Splnit.eu
PlatformaDemoEU PředpisyBlogPředběžný přístupO násCeník
||
Přihlásit se
Design partner
← Všechny články
GDPR / NIS28 min24. května 2026

Incident response cvičení: jak ověřit, že váš plán skutečně funguje

V březnu 2023 hit ransomware středně velký český výrobní podnik.

Autor: Splnit.eu, Redakce Splnit.eu

V článku

Co je tabletop cvičení a jak se liší od jiných testůProč tabletop právě teď — zákonné důvodyKdo musí být u stoluJak vybrat scénář: tři doporučené pro MSPStruktura cvičení (3 hodiny)Nejčastější zjištění z tabletop cvičeníJak zavést pravidelná cvičeníTL;DR

Co je tabletop cvičení a jak se liší od jiných testů

Svět incident response testování má několik úrovní:

Pro MSP a SaaS firmy je **tabletop cvičení** nejlepším poměrem nákladu a přínosu. Nepotřebuje specializované nástroje, nezasahuje do produkce a lze ho zvládnout interně s minimální přípravou.

**Co tabletop NENÍ:** tabletop není hodnocení zaměstnanců. Cílem je najít slabá místa systému — ne ukázat, kdo se připravil, a kdo ne. Toto musíte jasně sdělit na začátku cvičení.

Typ testuPopisNáročnost
**Tabletop cvičení**Strukturovaná diskuze nad fiktivním scénářemNízká
**Walk-through**Detailní procházení plánu krok za krokem s týmemNízká–střední
**Simulace**Technická simulace incidentu v izolovaném prostředíVysoká
**Live fire / red team**Reálný útok v produkčním prostředíVelmi vysoká

Proč tabletop právě teď — zákonné důvody

nZKB (zákon č. 264/2025 Sb.)

nZKB vyžaduje zavedení řízení bezpečnostních incidentů jako povinné opatření. Nestačí mít plán — plán musí být funkční. Záznamy z testování plánu jsou důkaz pro NÚKIB, že vaše incident response kapacita je reálná, ne jen papírová.

GDPR (Nařízení EU 2016/679)

Princip odpovědnosti (accountability) vyžaduje, abyste soulad s GDPR dokázali prokázat. Pokud dojde k incidentu a ÚOOÚ zjistí, že jste plán nikdy netestovali, je to přitěžující okolnost při posuzování pokuty.

Zákaznické audity

Enterprise zákazníci v bezpečnostních dotaznících pravidelně ptají: „Jak často testujete váš incident response plán?" Správná odpověď obsahuje datum posledního cvičení a stručný popis výsledků — ne „máme plán napsaný."

Kdo musí být u stolu

Cvičení je tak dobré, jako jsou lidé, kteří se ho zúčastní. Klíčové role:

Nezbytní účastníci

**IT/bezpečnostní vedoucí nebo tým** Řeší technickou stránku: detekci, izolaci, forenzní analýzu, obnovu systémů. Musí vědět, kde jsou zálohy, jak izolovat kompromitovaný systém a jak funguje monitoring.

**Vedení firmy (CEO, CTO nebo provozní ředitel)** Rozhoduje o eskalaci, komunikaci vůči zákazníkům, médiím a regulátorům. V reálném incidentu tato osoba rozhoduje o tom, zda firma zaplatí výkupné, kdy informuje zákazníky a zda zapojí forenzní firmu.

**DPO nebo právní zástupce** Posuzuje, zda incident vyžaduje hlášení na ÚOOÚ (GDPR 72 hod) a/nebo NÚKIB (nZKB 24 hod). Musí znát zákonné lhůty a formuláře.

Doporučení účastníci

**Zákaznická podpora / account management** Přijímají první hlášení od zákazníků a jsou první linií komunikace. Musejí vědět, co smí říct a co ne, a na koho eskalovat.

**HR (pokud incident zahrnuje zaměstnance)** Pokud incident zahrnuje podezření na insider threat nebo nutnost personálních kroků.

**Komunikace / PR (pokud firma komunikuje veřejně)** Pro firmy s veřejným profilem nebo mediálně viditelné.

**Celkový počet:** Pro MSP to typicky znamená 4–8 lidí. Cvičení nad 10 lidmi se stávají těžkopádnými.

Jak vybrat scénář: tři doporučené pro MSP

Scénář by měl být realistický pro vaše prostředí, dostatečně komplexní na to, aby testoval více aspektů plánu, ale ne tak technický, aby odstranil netechnické účastníky.

Scénář 1: Ransomware útok

**Kontext pro facilitátora:** Pondělní ráno, 7:45. První zaměstnanec, který přichází do kanceláře, se přihlásí na svůj počítač a uvidí zprávu: „Vaše soubory byly zašifrovány." Monitoring systému začíná alertovat na neobvyklé aktivity na fileserveru. Zákazníci hlásí, že SaaS platforma je nedostupná.

**Injekty (postupně přidávané informace):**

*Inject 1 (t+0):* Přijde alert z monitoringu. Fileserver vykazuje neobvyklou aktivitu — masivní čtení a zápis souborů. IT zjistí, že na třech serverech jsou soubory přejmenované s příponou `.locked`.

*Inject 2 (t+30 min):* Záložní server je také zasažen — ransomware měl přístup k zálohovacímu systému. Zálohy z posledních 3 dnů jsou zašifrovány. Nejstarší čistá záloha je stará 5 dní.

*Inject 3 (t+1 hod):* Útočníci tvrdí, že exfiltrovali zákaznická data (součástí útoku bylo i stažení dat před šifrováním). Požadují výkupné 50 000 EUR v BTC.

*Inject 4 (t+2 hod):* Velký zákazník volá CEO přímo a chce vědět, co se děje. Novinář z odborného media píše e-mail s dotazem.

**Klíčové otázky pro diskuzi:**

  • Kdo rozhoduje o izolaci systémů? Kdy?
  • Jak rychle zjistíme, která zákaznická data byla možná odcizena?
  • Platíme výkupné, nebo ne? Kdo rozhoduje?
  • Co říkáme zákazníkovi do 1 hodiny? Co do 24 hodin?
  • Musíme hlásit NÚKIB? Do kdy? Kdo to dělá?
  • Musíme hlásit ÚOOÚ? Do kdy? Kdo to dělá?
  • Jak obnovujeme provoz z čisté zálohy?

Scénář 2: Únik přihlašovacích údajů

**Kontext:** Ve středu odpoledne přijde automatický alert z threat intelligence systému: přihlašovací údaje ve formátu `jmeno@vasefirma.cz` se objevily v dark web databázi zkompromitovaných účtů. Jde o e-mail + heslo jednoho z vývojářů s přístupem do produkčního prostředí.

**Injekty:**

*Inject 1:* Přistoupíte k logům a zjistíte, že z tohoto účtu proběhlo přihlášení v neobvyklou dobu (2:47 v noci) z IP adresy v Rumunsku — 72 hodin zpátky.

*Inject 2:* Dotyčný vývojář tvrdí, že ve 2:47 spal a přihlášení neprovedl. Zkontrolujete jeho přístupy: má admin práva k produkční databázi zákazníků.

*Inject 3:* Logy produkční databáze ukazují, že v onom nočním přihlášení bylo spuštěno několik SELECT dotazů na tabulky zákazníků. Nevíte, zda, a co bylo staženo.

*Inject 4:* Zákazník vám hlásí, že k jeho účtu byl neoprávněný přístup z neznámé lokace.

**Klíčové otázky:**

  • Co uděláte jako první — změna hesla, nebo zachování přístupu pro forenzní analýzu?
  • Jak určíte, jaká data mohla být kompromitována?
  • Kdy musíte hlásit ÚOOÚ? Máte dost informací pro hlášení?
  • Kdy informujete zákazníky a co jim říkáte?

Scénář 3: Incident u cloudového poskytovatele

**Kontext:** V pátek večer pošle váš cloudový provider e-mail: „Zjistili jsme bezpečnostní incident v naší infrastruktuře. Provádíme šetření. Vaše data mohla být dotčena." Neposkytují žádné další detaily.

**Injekty:**

*Inject 1:* Provider uvede, že incident se týká části infrastruktury, kde jsou uložena zákaznická data. Nevyloučili únik dat.

*Inject 2:* Zákazníci začínají hlásit podezřelé aktivity ve svých účtech. Zdá se, že útočníci znají interní informace, které mohli získat jen z vašich systémů.

*Inject 3:* Provider potvrdí, že data z vašeho tenantuje mohla být přístupná neoprávněné straně po dobu 6 hodin.

**Klíčové otázky:**

  • Co řešíte sami a co čekáte od providera?
  • Kde jsou hranice vaší odpovědnosti vs. providera vůči zákazníkům?
  • Začíná 72hodinová lhůta GDPR od okamžiku, kdy vás provider informoval, nebo od okamžiku, kdy incident skutečně nastal?

Struktura cvičení (3 hodiny)

Část 1: Úvod (20 minut)

**Facilitátor vysvětlí:**

**Rozdejte materiály:**

  • Cíl cvičení: najít slabá místa v systému, ne hodnotit lidi
  • Pravidla: co padne v místnosti, zůstane v místnosti (pro otevřenou diskuzi)
  • Formát: facilitátor přidává informace (injekty), tým diskutuje, co by dělal
  • Vytištěný (nebo sdílený) incident response plán
  • Kontaktní seznam (NÚKIB, ÚOOÚ, forenzní firma, klíčoví zákazníci)
  • Zákonné lhůty (GDPR 72h, nZKB 24h) — jako quick reference card

Část 2: Scénář ve fázích (80 minut)

Facilitátor čte injekty postupně, s dostatečnými pauzami pro diskuzi. Po každém injektu se tým ptá:

**Facilitátor sleduje a zapisuje:**

  • Co víme? Co nevíme?
  • Co musíme udělat jako první?
  • Kdo to dělá?
  • Co říkáme — komu, kdy a jak?
  • Kdo se rozhoduje a na základě čeho
  • Jak dlouho trvá, než padne rozhodnutí
  • Kde nastávají nejasnosti nebo diskuze
  • Kde plan nevede jasně k akci
  • Chybějící informace, které tým potřeboval a neměl (kontakty, přístupy, dokumenty)

Část 3: Hot wash — debriefa (60 minut)

**Nejcennější část cvičení.** Facilitátor projde s týmem:

  • 1. **Co fungovalo dobře?** (Začněte pozitivně — co plan zvládl, co tým věděl)
  • 2. **Kde nastaly nejasnosti?** (Role, rozhodovací pravomoci, komunikační toky)
  • 3. **Co v plánu chybí?** (Kontakty, postupy, šablony)
  • 4. **Co jsme nevěděli, a potřebovali vědět?** (Přístupy k logům, zálohovací architektura, kontakty na NÚKIB/ÚOOÚ)
  • 5. **Konkrétní akční body:** Co kdo udělá do kdy? Přiřaďte zodpovědnosti a termíny.

Část 4: Dokumentace (20 minut nebo po cvičení)

Sepište **zápis z cvičení:**

``` Datum: [datum] Účastníci: [seznam jmen a rolí] Scénář: [název a stručný popis] Klíčová zjištění:

Otevřené akční body:

Příští cvičení plánováno: [datum] ```

Tento dokument uschovejte. Je to váš důkaz pro auditory a zákazníky.

  • 1. [zjištění]
  • 2. [zjištění]
  • [akce] → zodpovídá [jméno] → do [datum]

Nejčastější zjištění z tabletop cvičení

Na základě typických výsledků — toto jsou věci, které firmy při cvičení nejčastěji zjistí:

**1. Nikdo přesně neví, kdy incident musí hlásit NÚKIB a ÚOOÚ** Lhůty jsou zákonné a krátké. Mějte quick reference kartu s jasně napsanými lhůtami a kontakty.

**2. Zálohy existují, ale obnova nebyla nikdy testována** Záloha, ze které neumíte obnovit data v realistickém čase, vám nepomůže. Testujte obnovu čtvrtletně.

**3. Přístupy k logům chybí nebo jsou nekompletní** Bez logů nelze zjistit, co útočník dělal, jaká data mohla být kompromitována a jak dlouho byl v systému.

**4. Komunikační chaos — kdo říká zákazníkům co** Zákazníci dostávají různé informace od různých lidí. Definujte jednoho „mluvčího" pro zákaznickou komunikaci při incidentu.

**5. Eskalační cesta není jasná** Kdo rozhoduje, že incident je „závažný" a vyžaduje eskalaci? Kdo informuje vedení? Bez jasné odpovědi každý čeká, až to udělá někdo jiný.

Jak zavést pravidelná cvičení

**Frekvence:** Minimálně jednou ročně. Ideálně dvakrát: jedno tabletop v první polovině roku, jedno pokročilejší cvičení (třeba s technickou simulací) ve druhé polovině.

**Po každém skutečném incidentu:** Proveďte post-incident review — ne cvičení, ale reálná debriefa toho, co nastalo, co fungovalo a co ne. Výsledky zapracujte do plánu.

**Různé scénáře:** Každý rok vyberte jiný scénář, abyste testovali různé aspekty plánu.

**Rotace účastníků:** Zapojujte různé lidi. Cvičení by nemělo záviset na přítomnosti konkrétní osoby.

TL;DR

  • Incident response plán, který nikdo nezkoušel, selže v reálném incidentu.
  • Tabletop cvičení je nejefektivnější způsob testování: trvá 3 hodiny, nepotřebuje speciální nástroje a odhalí kritické mezery.
  • Minimálně 4 role u stolu: IT vedení, CEO/CTO, DPO/právník, zákaznická podpora.
  • Vyberte realistický scénář pro vaše prostředí: ransomware, únik přihlašovacích údajů nebo incident u dodavatele.
  • Nejčastější zjištění: neznalost zákonných lhůt, netestované zálohy, chybějící logy, komunikační chaos.
  • Zápis z cvičení je důkaz pro zákaznické auditory a regulátory. Uschovejte ho.

Splňte požadavky bez zbytečné byrokracie

Splnit.eu automatizuje compliance pro NIS2, GDPR, ISO 27001 a EU AI Act. Sledujte svůj stav v reálném čase.

Začít zdarma
Splnit.eu

Platforma v předběžném přístupu pro automatizaci compliance v EU.

Měsíční přehled EU předpisů

Produkt

  • Monitoring
  • Integrace
  • Trust Center
  • Bezpečnost
  • Stav
  • Předběžný přístup
  • O nás
  • Ceník
  • Srovnání
  • Partneři

Předpisy

  • NIS2
  • EU AI Act
  • GDPR
  • ISO 27001

Kontakt

Splnit.eu — OSVČ, Olomouc

Olomouc, Česká republika

hello@splnit.eu
GDPRNIS2ISO 27001Vyhl. č. 410/2025 Sb.

© 2026 Splnit · Všechna práva vyhrazena

SoukromíPodmínkyCookiesDPA
||