Was ist eine Cybersicherheitszertifizierung?
Eine Cybersicherheitszertifizierung ist eine unabhängige Bestätigung dafür, dass eine Organisation bestimmte Informationssicherheitsstandards erfüllt. In Großbritannien lassen sich Zertifizierungen in drei Gruppen einteilen: staatlich geförderte Programme wie … Cyber-Grundlagen und Cyber Essentials Plus, internationale Managementsystemstandards wie ISO 27001 und Prüfberichte wie SOC 2NIS 2 ist als regulatorische Vorgabe und nicht als freiwillige Zertifizierung in diese Reihe eingebettet.
Käufer, Aufsichtsbehörden, Versicherer und Partner in der Lieferkette fordern zunehmend Nachweise dafür, dass ihre Lieferanten anerkannte Standards erfüllen. Die richtige Zertifizierung hängt davon ab, wer sie verlangt, wo Sie Ihre Produkte verkaufen und wie ausgereift Ihre Sicherheitsmaßnahmen sein müssen. Dieser Leitfaden erläutert die fünf gängigsten Zertifizierungssysteme für britische Unternehmen, deren Leistungen, Kosten und Eignung für verschiedene Zielgruppen.
ISMS.online ist die Plattform, die britische Organisationen nutzen, um alle Cybersicherheitszertifizierungen an einem Ort durchzuführen und Nachweise und Kontrollen einmalig über Cyber Essentials, ISO 27001, SOC 2 und NIS 2 hinweg abzubilden, anstatt die Arbeit für jedes Programm neu aufzubauen.
Warum lassen sich britische Organisationen Cybersicherheitszertifizierungen geben?
Fünf Fahrer sind für fast jedes Zertifizierungsprojekt verantwortlich, das wir sehen:
- Beschaffungsanforderungen — Für Verträge der britischen Zentralregierung ist die Zertifizierung „Cyber Essentials“ für Lieferanten, die personenbezogene Daten oder bestimmte IT-Dienstleistungen verarbeiten, vorgeschrieben (Beschaffungsrichtlinie 09/14). Das Verteidigungsministerium verlangt für relevante Lieferanten gemäß DEFCON 658 ebenfalls die Zertifizierung „Cyber Essentials“ oder „Cyber Essentials Plus“. Viele private Auftraggeber übernehmen diese Anforderung in ihre Lieferantenqualifizierungsverfahren.
- Kundennachfrage — B2B-Kunden versenden zunehmend Sicherheitsfragebögen vor der Vertragsunterzeichnung. Ein aktuelles ISO 27001- oder SOC 2-Zertifikat ersetzt oft einen 200 Fragen umfassenden Fragebogen durch eine einzige Anlage.
- Sektorregulierung — NIS 2 (in der EU) und das entsprechende britische System verlangen von wichtigen und unverzichtbaren Einrichtungen in kritischen Sektoren den Nachweis von Cybersicherheitskontrollen und der Meldung von Vorfällen.
- Cyber-Versicherung Versicherer verlangen routinemäßig Nachweise über grundlegende Sicherheitskontrollen, bevor sie eine Police abschließen. Für kleine und mittlere Unternehmen (KMU) ist die Cyber-Essentials-Zertifizierung oft ausreichend; größere oder risikoreichere Versicherungsnehmer benötigen zunehmend ISO 27001 oder SOC 2.
- Interne Qualitätssicherung — Vorstände und Prüfungsausschüsse nutzen unabhängige Zertifizierungen als Nachweis dafür, dass die von ihnen bestätigten Kontrollmechanismen tatsächlich existieren und funktionieren.
Wenn Sie noch nicht wissen, welcher Fahrer für Sie gilt, hilft Ihnen unser Leitfaden weiter. Lohnt sich Cyber Essentials? Er erläutert die Kosten-Nutzen-Rechnung für das Einstiegsprogramm, und von da an wird die Entscheidung klarer.
Welche sind die wichtigsten Cybersicherheitszertifizierungen in Großbritannien?
Fünf Zertifizierungsprogramme prägen den britischen Markt für Cybersicherheitszertifizierungen. Die ersten vier sind freiwillige Zertifizierungen, von der britischen Cyber-Essentials-Familie bis hin zu international anerkannten Standards. Das fünfte Programm ist hingegen eine gesetzliche Verpflichtung und keine echte Zertifizierung. Die meisten britischen Organisationen verfügen im Laufe der Zeit über mehr als eines dieser Programme, um den sich ändernden Kundenbedürfnissen, Branchen und geografischen Gegebenheiten gerecht zu werden.
Cyber Essentials: der von der britischen Regierung unterstützte Einstiegspunkt
Cyber Essentials ist ein 2014 ins Leben gerufenes, von der britischen Regierung unterstütztes Zertifizierungsprogramm, das nun vom National Cyber Security Centre (NCSC) betreut wird. Seit April 2020 ist IASME die alleinige Akkreditierungsstelle. Es prüft die Fähigkeiten von IT-Fachkräften. fünf technische Kontrollbereiche (Firewalls und Router, sichere Konfiguration, Benutzerzugriffskontrolle, Malware-Schutz und Verwaltung von Sicherheitsupdates) auf jedem betroffenen Gerät und Cloud-Dienst.
Die wichtigsten Fakten:
- Format: Fragebogen zur Selbsteinschätzung geprüft von einem IASME-akkreditierten Gutachter
- Gültigkeit: 12 Monate, jährlich verlängerbar
- Kosten: Ab 330 £ zzgl. MwSt. für Kleinstunternehmen (1–9 Mitarbeiter) bis zu 500 £ zzgl. MwSt. für große Unternehmen (ab 250 Mitarbeitern); siehe Cyber Essentials Kosten Die vollständige Preisaufschlüsselung finden Sie hier.
- Typischer Zeitplan: 4–12 Wochen vom Antritt bis zum Zertifikat
- Bonus: Berechtigte britische Organisationen mit einem Umsatz unter 20 Millionen Pfund erhalten eine kostenlose Cyber-Haftpflichtversicherung im Wert von 25,000 Pfund.
- Bestens geeignet für: Britische KMU bewerben sich um Regierungsaufträge; Zulieferer großer Unternehmen; Versicherungsvoraussetzungen; erste formale Zertifizierung
Cyber Essentials ist die kostengünstigste und schnellste Cybersicherheitszertifizierung in Großbritannien. Sie hat zudem den höchsten direkten Beschaffungswert, da die britische Regierung und viele private Auftraggeber sie ausdrücklich vorschreiben. Für die detaillierte Vorbereitungsarbeit bieten wir Ihnen unsere Checkliste Cyber Essentials Er geht jeden einzelnen Schritt durch, bevor Sie die Ware absenden.
Cyber Essentials Plus: Unabhängig geprüfte Sicherheit
Cyber Essentials Plus nutzt dieselben fünf Kontrollbereiche wie Cyber Essentials, ergänzt diese jedoch um ein unabhängiges technisches Audit. Ein von der IASME akkreditierter Prüfer scannt Testgeräte, verifiziert die Multi-Faktor-Authentifizierung per Live-Login, testet E-Mail- und Webfilter und bestätigt die praktische Funktionsfähigkeit der von Ihnen bestätigten Kontrollen.
- Format: SAQ plus praktische technische Prüfung einer repräsentativen Stichprobe von Geräten
- Gültigkeit: 12 Monate
- Kosten: Typischerweise 1,500 bis 3,000 £ zusätzlich zu den Basiskosten von Cyber Essentials, abhängig von der Komplexität der Umgebung.
- Timeline: 1–2 Wochen zusätzlich zu Cyber Essentials, sobald die Vorbereitungsarbeiten abgeschlossen sind
- Bestens geeignet für: Lieferanten des Verteidigungsministeriums oder von Lieferketten mit hohem Risiko (DEFCON 658), Käufer, die Plus ausdrücklich fordern, Organisationen, die Plus als Zwischenschritt zu ISO 27001 nutzen
Die fünf technischen Kontrollbereiche sind detailliert dokumentiert in Anforderungen von Cyber Essentials PlusWenn Sie zwischen CE und CE Plus abwägen, ist der entscheidende Faktor in der Regel, ob ein bestimmter Vertrag oder Versicherer die Plus-Stufe vorschreibt.
ISO 27001: Internationale Zertifizierung für Informationssicherheitsmanagement
ISO/IEC 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Während Cyber Essentials fünf technische Kontrollen prüft, zertifiziert ISO 27001 ein vollständiges Managementsystem: ein risikoorientiertes Rahmenwerk, das Governance, Richtlinien, Asset-Management, Lieferantensicherheit, Reaktion auf Sicherheitsvorfälle, Geschäftskontinuität und 93 spezifische Kontrollen gemäß Anhang A umfasst (Revision 2022; reduziert von 114 in der Version 2013).
- Format: Phase-1-Dokumentationsprüfung, dann Phase-2-Implementierungsprüfung, anschließend jährliche Überwachungsprüfungen und alle drei Jahre eine vollständige Rezertifizierungsprüfung.
- Gültigkeit: 3 Jahre zwischen den Rezertifizierungen, mit jährlicher Überwachung
- Kosten: Typischerweise 3,000 £ bis über 15,000 £ für britische KMU, abhängig vom Umfang und der gewählten Zertifizierungsstelle.
- Timeline: 4–9 Monate für die Erstzertifizierung; länger für komplexe Organisationen
- Bestens geeignet für: Organisationen mit internationalem Vertrieb, B2B-SaaS-Unternehmen, regulierte Branchen, alle, deren Kunden namentlich nach einem ISMS-Zertifikat fragen
ISO 27001 gilt weltweit als Goldstandard für Cybersicherheitszertifizierungen. Die meisten Unternehmenskunden erwarten von ihren Lieferanten, dass sie diese Zertifizierung besitzen. Viele britische Organisationen nutzen Cyber Essentials als Grundlage und steigen dann auf ISO 27001 um, wenn die Kundennachfrage wächst. Informationen zu den Unterschieden hinsichtlich Tiefe, Umfang und Anerkennung finden Sie hier: Cyber Essentials vs ISO 27001Einzelheiten zum Prüfprozess finden Sie unter ISO Zertifizierung 27001.
SOC 2: Sicherheit für US-Kunden und SaaS-Anbieter
SOC 2 (Service Organisation Control 2) ist ein in den USA entwickelter Prüfbericht, der gemäß den Standards des American Institute of CPAs (AICPA) erstellt wird. Er bewertet eine Dienstleistungsorganisation anhand der fünf Trust Services Criteria (Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz), wobei die Sicherheit obligatorisch und die anderen Kriterien je nach Anwendungsbereich optional sind.
- Format: Typ 1 (punktuelle Designbewertung) oder Typ 2 (Betriebseffektivität über einen Beobachtungszeitraum von 3–12 Monaten)
- Gültigkeit: SOC 2 erstellt einen Bericht anstelle eines Zertifikats; Berichte werden in der Regel jährlich erneuert.
- Kosten: 15,000 £ bis über 100,000 £, abhängig von Umfang, Kriterien und Beobachtungszeitraum
- Timeline: Beobachtungszeitraum für Typ 2: 3–12 Monate; Vorbereitungsmaßnahmen verlängern die Dauer in der Regel um 2–4 Monate.
- Bestens geeignet für: SaaS-Anbieter, die in die USA exportieren, Dienstleistungsorganisationen, die Kundendaten verwalten, und alle britischen Organisationen, deren US-Kunden namentlich nach SOC 2 fragen.
SOC 2 und ISO 27001 überschneiden sich stark in den geforderten Kontrollen. Britische Unternehmen, die auf beiden Seiten des Atlantiks verkaufen, wenden häufig beide Standards an. ISMS.online als gemeinsame Beweisebene. Unsere SOC 2 Das Hub behandelt die Kriterien, den Bereitschaftsprozess und die Unterschiede zur ISO 27001.
NIS 2: Regulatorische Cybersicherheit für wichtige und systemrelevante Einrichtungen
NIS 2 ist die EU-Richtlinie der zweiten Generation zur Netz- und Informationssicherheit, und das Vereinigte Königreich hat ein entsprechendes nationales System eingeführt. Es handelt sich nicht um eine Zertifizierung, sondern um eine regulatorische Anforderung für wichtige und systemrelevante Einrichtungen in kritischen Sektoren (Energie, Transport, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt, Postdienste, Abfallwirtschaft, Herstellung und Vertrieb von Chemikalien, Lebensmittel, Herstellung von Medizinprodukten und bestimmte Anbieter digitaler Dienste).
- Format: Regulatorische Verpflichtung zur Umsetzung bestimmter Maßnahmen zum Management von Cybersicherheitsrisiken und zur Einhaltung von Fristen für die Meldung von Vorfällen
- Gültigkeit: Kontinuierlich, unter Aufsicht der Regulierungsbehörde
- Kosten: Es fallen keine Zertifizierungsgebühren an; die Kosten liegen in den Kontrollen selbst, die häufig mit ISO 27001 übereinstimmen.
- Timeline: Stufenweise Einführung; betroffene Organisationen sollten die Umsetzung jetzt beginnen.
- Bestens geeignet für: Alle Organisationen, die gemäß der Richtlinie als systemrelevante oder wichtige Einrichtungen eingestuft werden; Zulieferer dieser Einrichtungen sind ebenfalls indirekt betroffen.
NIS 2 ist manchmal der Auslöser, der eine Organisation von Cyber Essentials zu ISO 27001 führt, da ISO 27001 eine strukturierte Möglichkeit bietet, die in der Richtlinie geforderten Risikomanagementmaßnahmen nachzuweisen. NIS 2 Der Hub erläutert die relevanten Sektoren und die spezifischen Verpflichtungen.
Vergleich: Britische Cybersicherheitszertifizierungen im Überblick
| Zertifizierungsanforderungen | Geltungsbereich | Typische Kosten (britisches KMU) | Typischer Zeitplan | Gültigkeit | Optimale Bildschirmwahl |
|---|---|---|---|---|---|
| Cyber-Grundlagen | 5 technische Kontrollen, selbstbewertet | Ab 330 £ zzgl. MwSt. | 4-12 Wochen | 12 Monate | Britische KMUs, Regierungsaufträge, Versicherungen, erste Zertifizierung |
| Cyber Essentials Plus | Gleiche 5 Kontrollen + unabhängige Prüfung | Fügen Sie 1,500–3,000 £ oder mehr hinzu. | +1–2 Wochen | 12 Monate | Lieferanten des Verteidigungsministeriums, Verträge, die Plus erfordern, ISO 27001-Vorstufe |
| ISO 27001 | Vollständiges ISMS, Kontrollen gemäß Anhang A 93, Governance | 3,000–15,000 £ und mehr | 4 – 9 Monate | 3 Jahre (jährliche Überwachung) | Internationaler Vertrieb, B2B-SaaS, regulierte Branchen |
| SOC 2 (Typ 2) | 5 Kriterien für Vertrauensdienste, operative Effektivität | 15,000–100,000 £ und mehr | 3–12 Monate Beobachtung | Jährlicher Bericht | SaaS-Vertrieb in die USA, Dienstleistungsorganisationen |
| NIS 2 | Regulatorisches Cyberrisikomanagement für systemrelevante/wichtige Einrichtungen | Eingebettet in den Betrieb | Kontinuierlich | Kontinuierlich | Kritische Infrastruktursektoren und ihre Zulieferer |
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Wie wählt man die richtige Cybersicherheitszertifizierung aus?
Beginnen Sie mit der Frage, die das Projekt ausgelöst hat. Die richtige Zertifizierung hängt davon ab, was (oder wer) sie verlangt.
- Vertrag mit der britischen Regierung oder Lieferant des Verteidigungsministeriums — Beginnen Sie mit Cyber Essentials, dann Plus, falls dies ausdrücklich erforderlich ist. Dies ist in PPN 09/14 und DEFCON 658 ausdrücklich vorgeschrieben.
- Cyberversicherung — Für kleine und mittlere Unternehmen (KMU) ist Cyber Essentials in der Regel ausreichend. Größere oder risikoreichere Versicherungsnehmer benötigen möglicherweise ISO 27001.
- Ein Unternehmenskunde fragt nach einem ISMS-Zertifikat. — ISO 27001. Kunden nennen diese Norm fast immer explizit.
- Ein in den USA ansässiger SaaS-Kunde bittet um einen Prüfbericht — SOC 2 (in der Regel Typ 2, sobald die Beziehung etabliert ist).
- NIS 2 oder gleichwertige regulatorische Verpflichtung — Setzen Sie die in der Verordnung geforderten Kontrollen um; viele Organisationen nutzen ISO 27001 als Strukturierungsrahmen, um dies nachzuweisen.
- Erste Zertifizierung, nicht von einem bestimmten Käufer getrieben — Cyber Essentials. Es ist die kostengünstigste, schnellste und bietet den klarsten Nutzen für die Beschaffung in Großbritannien. Die Ergebnisse fließen direkt in die ISO 27001-Zertifizierung ein, wenn Sie Fortschritte erzielen.
Die meisten britischen Unternehmen verfügen im Laufe der Zeit über mehr als eine Zertifizierung. Ein typischer Ablauf sieht folgendermaßen aus: Cyber Essentials → Cyber Essentials Plus → ISO 27001 → SOC 2, sobald US-amerikanische Kunden hinzukommen. Die Kontrollen überschneiden sich so weit, dass die Aufrechterhaltung der nächsten Zertifizierung schrittweise erfolgt und kein kompletter Neustart erforderlich ist – vorausgesetzt, es gibt eine einheitliche Nachweisebene, die die Kontrollen über alle Zertifizierungssysteme hinweg abbildet.
Was ist, wenn Sie mehrere Zertifizierungen benötigen?
Die separate Durchführung von Cyber Essentials, ISO 27001 und SOC 2 ist kostspielig. Alle drei Zertifizierungen fordern dieselben Nachweise (Firewall-Regeln, MFA-Konfiguration, Zu- und Abgänge, Anlageninventar, Patch-Berichte), jedoch in unterschiedlichen Formaten. Meistens landen diese Daten an drei verschiedenen Stellen und durchlaufen drei separate Aktualisierungszyklen.
Die Alternative besteht darin, jede Kontrollmaßnahme und jedes Beweisstück einmalig zu erfassen und jedem Schema zuzuordnen, das es erfüllt. Genau das ist es. ISMS.online Dies geschieht durch ein einziges ISMS, das die Kontrollsätze von Cyber Essentials, ISO 27001, SOC 2 und NIS 2 gleichzeitig abdeckt, wobei die Nachweise einmalig verknüpft und überall wiederverwendet werden können. Kunden, die mit Cyber Essentials beginnen, ISMS.online Oftmals sind sie bereits auf halbem Weg zur ISO 27001-Bereitschaft, wenn die Kundennachfrage eintrifft.
Welche Missverständnisse gibt es häufig im Zusammenhang mit Cybersicherheitszertifizierungen?
- „Eine Zertifizierung bedeutet, dass wir sicher sind.“ Eine Zertifizierung bescheinigt, dass Sie zu einem bestimmten Zeitpunkt festgelegte Kontrollkriterien erfüllen. Sie garantiert jedoch nicht, dass Verstöße ausgeschlossen sind. Betrachten Sie das Zertifikat als Nachweis eines Programms, nicht als Ergebnis.
- „Cyber Essentials und ISO 27001 sind dasselbe.“ Nein. Cyber Essentials umfasst fünf technische Kontrollbereiche; ISO 27001 zertifiziert ein vollständiges Informationssicherheitsmanagementsystem, das Governance, Risikomanagement und 93 spezifische Kontrollen abdeckt.
- „Wir brauchen sowohl ISO 27001 als auch SOC 2 vom ersten Tag an.“ In der Regel nicht. Die meisten britischen Unternehmen beginnen mit dem Produkt, das ihr größter aktueller Abnehmer benötigt, und fügen dann das zweite hinzu, wenn es für den internationalen Vertrieb erforderlich ist.
- „Die Zertifizierung unseres Cloud-Anbieters deckt uns ab.“ Das Zertifikat Ihres Cloud-Anbieters deckt dessen Infrastruktur ab, nicht Ihre Mandantenkonfiguration, Zugriffskontrollen oder Datenverarbeitung. Sie benötigen weiterhin ein eigenes Zertifikat.
- „Die Zertifizierung ist ein einmaliges Projekt.“ Jede Cybersicherheitszertifizierung muss jährlich oder alle drei Jahre erneuert werden. Betrachten Sie sie als fortlaufendes Programm, nicht als Projekt.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Warum sollten Sie sich für ISMS.online zur Cybersicherheitszertifizierung entscheiden?
- Eine Plattform, jedes System — Cyber Essentials, Cyber Essentials Plus, ISO 27001, SOC 2 und NIS 2 sind alle vorab zugeordnet in ISMS.online, wobei die Kontrollmechanismen in allen Systemen aufeinander abgestimmt sind, sodass die Ergebnisse wiederverwendet und nicht neu geschrieben werden.
- Einzelne Beweisquelle — Fügen Sie einen Screenshot oder ein Dokument einmalig hinzu und verknüpfen Sie es mit allen zugehörigen Steuerelementen in allen Zertifizierungen. So vermeiden Sie Duplikate und Versionskonflikte.
- Risikoregister und Geltungsbereich des ISMS — Erfassen Sie Ihre Informationswerte, Risiken und Behandlungsmethoden in einem strukturierten ISMS, das die Anforderungen der ISO 27001-Klausel erfüllt und als Grundlage für Ihre SOC 2-Beschreibung dient.
- Vorgefertigte Richtlinien und Verfahren — Eine Bibliothek vorgefertigter Richtlinien, die auf die Kontrollmechanismen jedes Systems abgestimmt sind, sodass Sie von einer funktionierenden Grundlage und nicht von einem leeren Dokument ausgehen.
- Audit-fähig — Überwachungsaudits, Rezertifizierungsaudits und SOC 2-Beobachtungsfenster werden einfacher, wenn die Plattform die Aktualität der Nachweise, die Verantwortlichen für die Maßnahmen und die Fälligkeitstermine automatisch erfasst.
- Tausende von Organisationen vertrauen uns. - ISMS.online Unterstützt Unternehmen jeder Größe, von erstmaligen Antragstellern für Cyber Essentials bis hin zu globalen Multi-Zertifizierungsgruppen.
- Kundenerfolg, der diesen Prozess durchlaufen hat — Implementierungsunterstützung von Personen, die selbst nach denselben Programmen zertifiziert sind und nicht nur die Plattform verkauft haben.
Häufig gestellte Fragen
Welche Cybersicherheitszertifizierung ist für ein britisches KMU am besten geeignet?
Für die meisten britischen KMUs ist Cyber Essentials der richtige Einstieg. Es ist die kostengünstigste Zertifizierung, die am schnellsten zu erlangen ist und diejenige, die von der britischen Regierung gemäß PPN 09/14 für die Beschaffung vorgeschrieben wird. Cyber Essentials Plus ist der nächste Schritt, falls ein Vertrag oder die Lieferkette dies erfordert. Wechseln Sie zu ISO 27001, sobald die Nachfrage von Unternehmenskunden steigt oder internationale Umsätze generiert werden.
Ist Cyber Essentials eine international anerkannte Cybersicherheitszertifizierung?
Cyber Essentials ist eine auf Großbritannien beschränkte Zertifizierung. Sie wird von der britischen Regierung, britischen Versicherern und vielen privaten Käufern in Großbritannien anerkannt, hat aber außerhalb Großbritanniens keine direkte Bedeutung. ISO 27001 ist die vergleichbare international anerkannte Zertifizierung, und SOC 2 ist der in den USA am weitesten verbreitete Prüfbericht. Britische Unternehmen, die international tätig sind, wechseln üblicherweise von Cyber Essentials zu ISO 27001 oder SOC 2.
Wie viel kostet eine Cybersicherheitszertifizierung in Großbritannien?
Die Kosten variieren stark. Cyber Essentials beginnt bei 330 £ zzgl. MwSt. für kleinste Organisationen. Cyber Essentials Plus kostet in der Regel zusätzlich 1,500 £ bis 3,000 £ für das Audit. ISO 27001 kostet zwischen 3,000 £ für sehr kleine Organisationen und über 15,000 £ für komplexe Anforderungen. SOC 2 Typ 2 kostet je nach Kriterien, Umfang und Beobachtungszeitraum zwischen 15,000 £ und über 100,000 £. NIS 2 ist gebührenfrei, erfordert aber Investitionen in die zugrunde liegenden Kontrollen.
Wie lange dauert eine Cybersicherheitszertifizierung?
Cyber Essentials benötigt in der Regel 4–12 Wochen ab Projektstart. Cyber Essentials Plus verlängert die Dauer um 1–2 Wochen, zuzüglich Vorbereitungsarbeiten. Die ISO 27001-Zertifizierung für ein kleines oder mittelständisches Unternehmen (KMU) dauert 4–9 Monate. SOC 2 Typ 2 erfordert zusätzlich zu den Vorbereitungsarbeiten eine Beobachtungsphase von 3–12 Monaten. NIS 2 ist ein kontinuierlicher Prozess und kein einmaliges Projekt.
Umfasst eine Cybersicherheitszertifizierung auch die DSGVO?
Eine Zertifizierung allein garantiert keine DSGVO-Konformität. Sowohl ISO 27001 als auch SOC 2 decken viele der von der DSGVO geforderten Sicherheitskontrollen ab. ISO 27701 Sie erweitern ISO 27001 speziell zu einem Datenschutzmanagementsystem. Keine dieser Normen ersetzt die rechtlichen und dokumentarischen Verpflichtungen gemäß der britischen DSGVO, aber sie erleichtern den Nachweis der Sicherheitsmaßnahmen erheblich.
Muss ich mich jedes Jahr neu zertifizieren lassen?
Cyber Essentials und Cyber Essentials Plus sind 12 Monate gültig und werden jährlich erneuert. ISO 27001 hat einen 3-Jahres-Zyklus mit jährlichen Überwachungsaudits. SOC-2-Berichte werden in der Regel jährlich aktualisiert. NIS 2 ist eine kontinuierliche Verpflichtung und keine periodische Zertifizierung. Unabhängig davon, welches Programm Sie nutzen, sollten Sie es als fortlaufendes Programm und nicht als einmaliges Projekt betrachten.
