Jak wykorzystać ćwiczenia tabletop do weryfikacji zgodności z NIS2 i DORA?

W poprzednim artykule rozróżniliśmy „security tabletop”, skupione na walce technicznej, od „privacy tabletop”, koncentrującego się na implikacjach prawnych i RODO. Ta druga kategoria płynnie prowadzi nas do jednego z najgorętszych tematów dla zarządów, CISO i dyrektorów IT w całej Europie: nowych, rygorystycznych regulacji. Weryfikacja gotowości na incydent przestaje być dobrą praktyką, a staje się twardym obowiązkiem prawnym, obwarowanym sankcjami.

Dyrektywa NIS2 oraz rozporządzenie DORA fundamentalnie zmieniają zasady gry, kładąc bezprecedensowy nacisk na cyberodporność i zdolność do reagowania. Dla podmiotów kluczowych, ważnych oraz całego sektora finansowego, „papierowe” plany ciągłości działania i reagowania na incydenty przestają być wystarczające. Regulatory wymagają dowodów, że te plany działają w praktyce. W tym kontekście, profesjonalnie przeprowadzone i udokumentowane ćwiczenie tabletop staje się nie dodatkiem, lecz jednym z kluczowych narzędzi do budowania i demonstrowania zgodności (compliance).

Czym są dyrektywa NIS2 i rozporządzenie DORA?

Są to dwie kluczowe regulacje Unii Europejskiej, które stanowią filary nowej ery cyberbezpieczeństwa i odporności cyfrowej.

Dyrektywa NIS2 (Network and Information Security 2) to następca pierwszej dyrektywy NIS. Znacząco rozszerza ona listę sektorów objętych regulacjami, dzieląc je na „podmioty kluczowe” i „ważne”, oraz zaostrza wymogi bezpieczeństwa, nadzoru i raportowania incydentów dla tysięcy firm w całej UE, w tym w Polsce. Rozporządzenie DORA (Digital Operational Resilience Act) to z kolei sektorowy akt prawny, który narzuca ścisłe, jednolite zasady cyfrowej odporności operacyjnej na cały sektor finansowy. Obejmuje on nie tylko banki i ubezpieczycieli, ale także kluczowych dostawców technologii dla tych podmiotów (np. FinTechy, dostawców chmury). DORA koncentruje się na zapewnieniu, że sektor finansowy jest w stanie wytrzymać, reagować i odtwarzać się po wszelkiego rodzaju zakłóceniach i cyberatakach.

Obie te regulacje mają wspólny mianownik: przesuwają akcent z pasywnej ochrony na rzecz aktywnej, mierzalnej i sprawdzalnej odporności. Wymagają od organizacji nie tylko wdrożenia zabezpieczeń, ale także ciągłego demonstrowania ich skuteczności.

Jaki fundamentalny obowiązek testowania nakładają NIS2 i DORA na organizacje?

To jest kluczowa zmiana paradygmatu. Zarówno NIS2, jak i DORA kładą ogromny, bezprecedensowy nacisk na zdolność do reagowania oraz obowiązek regularnego testowania. Wcześniejsze podejście, w którym wystarczyło posiadać Plan Reagowania na Incydenty (IRP) lub Plan Ciągłości Działania (BCP), definitywnie odchodzi do lamusa.

Regulacje te wprowadzają wymóg prawny, aby organizacje regularnie testowały swoje plany i procedury w celu udowodnienia ich realnej skuteczności. Samo posiadanie dokumentu w segregatorze nie jest już dowodem zgodności. Audytor lub organ nadzoru (jak KNF w przypadku DORA) zapyta: „Jak zweryfikowali Państwo, że ten plan zadziała w praktyce? Proszę pokazać dowody z przeprowadzonych testów.”. Ten obowiązek testowania obejmuje nie tylko plany, ale także kompetencje personelu, skuteczność narzędzi technicznych oraz procedury komunikacji. Staje się to jednym z centralnych filarów, na których opiera się cała zgodność z nowymi przepisami.

Jak ćwiczenia tabletop wpisują się w wymóg „testowania planów reagowania na incydenty”?

W kontekście nowych regulacji, ćwiczenia tabletop (TTX) przestają być postrzegane jako „dobra praktyka” dla dojrzałych organizacji, a stają się jednym z podstawowych i najbardziej efektywnych narzędzi do spełnienia „obowiązku testowania”. Są one wprost „wymogiem gotowości na incydenty” (incident readiness requirement).

Tabletop jest uznaną, globalną metodą weryfikacji planów IRP i BCP. Pozwala w kontrolowany, bezpieczny i efektywny kosztowo sposób przetestować, czy procedury zapisane na papierze są adekwatne, realistyczne i – co najważniejsze – czy personel odpowiedzialny za ich wykonanie zna swoje role i obowiązki. Dla CISO (persona Ania) i zarządu, regularne przeprowadzanie ćwiczeń tabletop staje się fundamentalnym sposobem na budowanie gotowości operacyjnej. Co więcej, formalna dokumentacja z tych ćwiczeń (o czym za chwilę) jest bezpośrednim dowodem na realizację obowiązku testowania wymaganego przez NIS2 i DORA.

Czy tabletop może pomóc w testowaniu „zarządzania kryzysowego” wymaganego przez DORA?

Zdecydowanie tak. Rozporządzenie DORA kładzie szczególny nacisk nie tylko na reagowanie techniczne, ale także na nadrzędne zarządzanie kryzysowe i procedury komunikacyjne. Wymaga od instytucji finansowych posiadania solidnych ram zarządzania sytuacją nadzwyczajną, które angażują wyższą kadrę kierowniczą (C-level).

Ćwiczenia tabletop, zwłaszcza te scenariusze, które angażują zarząd (np. atak ransomware, naruszenie danych), są de facto ćwiczeniami z zarządzania kryzysowego. To właśnie podczas takiej symulacji zarząd (persony CEO, CIO) testuje swoje procedury decyzyjne i komunikacyjne w bezpiecznym środowisku. Pytania zadawane podczas tabletopu DORA („Kto podejmuje decyzję o aktywacji planu?”, „Jak komunikujemy się z KNF?”, „Jaka jest nasza strategia PR?”) to podręcznikowy test mechanizmów zarządzania kryzysowego. Tabletop pozwala zweryfikować, czy te strategiczne procedury działają, zanim nadejdzie prawdziwy kryzys operacyjny.

Jak wykorzystać tabletop do testowania komunikacji z organami nadzoru (CSIRT, KNF)?

Kolejnym zaostrzonym wymogiem, zarówno w NIS2, jak i DORA, są bardzo ścisłe i krótkie terminy obowiązkowego raportowania poważnych incydentów. Przykładowo, dyrektywa NIS2 wprowadza wymóg wstępnego zgłoszenia do odpowiedniego CSIRT w ciągu 24 godzin od momentu wykrycia incydentu. Z kolei RODO (które ma zastosowanie w obu przypadkach przy naruszeniu danych) daje 72 godziny na zgłoszenie do UODO.

Scenariusz tabletop jest idealnym narzędziem do przetestowania gotowości organizacji do spełnienia tych terminów. Dobrze zaprojektowany scenariusz (np. przez facylitatora nFlo) musi zawierać „inject” testujący ten obowiązek. Facylitator uruchamia zegar i zadaje pytania. Przykładowy inject: „Godzina 10:00: Wykryto poważny incydent. Jest godzina 14:00 następnego dnia. Minęły 24 godziny. Kto w organizacji był odpowiedzialny za przygotowanie i wysłanie wstępnego zgłoszenia do CSIRT? Co dokładnie to zgłoszenie zawierało? Kto je autoryzował?”. Ta prosta symulacja natychmiast obnaża, czy procedura istnieje tylko na papierze, czy też jest realnie wdrożona i znana zespołowi.

Czy scenariusze CISA (CTEP) są adekwatne do testowania zgodności z NIS2?

Tak, są one doskonałym punktem wyjścia. Jak omawialiśmy w poprzednim artykule, darmowe pakiety ćwiczeń CISA (CTEP) są tworzone przez ekspertów i bazują na realnych zagrożeniach. Wiele podmiotów, które zostaną objęte dyrektywą NIS2 w Polsce, to operatorzy usług kluczowych lub infrastruktury krytycznej (np. energetyka, transport, produkcja, zdrowie). Scenariusze CISA zostały stworzone właśnie z myślą o takich podmiotach.

Szczególnie wartościowe w kontekście NIS2 są pakiety z kategorii „Cyber-Physical Convergence”, czyli te testujące ataki na systemy przemysłowe (ICS/OT). Testują one dokładnie te ryzyka, na które dyrektywa NIS2 kładzie szczególny nacisk. Oczywiście, jak wspominaliśmy, generyczny scenariusz CISA wymaga adaptacji (custom-tailoring) do polskich warunków. Należy w nim podmienić odniesienia do prawa USA na wymogi NIS2, RODO oraz wskazać polskie organy nadzoru (CSIRT NASK, CSIRT GOV, CSIRT MON, UODO).

Jak udokumentować ćwiczenie (AAR), aby stanowiło twardy dowód dla audytora NIS2/DORA?

To jest absolutnie kluczowy element. Samo przeprowadzenie ćwiczenia to za mało – liczy się formalny dowód. Raport po Ćwiczeniu (After Action Report, AAR), o którym szczegółowo pisaliśmy, staje się kluczowym artefaktem audytowym w kontekście zgodności z NIS2 i DORA. Audytor (wewnętrzny, zewnętrzny lub z ramienia regulatora) nie będzie uczestniczył w dyskusji. Będzie prosił o dokumenty.

Profesjonalnie przygotowany raport AAR jest twardym dowodem potwierdzającym „należytą staranność” (due diligence) organizacji. Aby AAR był skutecznym dowodem, musi formalnie dokumentować: (1) że testowanie odbyło się (data, cele, uczestnicy), (2) jakie luki zidentyfikowano (wnioski, obszary do poprawy), oraz (3) jakie działania naprawcze zostały zaplanowane i wdrożone (słynna „Action List” z odpowiedzialnymi osobami i terminami). Taki raport pokazuje regulatorowi, że firma nie tylko testuje, ale także uczy się i realnie doskonali swoją odporność.

Tabletop jako narzędzie zgodności (NIS2 / DORA): Fiszka

• Obowiązek prawny: NIS2 i DORA wymagają regularnego testowania planów reagowania (IRP) i ciągłości działania (BCP).
• Narzędzie walidacji: Ćwiczenie tabletop jest uznaną i efektywną metodą spełnienia tego obowiązku.
• Testowanie raportowania: Tabletop pozwala bezpiecznie przećwiczyć procedury i terminy zgłaszania incydentów do organów nadzoru (np. 24h do CSIRT wg NIS2).
• Kluczowy dowód: Raport po Ćwiczeniu (AAR) z listą działań naprawczych (Action List) staje się formalnym artefaktem audytowym, który udowadnia „należytą staranność” firmy.
• Wniosek: Regularne tabletopty przestają być „kosztem”, a stają się „inwestycją w zgodność”.

Jakie nowe scenariusze (np. atak na łańcuch dostaw) są kluczowe dla NIS2 i DORA?

Obie regulacje, a DORA w szczególności, kładą ogromny nacisk na zarządzanie ryzykiem stron trzecich, czyli ryzykiem związanym z łańcuchem dostaw (supply chain). Regulatorzy doskonale wiedzą, że odporność banku czy firmy energetycznej zależy bezpośrednio od bezpieczeństwa ich kluczowych dostawców IT (dostawców chmury, producentów oprogramowania, integratorów).

Dlatego tradycyjne scenariusze (jak ransomware czy phishing) muszą zostać uzupełnione o bardziej złożone symulacje. Kluczowy staje się scenariusz tabletop: „Atak na łańcuch dostaw” (Supply Chain Breach). Jest to temat, który nFlo, jako integrator systemów, doskonale rozumie. Taki scenariusz (inject) może brzmieć: „Godzina 09:00. Nasz kluczowy dostawca oprogramowania SaaS do zarządzania kadrami (HR) publikuje komunikat o krytycznym naruszeniu bezpieczeństwa. Nasze dane produkcyjne pracowników mogły wyciec.”. Pytania facylitatora brzmią: „Jakie są nasze kontraktowe prawa do audytu tego dostawcy?”, „Jakie są nasze obowiązki raportowe (RODO/NIS2), skoro to nie my zostaliśmy zhakowani, ale nasz dostawca?”. „Jakie mamy plany awaryjne (BCP) na wypadek, gdyby ta usługa była niedostępna przez tydzień?”.

W jaki sposób tabletop pomaga w budowaniu „kultury bezpieczeństwa” wymaganej przez regulacje?

Ostatecznym, nadrzędnym celem zarówno NIS2, jak i DORA jest nie tylko wdrożenie technologii, ale zbudowanie trwałej kultury bezpieczeństwa i odporności w całej organizacji. Chodzi o to, aby cyberbezpieczeństwo przestało być problemem „tego dziwnego działu IT w piwnicy”, a stało się wspólną odpowiedzialnością biznesu.

Ćwiczenia tabletop są jednym z najpotężniejszych narzędzi do budowania tej kultury. Działają „od góry”. Angażując w symulację kryzysu wyższą kadrę zarządzającą (persony CEO, CIO, CFO) oraz liderów biznesowych z różnych działów (Legal, HR, Operacje), tabletop podnosi świadomość ryzyka na najwyższym szczeblu. Kiedy CEO na własne oczy widzi podczas symulacji, jak paraliż IT przekłada się na straty finansowe i chaos prawny, zaczyna rozumieć strategiczne znaczenie bezpieczeństwa. Tabletop tworzy wspólny język i wspólne zrozumienie problemu, co jest fundamentem prawdziwej, proaktywnej kultury bezpieczeństwa wymaganej przez nowoczesne regulacje.