Wie lange dauert es, bis Cyber Essentials in Großbritannien verfügbar ist?
Die ehrliche Antwort ist das Cyber Essentials dauert in der Regel von Anfang bis Ende zwischen zwei und acht Wochen.Im Durchschnitt benötigen britische Unternehmen vier bis sechs Wochen für die Zertifizierung. Sind Ihre technischen Kontrollmechanismen bereits gut aufgestellt und wird das Projekt von einem engagierten Verantwortlichen geleitet, kann die Zertifizierung in nur drei bis fünf Werktagen erfolgen. Bei komplexen Umgebungen oder unklarem Projektumfang kann sich der Zeitrahmen deutlich über acht Wochen hinaus verlängern.
Der größte Teil dieser Unterschiede liegt in der Vorbereitungsphase und weniger in der eigentlichen Prüfung. Sobald Ihr Selbstbewertungsfragebogen bei einer IASME-akkreditierten Zertifizierungsstelle eingereicht wurde, ist die Prüfung durch den Gutachter in der Regel innerhalb von ein bis drei Werktagen abgeschlossen, und das Zertifikat wird normalerweise innerhalb von 24 Stunden nach Bestehen ausgestellt. Die eigentliche Frage ist, wie lange Sie benötigen, um sich optimal auf die Einreichung vorzubereiten und diese mit Zuversicht durchführen zu können.
Dieser Leitfaden unterteilt die Reise in einzelne Phasen und erklärt, wie Anforderungen von Cyber Essentials Plus Fügt man ein separates Prüffenster von vier bis sechs Wochen hinzu, so zeigt sich, welche praktischen Faktoren britische Unternehmen bei der Rückrechnung von einem Vertrags- oder Ausschreibungstermin entweder beschleunigen oder verlangsamen.
Wie sieht die Phasenaufteilung konkret aus?
Cyber Essentials ist ein Selbstbewertungssystem, das von der NCSC Die Zertifizierung erfolgt über IASME und sein Netzwerk von Zertifizierungsstellen. Sie besteht aus einem einzigen Fragebogen, die damit verbundenen Arbeiten lassen sich jedoch in fünf klar voneinander abgegrenzte Phasen unterteilen.
Phase 1: Vorbereitung und Festlegung des Untersuchungsrahmens (1 bis 4 Wochen)
Hier liegt der Großteil der Variabilität. Sie müssen den Zertifizierungsbereich (gesamte Organisation oder Teilbereich) festlegen, die relevanten Geräte, Cloud-Dienste und Benutzer erfassen und sicherstellen, dass die fünf technischen Kontrollen (Firewalls, sichere Konfiguration, Benutzerzugriffskontrolle, Malware-Schutz und Sicherheitsupdate-Management) für alle Assets implementiert sind. Die meisten Verzögerungen bei Cyber-Essentials-Projekten entstehen hier, nicht bei der Bewertung.
Phase 2: Ausfüllen und Einreichen des Fragebogens (1 bis 2 Tage)
Sobald die Vorbereitungen abgeschlossen sind, beginnt die eigentliche Selbstbewertungsfragebogen zu Cyber Essentials Ein sachkundiger Besitzer benötigt für die Bearbeitung etwa einen halben bis einen ganzen Tag. Die Einreichung erfolgt elektronisch über das Portal der Zertifizierungsstelle und wird in der Regel umgehend bearbeitet.
Phase 3: Überprüfung durch den Gutachter (1 bis 3 Werktage)
Ein von IASME akkreditierter Prüfer überprüft jede Antwort anhand der veröffentlichten Cyber-Essentials-Anforderungen. Er erteilt entweder eine positive Bewertung, stellt klärende Fragen oder kennzeichnet bestimmte Kontrollen als nicht konform. Die meisten Prüfer streben eine erste Prüfung innerhalb von zwei Werktagen an, wobei es bei Nachfragespitzen (typischerweise im späten Frühjahr und zum Ende des Geschäftsjahres) zu Verzögerungen kommen kann.
Phase 4: Nachbesserung, falls erforderlich (variabel, oft 1 bis 3 Wochen)
Wenn der Prüfer Mängel feststellt, erhalten Sie eine Frist (üblicherweise zwei Werktage im Standardverfahren, bei manchen Zertifizierungsstellen aufgrund der dort geltenden Fristen für die Wiedervorlage länger), um entweder zusätzliche Nachweise zu erbringen oder das zugrunde liegende Problem zu beheben. Eine tatsächliche Behebung, insbesondere das Patchen nicht unterstützter Software oder die Einführung einer Multi-Faktor-Authentifizierung, kann länger dauern als die Prüfung selbst.
Phase 5: Ausstellung des Zertifikats (innerhalb von 24 Stunden nach bestandener Prüfung)
Sobald der Prüfer das Bestehen bestätigt hat, werden Ihr Zertifikat und Ihr Ausweis elektronisch ausgestellt, in der Regel noch am selben Werktag. Sie werden in der öffentlichen IASME-Zertifikatssuche aufgeführt und können die Zertifizierung sofort für Ausschreibungen, Versicherungsanträge und öffentliche Beschaffungsvorgänge verwenden.
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
Wie sieht der typische Zeitplan für Cyber Essentials in den einzelnen Phasen aus?
Die folgende Tabelle fasst die typische Dauer der einzelnen Phasen für ein britisches KMU zusammen, das eine Cyber Essentials-Basiszertifizierung anstrebt. Nutzen Sie sie, um von Ihrem Vertrags- oder Ausschreibungstermin aus rückwärts zu planen.
| Phase | Schnellverfahren (vorbereitet) | Typisches KMU | Langsam (unübersichtliche Umgebung) |
|---|---|---|---|
| 1. Vorbereitung und Abgrenzung | . | 2 bis 3 Wochen | 4 bis 8 Wochen |
| 2. Ausfüllen des Fragebogens | Einen halben Tag | 1 Tag | . |
| 3. Bewertung durch den Gutachter | 1 zu 2 Arbeitstagen | 2 zu 3 Arbeitstagen | 3 zu 5 Arbeitstagen |
| 4. Abhilfemaßnahmen (falls erforderlich) | Keine Präsentation | 2 zu 5 Arbeitstagen | 1 bis 3 Wochen |
| 5. Ausstellung des Zertifikats | Gleicher Tag | Innerhalb von 1 Werktag | Innerhalb von 1 Werktag |
| Gesamtbetrag | 3 zu 5 Arbeitstagen | 4 bis 6 Wochen | 8 bis 12 Wochen |
Diese Zeitangaben sind bewusst realistisch und nicht idealistisch. Viele Zertifizierungsstellen werben mit „Cyber Essentials in 24 Stunden“, und das ist technisch möglich – aber nur, wenn Sie mit einer sauberen, den Anforderungen entsprechenden Umgebung, vollständigen Nachweisen und einem erfahrenen Inhaber anreisen. Die meisten britischen Unternehmen, die dies zum ersten Mal anstreben, sollten vier bis sechs Wochen einplanen und alles, was schneller geht, als Bonus betrachten.
Welche Faktoren beschleunigen die Cyber Essentials-Zertifizierung?
Wenn der Zeitplan verkürzt werden muss, sind die wichtigsten Faktoren organisatorischer und umweltbedingter Natur, nicht verfahrenstechnischer Art. Der Fragebogen selbst lässt sich nicht verkürzen; die Vorbereitungsarbeit hingegen schon.
- Vorhandene Sicherheitskontrollen — Wenn Sie bereits starke Passwörter, MFA, automatische Patches und Endpoint-Malware-Schutz über Gruppenrichtlinien, Intune oder ein gleichwertiges System durchsetzen, wird ein Großteil des Fragebogens eher zu einer Dokumentationsübung als zu einem Sanierungsprojekt.
- Mobile Device Management und Single Sign-On sind eingerichtet — MDM-Tools (Intune, Jamf, Kandji) und SSO-Anbieter (Microsoft Entra ID, Google Workspace, Okta) liefern Ihnen sofortige, nachvollziehbare Beweise für eine sichere Konfiguration und Zugriffskontrolle auf allen Geräten und für alle Benutzer.
- Ein klarer und abgegrenzter Umfang — Ein unternehmensweiter Schutzbereich ist einfacher zu verteidigen als ein abgegrenzter Teilbereich mit Netzwerksegmentierung. Wenn Sie das gesamte Unternehmen zertifizieren können, tun Sie es.
- Ein engagierter Eigentümer mit Autorität — Projekte mit einem einzigen namentlich genannten Verantwortlichen, der Entscheidungen über Umfang, Nachweise und Budget treffen kann, werden in der Regel schneller abgeschlossen als Projekte, die sich über IT, Sicherheit und Compliance erstrecken.
- Eine erfahrene Zertifizierungsstelle — Etablierte, von IASME akkreditierte Gutachter prüfen schneller und stellen präzisere, nützlichere Fragen, wenn etwas unklar ist.
- Eine Compliance-Plattform, die die Hauptarbeit übernimmt — Eine Plattform, die Ihre Nachweise den fünf Kontrollkriterien zuordnet, Lücken aufspürt und Antworten zentral speichert, vermeidet das klassische Durcheinander von Tabellenkalkulationen und E-Mails, das tagelang Zeit kostet.
Was verlangsamt die Cyber Essentials-Zertifizierung?
Genauso gibt es bekannte Verzögerungsfaktoren. Werden diese frühzeitig erkannt, kann man sie entweder beheben oder von Anfang an in den Zeitplan einbeziehen.
- Nicht unterstützte Software ist weiterhin im Einsatz. Betriebssysteme, Browser oder Anwendungen, die nicht mehr unterstützt werden, führen zu einem sofortigen Scheitern bei Cyber Essentials. Entweder müssen sie aus dem Geltungsbereich entfernt (durch Segmentierung) oder aktualisiert werden – beides ist zeitaufwändig.
- Ungeschulte Anwender und uneinheitliche Vorgehensweisen — Wenn die Hälfte des Teams über Administratorrechte verfügt, die sie nicht haben sollte, oder die Passwortpraktiken je nach Abteilung unterschiedlich sind, müssen Sie mit Korrekturmaßnahmen rechnen, bevor Sie Ihre Bestellung einreichen können.
- BYOD ohne klare Richtlinie — Persönliche Geräte, die auf Organisationsdaten zugreifen, fallen unter diese Regelung. Ohne eine durch ein MDM-System durchgesetzte Richtlinie oder eine vertretbare Ausnahmeregelung wird BYOD die Zertifizierung verhindern.
- Cloud-Dienste ohne ordnungsgemäße Bestandsaufnahme — Schatten-IT und nicht katalogisierte SaaS-Anwendungen machen es tatsächlich schwierig, den Fragebogen wahrheitsgemäß zu beantworten und erhöhen das Risiko, dass ein Gutachter etwas Falsches feststellt.
- Einreichung in letzter Minute vor Ablauf der Angebotsfrist — Das Einreichen von Unterlagen mit ungelösten Problemen, um zu sehen, was dabei herauskommt, kostet fast immer mehr Zeit, als die Probleme zuerst zu beheben.
- Missverständnis bezüglich des Umfangs — Wenn Cyber Essentials als reines IT-Projekt behandelt wird und Cloud-Administratorkonten, Auftragnehmer oder Remote-Mitarbeiter vergessen werden, führt dies zu einer späten Neudefinition des Projektumfangs und einer erneuten Einreichung.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Wie lange dauert Cyber Essentials Plus zusätzlich?
Cyber Essentials Plus ist die geprüfte Stufe des Programms. Sie verwendet dieselben fünf Kontrollmechanismen und denselben Fragebogen, ergänzt diese jedoch durch ein praktisches technisches Audit, das von einem IASME-akkreditierten Prüfer durchgeführt wird. Das Audit umfasst die Stichprobenprüfung von Geräten, die Durchführung authentifizierter Schwachstellenscans, die Prüfung des Malware-Schutzes, die Validierung der Multi-Faktor-Authentifizierung (MFA) und die Bestätigung, dass die Angaben im Fragebogen in der Praxis zutreffen.
Sie sollten zusätzlich zu den grundlegenden Cyber Essentials vier bis sechs weitere Wochen einplanen, die sich grob wie folgt aufteilen:
- Terminierung des Audits — Die meisten Zertifizierungsstellen benötigen eine Vorlaufzeit von ein bis drei Wochen, insbesondere für Vor-Ort- oder Hybrid-Audits.
- Selbstprüfung — Ein bis drei Werktage, abhängig von der Anzahl und Komplexität der Geräteproben.
- Behebung der festgestellten Mängel — Im Rahmen des IASME-Programms haben Sie bis zu 30 Tage Zeit, um alle vom Gutachter festgestellten Mängel zu beheben.
- Endgültige Abnahme und Ausstellung des Plus-Zertifikats — Innerhalb weniger Werktage nach Bestätigung der Sanierungsmaßnahmen.
Sie müssen zum Zeitpunkt der Ausstellung Ihres Plus-Zertifikats über ein gültiges Cyber Essentials Basic-Zertifikat verfügen, und das Plus-Audit muss innerhalb von drei Monaten nach dem Datum Ihrer Basic-Zertifizierung abgeschlossen sein. Dieser Zeitraum ist nicht verhandelbar. Daher empfiehlt es sich, das Plus-Audit gleichzeitig mit dem Beginn des Basic-Zertifizierungsprozesses zu buchen.
Wie lange ist eine Cyber Essentials-Zertifizierung gültig?
Ein Cyber Essentials-Zertifikat ist gültig für 12 Monate ab AusstellungsdatumEs findet keine Zwischenprüfung statt; die Zertifizierung gilt ein ganzes Jahr lang. Um die Gültigkeit aufrechtzuerhalten, müssen Sie sie vor Ablaufdatum durch eine aktualisierte Selbsteinschätzung verlängern, die Ihre aktuelle Situation widerspiegelt.
Der Erneuerungsfragebogen ist nicht einfacher als der ursprüngliche, und die Anforderungen werden jährlich aktualisiert (die Fragen werden jedes Jahr von IASME und NCSC überprüft). Das bedeutet in der Praxis, dass die Kontrollen, die Sie letztes Jahr bestanden haben, dieses Jahr möglicherweise nicht mehr ausreichen – beispielsweise wurden die Anforderungen an die Multi-Faktor-Authentifizierung (MFA) und die Regeln für die Nutzung privater Geräte (BYOD) in den letzten jährlichen Aktualisierungen verschärft. Betrachten Sie die Erneuerung daher als einen sorgfältig geplanten Prozess und nicht als bloßes Kopieren und Einfügen. Die detaillierten Abläufe werden in unserem Leitfaden erläutert. Erneuerung von Cyber Essentials.
Die Kosten skalieren mit der Unternehmensgröße und sind gestaffelt; siehe unsere Aufschlüsselung der Kosten der Cyber Essentials-Zertifizierung für die aktuellen IASME-Gebührenklassen.
Was sind die häufigsten Fehler im Zeitablauf von Cyber Essentials?
Bei der Zusammenarbeit mit Tausenden von britischen Organisationen, die das Programm durchlaufen, tauchen immer wieder dieselben Fehler auf. Vermeidet man diese, lassen sich die meisten unerwarteten Verzögerungen vermeiden.
- Warten bis zur letzten Minute — Ein Projektstart zwei Wochen vor der Angebotsfrist führt fast zwangsläufig zum Scheitern der ersten Einreichung. Planen Sie daher einen Puffer von mindestens sechs Wochen ein.
- Unterschätzung des Umfangs — Werden Cloud-Dienste, Remote-Mitarbeiter, Auftragnehmer oder private Geräte bei der Einbeziehung in den Geltungsbereich vergessen, führt dies zu einer späten Entdeckung und einer Neudefinition des Geltungsbereichs.
- Schwache oder fehlende Beweise — Eine Frage mit „Ja“ zu beantworten, ohne dies mit Richtlinien, Konfigurationen oder Protokollen belegen zu können, führt zu Nachfragen des Gutachters und verlangsamt die Überprüfung.
- Es als Papierkram behandeln — Cyber Essentials prüft die Realität, nicht die Dokumentation. Sollten die technischen Kontrollen tatsächlich nicht vorhanden sein, wird der Prüfer dies feststellen.
- Die falsche Zertifizierungsstelle für Ihren Zeitplan auswählen — Bei manchen Institutionen kommt es in Spitzenzeiten zu mehrwöchigen Wartezeiten. Bitte prüfen Sie die Verfügbarkeit der Gutachter, bevor Sie eine Frist festlegen.
- Jährliche Aktualisierungen ignorieren Die Anforderungen ändern sich jedes Jahr. Wer die Antworten vom letzten Jahr verwendet, ohne sie mit den aktuellen Fragen abzugleichen, wird bei der Verlängerung Probleme bekommen.
Die einfachste Möglichkeit, die ersten drei zu vermeiden, besteht darin, unsere Checkliste Cyber Essentials vor der Buchung Ihres Beurteilungstermins.
Warum sollten Sie sich für ISMS.online entscheiden, um die Cyber Essentials-Zertifizierung schneller zu erhalten?
- Alle fünf Bedienelemente sind vorkonfiguriert. - ISMS.online Die Lieferung beinhaltet bereits einen auf Ihre Nachweise abgestimmten Fragenkatalog für Cyber Essentials, sodass Sie keine Checkliste von Grund auf neu erstellen müssen.
- Zentrale Beweisbibliothek — Alle Richtlinien, Konfigurations-Screenshots, MDM-Exporte und Screenshots befinden sich an einem Ort und können sofort dem richtigen Steuerelement zugeordnet werden – und sind nicht über verschiedene Laufwerke und Posteingänge verstreut.
- Echtzeit-Lückensichtbarkeit — Ein Live-Dashboard zeigt an, welche Kontrollen grün, gelb und rot sind, sodass Sie genau wissen, was vor der Einreichung noch aussteht, anstatt bei der Überprüfung durch den Gutachter Überraschungen zu erleben.
- Mehrframework-Wiederverwendung — Die gleichen Beweise stützen ISO 27001 , SOC 2 als auch NIS 2 So ist die Zeit, die Sie in Cyber Essentials investieren, nicht vergeudet, wenn das nächste Framework erscheint.
- Methode mit gesicherten Ergebnissen — Eine bewährte Implementierungsmethodik, die den Weg zur Zertifizierung konsequent verkürzt, indem sie die Arbeit strukturiert und nicht nur speichert.
- Gemeinsamer Arbeitsbereich für Eigentümer und Gutachter — Fragen stellen, Kommentare hinterlassen, nachverfolgen, wer was beantwortet hat, und der Zertifizierungsstelle einen übersichtlichen Nachweis vorlegen – und das in einem Bruchteil der Zeit, die per E-Mail benötigt wird.
- Entwickelt für britische KMU - ISMS.online ist eine Plattform mit Hauptsitz in Großbritannien, die von Tausenden von Organisationen genutzt wird, um die Einhaltung von Vorschriften schneller zu erreichen, und die über Support aus Großbritannien verfügt.
Verwandte Leitfäden zu Cyber Essentials
Setzen Sie Ihre Cyber-Grundlagen Reise mit den anderen Reiseführern dieser Serie:
- Anforderungen an Cyber Essentials — Die fünf Kontrollbereiche, die Festlegung des Untersuchungsbereichs und welche Nachweise die Gutachter berücksichtigen.
- Cyber Essentials Kosten — IASME-Preisstaffelung, Zuschlagskosten, versteckte Kosten und 3-Jahres-Gesamtkosten für britische Unternehmen.
- Lohnt sich Cyber Essentials? — Eine ehrliche Einschätzung der Vorteile, Nachteile und wer tatsächlich eine Zertifizierung benötigt.
- Anforderungen für Cyber Essentials Plus — Das technische Audit, die Schwachstellenscans und die Vorteile von Plus gegenüber der Basiszertifizierung.
- Cyber Essentials Selbstbewertung — Der SASQ-Workflow, der Anwendungsbereich, die erforderlichen Nachweise und häufige Fehlerquellen.
- Cyber Essentials-Verlängerung — Der 12-Monats-Zyklus, die Kontrolländerungen im Jahr 2026 und wie man sich 60 Tage vorher darauf vorbereiten kann.
- Cyber-Grundlagen für kleine Unternehmen — SMB-spezifische Preisgestaltung, Leistungsumfang und Kosten-Nutzen-Analyse.
- Cyber Essentials vs ISO 27001 — Vergleich von Umfang, Kosten, Zeitaufwand und Anerkennung.
Häufig gestellte Fragen
Wie schnell kann man Cyber Essentials realistischerweise erhalten?
Sind alle fünf technischen Kontrollmaßnahmen bereits implementiert, der Projektumfang klar definiert und ein verantwortlicher Projektleiter benannt, können Sie Ihren Antrag einreichen, prüfen lassen und Ihr Zertifikat innerhalb von drei bis fünf Werktagen erhalten. Für ein typisches britisches KMU, das das Programm zum ersten Mal durchläuft, sind vier bis sechs Wochen realistischer.
Wie lange ist ein Cyber Essentials-Zertifikat gültig?
Zwölf Monate ab Ausstellungsdatum. Es findet keine Zwischenprüfung statt, aber um die Zertifizierung aufrechtzuerhalten, müssen Sie vor Ablauf des Zertifikats eine neue Selbsteinschätzung durchführen und bestehen.
Wie lange dauert Cyber Essentials Plus im Vergleich zu Cyber Essentials in der Basisversion?
Die Plus-Zertifizierung verlängert die Dauer der Basiszertifizierung Cyber Essentials um etwa vier bis sechs Wochen. Darin enthalten sind die Auditplanung, das Audit selbst (ein bis drei Werktage), die Behebung festgestellter Mängel (bis zu 30 Tage gemäß IASME-Richtlinien) und die abschließende Abnahme. Das Plus-Audit muss innerhalb von drei Monaten nach dem Datum Ihrer Basiszertifizierung abgeschlossen sein.
Was passiert, wenn ich meine Cyber Essentials-Prüfung nicht bestehe?
Normalerweise haben Sie ein kurzes Zeitfenster (in der Regel zwei Werktage gemäß dem Standardverfahren der IASME, bei manchen Zertifizierungsstellen länger), um die Mängel zu beheben und die Unterlagen erneut einzureichen. Sollten Sie die Mängel innerhalb dieses Zeitraums nicht beheben können, müssen Sie möglicherweise einen neuen Antrag stellen, wodurch sich die Frist verlängert. ISMS.online Hilft dabei, dies zu verhindern, indem Lücken vor dem Absenden und nicht erst danach sichtbar gemacht werden.
Kann ich Cyber Essentials und ISO 27001 gleichzeitig erwerben?
Ja, und viele britische Organisationen tun dies. Cyber Essentials ist ein nützlicher Meilenstein auf dem Weg zu ISO 27001, da die fünf technischen Kontrollen weitgehend mit Anhang A von ISO 27001 übereinstimmen. Die parallele Anwendung beider Standards auf einer einzigen Nachweisgrundlage ist vorteilhaft. ISMS.online Vermeidet Doppelarbeit.
Ist der Fragebogen zu Cyber Essentials tatsächlich schwierig?
Die Fragen sind technisch nicht komplex, doch um sie ehrlich und mit Belegen zu beantworten, muss man genau verstehen, was zum Geltungsbereich gehört und wie die fünf Kontrollmechanismen umgesetzt werden. Die Schwierigkeit liegt im operativen, nicht im intellektuellen Bereich – deshalb sind ein klar definierter Geltungsbereich, ein einziger Verantwortlicher und eine strukturierte Plattform so entscheidend für den Zeitplan.
