Cyber Essentials ist ein von der britischen Regierung unterstütztes Zertifizierungsprogramm für Cybersicherheit, das Organisationen dabei hilft, sich gegen die häufigsten Online-Bedrohungen zu verteidigen. Die Zertifizierung wird von IASME im Auftrag des Nationalen Zentrums für Cybersicherheit (NCSC) durchgeführt und erfordert die Implementierung von fünf technischen Kontrollen, die Firewalls, sichere Konfiguration, Benutzerzugriff, Malware-Schutz und Sicherheitsupdates umfassen. Die Zertifizierung signalisiert Kunden, Aufsichtsbehörden und Partnern in der Lieferkette, dass Ihr Unternehmen die Grundlagen der Cybersicherheit ernst nimmt.
Dieser Leitfaden erklärt alles, was britische Unternehmen 2026 über Cyber Essentials wissen müssen: was das Programm genau umfasst, wer es benötigt, wie hoch die Kosten sind, wie lange es dauert, wie sich die Basiszertifizierung von Cyber Essentials Plus unterscheidet und wie sie sich im Vergleich zu umfassenderen Standards wie … verhält. ISO 27001 Zum Schluss gehen wir auf die häufigsten Fehler von Organisationen ein und zeigen, wie man sie beheben kann. ISMS.online verkürzt den Weg von der Qualifikationslücke zum Zertifikat.
Was sind Cyber-Essentials?
Cyber Essentials ist ein von der britischen Regierung unterstütztes Zertifizierungsprogramm, das einen grundlegenden Satz von Cybersicherheitsmaßnahmen definiert, die jede Organisation implementieren sollte. Das Programm wurde 2014 eingeführt und wird nun vom NCSC (National Cyber Security Centre) betreut und von IASME, der einzigen Akkreditierungsstelle, über ein Netzwerk von Zertifizierungsstellen in ganz Großbritannien durchgeführt. Es ist bewusst praxisorientiert und verhältnismäßig gestaltet und konzentriert sich auf die technischen Kontrollen, die die meisten opportunistischen Internetangriffe abwehren.
Das Programm ist zweistufig. Die grundlegende Cyber Essentials-Zertifizierung wird durch einen Selbstbewertungsfragebogen (den SAQ-Fragenkatalog, den IASME mit jeder Aktualisierung des Programms aktualisiert) erreicht, der von einem leitenden Angestellten des Unternehmens unterzeichnet und anschließend von einem externen Gutachter überprüft wird. Cyber Essentials Plus Zusätzlich wird ein unabhängiges technisches Audit durchgeführt, bei dem der Gutachter eine Stichprobe Ihrer Geräte praktisch testet, nach fehlenden Patches sucht und überprüft, ob die Kontrollen in der Praxis tatsächlich funktionieren.
Laut NCSC sind Organisationen mit Cyber Essentials deutlich seltener Opfer gängiger Cyberangriffe wie Phishing-Angriffe zum Diebstahl von Zugangsdaten, Ransomware durch ungepatchte Software und Malware, die sich über Standardkonfigurationen verbreitet. Das Zertifikat ist ab Ausstellungsdatum 12 Monate gültig und muss jährlich anhand der jeweils aktuellen Fragen erneuert werden.
Es ist wichtig, klarzustellen, was Cyber Essentials nicht ist. Es handelt sich weder um einen tiefgreifenden technischen Penetrationstest noch um ein Informationssicherheitsmanagementsystem (dafür ist ISO 27001 erforderlich) und auch nicht um eine DSGVO-Konformitätszertifizierung (diese regulatorische Verpflichtung wird separat behandelt). Es ist eine gezielte, wiederholbare Überprüfung, ob die grundlegenden Cybersicherheitsmaßnahmen im gesamten Unternehmen implementiert sind. Der Wert des Programms liegt darin, dass die getesteten Kontrollen genau jene sind, die die überwiegende Mehrheit der opportunistischen Angriffe abwehren, denen britische Unternehmen tatsächlich ausgesetzt sind.
Wer braucht Cyber Essentials? (und warum?)
Cyber Essentials ist für eine wachsende Zahl britischer Organisationen verpflichtend oder dringend empfohlen. Die häufigsten Gründe für die Zertifizierung sind:
- Zentrale Verträge der britischen Regierung Seit 2014 müssen Lieferanten, die sich um Aufträge bewerben, die die Verarbeitung personenbezogener Daten oder die Bereitstellung bestimmter IKT-Produkte und -Dienstleistungen umfassen, über die Cyber Essentials-Zertifizierung verfügen. Diese Anforderung ist im Standardvergaberecht verankert und gilt für Direktlieferanten und viele Subunternehmer.
- Lieferanten des Verteidigungsministeriums — Das Verteidigungsministerium verlangt Cyber Essentials für alle Lieferanten, die mit identifizierbaren Informationen des Verteidigungsministeriums umgehen. Cyber Essentials Plus ist erforderlich, wenn der Lieferant sensiblere Daten unter DEFCON 658 verarbeitet.
- NHS-Lieferanten und Toolkit für Datensicherheit und -schutz — Lieferanten von NHS-Organisationen benötigen häufig Cyber Essentials als Teil der Bewertung des Data Security and Protection Toolkit.
- Ausschreibungen von Kommunen und dem öffentlichen Sektor — Viele Kommunen, Rettungsdienste und nachgeordnete Behörden setzen Cyber Essentials mittlerweile als Voraussetzung für die Vergabe von Aufträgen voraus.
- Lieferketten des Privatsektors — Größere britische Unternehmen verlangen zunehmend von ihren Lieferanten aus dem KMU-Bereich den Nachweis der Cyber Essentials-Zertifizierung, bevor sie Verträge unterzeichnen, insbesondere von Datenverarbeitern, IT-Anbietern und Managed Service Providern.
- Cyber-Versicherung Der Besitz des Cyber Essentials-Zertifikats ermöglicht oft günstigere Prämien für Cyberversicherungen oder ist in manchen Fällen sogar Voraussetzung für den Versicherungsschutz. Das von der IASME unterstützte Zertifikat beinhaltet außerdem eine kostenlose Haftpflichtversicherung für in Großbritannien ansässige Kleinunternehmen mit einem Umsatz von unter 20 Millionen Pfund.
- Vertrauenssignal an die Kunden — Das Zertifizierungsabzeichen ist ein anerkannter Beleg dafür, dass Sie die Grundlagen der Cybersicherheit umgesetzt haben, was für B2B-Vertriebs-, Marketing- und Beschaffungsprüfungen von Bedeutung ist.
Wenn Ihre Organisation keiner der oben genannten Kategorien angehört und keinem unmittelbaren vertraglichen Druck ausgesetzt ist, stellt Cyber Essentials dennoch eine sinnvolle Grundlage dar. Die Kosten sind gering, die Kontrollmechanismen entsprechen allgemein bewährten Verfahren, und der Zertifizierungsprozess zwingt Sie dazu, Dinge zu dokumentieren, die Sie eigentlich bereits implementiert haben sollten.
Was umfasst Cyber Essentials? Die 5 Kontrollbereiche
Cyber Essentials definiert fünf technische Kontrollbereiche. Jedes Gerät, jedes Benutzerkonto und jeder Cloud-Dienst im Geltungsbereich muss die Anforderungen aller fünf Bereiche erfüllen. Die folgende Tabelle fasst die einzelnen Kontrollbereiche und die von den Prüfern erwarteten Nachweise zusammen. Die vollständigen Anforderungen finden Sie in unserer Dokumentation. Anforderungen der Cyber Essentials -Guide.
| Kontrollbereich | Was es abdeckt | Was Gutachter prüfen |
|---|---|---|
| 1. Firewalls und Router | Die Netzwerkgrenze zwischen Ihrem Unternehmen und dem Internet, einschließlich der vom ISP bereitgestellten Router, dedizierter Firewalls und hostbasierter Firewalls auf mobilen Laptops. | Die Standard-Administratorpasswörter wurden geändert; die Regeln für eingehenden Datenverkehr sind dokumentiert und begründet; auf Geräten, die außerhalb des Büros verwendet werden, sind hostbasierte Firewalls aktiviert. |
| 2. Sichere Konfiguration | Beseitigung der Schwächen, die in Geräten und Cloud-Diensten standardmäßig eingebaut sind: Standardkonten, Beispielpasswörter, Autostart-Einstellungen, unnötige Dienste. | Standardpasswörter entfernt; unnötige Benutzerkonten und Software deaktiviert; Multi-Faktor-Authentifizierung (MFA) für alle Administratorkonten; Mindestpasswortlänge von 12 Zeichen (8 Zeichen, wenn MFA aktiviert ist). |
| 3. Benutzerzugriffskontrolle | Wie Benutzerkonten erstellt, authentifiziert, mit Berechtigungen versehen und beim Ausscheiden von Benutzern entfernt werden. | Dokumentierter Prozess für Eintritt, Versetzung und Austritt; Trennung von Administratorkonten und Benutzerkonten; Multi-Faktor-Authentifizierung für Cloud-Benutzer, sofern unterstützt; jährliche Überprüfung der Administratorrechte. |
| 4. Schutz vor Schadsoftware | Schutz von Geräten vor Schadcode durch Anti-Malware-Software, Zulassungslisten für Anwendungen oder Sandboxing. | Auf jedem betroffenen Gerät ist ein genehmigter Mechanismus eingerichtet; Signaturen werden aktuell gehalten; mobile Apps stammen ausschließlich aus offiziellen Stores; Zugriffsscanning ist aktiviert. |
| 5. Verwaltung von Sicherheitsupdates | Die gesamte Software muss unterstützt, lizenziert und mit den neuesten Patches versehen sein, damit Angreifer bekannte Sicherheitslücken nicht ausnutzen können. | Es wird ausschließlich vom Hersteller unterstützte Software verwendet; wichtige und kritische Patches werden innerhalb von 14 Tagen eingespielt; veraltete Betriebssysteme und Browser werden entfernt; die Firmware auf Routern und Firewalls wird stets auf dem neuesten Stand gehalten. |
Die gleichen fünf Kontrollmechanismen gelten für Laptops, Desktop-PCs, Server, Mobilgeräte, Netzwerkgeräte und Cloud-Dienste, die in den Geltungsbereich fallen. Cloud-Dienste (Microsoft 365, Google Workspace, AWS, Azure und ähnliche) werden als Erweiterung Ihrer IT-Umgebung und nicht als Ausnahme betrachtet. Sie sind stets für den Benutzerzugriff, die Multi-Faktor-Authentifizierung (MFA) und die Mandantenkonfiguration jedes von Ihnen genutzten Cloud-Dienstes verantwortlich.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Cyber Essentials vs Cyber Essentials Plus
Die mit Abstand häufigste Frage zu Cyber Essentials lautet: Benötige ich die Basiszertifizierung oder die Plus-Zertifizierung? Die ehrliche Antwort ist, dass die beiden nicht wirklich Alternativen darstellen. Plus ist die Basiszertifizierung mit zusätzlicher unabhängiger technischer Überprüfung. Sie können Plus nicht nutzen, ohne zuvor die grundlegenden Cyber Essentials erworben zu haben.
Die folgende Tabelle erläutert die praktischen Unterschiede. Ausführliche technische Informationen zum Plus-Audit finden Sie in unserer [Website/Dokumentation]. Anforderungen von Cyber Essentials Plus -Guide.
| Funktion | Cyber Essentials (Grundlagen) | Cyber Essentials Plus |
|---|---|---|
| Bewertungsmethode | Der Selbstbewertungsfragebogen (SAQ) wurde von einem Vorgesetzten unterzeichnet und von einem Gutachter geprüft. | Selbstbewertung mit anschließendem unabhängigen technischen Audit, einschließlich praktischer Tests an einer Stichprobe von Geräten |
| Scannen von Sicherheitslücken | Nicht erforderlich | Interne und externe authentifizierte Schwachstellenscans von Beispielgeräten |
| Test auf Standardkonfigurationen, MFA und Patching | Durch Beglaubigung bestätigt | Vom Gutachter physisch überprüft |
| Typische Kosten | Ab 330 £ zzgl. MwSt. für Kleinstunternehmen, bis zu 500 £ zzgl. MwSt. für größere Organisationen | Typischerweise 1,500 £ bis über 3,000 £, abhängig von der Größe der Umgebung. |
| Typischer Zeitplan | 2 bis 4 Wochen nach Abschluss der Vorbereitung. | Die technische Prüfungsphase verlängert sich dadurch um weitere 4 bis 6 Wochen. |
| Gültigkeit | 12 Monate | 12 Monate |
| Am besten geeignet, | Kleinere Lieferanten, Verträge mit geringerem Risiko, Unternehmen, die eine Basis schaffen | Regulierte Lieferanten, Aufträge für das Verteidigungsministerium und den NHS, größere Beschaffungsgeschäfte, Organisationen, die eine verifizierte Qualitätssicherung benötigen |
Wenn Ihr Vertrag eine bestimmte Stufe vorschreibt, halten Sie sich daran. Falls Sie die Wahl haben, beginnen Sie mit dem Basis-Zertifikat „Cyber Essentials“, um schnell Lücken zu erkennen und zu schließen. Planen Sie anschließend das Plus-Zertifikat, sobald Sie sicher sind, dass die Sicherheitsmaßnahmen auch unter realen Bedingungen bestehen. Viele Organisationen streben an, das Plus-Zertifikat innerhalb von drei Monaten nach Erhalt des Basis-Zertifikats zu erwerben, solange die Nachweise noch aktuell sind und sich die IT-Umgebung nicht verändert hat.
Ein weiterer wichtiger Aspekt: Nur die Plus-Stufe bietet dem Einkäufer die unabhängige Gewissheit, dass Ihre Kontrollmechanismen funktionieren. Für viele Lieferantenkategorien ist die Selbstzertifizierung nach Cyber Essentials ausreichend. Bei Verträgen mit sensiblen Daten oder kritischen Diensten wird der Kunde jedoch in der Regel die Plus-Stufe verlangen. Wenn Sie von Anfang an auf die Plus-Stufe hinarbeiten, selbst wenn Sie zunächst nur die Basisstufe erreichen, stellen Sie sicher, dass Ihre Nachweise auch einer späteren externen Prüfung standhalten.
Wie viel kostet Cyber Essentials?
Basic Cyber Essentials verwendet eine einheitliche IASME-Preisstruktur, die sich an die Größe des Unternehmens anpasst. Die Preisstufen für 2026 sind wie folgt:
- Kleinstunternehmen (0 bis 9 Mitarbeiter) — 330 £ + MwSt.
- Klein (10 bis 49 Mitarbeiter) — 400 £ + MwSt.
- Mittelgroß (50 bis 249 Mitarbeiter) — 450 £ + MwSt.
- Groß (250+ Mitarbeiter) — 500 £ + MwSt.
Die Gebühr beinhaltet eine Einreichung mit der Option zur Nachreichung bei kleineren Mängeln sowie das IASME-Zertifikat selbst. Für in Großbritannien ansässige Unternehmen mit einem Umsatz unter 20 Millionen Pfund ist außerdem eine von IASME unterstützte Cyberhaftpflichtversicherung bis zu 25,000 Pfund enthalten.
Cyber Essentials Plus wird von Ihrer gewählten Zertifizierungsstelle separat berechnet und richtet sich nach der Größe der zu prüfenden Umgebung und der Anzahl der vom Auditor zu testenden Testgeräte. In Großbritannien liegen die Preise für KMU üblicherweise zwischen 1,500 und über 3,000 £, wobei sie für größere und komplexere IT-Umgebungen steigen. Hinzu kommt die Gebühr für Cyber Essentials Plus sowie der interne Zeitaufwand für Vorbereitung und Behebung der Sicherheitslücken.
Die vollständige Aufschlüsselung, einschließlich versteckter Kosten und Gesamtsummen für drei Jahre, finden Sie in unserer Cyber Essentials Kosten -Guide.
Die IASME-Gebühr allein ist selten der entscheidende Faktor. Die meisten britischen Unternehmen investieren zusätzlich in die Vorbereitung: Lizenzkosten für die Aktualisierung älterer Software auf eine unterstützte Version, MFA-Tools für Konten ohne diese Funktion, MDM-Registrierung für BYOD-Geräte und mitunter einige Tage Beratung zur Validierung der Antworten vor der Einreichung. Als Faustregel gilt: Verdoppeln Sie die IASME-Gebühr für die Basisstufe und kalkulieren Sie zusätzlich das Zwei- bis Dreifache der Plus-Gebühr ein, um alle Kosten für die erstmalige Zertifizierung nach Cyber Essentials Plus zu decken. Die jährlichen Folgegebühren sind deutlich günstiger, sobald die Kontrollen und Nachweise implementiert sind.
Wie lange dauert Cyber Essentials?
Die ehrliche Antwort lautet: zwischen 3 Werktagen und 8 Wochen, je nachdem, wie gut Sie vorbereitet sind. Der Fragebogen selbst kann in weniger als einer Woche ausgefüllt und ausgewertet werden, sofern Ihre Kontrollmechanismen eingerichtet und alle erforderlichen Nachweise vorliegen. Der zeitaufwändigste Teil besteht darin, Lücken zu schließen. Die meisten britischen Unternehmen benötigen 2 bis 4 Wochen für die Basiszertifizierung und weitere 4 bis 6 Wochen, wenn sie direkt zur Plus-Zertifizierung übergehen.
Die größten Verzögerungen resultieren in der Regel aus drei Quellen:
- Auffinden veralteter Administratorkonten ohne MFA oder veralteter Software, die ersetzt werden muss
- Warten auf Nachweise von Dritten wie IT-Support, Cloud-Administratoren oder BYOD-Nutzern
- Bezüglich der Einreichungszyklen, in denen der Gutachter im Fragebogen Klärungsbedarf angibt.
Den vollständigen Zeitplan mit den einzelnen Phasen und den Schnellverfahrensweg finden Sie in unserer Wie lange dauert Cyber Essentials? -Guide.
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
So erhalten Sie die Cyber Essentials-Zertifizierung: der schrittweise Prozess
Der Zertifizierungsprozess umfasst sechs verschiedene Phasen. Keine davon ist technisch kompliziert, aber jede Phase belohnt eine gute Vorbereitung.
- Legen Sie Ihren Umfang fest. — Wählen Sie entweder den gesamten Organisationsbereich (empfohlen) oder eine klar abgegrenzte Teilmenge. Ordnen Sie jeden Benutzer, jedes Gerät, jedes Netzwerk und jeden Cloud-Dienst im Geltungsbereich zu.
- Führen Sie eine Gap-Analyse durch. Gehen Sie die fünf Kontrollbereiche anhand Ihrer aktuellen Situation durch und identifizieren Sie die Lücken. Der Willow-Fragenkatalog ist öffentlich zugänglich und kann daher als Checkliste für Ihre Gap-Analyse verwendet werden.
- Lücken schließen — Ändern Sie Standardpasswörter, aktivieren Sie MFA für Cloud-Konten, ersetzen Sie veraltete Software, dokumentieren Sie Ihren Einstellungs-, Versetzungs- und Austrittsprozess, aktivieren Sie Host-Firewalls auf mobilen Laptops.
- Wählen Sie eine Zertifizierungsstelle — IASME veröffentlicht auf seiner Website eine Liste anerkannter Zertifizierungsstellen. Die meisten liegen preislich in einem engen Bereich; wählen Sie eine, die schnell reagiert und hilfreiche Beratung vor der Einreichung anbietet.
- Vervollständigen Sie den SAQ Ein leitender Beamter gibt die Antworten frei, und die Zertifizierungsstelle prüft die Einreichung. Bei Unklarheiten sind Rückfragen zu erwarten.
- Sie erhalten Ihr Zertifikat (und das optionale Plus-Audit). — Das Basiszertifikat wird in der Regel innerhalb weniger Werktage nach vollständiger Einreichung ausgestellt. Wenn Sie sich für das Plus-Zertifikat entscheiden, folgt im Anschluss die technische Prüfung.
Für einen detaillierteren Einblick in den Fragebogen selbst, die von den Gutachtern gewünschten Nachweise und die häufigsten Fehlerquellen, siehe unsere Cyber Essentials Selbstbewertung -Guide.
Cyber Essentials-Verlängerung: Was passiert nach 12 Monaten?
Cyber Essentials ist keine einmalige Angelegenheit. Das Zertifikat ist ab Ausstellungsdatum 12 Monate gültig, und die Verlängerung muss anhand des zum Verlängerungsdatum aktuellen Fragenkatalogs absolviert werden. Da die Anforderungen des Programms jährlich verschärft werden, werden bei der Verlängerung häufig Kontrollen eingeführt, die bei Ihrer Erstzertifizierung noch nicht galten.
Häufige Hürden bei der Zertifikatserneuerung sind strengere Anforderungen an die Multi-Faktor-Authentifizierung (MFA) für Cloud-Konten, explizite Anforderungen an die Anlageninventur und die Einhaltung des 14-tägigen Patch-Fensters für die Firmware von Routern und Access Points. Beginnen Sie Ihre Vorbereitungen für die Erneuerung mindestens 60 Tage vor Ablauf Ihres Zertifikats, um eventuelle Lücken in Ruhe schließen zu können.
Den vollständigen 12-Monats-Zyklus und eine Anleitung zur schrittweisen Vorbereitung finden Sie in unserem Erneuerung von Cyber Essentials -Guide.
Cyber Essentials vs. ISO 27001 und SOC 2
Cyber Essentials ist ein ausschließlich in Großbritannien geltender Basisstandard. ISO 27001 ist der internationale Standard für ein Informationssicherheits-Managementsystem (ISMS) und SOC 2 Das in den USA entwickelte Berichtswesen ist bei nordamerikanischen Käufern am weitesten verbreitet. Jedes dieser Systeme richtet sich an eine andere Zielgruppe, und die Zertifizierungen ergänzen sich, anstatt miteinander zu konkurrieren.
| Cyber-Grundlagen | ISO 27001 | SOC 2 | |
|---|---|---|---|
| Geltungsbereich | 5 technische Kontrollbereiche | Vollständiges ISMS plus 93 Annex A-Kontrollen | 5 Kriterien für Vertrauensdienste, bezogen auf einen Dienst |
| Geografische Anerkennung | UK | Internationale | Vorwiegend Nordamerika |
| Typische Kosten | Ab 330 £ zzgl. MwSt. | 3,000 £ bis über 15,000 £ für die Zertifizierung zuzüglich internem Aufwand | 15,000 £ bis über 50,000 £ für einen Typ-2-Bericht |
| Typischer Zeitplan | 2 bis 8 Wochen | 6 zu 18 Monate | 6 bis 12 Monate zuzüglich einer Beobachtungsperiode von 3 bis 12 Monaten |
| Erneuerung | Jährlich | 3-Jahres-Zyklus mit jährlicher Überwachung | Jahresberichtzyklus |
| Am besten geeignet, | Verträge der britischen Regierung, Lieferketten-Baseline, Cyberversicherung | Unternehmenskundenvertrieb, internationale Kunden, regulierte Branchen | SaaS-Anbieter, die an nordamerikanische Unternehmen verkaufen |
Für die meisten britischen Unternehmen ist es pragmatisch, zunächst die Cyber Essentials-Zertifizierung zu erlangen, um Verträge und Versicherungen abzuschließen, und darauf aufbauend die Grundlagen für das Managementsystem nach ISO 27001 (und gegebenenfalls SOC 2) zu schaffen. Die fünf Cyber Essentials-Kontrollen entsprechen direkt Anhang A der ISO 27001, sodass sich die Arbeit ergänzt, anstatt zu duplizieren. Einen direkten Vergleich finden Sie in unserer Cyber Essentials vs ISO 27001 -Guide.
Für kleine Unternehmen mit einem 12-Monats-Plan empfiehlt sich folgende Vorgehensweise: In den ersten drei Monaten Cyber Essentials, um den unmittelbaren Beschaffungs- und Versicherungsbedarf zu decken; bis zum sechsten Monat Cyber Essentials Plus, um die verifizierte Sicherheit nachzuweisen; und ab dem dritten Monat parallel ein ISO 27001-Implementierungsprojekt. SOC 2 wird in der Regel erst relevant, wenn Sie SaaS an nordamerikanische Unternehmen verkaufen. Eine detaillierte Anleitung zur Entscheidungsfindung speziell für kleine Unternehmen finden Sie in unserem [Link einfügen]. Cyber-Grundlagen für kleine Unternehmen -Guide.
Häufige Fehler bei Cyber Essentials (und wie man sie vermeidet)
Die meisten gescheiterten oder verzögerten Anträge im Rahmen des Cyber Essentials-Programms lassen sich auf dieselben wenigen vermeidbaren Fehler zurückführen:
- zu eng gefasst — Die Zertifizierung eines einzelnen Teams oder einer einzelnen Umgebung kann nicht für einen umfassenderen Vertrag verwendet werden. Standardmäßig gilt die Zertifizierung für die gesamte Organisation, es sei denn, es liegen klare technische Gründe dagegen vor.
- BYOD und Heimrouter vergessen — Auch private Mobiltelefone, die für dienstliche E-Mails genutzt werden, sowie Heimarbeiter, die über die Standardrouter ihrer Internetanbieter verbunden sind, fallen in den Geltungsbereich. Erfassen Sie diese im Vorfeld, nicht erst, nachdem der Gutachter danach fragt.
- Betrieb von Software am Ende ihres Lebenszyklus – Nicht mehr unterstützte Windows-Versionen, ungepatchte Browser, veraltete Geschäftsanwendungen. Diese werden vom System automatisch als Fehler behandelt. Führen Sie vor Beginn eine Bestandsaufnahme durch.
- Inkonsistente MFA Die Multi-Faktor-Authentifizierung (MFA) ist für das Konto des CEOs aktiviert, nicht jedoch für das Administratorkonto der alten Domäne oder das Dienstkonto. Die Prüfer achten auf eine vollständige Abdeckung aller Administratorkonten auf allen Cloud-Plattformen.
- Das 14-tägige Patch-Fenster wurde verpasst. Server, die monatlich mit Patches versorgt werden, verpassen oft wichtige oder kritische Sicherheitsupdates. Stellen Sie daher auf häufigere Sicherheitsupdates um.
- Veraltete Einträge zu Beitritt, Umzug und Austritt — Langjährige Mitarbeiter mit angesammelten Administratorrechten, ausgeschiedene Mitarbeiter, deren Konten nie deaktiviert wurden. Führen Sie vor dem Absenden eine Bereinigung durch.
- Beweise bis zur letzten Minute aufschieben Der Versuch, Screenshots, Konfigurationsexporte und Richtliniendokumente in der letzten Woche zusammenzutragen, führt häufig zu Projektverzögerungen. Dokumentieren Sie daher jeden Schritt, um die fehlenden Informationen zu ergänzen.
Entdecken Sie die Leitfäden zu Cyber Essentials
Vertiefen Sie sich in die Themen, die bei der Planung, dem Erwerb und der Erneuerung Ihrer Cyber Essentials-Zertifizierung am wichtigsten sind:
- Anforderungen an Cyber Essentials — Die fünf Kontrollbereiche, die Festlegung des Untersuchungsbereichs und welche Nachweise die Gutachter berücksichtigen.
- Cyber Essentials Kosten — IASME-Preisstaffelung, Zuschlagskosten, versteckte Kosten und 3-Jahres-Gesamtkosten für britische Unternehmen.
- Lohnt sich Cyber Essentials? — Eine ehrliche Einschätzung der Vorteile, Nachteile und wer tatsächlich eine Zertifizierung benötigt.
- Anforderungen für Cyber Essentials Plus — Das technische Audit, die Schwachstellenscans und die Vorteile von Plus gegenüber der Basiszertifizierung.
- Cyber Essentials Selbstbewertung — Der SASQ-Workflow, der Anwendungsbereich, die erforderlichen Nachweise und häufige Fehlerquellen.
- Wie lange dauert der Kurs Cyber Essentials? — Typischer Zeitplan in Großbritannien, beschleunigte Verfahren und Faktoren, die den Prozess verlangsamen.
- Cyber Essentials-Verlängerung — Der 12-Monats-Zyklus, die Kontrolländerungen im Jahr 2026 und wie man sich 60 Tage vorher darauf vorbereiten kann.
- Cyber-Grundlagen für kleine Unternehmen — SMB-spezifische Preisgestaltung, Leistungsumfang und Kosten-Nutzen-Analyse.
- Cyber Essentials vs ISO 27001 — Vergleich von Umfang, Kosten, Zeitaufwand und Anerkennung.
Warum sollten Sie sich für ISMS.online für Cyber Essentials entscheiden?
- Vorbelegte Bedienelemente — Jeder Kontrollbereich von Cyber Essentials ist bereits kartiert. ISMS.onlineSie können also anhand des gesamten Systems bewerten, ohne eine eigene Checkliste oder Tabellenkalkulation von Grund auf erstellen zu müssen.
- Geführte Lückenanalyse — Gehen Sie jedes Steuerelement mithilfe der integrierten Eingabeaufforderungen durch, markieren Sie den aktuellen Status und wandeln Sie jede Lücke in eine zugewiesene Aktion mit einem Verantwortlichen und einem Fälligkeitsdatum um.
- Bibliothek einzelner Belege — Firewall-Konfigurationsexporte, MFA-Screenshots, Einträge zu Eintritt, Versetzung und Austritt sowie Patch-Logs einmalig anhängen und dann bei Verlängerungen, Plus-Audits und anderen Frameworks wiederverwenden.
- Nutzung mehrerer Frameworks — Cyber Essentials-Nachweise in ISMS.online wird auch nach ISO 27001, SOC 2 und NIS 2 Deshalb bleiben auch Kunden, die über Cyber Essentials hinausgehen, bei der Plattform.
- Verlängerung standardmäßig bereit — Die Plattform hält Ihre Nachweise zwischen den jährlichen Zyklen auf dem neuesten Stand und erinnert Sie 60 Tage vor Ablauf Ihres Zertifikats daran, sodass Sie nie wieder von vorne anfangen müssen.
- Immer auf dem neuesten Stand des Programms — Die Plattform verfolgt den aktuellen Willow-Fragenkatalog und kennzeichnet neue Anforderungen, da IASME die Kontrollen jedes Jahr verschärft.
- Tausende von Organisationen vertrauen uns. - ISMS.online unterstützt britische Unternehmen jeder Größe auf ihrem Weg zur Einhaltung der Vorschriften, von erstmaligen Antragstellern für Cyber Essentials bis hin zu globalen ISO-zertifizierten Konzernen.
FAQs
Was ist Cyber Essentials in einfachen Worten?
Cyber Essentials ist eine von der britischen Regierung anerkannte Zertifizierung, die bestätigt, dass Ihr Unternehmen über fünf grundlegende technische Kontrollmechanismen zum Schutz vor gängigen Cyberangriffen verfügt: Firewalls, sichere Konfiguration, Benutzerzugriffskontrolle, Malware-Schutz und Management von Sicherheitsupdates. Sie wird von IASME im Auftrag des NCSC verwaltet und gilt als anerkannter Einstiegsstandard für Cybersicherheit in Großbritannien. Das Zertifikat ist 12 Monate gültig.
Wie viel wird Cyber Essentials im Jahr 2026 kosten?
Die Basic Cyber Essentials-Zertifizierung basiert auf den IASME-Pauschalen: 330 £ zzgl. MwSt. für Kleinstunternehmen (0 bis 9 Mitarbeiter), 400 £ zzgl. MwSt. für kleine Unternehmen (10 bis 49 Mitarbeiter), 450 £ zzgl. MwSt. für mittlere Unternehmen (50 bis 249 Mitarbeiter) und 500 £ zzgl. MwSt. für große Unternehmen (ab 250 Mitarbeitern). Die Cyber Essentials Plus-Zertifizierung wird von Ihrer Zertifizierungsstelle separat berechnet und kostet in der Regel zwischen 1,500 £ und über 3,000 £, abhängig von der Größe Ihrer IT-Umgebung. Hinzu kommt der interne Vorbereitungsaufwand.
Wie lange dauert es, bis man Cyber Essentials erhält?
Die meisten britischen Unternehmen schließen die Basiszertifizierung in 2 bis 4 Wochen ab, im Schnellverfahren dauert es mindestens 3 bis 5 Werktage, sofern bereits entsprechende Kontrollmechanismen vorhanden sind. Cyber Essentials Plus verlängert die Dauer um weitere 4 bis 6 Wochen für das unabhängige technische Audit. Die größten Verzögerungen entstehen durch die Schließung von Altlasten wie fehlender Multi-Faktor-Authentifizierung (MFA), veralteter Software und nicht dokumentierten Administratorkonten.
Worin besteht der Unterschied zwischen Cyber Essentials und Cyber Essentials Plus?
Cyber Essentials Basic ist ein Selbstbewertungsfragebogen, der intern freigegeben und von einem externen Gutachter geprüft wird. Cyber Essentials Plus bietet denselben Umfang, zusätzlich jedoch ein unabhängiges technisches Audit, das Schwachstellenscans und praktische Tests an einer Stichprobe Ihrer Geräte umfasst. Plus bietet verifizierte Sicherheit und wird zunehmend für Verträge mit dem Verteidigungsministerium, dem NHS und regulierten Lieferanten gefordert. Die Zertifizierung nach Cyber Essentials Basic ist Voraussetzung für den Erhalt von Plus.
Wer benötigt Cyber Essentials?
Cyber Essentials ist für Lieferanten der britischen Zentralregierung bei Verträgen mit personenbezogenen Daten oder bestimmten IT-Dienstleistungen sowie für Lieferanten des Verteidigungsministeriums im Rahmen von DEFCON 658 verpflichtend. Auch Lieferanten des Nationalen Gesundheitsdienstes (NHS), Auftragnehmer von Kommunen und eine wachsende Zahl von Unternehmen der Privatwirtschaft benötigen diese Zertifizierung. Viele Cyberversicherer bieten günstigere Prämien an oder machen sie zur Voraussetzung für den Versicherungsschutz. Selbst ohne vertragliche Verpflichtung gilt sie als anerkannter Standard für gute Cybersicherheit.
Was umfasst Cyber Essentials?
Cyber Essentials umfasst fünf technische Kontrollbereiche: Firewalls und Router, sichere Konfiguration, Benutzerzugriffskontrolle, Malware-Schutz und Management von Sicherheitsupdates. Jedes Gerät, jedes Benutzerkonto und jeder Cloud-Dienst muss die Anforderungen in allen fünf Bereichen erfüllen. Cloud-Dienste wie Microsoft 365, Google Workspace, AWS und Azure sind explizit eingeschlossen, wobei die Multi-Faktor-Authentifizierung (MFA) für alle Administratorkonten ab 2026 als Standard erwartet wird.
Lohnt sich Cyber Essentials?
Für die meisten britischen Unternehmen: Ja. Die Zertifizierung ermöglicht den Zugang zu öffentlichen Aufträgen, unterstützt Anträge auf Cyberversicherungen und zwingt zur Optimierung der grundlegenden Sicherheitsvorkehrungen, die die meisten opportunistischen Angriffe verhindern. Die Kosten (mindestens 330 £ zzgl. MwSt.) und der Zeitaufwand (einige Wochen) sind gering im Vergleich zu den vertraglichen und versicherungstechnischen Vorteilen. Für eine umfassendere und ehrliche Einschätzung besuchen Sie unsere Website. Lohnt sich Cyber Essentials? -Guide.
Worin unterscheidet sich Cyber Essentials von ISO 27001?
Cyber Essentials ist ein in Großbritannien geltendes Basisprogramm, das sich auf fünf technische Kontrollbereiche konzentriert. ISO 27001 ist der internationale Standard für ein umfassendes Informationssicherheits-Managementsystem (ISMS) und deckt 93 Kontrollen gemäß Anhang A, Führung, Risikomanagement und kontinuierliche Verbesserung ab. Die Zertifizierung von Cyber Essentials dauert einige Wochen und kostet ab 330 £ zzgl. MwSt.; die Zertifizierung nach ISO 27001 dauert mehrere Monate und kostet ab ca. 3,000 £. Die beiden Zertifizierungen ergänzen sich, wobei Cyber Essentials typischerweise ein erster Schritt hin zur Zertifizierung nach ISO 27001 ist.
