Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Tabletop exercise

Processen

Oefening waarbij een groep mensen in een kamer een bepaald incident naspeelt. De deelnemers zoeken samen naar een oplossing.

Een tabletop exercise is een interactieve simulatieoefening waarbij een team een fictief maar realistisch cyberincident stap voor stap doorloopt. Deelnemers bespreken aan tafel hoe ze zouden reageren op het scenario, zonder daadwerkelijk systemen te gebruiken of in te grijpen in de productieomgeving. Het doel is om de effectiviteit van je incident response-plan te testen, communicatieknelpunten bloot te leggen en de samenwerking tussen afdelingen te verbeteren. De SURF Handleiding Tabletop Cybercrisisoefeningen noemt het een van de meest kosteneffectieve manieren om je crisisorganisatie te trainen. In tegenstelling tot technische simulaties of red team-oefeningen ligt de nadruk bij een tabletop exercise op besluitvorming, escalatie en communicatie in plaats van op technische detectie en respons.

Hoe werkt een tabletop exercise? Stappen

Een tabletop exercise bestaat uit vijf fasen. In de voorbereidingsfase bepaal je de doelstellingen. Wil je testen hoe snel incidenten worden gedetecteerd, of hoe goed de interne communicatie verloopt? Misschien wil je specifiek de escalatieprocedures onder druk testen of de externe communicatie richting klanten en toezichthouders oefenen. Je selecteert een relevant scenario, zoals een ransomware-aanval, een datalek of een supply chain-compromis. Het scenario moet realistisch zijn voor je organisatie en het dreigingslandschap van je sector.

In de tweede fase stel je het team samen. Betrek niet alleen IT en security, maar ook management, juridische zaken, communicatie en HR. Bij een echt cyberincident zijn al deze disciplines betrokken, dus moet de oefening dat weerspiegelen. Een ervaren facilitator begeleidt de sessie en zorgt ervoor dat alle deelnemers actief participeren. De facilitator bereidt injects voor: onverwachte wendingen in het scenario die de druk opvoeren en de flexibiliteit van het team testen.

Tijdens de uitvoering presenteert de facilitator het scenario in fasen. Bij elk scenario-onderdeel bespreekt het team wie welke actie onderneemt, welke escalatieprocedures worden gevolgd en hoe er intern en extern wordt gecommuniceerd. De facilitator stelt verdiepende vragen: "Wat als de backup ook versleuteld blijkt?", "Wie informeert de Autoriteit Persoonsgegevens?" of "Hoe communiceer je naar klanten als je website offline is?". Deze vragen dwingen het team om voorbij de standaardprocedures te denken.

Na afloop volgt een grondige evaluatie waarin sterke punten en verbeterpunten worden geidentificeerd. Concrete aanbevelingen worden vastgelegd in een actielijst met eigenaren en deadlines, zoals het bijwerken van het incident response-plan, het verbeteren van contactlijsten of het implementeren van aanvullende technische maatregelen. Een follow-up sessie na drie tot zes maanden controleert of de verbeteringen daadwerkelijk zijn doorgevoerd en test de effectiviteit van de aanpassingen.

Wanneer voer je een tabletop exercise uit?

Plan minimaal een tabletop exercise per jaar. Bij organisaties met een hoger risicoprofiel, zoals financiele instellingen of zorginstellingen, is twee keer per jaar aan te raden. Voer daarnaast een extra oefening uit na significante wijzigingen in je IT-omgeving, na een fusie of overname, na een groot personeelsverloop in het crisisteam, of na een daadwerkelijk beveiligingsincident waaruit lessen zijn getrokken.

Compliancekaders vereisen steeds vaker regelmatige crisisoefeningen. NIS2 schrijft voor dat organisaties hun incidentresponscapaciteit regelmatig testen. ISO 27001 vereist dat het business continuity-plan periodiek wordt geoefend en gevalideerd. Een tabletop exercise is de meest laagdrempelige en kosteneffectieve manier om aan deze eisen te voldoen zonder operationele verstoring.

Het is ook waardevol om een tabletop exercise in te zetten bij de onboarding van nieuwe leidinggevenden of bij veranderingen in het crisisteam. Nieuwe teamleden leren zo de procedures kennen en bouwen vertrouwen op in de samenwerking met collega's uit andere afdelingen. Varieer de scenario's tussen sessies: wissel ransomware af met datalekken, insider threats en supply chain-aanvallen om een breed scala aan situaties te dekken.

Wat kost een tabletop exercise?

De kosten van een tabletop exercise varieren sterk afhankelijk van de aanpak en complexiteit. Een interne oefening met eigen facilitator kost vooral tijd: reken op 8 tot 16 uur voorbereiding voor het ontwikkelen van het scenario, de injects en de evaluatiecriteria, en 2 tot 4 uur voor de sessie zelf. De directe kosten zijn dan beperkt tot de uren van de deelnemers en de facilitator.

Schakel je een externe partij in, dan liggen de kosten voor een professioneel gefaciliteerde tabletop exercise tussen 2.500 en 10.000 euro. De prijs hangt af van de complexiteit van het scenario, het aantal deelnemers en de mate van maatwerk. Een standaard ransomware-scenario is goedkoper dan een op maat gemaakte supply chain-simulatie met meerdere scenario-paden en technische demonstraties. Gespecialiseerde aanbieders bieden ook meerjarige pakketten aan met meerdere oefeningen per jaar en trendanalyse over de voortgang.

Voor organisaties met een beperkt budget stelt SURF kant-en-klare tabletop-oefeningen gratis beschikbaar, inclusief draaiboek, scenario's en evaluatieformulieren. Dit maakt het bijzonder toegankelijk voor het MKB en onderwijsinstellingen. De tijdsinvestering is bescheiden in vergelijking met de potentiele kosten van een onvoorbereide crisisrespons. Een gemiddeld cyberincident kost een Nederlandse organisatie tussen de 50.000 en 500.000 euro aan directe schade, een bedrag dat effectieve voorbereiding via tabletop exercises aanzienlijk kan reduceren.

Een vaak onderbelicht voordeel van tabletop exercises is het sociale aspect: deelnemers leren elkaars competenties kennen en bouwen relaties op die cruciaal zijn tijdens een echte crisis. In een stressvolle situatie werkt een team dat elkaar kent en vertrouwt significant effectiever dan een team dat voor het eerst samenwerkt. De informele interactie tijdens en na een tabletop exercise creert een gemeenschappelijk referentiekader dat de communicatie tijdens een echt incident versnelt.

Varieer de complexiteit en het type scenario tussen oefeningen om een breed scala aan situaties te dekken. Begin met een basisscenario als ransomware voor teams die nieuw zijn met tabletop exercises. Bouw geleidelijk op naar complexere scenario's met meerdere gelijktijdige incidenten, mediadruk en juridische complicaties. Combineer cyberscenario's met fysieke incidenten, zoals een ransomware-aanval tijdens een stroomstoring, om de veerkracht van het team te testen onder realistische omstandigheden waar meerdere crises samenvallen.

Veelgestelde vragen over tabletop exercises

Wat is het verschil tussen een tabletop exercise en een red team-oefening?

Een tabletop exercise is een discussieoefening aan tafel zonder technische systemen. Een red team-oefening is een realistische aanvalssimulatie waarbij ethical hackers daadwerkelijk proberen in te breken. Tabletop exercises testen besluitvorming, red teams testen technische verdediging.

Hoeveel mensen nemen deel aan een tabletop exercise?

Idealiter 6 tot 15 deelnemers uit verschillende afdelingen. Te weinig deelnemers beperkt het perspectief, te veel maakt de discussie onbeheersbaar. Zorg dat IT, management, communicatie en juridische zaken vertegenwoordigd zijn.

Hoe lang duurt een tabletop exercise?

Een sessie duurt doorgaans 2 tot 4 uur. Korte scenariogestuurde varianten van 30 tot 60 minuten zijn geschikt voor snelle tussentijdse oefeningen. Uitgebreide sessies met meerdere injects kunnen een halve dag in beslag nemen.

Is een tabletop exercise verplicht onder NIS2?

NIS2 vereist dat organisaties hun incidentrespons regelmatig testen, maar schrijft geen specifieke methode voor. Een tabletop exercise is een van de meest geaccepteerde en kosteneffectieve manieren om aan deze eis te voldoen.

Kan je een tabletop exercise online uitvoeren?

Ja, online tabletop exercises zijn effectief gebleken. Gebruik videovergadertools met breakout rooms voor deelgroepen. Zorg wel voor een strakke facilitatie om de betrokkenheid van alle deelnemers op afstand te waarborgen.

Vind een specialist voor crisisoefeningen via Monitoring & Incident Response op IBgidsNL.