovalo: Kde tým váhal, kde nikdo nevěděl, kdo má co rozhodnout, kde plán něco neřekl nebo říkal jinak, než jak to v praxi vypadalo. Toto je nejcennější výstup celého cvičení.

Akční položky: Konkrétní úkoly s odpovědnou osobou a termínem. Třeba: „Doplnit do BCP, kdo informuje NÚKIB do 24 hodin – odpovědný: bezpečnostní manažer, termín: 30. 6." Bez akčních položek tabletop nemá výstup.

CISA má pro AAR vlastní HSEEP-compliant šablonu, ale nepotřebujete ji. Tři odstavce ve Wordu nebo v Confluence stačí. Důležité je, že akční položky pak někdo skutečně vyřeší a změnu zaznamená do BCP/DRP.

Časté chyby, kterým se vyhnout

Facilitátor je zároveň hráčem. Klasická chyba malých firem. Bezpečnostní manažer napíše scénář, vede cvičení a zároveň diskutuje. Výsledek: cvičení se točí kolem jeho předem vymyšlených odpovědí. Pokud je vás v týmu málo, raději si někoho pozvěte zvenku – kolegu z partnerské firmy, externího konzultanta, někoho ze zřizovatele.

Tým neví, že je to fikce. Smích. Ale stalo se. Pokud ve výchozím nastavení neřeknete jasně „tohle je cvičení", někdo začne reálně volat dodavateli nebo posílat e-mail vedení. Před začátkem cvičení vždy explicitně řekněte: tohle není reálná situace, ale projedeme ji, jako by byla.

Cvičení končí bez akčních položek. Bavili jsme se, něco vyřešili, sepsali jsme to v zápisu, a teď zpátky k práci. Akce nejsou. Po šesti měsících přijde reálný incident a nikdo neví, kdo má co dělat – přesně jak na cvičení. AAR s konkrétními úkoly a termíny je povinný výstup, ne volitelný.

Scénář je moc obecný nebo moc konkrétní. Moc obecný („přišel kybernetický útok") = tým se nemá čeho chytit. Moc konkrétní s technickými detaily o CVE číslech = tým z byznysu se nudí, IT řeší techniku. Ideální je situace, kterou pochopí každý, ale která vyžaduje rozhodnutí napříč odděleními. Ransomware s exfiltrací dat je proto klasický evergreen scénář.

Frekvence a dokumentace pro NÚKIB

Vyhláška 409/2025 mluví obecně o „pravidelnosti", konkrétní frekvenci nestanovuje. Doporučení založené na mezinárodních best practices (HSEEP, ISO 22301, NIST SP 800-84):

  • Každoroční tabletop celého plánu – rozumné minimum pro doložení pravidelnosti při kontrole.
  • Čtvrtletní mini-tabletop konkrétního scénáře – ideál pro firmy v režimu vyšších povinností nebo pro provoz s vysokou mírou změn.
  • Po významném incidentu nebo organizační změně – nový ředitel, nová pobočka, nový kritický systém. BCP se mění, musí se otestovat.

Co po vás NÚKIB bude chtít vidět při kontrole:

  1. Plán tabletop cvičení (kdy, koho, jaký scénář)
  2. Záznam o průběhu cvičení (zápis, prezenční listina)
  3. After-Action Report
  4. Důkaz, že akční položky byly vyřešené (úprava BCP, e-mail s instrukcí, log z ticketovacího systému)

Bez papírové stopy NÚKIB nemá co kontrolovat – a vy nemáte čím doložit, že povinnost plníte.

Závěrem: nepotřebujete třídenní cvičení, potřebujete pravidelnost

V dubnu 2026 se polsko-český tým NÚKIB účastnil prestižního cvičení Locked Shields a obsadil 4. místo z 16. To je úplně jiná liga než firemní tabletop – tam se cvičí pod tlakem, v reálném čase, proti aktivnímu útočníkovi. Ale princip je úplně stejný: realističtější situace, lepší rozhodnutí pod tlakem, méně překvapení v reálné krizi.

Vaše firma nepotřebuje Locked Shields. Potřebuje hodinu měsíčně, pětičlenný tým, jeden scénář, AAR a vůli proměnit zjištění v opatření. To zvládne kdokoli.

A pokud zjistíte, že plán tabletop neodhalí žádné mezery, máte buď výjimečně dobrý plán, nebo špatně postavený scénář. Pravděpodobně to druhé.

Související článek: Pokud BCP/DRP plán teprve sestavujete, začněte u článku z prosince: Připravte se na nejhorší: Plán obnovy provozu pro vaši firmu – tam je celý šestikrokový postup od BIA po dokumentaci.

Chcete pomoct s přípravou tabletop scénáře pro váš provoz? Domluvte si nezávaznou konzultaci. Ukážeme, jak Kraita Cyber One spravuje povinnou dokumentaci včetně záznamů z cvičení a AAR. Vyzkoušet demo | Nezávazná konzultace

Full name
David Martínek
Zpět na výpis článků

Kontaktujte nás

Jsme tu pro vaše dotazy. Věříme, že společně najdeme řešení, které vám bude dávat smysl.

E-mail

info@kraita.io

Telefon

+420 770 182 890

Kancelář

Circles, Budějovická 778/3,Praha, 140 00
Circles s.r.o.
Budějovická 778/3, Praha, 140 00

IČO: 21277371
Spisová značka C 399397/MSPH Městský soud v Praze.
Přihlaste se k odběru newsletteru a buďte informováni o novinkách a funkcích.
Odběrem souhlasíte s našimi Zásadami ochrany osobních údajů.
Děkujeme! Vaše přihlášení bylo úspěšně přijato!
Omlouváme se! Při odesílání formuláře došlo k chybě.
.
Kraita.io
DomůKraita Cyber OneKraita Knowledge ManagerKraita Support AssistantKraita AutomationBlogKontakty
Sledujte nás
Instagram
LinkedIn
Facebook
Youtube
© 2025 Kraita Cyber One. Všechna práva vyhrazena.
Zásady ochrany osobních údajůObchodní podmínkyNastavení cookies