Was ist die Erneuerung von Cyber Essentials und warum ist sie wichtig?
Die Erneuerung der Cyber Essentials-Zertifizierung ist der jährliche Rezertifizierungszyklus, den jede zertifizierte britische Organisation durchlaufen muss, um ihren Status aufrechtzuerhalten. Cyber-Grundlagen Das Gütesiegel ist gültig. Ein Zertifikat wird genau 12 Monate ab dem Datum der Überprüfung Ihrer Bewertung ausgestellt und erlischt mit Ablauf dieser 12 Monate – es gibt keine Nachfrist, die es Ihnen erlaubt, das Gütesiegel weiterhin zu verwenden oder gegenüber Kunden, Behörden oder Versicherern den zertifizierten Status geltend zu machen.
Diese abrupte Ablauffrist ist beabsichtigt. Die Bedrohungslandschaft verändert sich ständig, Softwareanbieter veröffentlichen monatlich neue Sicherheitslücken, und das IASME-Konsortium (das das Programm im Auftrag des NCSC verwaltet) aktualisiert die technischen Anforderungen etwa einmal jährlich. Ein 12-monatiges Zertifikat garantiert, dass alle Inhaber des Gütesiegels nach einer aktuellen Version des Standards geprüft wurden, nicht nach einer drei Jahre alten Momentaufnahme. Für Käufer von Dienstleistungen, die personenbezogene Daten oder staatliche Lieferketten betreffen, ist diese Aktualität der entscheidende Vorteil des Programms.
Für die meisten britischen Unternehmen ist die Erneuerung der Zertifizierung eine vertragliche und wirtschaftliche Voraussetzung. Wenn Sie die Zentralregierung beliefern, Verträge mit dem Verteidigungsministerium haben, mit dem NHS zusammenarbeiten oder Teil einer regulierten Lieferkette sind, prüfen Ihre Kunden im IASME-Zertifikatsregister, ob Ihre Zertifizierung gültig ist. Eine abgelaufene Zertifizierung führt oft zu einem sofortigen Stopp neuer Aufträge, einem Vermerk in Ihrem Lieferantenprofil und in manchen Fällen zu einem Vertragsbruch. Die Erneuerung als bloße Routinearbeit zu behandeln, ist riskant – sie sollte wie das ursprüngliche Zertifizierungsprojekt geplant, verantwortet und mit den entsprechenden Ressourcen ausgestattet werden.
Diese Seite bietet einen umfassenden Überblick über die Erneuerung für 2026: die 12-monatige Gültigkeitsregel, die jährlichen Änderungen, den Vergleich des Verfahrens mit einer Neuanmeldung, die Kosten in allen fünf Größenklassen, die IASME-Kontrollaktualisierungen für 2026, auf die Sie vorbereitet sein sollten, die tatsächliche Dauer der Nachfrist für abgelaufene Zertifikate und wie Sie entscheiden, ob Sie auf eine höhere Stufe umsteigen sollten. Cyber Essentials Plus zum Zeitpunkt der Verlängerung.
Wie funktioniert der 12-monatige Verlängerungszyklus genau?
Cyber Essentials-Zertifikate sind ab dem Datum der Bestätigung durch den Prüfer genau 12 Monate gültig. Das Ablaufdatum ist auf Ihrem Zertifikat vermerkt, im IASME-Register eingetragen und wird Ihrem registrierten Ansprechpartner rechtzeitig vor Ablauf der Frist per E-Mail zugesandt. Ab dem ersten Tag des zweiten Jahres verliert Ihr vorheriges Zertifikat seine Gültigkeit.
Der Erneuerungsprozess ist aus regulatorischer Sicht identisch mit einem Neuantrag. Sie füllen denselben Cyber Essentials Selbstbewertungsfragebogen (SASQ) aus, reichen ihn bei derselben Zertifizierungsstelle ein, zahlen dieselbe Gebühr, die sich nach der Größe Ihres Unternehmens richtet, und Ihre Antworten werden von denselben Gutachtern geprüft. Die Bezeichnung „Erneuerung“ dient lediglich der Vereinfachung der Abrechnung und Terminplanung und bedeutet nicht, dass der Prozess weniger aufwendig ist. Es gibt keinen verkürzten Fragebogen, keine Option „Antworten wie im Vorjahr“ und keine Gebührenermäßigung für wiederkehrende Organisationen.
Was sich zwischen dem ersten und zweiten Jahr ändert, müssen Sie im Fragebogen beantworten. Ihr Tätigkeitsbereich hat sich möglicherweise erweitert, Sie haben neue Geräte und Software eingeführt, Cloud-Dienste sind möglicherweise umgezogen, und der Fragebogen selbst wurde aktualisiert. IASME veröffentlicht die Anforderungen etwa jedes Jahr im April neu. Fällt Ihre Zertifizierungserneuerung nach dieser Aktualisierung, müssen Sie die Fragen anhand der neuen Version beantworten – selbst wenn Sie sich vor elf Monaten nach der alten Version zertifizieren ließen. Daher ist eine saubere Kopie Ihrer Antworten aus dem Vorjahr zwar ein nützlicher Ausgangspunkt, aber für die endgültige Einreichung nicht ausreichend.
Die meisten Zertifizierungsstellen erlauben es Ihnen, Ihren Verlängerungsantrag bis zu 90 Tage vor Ablauf einzureichen. Die Gültigkeitsdauer Ihres neuen 12-Monats-Zertifikats beginnt mit dem Ausstellungsdatum. Eine frühzeitige Einreichung verkürzt daher nicht Ihre Gültigkeitsdauer im zweiten Jahr; sie verschiebt lediglich das Ablaufdatum um die Anzahl der Tage, die Sie die Zertifizierung früher einreichen.
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
Welche Änderungen ergeben sich bei den Cyber Essentials-Anforderungen 2026?
IASME hat die technischen Kontrollen von Cyber Essentials im April 2026 aktualisiert. Die fünf Kontrollthemen – Firewalls, sichere Konfiguration, Verwaltung von Sicherheitsupdates, Benutzerzugriffskontrolle und Malware-Schutz – bilden weiterhin das strukturelle Rückgrat des Programms. Geändert haben sich die Details innerhalb der einzelnen Themen: die Implementierung der Multi-Faktor-Authentifizierung (MFA), die betroffenen Gerätetypen, die Behandlung von Cloud-Diensten und Homeoffice sowie die Definitionen für Software-Support, die zu einer Meldung über nicht unterstützte Software führen.
Die folgende Tabelle fasst die Neuerungen im Jahr 2026 und die unveränderten Fragen aus dem Fragenkatalog von 2025 zusammen. Nutzen Sie sie als schnelle Überprüfung Ihrer Wissenslücken, bevor Sie mit Ihrer Einreichung zur Verlängerung beginnen.
| Kontrollbereich | Was ist neu in 2026 | Übertragen aus dem Jahr 2025 |
|---|---|---|
| Firewalls und Grenzen | Verschärfung der Formulierungen bei Software-Firewalls für Geräte, die außerhalb des Unternehmensnetzwerks verwendet werden; explizite Anforderung, alle eingehenden Regeln mit einer geschäftlichen Begründung zu dokumentieren. | Standardmäßig eingehende Anfragen ablehnen, Standardpasswörter der Anbieter ändern, dedizierter Schutz der administrativen Schnittstelle. |
| Sichere Konfiguration | Klarere Vorgaben zur Deaktivierung der automatischen Start-/Wiedergabefunktion auf allen betroffenen Geräten sowie präzisere Hinweise zur Trennung von Gast- und WLAN-Netzwerken für Heimarbeiter. | Entfernung unnötiger Software und Konten, Gerätesperrung nach 10 Minuten Inaktivität, Schutz vor Brute-Force-Angriffen auf Benutzerkonten. |
| Verwaltung von Sicherheitsupdates | Aktualisierte Definition von „unterstützter“ Software, die die Stichtage für das Ende des erweiterten Supports durch die Hersteller explizit erfasst und lizenzgebundene Legacy-Versionen als nicht unterstützt behandelt. | 14-tägiges Patch-Fenster für kritische CVEs, automatische Updates, sofern verfügbar, Entfernung nicht unterstützter Software aus dem Geltungsbereich oder Netzwerk. |
| Benutzerzugriffssteuerung | Erweiterung der Multi-Faktor-Authentifizierung: Alle von der Organisation genutzten Cloud-Dienste (nicht nur administrative) erfordern nun für jeden Benutzer eine Multi-Faktor-Authentifizierung. Administratoren werden phishingresistente Methoden empfohlen. Strengere Regeln für gemeinsam genutzte Konten und Dienstkonten. | Einzigartige Benutzerkonten, formeller Genehmigungsprozess für Benutzerkonten, Trennung von Standard- und Administratorkonten, MFA für den Cloud-Administratorzugriff. |
| Malware Schutz | Präzisere Formulierungen zu den drei akzeptierten Ansätzen (Antimalware-Software, Zulassungslisten für Anwendungen, Sandboxing) und explizite Anforderung, dass mobile Plattformen abgedeckt werden müssen. | Echtzeit-Scanning, Aktualisierung von Signaturen/Heuristiken, Webfilterung oder Ähnliches für die betroffenen Geräte. |
| Umfang des Cloud-Dienstes | Präzisierte Definition der einzubeziehenden Cloud-Dienste: Alle SaaS-, PaaS- oder IaaS-Dienste, auf die Ihre Organisation für ihre Geschäftstätigkeit angewiesen ist, müssen abgedeckt sein, wobei die Verantwortlichkeit für die geteilte Verantwortung klarer geregelt sein muss. | Im Leistungsumfang enthalten sind Produktivitätssuiten im Stil von Office 365/Google Workspace sowie Dateispeicher- und Kollaborationsplattformen. |
| BYOD und Heimarbeit | Verschärfte Anforderungen an den Zugriff auf Unternehmensdaten mit privat genutzten Geräten – die gleichen fünf Kontrollmechanismen müssen nachweislich angewendet werden, mit praktischen Hinweisen zu MDM und bedingtem Zugriff. | Heimarbeit ist standardmäßig inbegriffen, Heimrouter sind ausgenommen, Geräte im Besitz des Mitarbeiters sind inbegriffen, wenn sie für die Arbeit verwendet werden. |
| Fragebogenstruktur | Die Fragen wurden zur besseren Verständlichkeit umformuliert, Duplikate entfernt und die Verzweigungslogik verbessert, sodass die Befragten nur die für ihre Umgebung relevanten Fragen sehen. | Fünf Kontrollthemen, organisatorische und technische Abschnitte, Freigabe durch ein Vorstandsmitglied. |
Wenn Sie Ihre Zertifizierung 2025 erhalten haben, haben sich die Kontrollen selbst nicht grundlegend geändert, die Formulierungen wurden jedoch verschärft und die Anforderungen an die Multi-Faktor-Authentifizierung (MFA) sind gestiegen. Das häufigste Problem bei der Erneuerung 2026 ist die erweiterte MFA-Pflicht für Standardbenutzerkonten (nicht nur Administratoren) für Cloud-Dienste. Falls Ihre aktuelle Implementierung nur Administratoren umfasst, planen Sie diese Arbeiten in Ihre 60-tägige Vorbereitungsphase vor der Einreichung ein – die unternehmensweite Einführung von MFA dauert in der Regel länger als die technische Konfiguration vermuten lässt.
Wie viel kostet die Verlängerung von Cyber Essentials im Jahr 2026?
Die Kosten für die Verlängerung sind identisch mit denen einer Neuanmeldung. IASME legt die Preise zentral fest, sodass Sie unabhängig von der gewählten Zertifizierungsstelle die gleiche Gebühr zahlen. Die Preise sind nach Unternehmensgröße gestaffelt, definiert durch die Gesamtmitarbeiterzahl des Unternehmens (nicht nur des zertifizierten Bereichs). Alle Preise verstehen sich zuzüglich Mehrwertsteuer.
| Größenband | Mitarbeiter | Cyber Essentials-Verlängerungsgebühr |
|---|---|---|
| Micro | 0-9 | £ 330 + MwSt |
| Small | 10-49 | £ 400 + MwSt |
| Medium | 50-249 | £ 450 + MwSt |
| Large | 250+ | £ 500 + MwSt |
Wenn Sie bei der Verlängerung auf Cyber Essentials Plus umsteigen, zahlen Sie die oben genannte Standardgebühr für Cyber Essentials zuzüglich einer separaten Gebühr für die Cyber Essentials Plus-Prüfung. Diese Gebühr wird Ihnen direkt von Ihrer Zertifizierungsstelle mitgeteilt und richtet sich nach der Anzahl der abgedeckten Geräte und Cloud-Dienste. Eine detaillierte Kostenaufstellung für beide Zertifikate, einschließlich der Einsparungen bei anderen Anbietern, finden Sie in unserer [Link einfügen]. Kostenleitfaden für Cyber Essentials.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Wann sollten Sie mit den Vorbereitungen für die Verlängerung beginnen?
Die ehrliche Antwort lautet: „Früher als Sie denken.“ Der häufigste Grund für gescheiterte oder überhastet durchgeführte Verlängerungen ist, die Arbeit bis zur letzten Woche aufzuschieben. Ein praktischer und stressfreier Ansatz ist, das Verlängerungsprojekt 60 Tage vor Ablauf der Laufzeit zu starten. So haben Sie genügend Zeit, Änderungen am Leistungsumfang, die Einführung von Multi-Faktor-Authentifizierung und Software-Support-Korrekturen durchzuführen, ohne in die Frist für die Vertragsverlängerung zu geraten.
60 Tage vor Ablauf
Nehmen Sie eine Kopie des im letzten Jahr eingereichten SASQ-Fragenkatalogs, den aktuellen IASME-Fragenkatalog sowie Ihre Anlagen- und Softwareinventare zur Hand. Führen Sie eine kurze Gap-Analyse anhand der aktualisierten Kontrollen durch. Ermitteln Sie alle neuen Standorte, Cloud-Dienste oder Geräteklassen, die seit Ihrer letzten Zertifizierung in den Geltungsbereich gefallen sind.
30–45 Tage vor Ablauf
Schließen Sie alle technischen Lücken: Führen Sie die Multi-Faktor-Authentifizierung für Standardbenutzer ein, entfernen oder aktualisieren Sie nicht unterstützte Software, optimieren Sie die Firewall-Konfigurationen und überprüfen und aktualisieren Sie Ihre Nutzungsrichtlinien sowie die Prozesse für neue Mitarbeiter (Eintritt/Versetzung/Austritt). Führen Sie einen internen Testlauf durch. Selbstbeurteilungsfragebogen mit den Personen, die es unterschreiben werden.
14–21 Tage vor Ablauf
Reichen Sie den SASQ bei Ihrer Zertifizierungsstelle ein. Die meisten Bewertungen werden innerhalb von fünf Werktagen zurückgesendet. Dies lässt Ihnen Zeit für Rückfragen oder eine Bitte um Korrektur und erneute Einreichung (was als eine einzige Bewertung und nicht als eine neue gilt, sofern Sie innerhalb desselben Einreichungszeitraums antworten).
Ab dem Einreichungstag
Nach bestandener Prüfung wird Ihnen Ihr neues Zertifikat noch am selben Tag ausgestellt und das IASME-Register aktualisiert. Aktualisieren Sie Ihre Website, Lieferantenportale, Ausschreibungsunterlagen und alle Vertragsdokumente, die die Zertifikatsnummer oder das Ablaufdatum enthalten.
Was passiert, wenn Ihr Zertifikat abläuft?
Läuft Ihr Zertifikat ab, bevor Sie einen Verlängerungsantrag einreichen, behandelt die IASME Ihren Antrag als Neuantrag und nicht als Verlängerung – mit einer wichtigen Ausnahme: Gemäß den aktuellen IASME-Regeln können Sie, wenn Sie den Antrag innerhalb von 14 Tagen nach Ablauf Ihres vorherigen Zertifikats einreichen und bestehen, das neue Zertifikat für Marketing- und Lieferantenzwecke weiterhin als fortlaufende Rezertifizierung bezeichnen. Nach Ablauf dieser 14-Tage-Frist ist Ihr bisheriger Zertifizierungsstatus unterbrochen, Sie müssen den Antrag als Neuantrag deklarieren, und Ihre Kunden bemerken möglicherweise eine Lücke im Zertifikatsregister.
Die Kosten sind in beiden Fällen gleich – ein Verfall der Zertifizierung löst keine Strafgebühr aus –, doch die Folgen für Reputation und Verträge können erheblich sein. Rahmenverträge für staatliche Lieferanten und Versicherungsprodukte, die eine kontinuierliche Zertifizierung erfordern, werten jede Lücke, selbst einen einzigen Tag, als Nichteinhaltung. Wenn Sie die Zentralregierung über den Crown Commercial Service beliefern, müssen Sie damit rechnen, dass jede Lücke, die länger als die 14-tägige administrative Frist ist, hinterfragt wird.
Sollten Sie aus Gründen, die außerhalb Ihrer Kontrolle liegen (z. B. Ausfall von Schlüsselpersonal, Änderung des Projektumfangs während eines laufenden Projekts, gescheiterter erster Versuch), Gefahr laufen, Ihre Zertifizierung zu verlieren, informieren Sie Ihre Zertifizierungsstelle so früh wie möglich. Diese kann Ihr bestehendes Zertifikat nicht verlängern – das kann nur IASME, und die Richtlinien des Programms lassen dies nicht zu –, aber sie kann Ihre Einreichung in der Regel priorisieren und Ihnen helfen, die Lücke zu minimieren.
Sollten Sie bei der Verlängerung auf Cyber Essentials Plus upgraden?
Die Verlängerung ist der ideale Zeitpunkt, um über ein Upgrade auf Cyber Essentials Plus nachzudenken. Das Standard-Cyber-Essentials-Zertifikat basiert auf einer Selbsteinschätzung und wird im Rahmen einer Dokumentenprüfung verifiziert. Cyber Essentials Plus ergänzt diese durch ein unabhängiges, praxisorientiertes technisches Audit Ihrer Zertifizierungsstelle. Dieses umfasst Schwachstellenscans, Stichprobenprüfungen an Geräten und die Überprüfung, ob die von Ihnen angegebenen Kontrollmechanismen tatsächlich wie beschrieben konfiguriert sind.
Drei Signale deuten darauf hin, dass jetzt der richtige Zeitpunkt für einen Aufstieg ist:
- Kundendruck — In einer Ausschreibung oder Lieferantenprüfung wurde ausdrücklich Cyber Essentials Plus verlangt, nicht nur Cyber Essentials.
- Hebelwirkung der Versicherung — Ihr Cyberversicherungsmakler weist auf eine signifikante Prämienreduzierung oder eine Erweiterung des Versicherungsschutzes für Plus-zertifizierte Organisationen hin.
- Reifesignal — Sie verfügen über ein Jahr an Betriebsdaten, die belegen, dass die Kontrollen in der Praxis funktionieren, und Sie möchten dies auch extern nachweisen.
Die Plus-Bewertung verwendet denselben Selbstbewertungsfragebogen wie die Basisstufe, daher ist die Vorbereitung weitgehend identisch. Der zusätzliche Aufwand besteht in der Durchführung des technischen Audits (in der Regel ein halber bis ein ganzer Tag für ein kleines Unternehmen) und der Sicherstellung, dass die zu prüfenden Geräte am Tag des Audits verfügbar und korrekt konfiguriert sind. Weitere Informationen finden Sie in unserer Seite mit den Anforderungen für Cyber Essentials Plus für eine detaillierte Aufschlüsselung der Prüfung nach Kontrollpunkten und unsere Anforderungsleitfaden Die zugrundeliegenden Steuerungsdetails, die für beide Zertifikate gelten, finden Sie hier. Die vollständige, zeilenweise Vorbereitungsarbeit, die beide Routen gemeinsam leisten, finden Sie hier. Checkliste Cyber Essentials.
Warum sollten Sie ISMS.online für die Erneuerung Ihrer Cyber Essentials-Zertifizierung wählen?
- Vorab auf den Fragenkatalog von 2026 abgestimmt. - ISMS.online Erstellt eine Checkliste, die den aktuellen IASME-Fragenkatalog enthält, sodass Sie anhand der neuesten Anforderungen bewerten können, ohne jedes Jahr Ihre eigene Checkliste neu erstellen zu müssen.
- Eine Plattform für Erneuerungsnachweise — Beweise (Firewall-Konfigurationen, MFA-Screenshots, Patching-Protokolle, Anlagenregister) werden gesammelt, gespeichert und direkt mit der Frage verknüpft, die sie beantworten, damit zwischen dem ersten und dem zweiten Jahr nichts verloren geht.
- Integrierte Lückenanalyse — Vergleichen Sie Ihren aktuellen Zustand mit den aktuellen IASME-Vorgaben und ermitteln Sie die wichtigsten Lücken, die vor der Einreichung geschlossen werden müssen.
- Eigentümergesteuerte Aktionsverfolgung — Jede Lücke sollte in eine Aufgabe mit benanntem Verantwortlichen, Fälligkeitsdatum und Status umgewandelt werden, damit der 60-tägige Vorbereitungszeitraum eingehalten wird.
- Übernahme aus dem ersten Jahr — die Beweise und Antworten des Vorjahres als Ausgangspunkt wiederverwenden und dann nur die Änderungen aktualisieren, wodurch sich die Vorbereitungszeit erheblich verkürzt.
- Ein Ort für mehrere Frameworks — wenn Sie auch halten ISO 27001 oder arbeiten darauf hin SOC 2 or NIS 2, ISMS.online Die Kontrollmechanismen überschneiden sich, sodass dieselben Nachweise mehrere Zertifizierungen unterstützen.
- Tausende britische Organisationen vertrauen uns. - ISMS.online Unterstützt Compliance-Teams in ganz Großbritannien bei der Verwaltung wiederkehrender Zertifizierungen ohne unübersichtliche Tabellenkalkulationen.
Verwandte Leitfäden zu Cyber Essentials
Setzen Sie Ihre Reise zu Cyber Essentials mit den anderen Leitfäden dieser Reihe fort:
- Anforderungen an Cyber Essentials — Die fünf Kontrollbereiche, die Festlegung des Untersuchungsbereichs und welche Nachweise die Gutachter berücksichtigen.
- Cyber Essentials Kosten — IASME-Preisstaffelung, Zuschlagskosten, versteckte Kosten und 3-Jahres-Gesamtkosten für britische Unternehmen.
- Lohnt sich Cyber Essentials? — Eine ehrliche Einschätzung der Vorteile, Nachteile und wer tatsächlich eine Zertifizierung benötigt.
- Anforderungen für Cyber Essentials Plus — Das technische Audit, die Schwachstellenscans und die Vorteile von Plus gegenüber der Basiszertifizierung.
- Cyber Essentials Selbstbewertung — Der SASQ-Workflow, der Anwendungsbereich, die erforderlichen Nachweise und häufige Fehlerquellen.
- Wie lange dauert der Kurs Cyber Essentials? — Typischer Zeitplan in Großbritannien, beschleunigte Verfahren und Faktoren, die den Prozess verlangsamen.
- Cyber-Grundlagen für kleine Unternehmen — SMB-spezifische Preisgestaltung, Leistungsumfang und Kosten-Nutzen-Analyse.
- Cyber Essentials vs ISO 27001 — Vergleich von Umfang, Kosten, Zeitaufwand und Anerkennung.
Häufig gestellte Fragen
Wie lange ist ein Cyber Essentials-Zertifikat gültig?
Ein Cyber Essentials-Zertifikat ist ab dem Datum der Bestätigung durch den Prüfer genau 12 Monate gültig. Danach verfällt das Zertifikat, und Sie können den zertifizierten Status nicht mehr beanspruchen oder das Gütesiegel verwenden, bis Sie eine erfolgreiche Verlängerung vorgenommen haben.
Wie viel kostet die Verlängerung von Cyber Essentials?
Die Gebühren für die Verlängerung entsprechen denen einer Neuanmeldung und werden zentral von IASME festgelegt. Die Preise richten sich nach der Mitarbeiterzahl: 330 £ + MwSt. (Kleinstunternehmen, 0–9 Mitarbeiter), 400 £ + MwSt. (Kleinunternehmen, 10–49 Mitarbeiter), 450 £ + MwSt. (Mittelunternehmen, 50–249 Mitarbeiter) und 500 £ + MwSt. (Großunternehmen, ab 250 Mitarbeitern). Für den Wechsel zu Cyber Essentials Plus fällt eine zusätzliche Prüfungsgebühr an, die von Ihrer Zertifizierungsstelle in Rechnung gestellt wird.
Worin besteht der Unterschied zwischen einer Verlängerung von Cyber Essentials und einem Neuantrag?
Verfahrenstechnisch gibt es keinen Unterschied. Für die Verlängerung werden derselbe Selbstbewertungsfragebogen, dieselbe Zertifizierungsstelle, dieselben Gutachter und dieselbe Gebührenordnung wie für einen Neuantrag verwendet. Die Bezeichnung dient lediglich der Terminplanung und bedeutet nicht, dass der Prozess vereinfacht wurde. Sie beantworten den aktuellen IASME-Fragenkatalog vollständig, unabhängig davon, ob Sie im letzten Jahr zertifiziert waren.
Was passiert, wenn mein Cyber Essentials-Zertifikat abläuft?
Wenn Sie Ihren Antrag innerhalb von 14 Tagen nach Ablauf Ihrer vorherigen Zertifizierung einreichen und bestehen, können Sie die neue Zertifizierung gemäß IASME als fortlaufende Rezertifizierung bezeichnen. Nach Ablauf dieser Frist erlischt Ihr bisheriger Zertifizierungsstatus, und die Einreichung wird als Neuantrag behandelt. Die Gebühr bleibt in beiden Fällen gleich, jedoch wird bei Kunden, die das IASME-Register einsehen, eine Lücke sichtbar sein.
Wann sollte ich mit den Vorbereitungen für die Verlängerung beginnen?
Beginnen Sie das Erneuerungsprojekt 60 Tage vor Ablauf Ihrer Zertifizierung. Nutzen Sie die ersten 30 Tage, um sich anhand des aktuellen IASME-Fragenkatalogs zu prüfen und etwaige Lücken zu identifizieren. Die darauffolgenden 15–30 Tage dienen der Behebung technischer Mängel (z. B. durch Multi-Faktor-Authentifizierung, Patches und Firewall-Konfiguration). Die letzten 14–21 Tage sollten für die Einreichung, die Beantwortung von Prüferfragen und die erfolgreiche Prüfung eingeplant werden. Die häufigste Ursache für gescheiterte oder verfallene Erneuerungen ist, die Arbeiten erst in den letzten zwei Wochen zu beginnen.
Kann ich bei der Verlängerung auf Cyber Essentials Plus upgraden?
Ja, und die Verlängerung ist ein idealer Zeitpunkt, um Ihr Wissen zu erweitern. Cyber Essentials Plus verwendet denselben SASQ-Fragebogen wie die Basisversion, beinhaltet aber zusätzlich ein unabhängiges technisches Audit durch Ihre Zertifizierungsstelle. Dieses Audit überprüft, ob die von Ihnen angegebenen Kontrollen tatsächlich wie beschrieben konfiguriert sind und dauert in der Regel einen halben bis einen ganzen Tag vor Ort oder per Fernzugriff. Planen Sie daher zusätzlich zur regulären Verlängerungsgebühr Zeit und Kosten für das Plus-Audit ein.
