poisettx
FeaturesPricingAbout
Log inSign up
Alle artikelenRead in English
Tabletop exercisesGuideIncident response

Tabletop-oefening organiseren: een stappenplan

Floris Hol9 juni 20264 min leestijd

De meeste tabletop-oefeningen mislukken voordat ze beginnen. Niet dramatisch — ze worden gepland als een vergadering, uitgevoerd als een presentatie, en eindigen met de conclusie dat het "nuttig" was terwijl er niets verandert. Het verschil tussen dát en een oefening waar je team maanden later nog naar verwijst, is geen budget. Het is structuur.

Dit is die structuur, in zeven stappen.

Wat een tabletop-oefening is (en niet is)

Een tabletop-oefening is een gespreksgebaseerde simulatie van een incident: een scenario ontvouwt zich binnen een vast tijdvenster, gebeurtenissen ("injects") arriveren volgens schema, en deelnemers reageren in hun echte rol — beslissen, escaleren en communiceren zoals ze dat in werkelijkheid zouden doen. Niemand raakt productiesystemen aan.

Het is geen presentatie over een incident, geen quiz over het incident response plan, en geen pentest. Technische tests beantwoorden "kunnen we gehackt worden?" Een tabletop beantwoordt de vraag die bepaalt hoe erg een hack wordt: "kunnen we reageren?"

Stap 1: Bepaal wat je toetst

"Incident response oefenen" is geen doelstelling; het is een hoop. Kies één of twee concrete vragen:

  • Werkt ons escalatiepad buiten kantooruren?
  • Herkennen we een meldplichtig incident, en start de 24/72-uursklok op tijd?
  • Kunnen communicatie en legal een holding statement produceren terwijl containment loopt?

De doelstelling bepaalt alles stroomafwaarts — het scenario, de rollen, en wat de debrief meet.

Stap 2: Kies het scenario

Het scenario moet kunnen falen tegen je eigen plannen. Generieke scenario's leveren generieke gesprekken op. Sterke scenario's zijn gegrond in je echte omgeving: jouw bedrijfssystemen als doelwit, jouw security-tooling als detectiebron, de toezichthouders van jouw sector aan de lijn.

Voor een eerste oefening is ransomware de juiste default (zie de FAQ). Voor herhaaloefeningen: rouleer — datalek, supply-chain-compromittering, insider threat — elk belast andere rollen.

Stap 3: Verdeel rollen en wijs een facilitator aan

Iedereen speelt zijn echte rol: de SOC-analist speelt de SOC-analist, de CISO de CISO. Twee regels doen ertoe:

  • Minstens één beslisser doet mee. Een oefening waarin elke moeilijke keuze wordt "geëscaleerd naar iemand die er niet is" traint niets.
  • De facilitator speelt niet mee. Die bewaakt de klok, levert injects, beantwoordt "wat zou het systeem laten zien?"-vragen en observeert voor de debrief.

Rollen die je niet bezet krijgt, worden traditioneel geschrapt — waarmee je stilletjes de interessantste interacties verwijdert. Hier veranderen AI-rollenspelers het format: de ontbrekende CISO, jurist of communicatieadviseur kan door een agent in character worden gespeeld, zodat de aanwezige mensen alsnog de volledige teamdynamiek ervaren.

Stap 4: Schrijf de injects en de tijdlijn

Injects zijn de gebeurtenissen die de oefening voortstuwen: de eerste alert, het losgeldbriefje, de bellende journalist, de toezichthouder met vragen. Goed inject-ontwerp:

  • Escaleert. Begin dubbelzinnig (een vreemde alert), eindig existentieel (productie plat, pers aan de lijn).
  • Richt zich op rollen. Elke inject landt bij de rol die hem toebehoort — de SOC krijgt de alert, communicatie de journalist.
  • Komt onvolledig binnen. Echte incidenten zijn mist. Geef het team niet het hele plaatje in inject één.
  • Bevat de klok. Bouw de meldtermijnen in de tijdlijn, zodat het team moet beslissen wanneer iets meldplichtig wordt.

Een oefening van 60 minuten draagt comfortabel 8–12 injects. Dit is de stap die consultants traditioneel weken kost; het is ook de stap die AI-generatie terugbrengt tot minuten, omdat de injects direct kunnen worden afgeleid uit je scenario, organisatieprofiel en beleidsdocumenten.

Stap 5: Speel de sessie

Praktische regels die de sessie scherp houden:

  • Realtime, echte kanalen. Speel in een chatomgeving, niet rond een tafel met één verteller. Geschreven reacties vormen het transcript dat je later nodig hebt.
  • Het incident pauzeert niet. Zit het team vast, dan is dat een bevinding — geen probleem om halverwege op te lossen. De facilitator mag hinten — privé.
  • Blijf in character. Beslissingen worden genomen door de rol die ze toebehoren, in de eerste persoon. "Ik isoleer nu de fileservers" verslaat "IT zou waarschijnlijk wel iets isoleren."
  • Laat stilte gebeuren. Als niemand handelt, escaleert het incident. Die druk ís de oefening.

Stap 6: Debrief terwijl het vers is

In de debrief wordt de oefening zijn tijd waard — doe hem direct, niet volgende week. Drie vragen per rol:

  1. Wat deed je goed? (Blijven doen.)
  2. Wat miste je of deed je te laat? (De plan-versus-praktijk-gaten.)
  3. Waar liet het plan je in de steek? (De documentbevindingen — vaak het waardevolst.)

Scoor tegen het plan, niet tegen perfectie. Een team dat afweek van een slechte procedure en iets beters improviseerde, heeft een documentbevinding opgeleverd, geen fout.

Stap 7: Rapporteer en beleg de vervolgacties

De output van een oefening is een kort rapport — bevindingen, scores, gemiste stappen — plus vervolgacties met eigenaren en data. Dit is meteen je compliance-bewijs: onder NIS2 artikel 21 is het debrief-rapport precies de effectiviteitsdocumentatie waar auditors om vragen.

Plan daarna de volgende oefening vóórdat iedereen wegloopt. De grootste voorspeller van een sterke responscapaciteit is niet de kwaliteit van één oefening — het is de cadans.

De fouten die oefeningen plat slaan

  • De walkthrough vermomd als oefening. Het IR-plan voorlezen terwijl het team knikt is documentatiereview, geen oefening.
  • Het alwetende scenario. Als inject één de hele aanval uitlegt, valt er niets meer te beslissen.
  • De zaal vol toeschouwers. Twaalf mensen die naar drie pratende mensen kijken, traint drie mensen.
  • Geen consequenties. Als verkeerde beslissingen het scenario niet veranderen, leert het team dat beslissingen er niet toe doen.
  • De debrief die nooit landt. Bevindingen zonder eigenaar zijn observaties. Zes maanden later zijn dezelfde gaten terug.

Doorloop de zeven stappen met een vast ritme, en de oefening houdt op een evenement te zijn en wordt wat hij moet zijn: routine-oefening voor de slechtste dag die je team gaat meemaken.

Veelgestelde vragen

Hoe lang moet een tabletop-oefening duren?

60 tot 90 minuten is de sweet spot voor een gericht scenario met een kernteam. Drills van 30 minuten werken goed om één specifieke zwakte te oefenen; dagdeel-oefeningen lonen alleen voor volwassen teams met complexe, multi-team-scenario's.

Hoeveel deelnemers heb je nodig?

Een nuttige oefening begint bij één. Vijf tot negen rollenspelers is het klassieke format, maar met AI-agents die de rollen invullen die je niet bezet krijgt, kan zelfs één verdediger realistisch trainen tegen een volledig responseteam.

Hoe vaak moet je een tabletop-oefening doen?

Elk kwartaal voor het kernresponseteam is het ritme dat spiergeheugen opbouwt; jaarlijks is de ondergrens waaronder de oefening ceremonie wordt. Korte maandelijkse drills op één beslissing werken goed tussen volledige oefeningen door.

Heb je een externe facilitator nodig?

Je hebt een facilitator nodig die het scenario kent en zelf geen rol speelt — niet per se een externe. Consultants brengen ervaring maar ook kosten en planningsdruk; platforms kunnen inject-timing, rollenspel en scoring automatiseren zodat een interne collega (of het platform zelf) kan faciliteren.

Welk scenario kies je voor een eerste oefening?

Ransomware. Het raakt elke dimensie — technische containment, bedrijfscontinuïteit, juridische meldplicht, communicatie en een bestuursbeslissing (betalen of niet) — en iedereen aan tafel begrijpt direct wat er op het spel staat.

Klaar om het zelf te oefenen?

Genereer in minuten een tabletop-oefening op maat van jouw organisatie.

Aan de slag

Lees ook

NIS2ComplianceTabletop exercises

NIS2 artikel 21: wat de oefenverplichting echt van je vraagt

NIS2 vraagt niet alleen om technische maatregelen. Artikel 21 verwacht dat je tóétst of je organisatie kan reageren — en dat je het kunt bewijzen. Dit betekent het in de praktijk.

13 juni 20264 minLees verder
Tabletop exercisesAIComparison

AI-gedreven vs door consultants geleide tabletop-oefeningen: een eerlijke vergelijking

Consultant-tabletops kosten duizenden euro's en gebeuren één keer per jaar. AI-gedreven oefeningen kosten een abonnement en gebeuren maandelijks. Waar elk model wint — zonder verkooppraat.

5 juni 20263 minLees verder
RansomwareTabletop exercisesScenarios

Ransomware tabletop-scenario: hoe een goede oefening eruitziet

Een sterke ransomware-tabletop is niet 'je bestanden zijn versleuteld, bespreek maar'. Dit is de anatomie van een scenario dat echte beslissingen afdwingt — met een voorbeeld-inject-tijdlijn.

1 juni 20264 minLees verder