Was ist Cyber Essentials Plus und wie unterscheidet es sich von der Basisversion Cyber Essentials?
Cyber Essentials Plus ist die höhere Stufe des Cybersicherheitsprogramms der britischen Regierung. Cyber Essentials-ProgrammDie Zertifizierung wird vom Nationalen Zentrum für Cybersicherheit (NCSC) verwaltet und über IASME und dessen Netzwerk von Zertifizierungsstellen angeboten. Sie umfasst dieselben fünf technischen Kontrollbereiche wie die Basiszertifizierung, jedoch mit einem entscheidenden Unterschied: Ein unabhängiger Gutachter überprüft, ob die Kontrollen tatsächlich implementiert sind und in Ihren Live-Systemen funktionieren, anstatt sich auf einen Selbstbewertungsfragebogen zu verlassen.
Basic Cyber Essentials ist eine Selbstbewertungszertifizierung. Sie beantworten rund 80 Fragen dazu, wie Ihr Unternehmen Firewalls, sichere Konfiguration, Benutzerzugriffe, Malware-Schutz und die Verwaltung von Sicherheitsupdates handhabt. Ein qualifizierter Prüfer bewertet Ihre Antworten. Die Zertifizierung ist schnell, kostengünstig und ideal für kleinere Unternehmen, die einen anerkannten Mindeststandard festlegen möchten.
Cyber Essentials Plus baut auf demselben Standard auf und ergänzt ihn um ein unabhängiges technisches Audit. Ein geschulter Prüfer verbindet sich mit einer Auswahl Ihrer Geräte, führt Schwachstellenscans durch, versucht, simulierte Schadsoftware einzuschleusen, um die Endpunktverteidigung zu testen, und prüft die Konfigurationsnachweise direkt. Dieses Sicherheitsniveau wird von britischen Regierungsbehörden, dem Verteidigungsministerium (MOD) und NHS-Lieferanten zunehmend von ihren Lieferketten gefordert und entwickelt sich zu einer Standardanforderung in den Beschaffungsprozessen von Unternehmen für jeden Lieferanten, der sensible Daten verarbeitet.
Eine detaillierte Aufschlüsselung der beiden Stufen finden Sie in unserer Leitfaden zur Selbsteinschätzung für Cyber EssentialsWenn Sie Cyber Essentials Plus im Vergleich zu einem umfassenderen Informationssicherheitsrahmen abwägen, ist unser Vergleich von Cyber Essentials und ISO 27001 erklärt, wie sich die beiden ergänzen. Bevor Sie das Audit buchen, arbeiten Sie bitte unsere Checkliste Cyber Essentials um sicherzustellen, dass jeder Kontrollbereich tatsächlich eingerichtet ist – außerdem lassen sich Fehler in der Regel auf eine einzige Lücke zurückführen, die bei einer Bereitschaftsprüfung aufgefallen wäre.
Welche fünf Kontrollbereiche werden im Rahmen von Cyber Essentials Plus überprüft?
Das Cyber Essentials Plus-Audit prüft dieselben fünf technischen Kontrollbereiche wie das Basis-Audit, jedoch mit einer praktischen Überprüfung Ihrer tatsächlichen Systeme anstelle einer schriftlichen Bestätigung. Der Auditor verlässt sich nicht auf Ihre Angaben – er überprüft alles.
1. Firewalls und Internet-Gateways
Der Prüfer bestätigt, dass alle Geräte im Geltungsbereich (einschließlich der Laptops von Mitarbeitern im Homeoffice und im Homeoffice) durch eine korrekt konfigurierte Firewall geschützt sind. Standardmäßige Administratorpasswörter auf den Firewalls müssen geändert, nicht authentifizierte eingehende Verbindungen standardmäßig blockiert und jede Regel, die eingehenden Datenverkehr zulässt, mit einer geschäftlichen Begründung dokumentiert werden. Die Software-Firewalls auf den Benutzergeräten werden überprüft, um sicherzustellen, dass sie aktiviert und konfiguriert sind.
2. Sichere Konfiguration
Systeme müssen gegenüber dem Auslieferungszustand gehärtet werden. Der Auditor prüft, ob nicht benötigte Software und Dienste entfernt oder deaktiviert wurden, Standard- und Gastkonten deaktiviert sind und die automatische Ausführung auf Benutzergeräten deaktiviert ist. Geräte, die auf Unternehmensdaten zugreifen, müssen eine Bildschirmsperre und Anmeldeinformationen erzwingen. Der Auditor prüft repräsentative Geräte und bestätigt die Übereinstimmung der Konfiguration mit Ihrem Build-Standard.
3. Benutzerzugriffskontrolle
Der Zugriff muss nach dem Prinzip der minimalen Berechtigungen gewährt werden. Der Prüfer überprüft, ob Benutzerkonten durch ein formelles Genehmigungsverfahren erstellt werden, administrative Berechtigungen von alltäglichen Benutzerkonten getrennt sind und die Multi-Faktor-Authentifizierung (MFA) für alle Cloud-Dienste und den administrativen Zugriff durchgesetzt wird. Konten ausscheidender Mitarbeiter müssen umgehend deaktiviert werden. Der Prüfer kann Stichproben von Eintritts-, Versetzungs- und Austrittsdatensätzen einsehen, um den Prozess zu testen.
4. Schutz vor Schadsoftware
Alle betroffenen Geräte müssen mit Antimalware-Software oder einer Zulassungsliste für Anwendungen ausgestattet sein oder in einer Sandbox-Umgebung wie einem verwalteten Mobilgeräteprofil betrieben werden. Der Auditor wird versuchen, Test-Malware-Beispiele (in der Regel die EICAR-Testdatei und inerte Varianten) per E-Mail und Web-Download bereitzustellen, um zu bestätigen, dass der Endpunktschutz Bedrohungen in der Praxis tatsächlich erkennt und blockiert und nicht nur auf dem Papier funktioniert.
5. Verwaltung von Sicherheitsupdates
Alle Betriebssysteme und risikobehaftete Software (Browser, E-Mail-Clients, Office-Suiten, PDF-Reader) müssen vom Hersteller unterstützt und innerhalb von 14 Tagen nach Veröffentlichung eines Sicherheitsupdates gepatcht werden, sofern dieses eine als hoch oder kritisch eingestufte Schwachstelle behebt. Der Auditor führt einen authentifizierten Schwachstellenscan auf Stichprobengeräten durch, um sicherzustellen, dass auf keinem der relevanten Systeme ein geeigneter Patch fehlt und keine veraltete Software verwendet wird.
Die vollständige technische Spezifikation wird vom NCSC und IASME gepflegt und regelmäßig aktualisiert. Eine detailliertere Beschreibung der einzelnen Steuerungselemente finden Sie in unserer [Website/Dokumentation]. Leitfaden zu den Cyber Essentials-Anforderungen.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Was genau beinhaltet das Cyber Essentials Plus-Audit?
Das Cyber Essentials Plus-Audit ist eine strukturierte, evidenzbasierte Bewertung, die von einem qualifizierten Prüfer einer IASME-akkreditierten Zertifizierungsstelle durchgeführt wird. Das Audit folgt einem festgelegten Testprotokoll und wird in der Regel remote durchgeführt. Bei größeren oder komplexeren IT-Umgebungen werden jedoch mitunter auch Vor-Ort-Besuche durchgeführt. Es umfasst fünf verschiedene technische Prüfungen.
Externer Schwachstellenscan
Der Prüfer führt einen authentifizierten und einen nicht authentifizierten Scan aller öffentlich zugänglichen IP-Adressen im Geltungsbereich durch. Der Scan sucht nach fehlenden Patches, unsicheren Diensten, falsch konfigurierten Schnittstellen und ungeschützten administrativen Schnittstellen. Jede Schwachstelle mit einem CVSS-v3-Wert von 7.0 oder höher wird als Fehler gewertet, es sei denn, es kann nachgewiesen werden, dass es sich um ein falsch positives Ergebnis handelt.
Interner authentifizierter Schwachstellenscan
Eine Stichprobe von Endbenutzergeräten wird mit autorisierten Zugriffsrechten gescannt. Das Tool kann so installierte Software, fehlende Patches und Konfigurationsschwachstellen aufspüren. Wie beim externen Scan gilt: Hohe oder kritische Sicherheitslücken werden nicht erkannt. Dieser Test deckt häufig Schwachstellen in Unternehmen auf, da er ungepatchte Browser-Plug-ins, veraltete PDF-Reader und ältere Versionen von Office-Software aufdeckt, die oft durch informelle Patch-Prozesse entgehen.
Simulierte Malware-Verbreitung per E-Mail
Der Prüfer sendet eine Reihe von Testdateien (eine Mischung aus harmlosen EICAR-Beispielen und passwortgeschützten Archiven mit inerten Nutzdaten) an das Postfach eines Benutzers. Erwartet wird, dass das E-Mail-Sicherheitsgateway, der E-Mail-Client und die Anti-Malware-Engine des Endgeräts gemeinsam jedes Beispiel blockieren oder unter Quarantäne stellen. Jede Datei, die den Posteingang erreicht und ausgeführt werden kann, gilt als Fehler.
Simulierte Malware-Übertragung über Webbrowser
Die Testdateien werden auf einem kontrollierten Webserver gehostet, und der Prüfer versucht, sie über den Browser eines Testgeräts herunterzuladen. Der Endpunktschutz muss die Ausführung verhindern. Der Test überprüft außerdem, ob Browser so konfiguriert sind, dass sie bekannte schädliche Websites blockieren und ob das Standard-Downloadverhalten sinnvoll ist.
Konfigurations- und Kontoüberprüfung
Über die automatisierten Scans hinaus wird der Prüfer die Stichprobengeräte interaktiv untersuchen, um die Einhaltung der Bildschirmsperrrichtlinien, die Durchsetzung der Multi-Faktor-Authentifizierung, die Trennung der Administratorkonten, die Entfernung nicht unterstützter Software und das Fehlen von Standardanmeldeinformationen auf Netzwerkgeräten zu bestätigen.
Wie viele Geräte nimmt der Prüfer in die Stichprobe?
Die Stichprobengröße wird durch die IASME-Testspezifikation definiert und skaliert mit der Größe des Gerätebestands. Größere Organisationen werden nicht auf jedem Gerät vollständig geprüft, sondern es wird für jeden Gerätetyp und jedes Betriebssystem eine statistisch aussagekräftige Stichprobe ausgewählt.
| Anzahl der im Geltungsbereich liegenden Geräte | Stichprobengröße pro Gerätetyp | Notizen |
|---|---|---|
| 1 - 10 | Alle Geräte | Jedes im Geltungsbereich liegende Gerät wird geprüft. |
| 11 - 50 | 10 Geräte oder 20 %, je nachdem, welcher Wert größer ist. | Die Stichprobe wurde nach Betriebssystemen und Gerätefunktionen stratifiziert. |
| 51 - 200 | 15 Geräte pro Typ | Beinhaltet gegebenenfalls eine Mischung aus Unternehmens- und BYOD-Lösungen. |
| 201+ | Vom Gutachter festgelegt, mindestens 20 pro Typ | Die Probe wurde im Voraus vereinbart und im Prüfplan festgehalten. |
Die Stichprobe muss alle Betriebssysteme, alle Gerätetypen (Unternehmensgeräte, externe Geräte, BYOD) und alle Benutzerrollen (Standardbenutzer, Administrator, Entwickler) abdecken. Ein einzelner Fehler auf einem der Stichprobengeräte wird als Fehler der gesamten Population gewertet. Daher sind einheitliche Baustandards im gesamten Netzwerk unerlässlich.
Welche Nachweise wird der Prüfer vor Beginn der Prüfung anfordern?
Vor Beginn der Scans stellt der Prüfer ein Anforderungspaket und eine Vorab-Nachweisanforderung aus. Die rechtzeitige Vorbereitung dieses Pakets ist der wichtigste Faktor für einen reibungslosen Ablauf des Audits. Typische Nachweise umfassen:
- Anlageninventar — Eine vollständige Liste der betroffenen Geräte (Server, Endgeräte, Mobilgeräte) mit Hostnamen, Betriebssystemversionen und physischem Standort bzw. Eigentümer
- Netzwerkdiagramm — Darstellung von Internet-Gateways, interner Segmentierung und allen relevanten Cloud-Diensten
- Baustandards — Dokumentierte Konfigurationsgrundlagen für jedes verwendete Betriebssystem
- Patch-Management-Richtlinie und Nachweise — einschließlich des Patch-Berichts des letzten Monats.
- Einträge zu Ein- und Austrittsvorgängen — Für eine Stichprobe von kürzlich eingestellten und ausgeschiedenen Mitarbeitern, Nachweise darüber, dass Konten gemäß den Richtlinien erstellt und deaktiviert wurden.
- MFA-Konfigurationsnachweis — Screenshots oder Exporte aus der Administratorkonsole, die die Durchsetzung der Multi-Faktor-Authentifizierung für Cloud-Dienste und privilegierte Konten bestätigen
- Bericht zur Anti-Malware-Abdeckung — Sicherstellen, dass alle erfassten Geräte Daten an die Managementkonsole melden.
- Firewall-Regelbasis — Konfiguration der Grenzfirewall oder Export von Regeln mit geschäftlichen Begründungen für eingehende Regeln
- BYOD-Richtlinie — Wenn private Geräte auf Unternehmensdaten zugreifen, müssen die Richtlinien und die technischen Kontrollen (typischerweise MDM oder Containerisierung auf Anwendungsebene), die dies durchsetzen, eingehalten werden.
Organisationen, die diese Nachweise als lebendiges Artefakt pflegen – anstatt sie erst in den Wochen vor dem Audit mühsam zusammenzutragen –, schließen Cyber Essentials Plus im Durchschnitt deutlich schneller ab als üblich.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Wie viel kostet Cyber Essentials Plus im Jahr 2026?
Cyber Essentials Plus ist aufgrund des Zeitaufwands für die Durchführung des technischen Audits deutlich teurer als Cyber Essentials Basic. Die Preise variieren je nach Zertifizierungsstelle sowie Größe und Komplexität der IT-Infrastruktur. Die unten aufgeführten Richtpreise basieren auf typischen Angeboten von IASME-akkreditierten Stellen in Großbritannien für das Jahr 2026.
| Zertifizierungsanforderungen | Übliche Gebühr (ohne MwSt.) | Was ist inbegriffen |
|---|---|---|
| Grundlagen der Cybersicherheit | 330 – 600 £ | Selbsteinschätzungsfragebogen, Gutachterprüfung, Zertifikat 12 Monate gültig. Die Gebühr ist nach Mitarbeiterzahl gestaffelt. |
| Cyber Essentials Plus (kleine Organisation, bis zu ca. 50 Geräte) | 1,500 – 2,200 £ | Grundlegende Cybersicherheitskenntnisse plus technisches Audit, Schwachstellenscans und simulierte Malware-Tests |
| Cyber Essentials Plus (mittelgroße Organisation, 50–250 Geräte) | 2,200 – 3,500 £ | Wie oben beschrieben, mit einer größeren Stichprobe und in der Regel zusätzlichen Gutachtertagen |
| Cyber Essentials Plus (größere oder komplexere Anwesen) | £ 3,500 + | Individuelles Angebot – mehrere Standorte, mehrere Betriebssysteme oder ein erheblicher Cloud-Aufwand erhöhen den Preis. |
Dies sind ausschließlich die direkten Zertifizierungsgebühren. Die tatsächlichen Gesamtkosten der Zertifizierung umfassen auch den internen Aufwand für die Erstellung von Nachweisen, die Behebung von Feststellungen aus Vorprüfungen sowie die Beschaffung oder Aktualisierung von Tools (z. B. MFA für Altsysteme oder die Ablösung veralteter Software). Eine detaillierte Aufschlüsselung der direkten und indirekten Kosten finden Sie in unserer [Website/Dokumentation/etc.]. Kostenleitfaden für Cyber Essentials.
Wie lange dauert Cyber Essentials Plus von Anfang bis Ende?
Für eine gut vorbereitete Organisation, die bereits über die Cyber Essentials-Basiszertifizierung verfügt, dauert der Weg zur Cyber Essentials Plus-Zertifizierung in der Regel sechs bis acht Wochen. Die Basiszertifizierung muss vor dem Plus-Audit vorliegen und darf zum Zeitpunkt der Buchung des Plus-Audits nicht älter als drei Monate sein.
| Praktikum | Typische Dauer | Was ist loss |
|---|---|---|
| Abgrenzung und Einbindung | 1–2 Wochen | Die Zertifizierungsstelle bestätigt Umfang, Stichprobengröße und Auditzeitraum. Ein Voraudit-Dokumentationspaket wurde ausgestellt. |
| Vorbereitung von Nachweisen und Sanierung vor dem Audit | 2–4 Wochen | Sie sammeln Beweise, führen einen internen Schwachstellenscan durch und beheben alle schwerwiegenden oder kritischen Schwachstellen vor dem formellen Audit. |
| Prüfungsfeldarbeit | 2 — 5 Tage | Der Prüfer führt externe und interne Scans, simulierte Malware-Tests und Konfigurationsprüfungen an den Stichprobengeräten durch. |
| Feststellungen und Abhilfemaßnahmen | 0–4 Wochen | Etwaige Fehler müssen innerhalb des Prüfzeitraums (in der Regel 30 Tage) behoben und erneut getestet werden. |
| Zertifizierung ausgestellt | 1 Woche | Sobald alle Prüfungen bestanden sind, stellt IASME das Zertifikat aus, das 12 Monate gültig ist. |
Organisationen, die beim ersten Auditversuch scheitern – in der Regel, weil ein authentifizierter interner Scan einen fehlenden Patch oder eine nicht unterstützte Software aufdeckt – können gegen eine zusätzliche Gebühr für einen erneuten Test zur Behebung des Problems den Prozess neu starten, sofern das Problem innerhalb von dreißig Tagen behoben wird. Nach der Zertifikatserteilung sollten Sie im Voraus planen für jährliche Erneuerungwas eine jährliche Neuprüfung erfordert.
Wer braucht eigentlich Cyber Essentials Plus?
Cyber Essentials Plus ist in immer mehr Beschaffungsszenarien im Vereinigten Königreich eine vertragliche Voraussetzung und in vielen anderen ein Wettbewerbsvorteil. Die eindeutigsten Vorgaben kommen aus dem öffentlichen Sektor:
- Verträge der Zentralregierung — Cyber Essentials ist obligatorisch für jeden Vertrag, der die Verarbeitung personenbezogener Daten oder die Bereitstellung von IKT-Produkten und -Dienstleistungen beinhaltet. Plus ist erforderlich, wenn der Vertrag sensible oder personenbezogene Daten in großem Umfang umfasst.
- Verteidigungsministerium (MOD) — Im Rahmen der Defence Cyber Protection Partnership (DCPP) und des Cybersicherheitsmodells müssen Lieferanten, die mit personenbezogenen Daten des Verteidigungsministeriums umgehen, mindestens über Cyber Essentials Plus verfügen; für höherwertige Projekte sind zusätzliche Sicherheitsmaßnahmen erforderlich.
- Lieferanten des NHS und des Gesundheitssektors Das Toolkit für Datensicherheit und -schutz erkennt Cyber Essentials Plus ausdrücklich an, und viele NHS-Trusts machen es zu einer Voraussetzung für die Beschaffung von Lieferanten, die Patientendaten verarbeiten.
- Lokale Behörden und öffentliche Einrichtungen — Wird zunehmend in die Ausschreibungsbedingungen für jeden Vertrag aufgenommen, der Bürgerdaten oder kritische Dienstleistungen betrifft.
- Unternehmensbeschaffung — Viele große Organisationen des privaten Sektors fordern mittlerweile Cyber Essentials Plus von wichtigen Anbietern, insbesondere in den Bereichen Finanzdienstleistungen, Recht und Managed-Service-Provider.
- Cyber-Versicherung — Mehrere britische Versicherer bieten reduzierte Prämien oder verbesserte Deckungsbedingungen für Unternehmen mit Cyber Essentials Plus-Zertifizierung an, was die geringere Schadenshäufigkeit bei zertifizierten Unternehmen widerspiegelt.
Wenn Ihre Organisation bereits über die grundlegende Cyber-Essentials-Zertifizierung verfügt und an Ausschreibungen teilnimmt, ist damit zu rechnen, dass die Plus-Zertifizierung innerhalb der nächsten zwölf bis vierundzwanzig Monate erforderlich sein wird. Ein frühzeitiges Handeln ist deutlich kostengünstiger und weniger aufwändig als die hektische Zertifizierung unter Zeitdruck.
Warum sollten Sie sich für ISMS.online für Cyber Essentials Plus entscheiden?
Die Vorbereitung auf ein Cyber Essentials Plus-Audit ist im Kern ein Nachweisproblem. Die technischen Kontrollen sind nicht komplex – die Herausforderung für Unternehmen liegt vielmehr darin, Konfigurations-, Patch- und Zugriffsprotokolle stets auditbereit zu halten. ISMS.online hilft Ihnen, die Cyber Essentials Plus-Zertifizierung zu erreichen und aufrechtzuerhalten, indem die zugrunde liegenden Kontrollnachweise in ein lebendiges, gemeinsam genutztes Aufzeichnungssystem umgewandelt werden.
- Vorkonfiguriertes Cyber Essentials-Kontrollframework — Alle Anforderungen der fünf Kontrollbereiche sind in die Plattform integriert, sodass Sie die Bewertung anhand des offiziellen Schemas durchführen können, ohne eine eigene Checkliste erstellen zu müssen.
- Zentrale Beweisbibliothek — Speichern Sie Firewall-Regelexporte, Patch-Berichte, Build-Standards, MFA-Screenshots und Einträge zu Eintritts-, Versetzungs- und Austrittsvorgängen anhand der zugehörigen Kontrollen, damit sich Ihr Audit-Paket automatisch zusammenstellt.
- Anlagenregister und Umfangsverwaltung — Führen Sie ein einziges, relevantes Geräteinventar mit Eigentümern, Betriebssystemen und Lebenszyklusstatus, damit die Stichprobe des Gutachters einfach zu definieren ist.
- Vorlagen für Richtlinien und Verfahren — An den Cyber Essentials-Richtlinien ausgerichtete Vorlagen für akzeptable Nutzung, Zugriffskontrolle, Patching, BYOD und Reaktion auf Sicherheitsvorfälle, speziell für britische Unternehmen entwickelt und sofort einsatzbereit
- Joiner-Mover-Leaver-Workflow — Neueinstellungen, Rollenwechsel und Austritte im Hinblick auf Zugangsentscheidungen verfolgen und die vom Gutachter erwarteten Nachweise ohne manuelle Tabellenkalkulation erstellen
- Rahmenübergreifende Wiederverwendung — Die gleichen Kontrollbefunde stützen ISO 27001 , SOC 2 und anderen Rahmenwerken, sodass Cyber Essentials Plus eher zu einem Sprungbrett für umfassendere Zertifizierungen wird als zu einer eigenständigen Übung.
- Tausende britische Organisationen vertrauen uns. - ISMS.online unterstützt Unternehmen entlang der gesamten Lieferkette des öffentlichen Sektors, im Bereich professioneller Dienstleistungen, im Technologiesektor und im Markt für Managed-Service-Anbieter auf ihrem Weg zur Zertifizierung
Verwandte Leitfäden zu Cyber Essentials
Setzen Sie Ihre Reise zu Cyber Essentials mit den anderen Leitfäden dieser Reihe fort:
- Anforderungen an Cyber Essentials — Die fünf Kontrollbereiche, die Festlegung des Untersuchungsbereichs und welche Nachweise die Gutachter berücksichtigen.
- Cyber Essentials Kosten — IASME-Preisstaffelung, Zuschlagskosten, versteckte Kosten und 3-Jahres-Gesamtkosten für britische Unternehmen.
- Lohnt sich Cyber Essentials? — Eine ehrliche Einschätzung der Vorteile, Nachteile und wer tatsächlich eine Zertifizierung benötigt.
- Cyber Essentials Selbstbewertung — Der SASQ-Workflow, der Anwendungsbereich, die erforderlichen Nachweise und häufige Fehlerquellen.
- Wie lange dauert der Kurs Cyber Essentials? — Typischer Zeitplan in Großbritannien, beschleunigte Verfahren und Faktoren, die den Prozess verlangsamen.
- Cyber Essentials-Verlängerung — Der 12-Monats-Zyklus, die Kontrolländerungen im Jahr 2026 und wie man sich 60 Tage vorher darauf vorbereiten kann.
- Cyber-Grundlagen für kleine Unternehmen — SMB-spezifische Preisgestaltung, Leistungsumfang und Kosten-Nutzen-Analyse.
- Cyber Essentials vs ISO 27001 — Vergleich von Umfang, Kosten, Zeitaufwand und Anerkennung.
Häufig gestellte Fragen
Benötige ich Cyber Essentials Basic, bevor ich Cyber Essentials Plus erwerben kann?
Ja. Cyber Essentials Plus baut auf der Basis-Selbstbewertung auf, und das Basiszertifikat muss vor dem Plus-Audit vorliegen. IASME verlangt, dass die Basiszertifizierung bei Buchung des Plus-Audits nicht älter als drei Monate sein darf. Daher führen die meisten Organisationen beide Zertifizierungen im Rahmen eines einzigen Projekts durch, anstatt sie als separate Veranstaltungen zu behandeln.
Was passiert, wenn wir einen Teil des Cyber Essentials Plus-Audits nicht bestehen?
Wenn ein einzelner Test nicht bestanden wird, kann das Zertifikat in seiner jetzigen Form nicht ausgestellt werden. Dies bedeutet jedoch nicht, dass Sie von vorne beginnen müssen. Die Zertifizierungsstelle dokumentiert den Befund, Sie beheben das Problem (in der Regel ein fehlender Patch, eine nicht unterstützte Software oder eine MFA-Lücke), und der Prüfer testet die betroffene Kontrollmaßnahme erneut. Sofern die Behebung des Problems und der erneute Test innerhalb von dreißig Tagen nach dem ursprünglichen Audit abgeschlossen sind, vermeiden Sie ein vollständiges erneutes Audit und zahlen lediglich eine geringere Gebühr für den erneuten Test.
Umfasst Cyber Essentials Plus auch Cloud-Dienste?
Ja. Seit 2022 umfasst das Programm explizit Cloud-Dienste, bei denen Sie die Daten, Benutzerkonten oder die Konfiguration kontrollieren. Infrastructure as a Service (IaaS) und Platform as a Service (PaaS) sind immer eingeschlossen. Software as a Service (SaaS) ist eingeschlossen, wenn Sie Konten verwalten und Sicherheitseinstellungen konfigurieren. Dies trifft auf die meisten Plattformen für Geschäftsproduktivität, Identitätsmanagement und Zusammenarbeit zu. Der Auditor überprüft die Durchsetzung der Multi-Faktor-Authentifizierung (MFA), die Trennung der Administratoren und die Konfiguration in Ihrem Mandanten, nicht in der zugrunde liegenden Infrastruktur des Anbieters.
Können auch Fern- und Heimarbeiter in den Geltungsbereich einbezogen werden?
Ja – und das müssen sie auch. Jedes Gerät, das Unternehmensdaten verarbeitet oder auf unternehmenseigene Cloud-Dienste zugreift, fällt in den Geltungsbereich, unabhängig vom Arbeitsort des Nutzers. Der Prüfer erwartet, dass für Heim- und Remote-Geräte dieselben Firewall-, Patch-, Anti-Malware- und Zugriffskontrollmaßnahmen gelten wie für Geräte im Büro, wobei zusätzlich zu berücksichtigen ist, dass der Heim-Internetrouter als Grenzgerät gilt.
Wie lange ist Cyber Essentials Plus gültig?
Das Zertifikat ist ab Ausstellungsdatum zwölf Monate gültig. Um die Zertifizierung aufrechtzuerhalten, ist eine jährliche Rezertifizierung erforderlich. Viele Organisationen richten die Erneuerung nach ihrem Geschäftsjahr oder einem wichtigen Beschaffungszyklus aus. ISMS.online Ihre Kontrollnachweise werden zwischen den Audits kontinuierlich aufbewahrt, sodass die Erneuerung eher einer Aktualisierung als einem kompletten Neustart gleichkommt.
Soll ich Cyber Essentials Plus machen oder direkt zu ISO 27001 übergehen?
Für die meisten britischen Unternehmen ist die Antwort: beides, und zwar nacheinander. Cyber Essentials Plus ist eine spezialisierte technische Zertifizierung, die die Wirksamkeit Ihrer grundlegenden Kontrollmaßnahmen nachweist und häufig vertraglich vorgeschrieben ist. ISO 27001 ist eine umfassendere Managementsystemzertifizierung, die Governance, Risikomanagement und den gesamten Informationssicherheitslebenszyklus abdeckt. Cyber Essentials Plus ist schneller und kostengünstiger zu erreichen und liefert Ihnen die meisten technischen Kontrollnachweise, die ISO 27001 später erwartet. Daher ist es ein sinnvoller erster Schritt auf dem Weg zu einer umfassenderen Zertifizierung.
