Cyber Essentials oder ISO 27001: Welche Zertifizierung ist die richtige für Sie?
Wenn Sie abwägen Cyber-Grundlagen gegen ISO 27001 Sie sind nicht allein. Britischen Unternehmen wird regelmäßig gesagt, sie bräuchten das eine, das andere oder beides, und die Bezeichnungen allein machen die richtige Antwort nicht offensichtlich. Es handelt sich um sehr unterschiedliche Programme, die für verschiedene Zielgruppen konzipiert sind, aber oft im selben Gespräch über Cybersicherheit und Lieferantenzertifizierung erwähnt werden.
Hier die Kurzfassung. Cyber-Grundlagen Es handelt sich um ein von der britischen Regierung unterstütztes Basisprogramm, das bestätigt, dass Sie über fünf grundlegende technische Kontrollmechanismen verfügen. Es ist schnell, kostengünstig und im gesamten öffentlichen Sektor Großbritanniens sowie in den Lieferketten kleiner und mittlerer Unternehmen anerkannt. ISO 27001 ist ein internationaler Standard für ein Informationssicherheits-Managementsystem (ISMS). Er ist umfassender, geht tiefer ins Detail, erfordert mehr Zeit für die Implementierung und genießt hohes Ansehen bei Unternehmen und ausländischen Käufern. Die meisten britischen Unternehmen implementieren letztendlich beides in dieser Reihenfolge, da jedes System unterschiedliche Möglichkeiten eröffnet.
Diese Seite erläutert die Unterschiede im Detail, hilft Ihnen bei der Entscheidung, welche Lösung für Ihre aktuelle Situation am besten geeignet ist, und erklärt, wie… ISMS.online Unterstützt beide Wege von einer einzigen Plattform aus.
Was bedeuten Cyber Essentials und ISO 27001 in der Praxis?
Cyber Essentials ist ein von der britischen Regierung unterstütztes Zertifizierungsprogramm, das von IASME im Auftrag des National Cyber Security Centre (NCSC) durchgeführt wird. Es konzentriert sich auf fünf technische Kontrollmechanismen: Firewalls, sichere Konfiguration, Benutzerzugriffskontrolle, Malware-Schutz und Management von Sicherheitsupdates. Sie führen eine Selbsteinschätzung anhand eines Fragebogens durch (bei Cyber Essentials Plus werden Ihre Antworten zusätzlich durch ein technisches Audit verifiziert). Ziel ist es, sich gegen die häufigsten, opportunistischen Internetangriffe zu verteidigen.
ISO 27001 ist der internationale Standard für Informationssicherheitsmanagement. Er ist keine Checkliste technischer Kontrollen, sondern ein Rahmenwerk, um Informationssicherheit als betriebliche Disziplin zu etablieren. Sie definieren den Geltungsbereich Ihres ISMS, identifizieren und behandeln Informationssicherheitsrisiken, setzen Ziele, schulen Mitarbeiter, führen interne Audits durch und optimieren Ihr System kontinuierlich. ISO 27001:2022 verweist auf 93 Kontrollen in Anhang A, die organisatorische, personelle, physische und technologische Aspekte abdecken. Sie wenden jedoch nur die für Ihre Risiken relevanten Kontrollen an. Die Zertifizierung erfolgt nach einem zweistufigen Audit durch eine unabhängige, von UKAS akkreditierte Zertifizierungsstelle.
Dieser Unterschied, eine fokussierte technische Basis im Gegensatz zu einem vollständigen Managementsystem, ist die Wurzel aller anderen Unterschiede zwischen den beiden Systemen.
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
Wie schneiden Cyber Essentials und ISO 27001 im direkten Vergleich ab?
Die folgende Tabelle fasst die Unterschiede zusammen, nach denen britische Käufer am häufigsten fragen. Nutzen Sie sie, um das passende Angebot für Ihre Phase, Ihren Markt und Ihre Kundenstruktur zu ermitteln.
| Abmessungen | Cyber-Grundlagen | ISO 27001 |
|---|---|---|
| Geltungsbereich | Fünf technische Kontrollen, die internetfähige Systeme und Endgeräte abdecken. | Vollständiges Informationssicherheitsmanagementsystem plus 93 Kontrollen gemäß Anhang A, angewendet auf Risikobasis |
| Kosten | Von 330 £ zzgl. MwSt. (Selbstveranlagung) bis zu ca. 3,000 £ zzgl. MwSt. für Cyber Essentials Plus, abhängig von der Unternehmensgröße | Typischerweise 3,000 £ bis über 15,000 £ an Gebühren für die Zertifizierungsstelle über einen dreijährigen Zyklus, zuzüglich internem Implementierungsaufwand und etwaiger Beratungskosten. |
| Zeit für die Zertifizierung | 2 bis 4 Wochen, sobald die Kontrollmaßnahmen eingerichtet sind | 6 bis 18 Monate, abhängig von der Ausgangsreife, dem Umfang und den Ressourcen |
| Wahrnehmung | Nur für Großbritannien; weithin anerkannt in den Lieferketten des öffentlichen Sektors und kleiner und mittlerer Unternehmen in Großbritannien. | International; weltweit anerkannt von Unternehmen, Aufsichtsbehörden und Partnern im Bereich der Beschaffung. |
| Tiefe | Grundlegende Cyberhygiene gegen gängige internetbasierte Bedrohungen | Risikobasiertes Managementsystem, das Menschen, Prozesse und Technologie über den gesamten Informationslebenszyklus hinweg umfasst |
| Erneuerung | Jährliche Rezertifizierung (jedes Jahr die gleiche Gebühr) | Dreijähriger Zertifizierungszyklus mit jährlichen Überwachungsaudits und einem vollständigen Rezertifizierungsaudit im dritten Jahr |
| Für wen es geeignet ist | Britische KMU, Startups, Lieferanten des Verteidigungsministeriums/der Zentralregierung, Organisationen, die sich um Aufträge des britischen öffentlichen Sektors bewerben | Großunternehmen, Scale-ups, B2B-SaaS-Anbieter, regulierte Branchen und alle Unternehmen, die internationale oder Unternehmenskunden bedienen |
Wie viel kosten Cyber Essentials und ISO 27001 und wie lange dauert die Zertifizierung?
Kosten und Zeitaufwand sind in der Regel die beiden entscheidenden Faktoren für die Reihenfolge der Maßnahmen. Die Cyber Essentials-Selbstbewertung beginnt bei 330 £ zzgl. MwSt. für Kleinstunternehmen und steigt gestaffelt nach Mitarbeiterzahl bis zu 500 £ zzgl. MwSt. für größere Unternehmen. Cyber Essentials Plus beinhaltet zusätzlich ein externes technisches Audit und kostet in der Regel zwischen 1,500 £ und 3,000 £ zzgl. MwSt., abhängig von Größe und Komplexität Ihrer IT-Umgebung. Weitere Details finden Sie unter [Link einfügen]. Kostenaufstellung für Cyber Essentials und worauf tatsächlich im Rahmen der Anforderungen der Cyber EssentialsDie meisten Organisationen schließen die Zertifizierung innerhalb von zwei bis vier Wochen ab, vorausgesetzt, die zugrunde liegenden Kontrollen sind bereits konfiguriert.
ISO 27001 erfordert Investitionen in ganz anderer Größenordnung. Allein die Gebühren der Zertifizierungsstelle belaufen sich im dreijährigen Zyklus in der Regel auf 3,000 bis über 15,000 £, abhängig von der Mitarbeiterzahl, den Standorten und dem Umfang des ISMS. Die höheren Kosten entstehen intern: für die Implementierung des Managementsystems, die Erstellung von Richtlinien, die Durchführung einer Risikobewertung, die Schulung der Mitarbeiter, die Durchführung interner Audits und die Erstellung von Nachweisen. Realistische Zeiträume sind sechs bis neun Monate für Organisationen mit ausgereiften Kontrollmechanismen und einem klar definierten Geltungsbereich und zwölf bis achtzehn Monate für Organisationen, die ganz von vorn beginnen.
Der Unterschied liegt darin, was jede Zertifizierung ermöglicht. Cyber Essentials beseitigt eine Beschaffungshürde schnell. ISO 27001 dauert länger, beantwortet aber eine viel wichtigere Frage für den Käufer: Betreiben Sie Informationssicherheit als eine gemanagte, sich kontinuierlich verbessernde Disziplin?
Welche Zertifizierung verlangen Ihre Kunden tatsächlich?
Die ehrliche Antwort auf die Frage „Was ist besser?“ lautet: „Das, was Ihre Kunden und Aufsichtsbehörden anerkennen.“ In der Praxis lassen sich daraus drei klare Kategorien ableiten.
Käufer aus dem öffentlichen Sektor Großbritanniens Die meisten verlangen Cyber Essentials. Diese Zertifizierung ist für Verträge der Zentralregierung vorgeschrieben, die die Verarbeitung personenbezogener Daten oder die Bereitstellung bestimmter IKT-Produkte und -Dienstleistungen umfassen, und wird in den meisten Beschaffungsrahmenverträgen des öffentlichen Sektors standardmäßig gestellt. Cyber Essentials Plus ist erforderlich, wenn der Lieferant Zugriff auf sensiblere Systeme oder Daten hat, darunter die meisten Aufträge des Verteidigungsministeriums.
Lieferketten britischer KMU Immer mehr Unternehmen fordern Cyber Essentials, auch weil ihre größeren Kunden diese Anforderung weitergeben. Wenn Ihre Käufer in Großbritannien ansässig und mittelständisch sind, ist Cyber Essentials oft ausreichend, insbesondere zu Beginn.
Unternehmens- und internationale Käufer Verlangen Sie ISO 27001. Diese Zertifizierung ist der Standard für B2B-Sicherheitsfragebögen in Europa, Nordamerika und Asien. Wenn Sie an FTSE-100-Unternehmen, globale SaaS-Plattformen, Finanzdienstleister oder Unternehmen aus regulierten Branchen verkaufen, werden Sie früher oder später nach ISO 27001 gefragt werden. Ein einwandfreies ISMS verkürzt die Sicherheitsprüfung erheblich und spart Ihnen wochenlange Zeit.
Wenn Sie sich noch nicht sicher sind, ob sich die Ausgaben lohnen, Lohnt sich Cyber Essentials? Der Guide erläutert den typischen Ablauf und die Versicherungsleistungen.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Sollten Sie sowohl Cyber Essentials als auch ISO 27001 absolvieren?
Für die meisten britischen Unternehmen mit einem gemischten Kundenstamm lautet die Antwort ja – und die Reihenfolge ist wichtig. Die gängigste Vorgehensweise ist, zuerst Cyber Essentials und anschließend ISO 27001 zu absolvieren, und zwar aus drei Gründen.
Cyber Essentials ist eine risikoarme Zwangsmaßnahme. Die Zertifizierung innerhalb weniger Wochen erfordert die Inventarisierung von Geräten, die Absicherung von Firewalls, die Dokumentation von Patch-Updates und die Einschränkung der Benutzerzugriffe. Jede dieser Maßnahmen dient gleichzeitig als Nachweis für die Kontrollen gemäß ISO 27001 Anhang A. So erhalten Sie mit einem einzigen Schritt ein anerkanntes Zertifikat, einen schnellen Beschaffungserfolg und einen Vorsprung bei der ISO 27001-Zertifizierung.
Es mindert die Risiken bei der Implementierung von ISO 27001. Die meisten Feststellungen bei ISO 27001-Audits betreffen technische Kontrollbereiche: Konfiguration, Zugriff, Patching und Malware-Abwehr. Schließt man diese Lücken zum Cyber-Essentials-Standard, bevor man mit ISO 27001 beginnt, konzentriert sich das ISMS-Audit auf die Reife des Managementsystems – ein Thema, das in der Regel angenehmer zu besprechen ist.
Es ermöglicht Ihnen, sich bis zur ISO 27001 weiterzuentwickeln. Ein kleines Team kann Cyber Essentials mit überschaubarem Aufwand durchführen und parallel dazu das ISMS aufbauen. Wenn Kundennachfrage oder Druck des Vorstands Sie in Richtung ISO 27001 lenken, starten Sie von einer bewährten technischen Basis aus, anstatt bei null anzufangen.
Es gibt zudem erhebliche Überschneidungen, die genutzt werden können. Cyber Essentials lässt sich direkt auf eine Teilmenge der Kontrollen aus Anhang A der ISO 27001:2022 abbilden, insbesondere im Bereich Technologie. Die für Cyber Essentials generierten Nachweise (Firewall-Regeln, Patch-Berichte, MFA-Konfiguration, Antivirenberichte) fließen direkt in Ihre Anwendbarkeitserklärung gemäß ISO 27001 und Ihre Risikobehandlungsdokumentation ein.
Wann ist Cyber Essentials allein ausreichend?
Einen umfassenderen Überblick über alle in Großbritannien üblichen Systeme, die Leser berücksichtigen – einschließlich SOC 2 und NIS 2 –, finden Sie in unserem Leitfaden zur Cybersicherheitszertifizierung in Großbritannien.
Cyber Essentials ist ausreichend, wenn drei Dinge zutreffen: Ihre Kunden haben ihren Sitz in Großbritannien, Ihre Käufer verlangen keine ISO 27001-Zertifizierung oder SOC 2und Ihre Informationsbestände und Ihr Risikopotenzial sind überschaubar. Typische Beispiele hierfür sind ausschließlich in Großbritannien tätige Beratungsunternehmen, kleine Managed-Service-Provider für britische KMU, professionelle Dienstleistungsunternehmen (Rechtsberatung, Wirtschaftsprüfung, Design), die sich hauptsächlich um Aufträge des öffentlichen Sektors oder des Mittelstands in Großbritannien bewerben, sowie Startups in der Frühphase vor ihrem ersten Großkundengeschäft.
Sie sollten über Cyber Essentials hinaus planen, sobald einer der folgenden Punkte zutrifft: Sie gewinnen Unternehmenskunden, expandieren international, verarbeiten große Mengen an persönlichen oder finanziellen Daten, steigen in einen regulierten Sektor ein oder in Ihren Sicherheitsfragebögen wird nach einem ISMS, ISO 27001 oder SOC 2 gefragt.
Warum sollten Sie sich für ISMS.online für Cyber Essentials und ISO 27001 entscheiden?
ISMS.online ist so konzipiert, dass beide Systeme von einer einzigen Plattform aus unterstützt werden, sodass die Arbeit, die Sie für Cyber Essentials leisten, direkt in ISO 27001 einfließt und nicht in einer separaten Tabelle gespeichert wird.
- Beide Frameworks an einem Ort — Vorgefertigte Inhalte, Kontrollen und Nachweisvorlagen für Cyber Essentials und ISO 27001:2022, die einander zugeordnet sind, sodass Sie die Bewertung einmal durchführen und die Nachweise zweimal verwenden können.
- Die Methode „Übernehmen, Anpassen, Hinzufügen“ — Nutzen Sie unser vorkonfiguriertes ISMS, passen Sie es an Ihr Unternehmen an und fügen Sie nur das hinzu, was für Sie einzigartig ist, anstatt bei null anzufangen.
- Cyber Essentials-Einreichung bereit — Erfassen Sie die fünf Kontrollbereiche, speichern Sie Geräteinventare, MFA-Nachweise und Patching-Protokolle und exportieren Sie alles, was Sie für die IASME-Bewertung benötigen.
- ISO 27001-Audit-bereit — Risikobewertung, Anwendbarkeitserklärung, Richtlinienbibliothek, interne Revisions- und Managementbewertungsmodule, die auf dem Standard basieren, mit Kontrollmapping, das Überschneidungen mit Cyber Essentials hervorhebt.
- Von britischen Unternehmen geschätzt - ISMS.online wird von Organisationen in Großbritannien und international genutzt, um Cyber Essentials, ISO 27001 und andere Rahmenwerke parallel zu verwalten.
- Ständige Anleitung — Ein integrierter virtueller Coach, ein Support-Team und Anleitungen begleiten Sie bei jedem Schritt, sodass Sie keine separate Beratung benötigen, um sich zertifizieren zu lassen.
- Waaget sich mit dir — Weitere Rahmenwerke hinzufügen (SOC 2, ISO 27701, ISO 42001, NIS 2) mit den steigenden Kundenanforderungen Schritt halten, ohne auf ein neues Tool umsteigen zu müssen.
Verwandte Leitfäden zu Cyber Essentials
Setzen Sie Ihre Reise zu Cyber Essentials mit den anderen Leitfäden dieser Reihe fort:
- Anforderungen an Cyber Essentials — Die fünf Kontrollbereiche, die Festlegung des Untersuchungsbereichs und welche Nachweise die Gutachter berücksichtigen.
- Cyber Essentials Kosten — IASME-Preisstaffelung, Zuschlagskosten, versteckte Kosten und 3-Jahres-Gesamtkosten für britische Unternehmen.
- Lohnt sich Cyber Essentials? — Eine ehrliche Einschätzung der Vorteile, Nachteile und wer tatsächlich eine Zertifizierung benötigt.
- Anforderungen für Cyber Essentials Plus — Das technische Audit, die Schwachstellenscans und die Vorteile von Plus gegenüber der Basiszertifizierung.
- Cyber Essentials Selbstbewertung — Der SASQ-Workflow, der Anwendungsbereich, die erforderlichen Nachweise und häufige Fehlerquellen.
- Wie lange dauert der Kurs Cyber Essentials? — Typischer Zeitplan in Großbritannien, beschleunigte Verfahren und Faktoren, die den Prozess verlangsamen.
- Cyber Essentials-Verlängerung — Der 12-Monats-Zyklus, die Kontrolländerungen im Jahr 2026 und wie man sich 60 Tage vorher darauf vorbereiten kann.
- Cyber-Grundlagen für kleine Unternehmen — SMB-spezifische Preisgestaltung, Leistungsumfang und Kosten-Nutzen-Analyse.
Häufig gestellte Fragen
Ist ISO 27001 besser als Cyber Essentials?
Es ist umfassender und tiefgründiger, aber nicht automatisch „besser“ für Ihr Unternehmen. ISO 27001 ist die richtige Wahl, wenn Sie internationale Anerkennung oder ein vollständiges Informationssicherheitsmanagementsystem benötigen. Cyber Essentials ist die richtige Wahl, wenn Sie eine schnelle, kostengünstige und in Großbritannien anerkannte Basis benötigen. Viele britische Unternehmen verfügen über beide Zertifizierungen, da diese unterschiedliche Beschaffungsfragen beantworten.
Deckt ISO 27001 alle Aspekte von Cyber Essentials ab?
Im Großen und Ganzen ja. Die technischen Kontrollen von Cyber Essentials (Firewalls, sichere Konfiguration, Zugriffskontrolle, Malware-Schutz, Sicherheitsupdates) entsprechen den Kontrollen des Anhangs A der ISO 27001:2022 im Themenbereich Technologie. Die ISO 27001 deckt jedoch viele weitere Bereiche ab (Governance, Risikomanagement, Lieferantensicherheit, Geschäftskontinuität, Personalsicherheit), die von Cyber Essentials nicht abgedeckt werden. Der Besitz einer ISO 27001-Zertifizierung allein erfüllt nicht die Anforderungen von Cyber Essentials. Daher werden britische Käufer, die explizit nach Cyber Essentials fragen, dieses Zertifikat weiterhin sehen wollen.
Sollte ich Cyber Essentials oder Cyber Essentials Plus vor ISO 27001 absolvieren?
Wenn möglich, wählen Sie Cyber Essentials Plus. Das technische Audit zwingt Sie, Ihre Kontrollen zu überprüfen, anstatt sie nur selbst zu behaupten. Dies entspricht deutlich eher dem Nachweisstandard, den ein ISO 27001-Auditor erwartet. Bei begrenztem Budget beginnen Sie mit einer Selbstbewertung von Cyber Essentials und planen Sie Cyber Essentials Plus parallel oder kurz vor Ihrem ISO 27001-Audit der Stufe 2 ein.
Werden ISO 27001-Kunden Cyber Essentials als Ersatz akzeptieren?
In der Regel nicht. Unternehmen und internationale Einkäufer, die ISO 27001 fordern, erwarten Nachweise über ein strukturiertes, risikobasiertes Informationssicherheitsprogramm, das Cyber Essentials nicht bietet. Cyber Essentials kann zwar beim Ausfüllen eines ersten Sicherheitsfragebogens helfen, erfüllt aber selten allein die Anforderungen für eine ISO 27001-Zertifizierung.
Wie lange nach Cyber Essentials sollte ich mit ISO 27001 beginnen?
Sobald Sie ISO 27001 in Ihrer Vertriebspipeline erkennen, sollten Sie mit der Implementierung beginnen. Die Dauer der ISO 27001-Zertifizierung beträgt in der Regel sechs bis achtzehn Monate. Daher ist es ratsam, von einem Kundentermin aus zurückzurechnen. Wenn Sie über Cyber Essentials Plus verfügen, können Sie die ISO 27001-Implementierung üblicherweise parallel zu den Erneuerungszyklen starten und die gleichen Nachweise für beide Zertifizierungen wiederverwenden.
Kann ISMS.online gleichzeitig bei Cyber Essentials und ISO 27001 helfen?
Ja. ISMS.online Die Software verwaltet beide Frameworks über einen einzigen Arbeitsbereich mit vordefinierten Steuerelementen, sodass die für Cyber Essentials gesammelten Nachweise auch für Ihre ISO 27001-Anwendbarkeitsbescheinigung angerechnet werden. Dadurch entfällt die üblicherweise bei der parallelen Durchführung zweier Zertifizierungen auftretende Doppelarbeit.
