Warum eignet sich Cyber Essentials gut für kleine Unternehmen?
Cyber Essentials wurde speziell für kleinere Unternehmen entwickelt. Es handelt sich um ein von der britischen Regierung gefördertes Programm des IASME-Konsortiums, das sich auf fünf technische Kontrollmaßnahmen konzentriert, die jedes Unternehmen bereits implementiert haben sollte. Es sind keine langwierigen Audits, kein eigenes IT-Sicherheitsteam und keine aufwendigen Dokumentationen erforderlich. Für britische KMU, die lediglich nachweisen möchten, dass sie die Grundlagen beherrschen, ist diese Zertifizierung eine der kostengünstigsten Möglichkeiten, sich zu qualifizieren.
Für Einzelunternehmer oder Beratungsunternehmen mit 20 Mitarbeitern ist der Nutzen offensichtlich. Die fünf Kontrollmechanismen umfassen Firewalls, sichere Konfiguration, Benutzerzugriffskontrolle, Malware-Schutz und die Verwaltung von Sicherheitsupdates – also dieselben grundlegenden Sicherheitsmaßnahmen, die die meisten opportunistischen Angriffe verhindern. Die Abdeckung dieser Grundlagen blockiert schätzungsweise 80 Prozent der gängigen Cyberangriffe, mit denen kleine Unternehmen am häufigsten konfrontiert sind. Sie müssen keine eigene Firewall einrichten. ISO 27001 -Notenverwaltungssystem, um sich zu qualifizieren; Sie müssen lediglich nachweisen, dass die Kontrollmechanismen funktionieren.
Das Programm ist zudem explizit an die Unternehmensgröße angepasst. Die Preise sind gestaffelt, sodass Kleinstunternehmen mit weniger als 10 Mitarbeitern nur einen Bruchteil dessen zahlen, was ein Unternehmen mit 250 Mitarbeitern zahlt. Der Selbstbewertungsfragebogen ist unabhängig von der Mitarbeiterzahl identisch. Dadurch ist das Programm sowohl für Gründer, die ihr Unternehmen von einem Laptop aus führen, als auch für kleinere Betriebe zugänglich. Weitere Informationen zum gesamten Programm finden Sie hier: Cyber Essentials Hub.
Was bewegt kleine Unternehmen dazu, sich im Jahr 2026 zertifizieren zu lassen?
Drei Faktoren sind ausschlaggebend. Erstens schreibt die britische Regierung bei der öffentlichen Auftragsvergabe zunehmend die Cyber-Essentials-Zertifizierung für alle Anbieter vor, die sensible oder personenbezogene Daten verarbeiten. Bei Angeboten für Aufträge der Zentralregierung, des NHS, des Verteidigungsministeriums oder von Kommunen ist Cyber Essentials in der Regel eine Grundvoraussetzung und häufig ein entscheidendes Kriterium im Vergabeverfahren. Viele Kommunen fordern die Zertifizierung mittlerweile für jeden Vertrag, der Bürgerdaten betrifft, unabhängig vom Auftragswert.
Zweitens hat der Druck auf die Lieferketten zugenommen. Große Unternehmen – Banken, Versicherungen, Beratungsfirmen, Einzelhändler – drängen ihre Lieferanten, Cyber Essentials im Rahmen ihrer eigenen Drittanbieter-Risikomanagementprogramme ein. KMU, die große Organisationen beliefern, werden zunehmend aufgefordert, Zertifizierungsnachweise vorzulegen, bevor Verträge vergeben oder verlängert werden. Eine fehlende Zertifizierung kann nicht nur zum Verlust neuer Geschäftsmöglichkeiten, sondern auch zum Verlust bestehender Aufträge führen.
Drittens hat sich der Markt für Cyberversicherungen verschärft. Versicherer stellen nun bei der Angebotserstellung detaillierte Fragen zu den Kontrollmechanismen, und mehrere große britische Versicherer senken explizit die Prämien oder verbessern die Deckungsbedingungen für Unternehmen mit Cyber-Essentials-Zertifizierung. Für ein KMU, das jährlich zwischen 500 und 5,000 Pfund für eine Cyberversicherung zahlt, kann selbst eine Prämienreduzierung von 10 bis 20 Prozent einen Großteil der Zertifizierungskosten im ersten Jahr ausgleichen. Einen umfassenderen Überblick über die Kosten und Vorteile bietet unser Leitfaden zu diesem Thema. ob Cyber Essentials sich lohnt geht die Zahlen durch.
Was genau verlangt Cyber Essentials von einem KMU?
Der Standard definiert fünf technische Kontrollbereiche. Die Aktualisierung des Systems im Jahr 2022 bezog Heimarbeit, Cloud-Dienste und BYOD (Bring Your Own Device) fest in den Geltungsbereich ein, was genau der Arbeitsweise der meisten kleinen Unternehmen heutzutage entspricht.
- Firewalls — Grenzfirewalls und persönliche Firewalls auf Geräten, die sich mit nicht vertrauenswürdigen Netzwerken verbinden (einschließlich Heimroutern, die von Remote-Mitarbeitern verwendet werden).
- Sichere Konfiguration Geräte und Software wurden so konfiguriert, dass Sicherheitslücken reduziert werden. Standardpasswörter wurden entfernt, ungenutzte Konten deaktiviert und unnötige Dienste abgeschaltet.
- Benutzerzugriffssteuerung — Jeder Benutzer hat sein eigenes Konto, Administratoren haben separate Administratorkonten, Multi-Faktor-Authentifizierung bei Cloud-Diensten und allen extern zugänglichen Diensten.
- Malware Schutz — Auf jedem Endpunkt ist eine aktuelle Anti-Malware-Software installiert. Alternativ können Anwendungen auf eine Zulassungsliste gesetzt oder in einer Sandbox ausgeführt werden, um verwaltete Geräte zu schützen.
- Verwaltung von Sicherheitsupdates — Alle vom Hersteller unterstützten Softwareprodukte, inklusive wichtiger und kritischer Patches, werden innerhalb von 14 Tagen installiert.
Nichts davon ist ungewöhnlich. Die meisten KMU, die Microsoft 365 oder Google Workspace mit verwalteten Laptops nutzen, haben bereits 60 bis 80 Prozent des Weges zurückgelegt, bevor sie überhaupt mit der Bewertung beginnen. Die Herausforderung liegt in der Regel eher in der Dokumentation und Konsistenz als im gänzlichen Fehlen von Kontrollen.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Wie viel kostet Cyber Essentials ein kleines Unternehmen im Jahr 2026?
Das IASME-Konsortium verwendet für die Cyber Essentials-Basis-Selbstbewertung ein gestaffeltes Preismodell, sodass kleinere Unternehmen deutlich weniger zahlen als größere. Die Preise sind in GBP angegeben und verstehen sich exklusive Mehrwertsteuer. Die Mikro-Stufe deckt die meisten Startups und Kleinstunternehmen ab, weshalb Cyber Essentials auch für Organisationen mit ein bis neun Mitarbeitern erschwinglich ist.
Die folgende Tabelle fasst die aktuellen Größenkategorien zusammen. Bitte überprüfen Sie vor der Budgetplanung stets die aktuellsten Zahlen auf der IASME-Website, da die Preise im Rahmen des Programms regelmäßig angepasst werden.
| Größenband | Typische Personenzahl | Grundgebühr für Cyber Essentials (exkl. MwSt.) | Für wen das geeignet ist |
|---|---|---|---|
| Micro | Bis zu 9 Mitarbeiter | Von £ 330 | Einzelunternehmer, Gründer, Startups, freiberufliche Berater |
| Small | 10 an 49-Mitarbeiter | Von £ 420 | Wachsende KMU, Agenturen, kleine professionelle Dienstleistungsunternehmen |
| Medium | 50 an 249-Mitarbeiter | Von £ 500 | Etablierte KMU und Scale-ups |
| Large | Über 250 Mitarbeiter | Von £ 600 | Unternehmensorganisationen |
Die Prüfungsgebühr deckt lediglich die Kosten der Zertifizierungsstelle ab. Im Budget sollten Sie zusätzlich die Vorbereitungszeit (in der Regel 20 bis 40 Stunden interner Aufwand für ein KMU) sowie gegebenenfalls benötigte Tools wie Endpoint-Antimalware oder eine MFA-Lösung (falls noch nicht vorhanden) einplanen. Viele kleine Unternehmen mit modernen Cloud-basierten Systemen stellen fest, dass die Prüfungsgebühr selbst die einzigen zusätzlichen Kosten darstellt. Eine detaillierte Aufschlüsselung inklusive Beraterhonoraren finden Sie in unserer [Link einfügen]. Kostenleitfaden für Cyber Essentials.
Wie sollte ein kleines Unternehmen seine Cyber-Essentials-Bewertung gestalten?
Die Festlegung des Bewertungsumfangs ist die mit Abstand wichtigste Entscheidung, die ein KMU während der Bewertung trifft. Gelingt dies, verläuft der Prozess unkompliziert; liegt man falsch, verschwendet man Zeit mit der Bereitstellung von Nachweisen für Systeme, die nicht zum Bewertungsumfang gehören, oder – noch schlimmer – man schließt etwas aus, das zum Bewertungsumfang gehören sollte, und riskiert so eine negative Bewertung.
Standardmäßig wird davon ausgegangen, dass die gesamte Organisation abgedeckt ist. Eine Zertifizierung der gesamten Organisation ist das, was die meisten Einkaufsabteilungen großer Unternehmen erwarten und was die meisten Versicherer überprüfen möchten. Für kleine Unternehmen lohnt sich die Prüfung einzelner Organisationsteile aufgrund des damit verbundenen Aufwands selten, es sei denn, es gibt einen klar abgegrenzten Bereich, der sich tatsächlich nicht schnell an die Standards anpassen lässt.
| Berücksichtigung des KMU-Umfangs | Was ist im Umfang enthalten? | Gemeinsamer KMU-Ansatz |
|---|---|---|
| Heimarbeitsgeräte | Alle Geräte, die zum Zugriff auf Organisationsdaten verwendet werden, einschließlich BYOD-Geräte, sofern diese nicht getrennt sind | Verwalten Sie Laptops oder registrieren Sie persönliche Geräte mit bedingtem Zugriff in MDM. |
| Heimrouter | Sie fallen unter den Geltungsbereich von Grenzwandfirewalls, wenn sie für den Zugriff auf Arbeitsdaten verwendet werden, es sei denn, eine Software-Firewall auf dem Gerät ist gemäß Standard konfiguriert. | Verlassen Sie sich auf die Geräte-Firewall (z. B. Windows Defender Firewall), um den Heimrouter aus dem Geltungsbereich zu entfernen. |
| Microsoft 365 / Google Workspace | Alle Cloud-Dienste, die Organisationsdaten speichern, fallen in den Geltungsbereich. | Multi-Faktor-Authentifizierung für alle Administrator- und Benutzerkonten erzwingen, Konfiguration dokumentieren |
| SaaS-Tools (CRM, Buchhaltung, Projektmanagement) | Im Geltungsbereich, wenn sie Organisations- oder Kundendaten speichern | MFA aktivieren, Administratorzugriff einschränken, jedes System im Anlagenregister auflisten |
| Mobiltelefone | Gilt, wenn es zum Zugriff auf E-Mails oder Geschäftsdaten verwendet wird. | PIN- oder biometrische Sperre erforderlich, Fernlöschung über M365 oder Google Admin aktivieren |
| Persönliche Geräte (BYOD) | Gilt immer dann, wenn sie auf Organisationsdaten zugreifen; explizit seit dem Update von 2022. | Entweder unter MDM einbinden oder BYOD auf webbasierten Zugriff ohne lokale Daten beschränken. |
| Auftragnehmer und Freiberufler | Dies fällt darunter, wenn sie Ihre Geräte nutzen oder über Ihre Konten auf Ihre Daten zugreifen. | Weisen Sie ihnen Organisationskonten mit denselben Kontrollmechanismen zu oder lassen Sie sie ihre eigene zertifizierte Einrichtung verwenden. |
Moderne Cloud-Lösungen erleichtern kleinen Unternehmen die Zertifizierung. Da Microsoft 365 und Google Workspace Identität, Multi-Faktor-Authentifizierung (MFA) und Geräterichtlinien zentral verwalten, können kleine Unternehmen über eine einzige Verwaltungskonsole einheitliche Kontrollen für alle Benutzer nachweisen – deutlich einfacher als die Prüfung einer heterogenen Serverlandschaft vor Ort. Vor der Einreichung sollten Sie die folgenden Schritte ausführen: Selbstbeurteilungsfragebogen als eine Art Generalprobe, um frühzeitig Lücken im Untersuchungsgegenstand und in den Beweisen aufzudecken.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Sollte ein KMU einen Berater hinzuziehen oder es selbst versuchen?
Die grundlegende Selbstbewertung für Cyber Essentials können die meisten kleinen Unternehmen intern ohne externe Beratung durchführen. Der Fragebogen ist leicht verständlich, die IASME-Richtlinien sind umfassend und die Kontrollmaßnahmen lassen sich problemlos auf die Microsoft 365- oder Google Workspace-Umgebungen abbilden, die typische britische KMU bereits nutzen. Ein Gründer, IT-Manager oder Betriebsleiter kann das Projekt in der Regel innerhalb von zwei bis sechs Wochen in Teilzeit abschließen.
Berater sind in drei Situationen sinnvoll. Erstens, wenn Sie keine internen technischen Kapazitäten besitzen und jemanden benötigen, der Ihre bestehende Konfiguration den Steuerelementen zuordnet und Ihnen aufzeigt, was geändert werden muss. Zweitens, wenn Sie Folgendes verfolgen: Cyber Essentials Plus (die geprüfte Version mit externer technischer Bewertung) und benötigen Unterstützung bei der Vorbereitung der Umgebung. Der dritte Fall betrifft komplexe oder heterogene Umgebungen – beispielsweise ältere On-Premise-Systeme, mehrere Standorte oder spezielle Industrieanlagen –, bei denen die Festlegung des Projektumfangs Expertenwissen erfordert.
Die Honorare von Beratern im britischen KMU-Markt liegen üblicherweise zwischen 500 und 3,000 £ für die Unterstützung bei einer grundlegenden Cyber-Essentials-Prüfung, abhängig vom Umfang und der Erfahrung des Beraters. Für die meisten kleinen Unternehmen ist dieses Geld besser in Tools (MFA, Anti-Malware, MDM) investiert als in Beratungsleistungen. Eine Ausnahme bildet Plus, wo ein halbtägiger oder eintägiger Austausch zur Erläuterung des externen Testumfangs wertvoll sein kann.
Welcher Zeitrahmen ist für ein Kleinunternehmen realistisch?
Die meisten KMU können den Fragebogen innerhalb von zwei bis sechs Wochen nach Beginn einreichen. Die Abweichung hängt fast ausschließlich vom Ausmaß der Diskrepanz zwischen dem Ist-Zustand und den fünf Kontrollmaßnahmen ab. Ein kleines Unternehmen, das bereits Microsoft 365 mit MFA, verwalteten Laptops und aktiviertem automatischen Windows Update nutzt, kann den Fragebogen innerhalb weniger Tage ausfüllen. Ein Unternehmen, das MFA einführen, ein nicht mehr unterstütztes Betriebssystem ersetzen oder Anti-Malware auf seinen Geräten installieren muss, sollte mehrere Wochen einplanen.
Ein realistischer Plan sieht folgendermaßen aus: Woche 1: Lesen Sie die Fragen, listen Sie Ihre Geräte und Cloud-Dienste auf und identifizieren Sie offensichtliche Lücken. Wochen 2 bis 4: Schließen Sie Lücken – aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) überall, aktualisieren Sie veraltete Software und dokumentieren Sie Ihre Konfiguration. Woche 5: Füllen Sie den Fragebogen aus und sammeln Sie entsprechende Nachweise. Woche 6: Reichen Sie die Unterlagen ein und erhalten Sie das Zertifikat (in der Regel innerhalb von drei Werktagen nach Einreichung, sofern keine Rückfragen bestehen). Das Standardzertifikat ist 12 Monate gültig. Eine detailliertere Aufschlüsselung der einzelnen Aktivitäten finden Sie in unserem Leitfaden. wie lange Cyber Essentials dauert.
Welche häufigen Fallstricke treten bei kleinen Unternehmen auf?
Fünf Hauptgründe für das Scheitern und die erneute Einreichung von Anträgen bei KMU sind. Keiner dieser Gründe ist eine technische Neuerfindung – es handelt sich vielmehr um Probleme bei der Festlegung des Prüfungsrahmens und der Nachweisführung, die Unternehmen in Schwierigkeiten bringen, wenn sie die Bewertung als reine Formalität und nicht als Momentaufnahme ihrer tatsächlichen Arbeitsweise betrachten.
- Nicht mehr unterstützte Software Betriebssysteme, Browser oder Geschäftsanwendungen, deren Support vom Hersteller eingestellt wurde, gelten automatisch als nicht bestanden. Führen Sie vor der Einreichung eine Überprüfung der Windows-Versionen, Office-Builds, macOS-Versionen und aller branchenspezifischen Software durch. Ersetzen oder aktualisieren Sie alle Komponenten, deren Supportende erreicht ist.
- MFA-Lücken Die Multi-Faktor-Authentifizierung muss alle Administratorkonten und alle über das Internet zugänglichen Cloud-Dienste abdecken. Ein häufiger Fehler von KMU ist ein veraltetes E-Mail-Weiterleitungskonto, ein CRM-Administrator-Login oder ein Finanzsystem, bei dem die Multi-Faktor-Authentifizierung nie stillschweigend aktiviert wurde.
- BYOD-Annahmen Erstaunlich viele Kleinunternehmen gehen fälschlicherweise davon aus, dass Geräte von Mitarbeitern nicht unter die Datenschutzbestimmungen fallen. Das ist ein Irrtum. Sobald ein privates Smartphone oder ein Laptop auf Unternehmensdaten zugreift, unterliegt es den entsprechenden Kontrollen.
- Patch-Lag Die 14-Tage-Regel für wichtige und kritische Patches gilt für Betriebssysteme und alle installierten Anwendungen. Unternehmen, die Windows automatisch patchen, aber Browser und PDF-Reader von Drittanbietern vernachlässigen, werden scheitern. Nutzen Sie ein Patch-Management-Tool oder einen Managed-Services-Partner, wenn die manuelle Nachverfolgung nicht praktikabel ist.
- Schwäche der Beweislage Der Gutachter erwartet Beweise, keine Zusicherungen. Dazu gehören Screenshots der MFA-Einstellungen, Exporte von Patch-Berichten, eine schriftliche Nutzungsrichtlinie, die von den Mitarbeitern bestätigt wurde, und ein realitätsgetreues Anlagenverzeichnis. KMU, die die Beweissammlung als letzten Schritt und nicht als Grundlage der Bewertung betrachten, verlieren nach der Einreichung wertvolle Zeit mit der Beschaffung fehlender Dokumente.
Die meisten dieser Probleme lassen sich von vornherein vermeiden, wenn man mit einer Plattform beginnt, die für jede Kontrollgruppe nach Belegen fragt, anstatt bis zur Abgabewoche zu warten.
Welche Vorteile bietet die Cyberversicherung für KMU?
Für britische Kleinst- und Kleinunternehmen beinhaltet das Basiszertifikat „Cyber Essentials“ nun eine Cyberhaftpflichtversicherung als Bestandteil des Pakets, sofern Ihr Jahresumsatz unter 20 Millionen Pfund liegt und das gesamte Unternehmen versichert ist. Der Versicherungsschutz wird für in Großbritannien ansässige Unternehmen, die die Teilnahmebedingungen erfüllen, automatisch aktiviert; eine separate Risikoprüfung ist nicht erforderlich. Obwohl die Deckungssumme eher gering ist (typischerweise 25,000 Pfund Cyberhaftpflicht), ist sie für Einzelunternehmer und Kleinstunternehmen, die sonst keine Cyberversicherung hätten, äußerst sinnvoll.
Über den Versicherungsschutz hinaus erzielen zertifizierte Unternehmen bessere Konditionen bei etablierten Cyberversicherern. Versicherer betrachten das Zertifikat als Nachweis für die Einhaltung grundlegender Sicherheitsvorkehrungen, was ihr Risikoprofil senkt. Prämienreduzierungen von 10 bis 20 Prozent bei eigenständigen Cyberversicherungen sind üblich, und einige Makler berichten von bis zu 30 Prozent für KMU, die Cyber Essentials mit sinnvollen Zusatzmaßnahmen wie Datensicherungstests und einem Notfallplan kombinieren. Die Kosten für die Zertifizierung amortisieren sich in der Regel bereits im ersten Jahr allein durch die Einsparungen bei den Versicherungsbeiträgen.
Warum sollten Sie sich für ISMS.online im Bereich Cybersicherheit für kleine Unternehmen entscheiden?
ISMS.online beseitigt die Reibungsverluste bei der Vorbereitung und Wartung von Cyber Essentials, sodass ein kleines Team das gesamte Projekt ohne zusätzliche Spezialisten durchführen kann.
- KMU-freundliche Preise - ISMS.online ist so konzipiert, dass es sowohl nach unten als auch nach oben skalieren kann, sodass ein Unternehmen mit 5 Mitarbeitern nur für das zahlt, was es benötigt, ohne den Aufwand für unternehmensweite Tools.
- Vorkonfigurierte Cyber Essentials-Kontrollen — Die fünf Kontrollbereiche enthalten bereits praktische Anleitungen, Hinweise auf Belege und Beispielrichtlinien, die Sie in wenigen Minuten anpassen können, anstatt sie von Grund auf neu zu schreiben.
- Evidenzbibliothek — Laden Sie alle Nachweise (MFA-Screenshots, Patch-Berichte, Konfigurationsbaselines) hoch, versionieren Sie sie und verknüpfen Sie sie mit der entsprechenden Kontrollinstanz, damit der Prüfer einen klaren Prüfpfad hat.
- Anlagen- und Geräteregister — Verfolgen Sie alle Laptops, Mobilgeräte und Cloud-Dienste im Geltungsbereich, einschließlich BYOD- und Auftragnehmergeräte, mit Statusindikatoren, die alles kennzeichnen, was gegen die Richtlinien verstößt.
- Richtlinienvorlagen enthalten — Richtlinien zur akzeptablen Nutzung, zu Passwörtern und Zugriffsrechten, zur Nutzung eigener Geräte, zum Patch-Management und zur Reaktion auf Sicherheitsvorfälle sind alle als bearbeitbare Vorlagen enthalten.
- Jährliche Verlängerung ganz einfach — Die Plattform verfolgt Ihr Verlängerungsdatum, erinnert Sie an Änderungen und ermöglicht es Ihnen, Nachweise wiederzuverwenden, anstatt den Fragebogen jedes Jahr von Grund auf neu auszufüllen.
- Weg zu ISO 27001, wenn bereit — Wenn Sie Cyber Essentials nicht mehr benötigen und Ihre Kunden anfangen, danach zu fragen ISO 27001 or SOC 2, die Arbeit, die Sie bereits geleistet haben in ISMS.online Wird unverändert übernommen – keine Umstellung der Plattform, keine erneute Dokumentation.
Verwandte Leitfäden zu Cyber Essentials
Setzen Sie Ihre Reise zu Cyber Essentials mit den anderen Leitfäden dieser Reihe fort:
- Anforderungen an Cyber Essentials — Die fünf Kontrollbereiche, die Festlegung des Untersuchungsbereichs und welche Nachweise die Gutachter berücksichtigen.
- Cyber Essentials Kosten — IASME-Preisstaffelung, Zuschlagskosten, versteckte Kosten und 3-Jahres-Gesamtkosten für britische Unternehmen.
- Lohnt sich Cyber Essentials? — Eine ehrliche Einschätzung der Vorteile, Nachteile und wer tatsächlich eine Zertifizierung benötigt.
- Anforderungen für Cyber Essentials Plus — Das technische Audit, die Schwachstellenscans und die Vorteile von Plus gegenüber der Basiszertifizierung.
- Cyber Essentials Selbstbewertung — Der SASQ-Workflow, der Anwendungsbereich, die erforderlichen Nachweise und häufige Fehlerquellen.
- Wie lange dauert der Kurs Cyber Essentials? — Typischer Zeitplan in Großbritannien, beschleunigte Verfahren und Faktoren, die den Prozess verlangsamen.
- Cyber Essentials-Verlängerung — Der 12-Monats-Zyklus, die Kontrolländerungen im Jahr 2026 und wie man sich 60 Tage vorher darauf vorbereiten kann.
- Cyber Essentials vs ISO 27001 — Vergleich von Umfang, Kosten, Zeitaufwand und Anerkennung.
Häufig gestellte Fragen
Ist Cyber Essentials für Kleinunternehmen in Großbritannien verpflichtend?
Cyber Essentials ist keine allgemeine gesetzliche Vorgabe, aber für viele Verträge mit der britischen Regierung verpflichtend, wenn der Lieferant sensible oder personenbezogene Daten verarbeitet. Auch Unternehmenskunden fordern es zunehmend im Rahmen ihrer Lieferketten-Risikomanagementprogramme. Wenn Sie an Regierungsbehörden oder große Organisationen verkaufen, sollten Sie Cyber Essentials als wirtschaftlich notwendig betrachten, auch wenn es nicht gesetzlich vorgeschrieben ist.
Was kostet Cyber Essentials für ein Startup oder einen Einzelunternehmer?
Die Mikro-Stufe (bis zu 9 Mitarbeiter) beginnt bei 330 £ zzgl. MwSt. für die grundlegende Selbstbewertung. Einzelunternehmer fallen in diese Kategorie. Wenn Ihre bestehende IT-Infrastruktur bereits MFA und automatische Updates unterstützt, ist die Bewertungsgebühr möglicherweise Ihr einziger direkter Kostenaufwand. Cyber Essentials Plus, das zusätzlich ein externes technisches Audit beinhaltet, ist deutlich teurer – in der Regel 1,400 £ bis 3,000 £ für ein kleines Unternehmen, abhängig von der Zertifizierungsstelle.
Wie lange dauert es für ein Kleinunternehmen, eine Zertifizierung zu erhalten?
Die meisten KMU absolvieren die Cyber Essentials-Grundlagenschulung in zwei bis sechs Wochen. Unternehmen, die bereits moderne Cloud-Dienste mit aktivierter Multi-Faktor-Authentifizierung (MFA) nutzen, können die Schulung in einer Woche abschließen. Unternehmen, die MFA einführen, nicht mehr unterstützte Software ersetzen oder Antivirensoftware installieren müssen, sollten die vollen sechs Wochen einplanen. Nach Einreichung der Unterlagen erhalten Sie in der Regel innerhalb von drei Werktagen eine Rückmeldung von der Zertifizierungsstelle.
Umfasst Cyber Essentials auch Heimarbeit und BYOD?
Ja. Seit der Aktualisierung der Richtlinien im Januar 2022 sind Heimarbeitsgeräte und private BYOD-Geräte, die für den Zugriff auf Unternehmensdaten genutzt werden, explizit erfasst. KMUs verwenden üblicherweise verwaltete Laptops oder verlangen, dass private Geräte im Mobile Device Management (MDM) mit bedingtem Zugriff registriert werden. Heimrouter können in der Regel durch die auf den Geräten integrierte Software-Firewall von der Regelung ausgenommen werden.
Benötige ich einen Berater oder kann ich das selbst erledigen?
Die meisten Kleinunternehmen können die grundlegende Cyber Essentials-Selbstbewertung ohne Berater durchführen. Der Fragebogen ist in leicht verständlichem Englisch verfasst, und die IASME-Richtlinien sind detailliert. Ziehen Sie einen Berater hinzu, wenn Sie keinen technischen Leiter haben, die Zertifizierung Cyber Essentials Plus anstreben oder eine komplexe IT-Umgebung mit Altsystemen oder mehreren Standorten betreiben. Die Nutzung einer Plattform wie beispielsweise ISMS.online Vordefinierte Kontrollmechanismen und Richtlinienvorlagen bedeuten, dass die meisten KMU die Beratergebühr komplett sparen.
Wird Cyber Essentials meine Cyberversicherungsprämie reduzieren?
Oft ja. Britische Kleinst- und Kleinunternehmen mit einem Umsatz unter 20 Millionen Pfund erhalten automatisch eine Cyberhaftpflichtversicherung als Teil des Cyber-Essentials-Basiszertifikats. Darüber hinaus bieten etablierte Cyberversicherer zertifizierten Unternehmen in der Regel Prämiennachlässe von 10 bis 20 Prozent auf eigenständige Policen an, einige Makler berichten sogar von bis zu 30 Prozent. Allein die Einsparungen bei der Versicherung gleichen die Bewertungsgebühr oft schon im ersten Jahr aus.
