Cyber ​​Essentials erhält ein Update für 2025: Was britische Unternehmen wissen müssen

Angesichts zunehmender Cyber-Bedrohungen, von Ransomware-Angriffen bis hin zu staatlich unterstütztem Hacking, stehen Unternehmen in ganz Großbritannien zunehmend unter Druck, ihre Informationssicherheit zu stärken. Während sich viele große Unternehmen an globalen Standards wie ISO 27001 orientieren, ist die von der britischen Regierung unterstützte Cyber ​​Essentials-Programm bietet einen grundlegenden Maßstab zum Nachweis grundlegender Cyberhygiene für kleinere und mittlere Unternehmen. 

Aber es stehen Veränderungen bevor. 

Ab dem 28. April 2025 werden die Zertifizierungsprozesse „Cyber ​​Essentials“ und „Cyber ​​Essentials Plus“ strategisch aktualisiert. Diese Änderungen spiegeln die sich entwickelnden Cyberbedrohungen und die zunehmende Komplexität der Geschäftsumgebungen wider. In diesem Blogbeitrag erläutern wir die Aktualisierungen, erklären ihre Bedeutung und skizzieren, was Unternehmen als Nächstes tun müssen. 

Warum Cyber ​​Essentials immer noch wichtig ist 

Cyber ​​Essentials wurde 2014 eingeführt und soll Unternehmen dabei unterstützen, sich vor den häufigsten Cyberbedrohungen zu schützen und ihr Engagement für Cybersicherheit zu demonstrieren. Für viele diente es als Ausgangspunkt für ihre Sicherheitsmaßnahmen und ist eine Grundvoraussetzung für die Zusammenarbeit mit Behörden und einer wachsenden Zahl von Organisationen des privaten Sektors. 

Mit seinem klaren Fokus auf grundlegenden Schutz legt Cyber ​​Essentials eine Sicherheitsgrundlage und ermutigt Unternehmen, proaktiv zu handeln. Im Kern geht es darum, die Grundlagen richtig zu implementieren – Dinge wie Firewalls, sichere Einstellungen, Zugriffskontrolle, Schutz vor Malware und die Aktualisierung der Systeme. 

Aber selbst die Grundlagen entwickeln sich mit der Zeit weiter. Und das gilt auch für das System. 

Was ändert sich im April 2025? 

Die Updates von 2025 spiegeln die aktuelle Bedrohungslage wider und stellen sicher, dass Cyber ​​Essentials weiterhin ein wichtiger Standard bleibt. Hier sind die Neuerungen:

1. Passwortlose Authentifizierung wird zum Standard

Ein wichtiger Wandel ist die passwortlose Authentifizierung. Das bedeutet unter anderem: 

• Biometrie (z. B. Fingerabdruck- oder Gesichtserkennung) 

• Hardware-Sicherheitsschlüssel 

• Einmalpasswörter oder Push-Benachrichtigungen 

Werden mittlerweile als gültige und sichere Anmeldemethoden anerkannt. 

Warum es wichtig ist: Traditionelle Passwörter gehören nach wie vor zu den schwächsten Punkten der Cybersicherheit. Wiederverwendung von Passwörtern, Phishing-Angriffe und Brute-Force-Angriffe sind weiterhin häufige Angriffsmethoden. Durch die Fokussierung auf passwortlose Optionen unterstützt die neue Richtlinie Unternehmen dabei, stärkere und zuverlässigere Methoden zur Zugriffsverwaltung und Systemsicherheit zu entwickeln. 

2. Eine umfassendere Sicht auf Remote-Arbeit

Der Begriff „Heimarbeit“ wird durch „Heim- und Fernarbeit“ ersetzt, eine subtile, aber bedeutende Änderung. 

Warum das wichtig ist: Mitarbeiter sind nicht mehr an ihr Zuhause gebunden. Sie arbeiten in Cafés, Flughäfen, Zügen und Coworking-Spaces – allesamt Umgebungen, die als nicht vertrauenswürdig gelten. Das System trägt dieser Realität Rechnung, und Unternehmen müssen nachweisen, dass der Fernzugriff auf Daten unabhängig vom Standort ausreichend geschützt ist. 

3. Neue Terminologie für Schwachstellenbehebungen

Der bisherige Fokus auf „Patches und Updates“ wird auf alle Arten der „Sicherheitslückenbehebung“ ausgeweitet. Das bedeutet: 

• Registrierungsänderungen 

• Konfigurationsupdates 

• Skripte oder vom Anbieter genehmigte Abhilfemaßnahmen 

Warum es wichtig ist: Nicht für jedes Sicherheitsproblem gibt es einen passenden Patch. Manchmal sieht die Lösung anders aus, und dieses Update spiegelt diese Realität wider. Es gibt Unternehmen mehr Flexibilität bei der Reaktion auf Risiken und macht gleichzeitig deutlich, dass Maßnahmen erwartet werden. 

4. Stärkere Angleichung an internationale Standards

Obwohl es nicht explizit erwähnt wird, orientiert sich das aktualisierte Schema stärker an globalen Cybersicherheitsrahmen wie dem Nationales Institut für Standards (NIST) mit einem ISO 27001 . 

Warum es wichtig ist: International tätigen britischen Unternehmen stärkt die Einhaltung dieser Standards ihre Glaubwürdigkeit und öffnet Türen zu neuen Märkten. Für alle, die bereits eine ISO 27001-Zertifizierung anstreben, können Cyber ​​Essentials ein Sprungbrett sein, und dieser Weg ist nun klarer definiert. 

5. Änderungen an der Cyber ​​Essentials Plus Testspezifikation

An der Durchführung der Cyber ​​Essentials Plus-Bewertungen werden einige notwendige Anpassungen vorgenommen: 

• Die Gutachter müssen überprüfen, ob der Umfang mit der ursprünglichen Selbsteinschätzung übereinstimmt. 

• Die Grenzen müssen klar definiert und technisch getrennt sein, wenn der Umfang nicht die gesamte Organisation umfasst. 

• Die Geräteprobenahme muss repräsentativ und belegt sein. 

Warum es wichtig ist: Diese Aktualisierungen erhöhen die Genauigkeit und Konsistenz der Plus-Bewertung. Sie stellen sicher, dass Unternehmen nicht einzelne Systeme für die Einhaltung der Vorschriften auswählen können, sondern stattdessen nachweisen müssen, dass sie flächendeckend bewährte Verfahren implementiert haben. 

Was bedeutet dies für Ihr Unternehmen? 

Diese Änderungen sollen Unternehmen nicht überraschen. Sie sollen sicherstellen, dass das System mit den realen Risiken, denen Unternehmen heute ausgesetzt sind, Schritt hält. Sie erfordern jedoch Maßnahmen, insbesondere für Unternehmen, deren Verlängerungstermin Ende 2025 näher rückt. 

Wenn Sie bereits über eine Cyber ​​Essentials-Zertifizierung verfügen, ist es jetzt an der Zeit, Ihre aktuelle Situation zu überprüfen: 

• Erkunden Sie passwortlose Technologien? 

• Spiegeln Ihre Richtlinien für den Fernzugriff die heutige Realität der hybriden Arbeit wider? 

• Ist Ihr Ansatz zum Schwachstellenmanagement flexibel und reaktionsfähig? 

Wenn Sie auf Ihre erste Zertifizierung hinarbeiten, ist es ratsam, sich jetzt schon auf die Änderungen vorzubereiten. Warten Sie nicht bis April 2025, sondern setzen Sie diese Praktiken noch heute um. 

Cyber ​​Essentials und mehr 

Man sollte nicht vergessen, dass Cyber ​​Essentials nicht das Ziel, sondern der Ausgangspunkt ist. Da Cyberbedrohungen immer ausgefeilter werden und der regulatorische Druck zunimmt, entscheiden sich viele Unternehmen dafür, auf ihren Cyber ​​Essentials-Grundlagen mit fortschrittlicheren Standards aufzubauen. 

ISO/IEC 27001 ist ein logischer nächster Schritt. Es handelt sich um einen weltweit anerkannten Standard für Informationssicherheitsmanagement, der einen umfassenden Rahmen für das Management von Informationsrisiken bietet. Während Cyber ​​Essentials die erforderlichen Maßnahmen beschreibt, zeigt Ihnen ISO 27001, wie Sie diese Praktiken in den täglichen Geschäftsbetrieb integrieren. 

Zusammen können diese Standards dazu beitragen, eine widerstandsfähigere, konformere und wirklich sicherere Organisation zu schaffen. 

Benötigen Sie Hilfe bei der Navigation durch die Änderungen? 

Ganz gleich, ob Sie sich zum ersten Mal mit dem Programm befassen oder sich an die Aktualisierungen von 2025 anpassen: Es kann eine Herausforderung sein, die neuen Anforderungen in den Griff zu bekommen. 

Hier kommen wir ins Spiel. Bei ISMS.online haben wir Tausende von Organisationen dabei unterstützt, die Anforderungen von Cyber ​​Essentials, Cyber ​​Essentials Plus und ISO 27001 zu erfüllen. Unsere Plattform reduziert die Komplexität der Compliance, gibt Ihnen einen klaren Überblick über die Anforderungen und hält Sie von Anfang bis Ende auf Kurs. So können Sie Ihren Compliance-Prozess mit Zuversicht angehen. 

Wir praktizieren auch, was wir predigen, und haben mithilfe unserer eigenen Plattform im November 2024 erfolgreich die Cyber ​​Essential-Rezertifizierung erreicht.  

Und wir bauen bereits Unterstützung für die Änderungen im April 2025 ein, damit Sie vorbereitet sind und nicht in Eile geraten. 

Fazit 

Cyber ​​Essentials bleibt ein wichtiger Bestandteil der britischen Cybersicherheitsstrategie. Es vermittelt Kunden, Lieferanten und Partnern eine klare Botschaft: Sie nehmen Sicherheit ernst. 

Die bevorstehenden Änderungen sollen das System relevanter und widerstandsfähiger machen und den Realitäten moderner Arbeitswelten Rechnung tragen. Dabei geht es nicht nur ums Abhaken von Pflichten. Es ist die Chance, unternehmensweit bessere Sicherheitsgewohnheiten zu etablieren. 

Wenn Sie noch nicht mit den Vorbereitungen begonnen haben, ist jetzt ein guter Zeitpunkt dafür. Überprüfen Sie Ihre Sicherheitslage, binden Sie Ihre Führungskräfte ein und bereiten Sie sich auf die Zukunft von Cyber ​​Essentials vor. Gute Informationssicherheit ist nicht nur ein Häkchen, sondern ein Geschäftsvorteil.