Cyber Essentials er en certificeringsordning for cybersikkerhed, der er støttet af den britiske regering, og som hjælper organisationer med at forsvare sig mod de mest almindelige onlinetrusler. Det administreres af IASME på vegne af National Cyber Security Center (NCSC) og kræver, at du implementerer fem tekniske kontroller, der dækker firewalls, sikker konfiguration, brugeradgang, malwarebeskyttelse og sikkerhedsopdateringer. Opnåelse af certificering signalerer til kunder, regulatorer og partnere i forsyningskæden, at din virksomhed tager det grundlæggende inden for cyberhygiejne alvorligt.
Denne guide forklarer alt, hvad en britisk virksomhed har brug for at vide om Cyber Essentials i 2026: hvad ordningen rent faktisk dækker, hvem har brug for den, hvad den koster, hvor lang tid den tager, hvordan den grundlæggende certificering adskiller sig fra Cyber Essentials Plus, og hvordan den sammenlignes med bredere standarder som f.eks. ISO 27001Vi afslutter med de mest almindelige fejl, som organisationer begår, og viser, hvordan ISMS.online forkorter vejen fra mellemrum til certifikat.
Hvad er Cyber Essentials?
Cyber Essentials er en certificeringsordning støttet af den britiske regering, der definerer et grundlæggende sæt af cybersikkerhedskontroller, som alle organisationer bør have på plads. Ordningen blev lanceret i 2014 og overvåges nu af NCSC og leveres nu af IASME, det eneste akkrediteringsorgan, der arbejder gennem et netværk af certificeringsorganer i hele Storbritannien. Den er bevidst designet til at være praktisk og forholdsmæssig og fokuseret på de tekniske kontroller, der blokerer størstedelen af opportunistiske internetangreb.
Ordningen findes i to niveauer. Den grundlæggende Cyber Essentials-certificering opnås gennem et selvevalueringsspørgeskema (SAQ-spørgeskemaet, som IASME opdaterer ved hver opdatering af ordningen), som en ledende medarbejder i virksomheden underskriver, og som derefter gennemgås af en ekstern assessor. Cyber Essentials Plus tilføjer en uafhængig teknisk revision oveni, hvor assessoren udfører praktisk test af en stikprøve af dine enheder, scanner for manglende programrettelser og verificerer, at kontrollerne rent faktisk fungerer i praksis.
Ifølge NCSC er organisationer med Cyber Essentials på plads betydeligt mindre tilbøjelige til at blive ofre for almindelige cyberangreb såsom phishing-ledet tyveri af legitimationsoplysninger, ransomware leveret via uopdateret software og malware spredt via standardkonfigurationer. Certifikatet er gyldigt i 12 måneder fra udstedelsesdatoen og skal fornyes årligt under det på det tidspunkt gældende spørgsmålssæt.
Det er værd at være klar over, hvad Cyber Essentials ikke er. Det er ikke en dybdegående teknisk penetrationstest, det er ikke et informationssikkerhedsstyringssystem (det vil sige ISO 27001), og det er ikke en GDPR-compliancecertificering (det er en lovgivningsmæssig forpligtelse, der håndteres separat). Det er en fokuseret, gentagelig kontrol af, at de grundlæggende cybersikkerhedsforanstaltninger er på plads i hele organisationen. Værdien af ordningen stammer fra, at de kontroller, den tester, er præcis de kontroller, der blokerer det overvældende flertal af opportunistiske angreb, som britiske virksomheder rent faktisk står over for.
Hvem har brug for cyber essentials? (og hvorfor)
Cyber Essentials er obligatorisk eller stærkt anbefalet for en voksende liste af britiske organisationer. De mest almindelige grunde til, at virksomheder søger certificering, er:
- Kontrakter fra den centrale britiske regering — Siden 2014 skal leverandører, der byder på kontrakter, der involverer håndtering af personoplysninger eller levering af bestemte IKT-produkter og -tjenester, have Cyber Essentials. Kravet er indskrevet i standardindkøbsrammen og gælder for direkte leverandører og mange underleverandører.
- Leverandører til Forsvarsministeriet (MOD) — Forsvarsministeriet kræver Cyber Essentials for alle leverandører, der håndterer identificerbare oplysninger fra Forsvarsministeriet, mens Cyber Essentials Plus er påkrævet, hvor leverandøren behandler mere følsomme data i henhold til DEFCON 658.
- NHS-leverandører og værktøjssæt til datasikkerhed og -beskyttelse — Leverandører til NHS-organisationer har ofte brug for Cyber Essentials som en del af vurderingen af datasikkerheds- og beskyttelsesværktøjskassen.
- Udbud fra lokale myndigheder og den offentlige sektor — Mange kommuner, blålystjenester og uafhængige organisationer inkluderer nu Cyber Essentials som et krav om bestået eller ikke-bestået udbud.
- Private forsyningskæder — Større britiske virksomheder beder i stigende grad SMV-leverandører om at dokumentere Cyber Essentials, før de underskriver kontrakter, især for databehandlere, IT-leverandører og udbydere af administrerede tjenester.
- Cyberforsikring — At besidde Cyber Essentials giver ofte bedre cyberforsikringspræmier eller er i nogle tilfælde en forudsætning for dækning. Det IASME-støttede certifikat inkluderer også gratis ansvarsdækning for små virksomheder i Storbritannien med en omsætning på under £20 millioner.
- Tillidssignalering til kunder — Certificeringsmærket er en anerkendt markør for, at du har implementeret det grundlæggende inden for cybersikkerhed, hvilket er vigtigt for B2B-salg, marketing og indkøbsevalueringer.
Hvis din organisation ikke er en af ovenstående og ikke har noget umiddelbart kontraktligt pres, er Cyber Essentials stadig et fornuftigt udgangspunkt. Omkostningerne er lave, kontrollerne er universelt god praksis, og certificeringsprocessen tvinger dig til at dokumentere ting, du allerede burde have på plads.
Hvad dækker Cyber Essentials? De 5 kontrolområder
Cyber Essentials definerer fem tekniske kontrolområder. Enhver enhed, brugerkonto og cloudtjeneste, der er omfattet af programmet, skal opfylde kravene på tværs af alle fem. Tabellen nedenfor opsummerer, hvad hvert kontrolområde er til for, og hvad evidensvurderere kigger efter. For at få alle kravdetaljer, se vores Krav til Cyber Essentials guide.
| Kontrolområde | Hvad det dækker over | Hvad vurderere tjekker |
|---|---|---|
| 1. Firewalls og routere | Netværksgrænsen mellem din virksomhed og internettet, inklusive internetudbyderleverede routere, dedikerede firewalls og værtsbaserede firewalls på roaming-bærbare computere. | Standardadministratoradgangskoder er blevet ændret; regler for indgående trafik er dokumenteret og begrundet; værtsbaserede firewalls er aktiveret på enheder, der bruges uden for kontoret. |
| 2. Sikker konfiguration | Fjerner de svagheder, der er indbygget i enheder og cloud-tjenester fra starten: standardkonti, eksempeladgangskoder, automatiske kørselsindstillinger, unødvendige tjenester. | Standardadgangskoder fjernet; unødvendige brugerkonti og software deaktiveret; multifaktorgodkendelse (MFA) på alle administratorkonti; minimum adgangskodelængde på 12 tegn (8 tegn, hvor MFA er på plads). |
| 3. Brugeradgangskontrol | Hvordan brugerkonti oprettes, godkendes, gives rettigheder og fjernes, når folk forlader siden. | Dokumenteret proces for tiltrædelse og flytning; administratorkonti adskilt fra daglige konti; MFA på cloud-brugere, hvor det er understøttet; årlig gennemgang af administratorrettigheder. |
| 4. Malware-beskyttelse | Beskyttelse af enheder mod skadelig kode ved hjælp af anti-malware-software, tilladelseslister for applikationer eller sandboxing. | Én godkendt mekanisme er på plads på alle enheder inden for rammerne; signaturer holdes opdaterede; mobilapps kommer kun fra officielle butikker; scanning ved adgang er aktiveret. |
| 5. Administration af sikkerhedsopdateringer | At al software holdes understøttet, licenseret og opdateret, så angribere ikke kan udnytte kendte sårbarheder. | Kun leverandørunderstøttet software i brug; kritiske programrettelser implementeret inden for 14 dage; operativsystemer og browsere, der ikke længere er installeret, fjernet; firmware på routere og firewalls holdes opdateret. |
De samme fem kontroller gælder for bærbare computere, stationære computere, servere, mobiltelefoner, netværksudstyr og cloud-tjenester, der er omfattet. Ordningen behandler cloud-tjenester (Microsoft 365, Google Workspace, AWS, Azure og lignende) som en udvidelse af dit miljø snarere end en undtagelse, og du er altid ansvarlig for brugeradgang, MFA og lejerkonfiguration af alle cloud-tjenester, du bruger.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Cyber Essentials vs. Cyber Essentials Plus
Det mest almindelige spørgsmål om Cyber Essentials er: Har jeg brug for basiscertificeringen eller Plus-certificeringen? Det ærlige svar er, at de to ikke rigtig er alternativer. Plus er den grundlæggende certificering med uafhængig teknisk verifikation oveni. Du kan ikke holde Plus uden først at have opnået de grundlæggende Cyber Essentials.
Tabellen nedenfor viser de praktiske forskelle. For de fulde tekniske detaljer om Plus-revisionen, se vores Krav til Cyber Essentials Plus guide.
| Feature | Cyber Essentials (grundlæggende) | Cyber Essentials Plus |
|---|---|---|
| Vurderingsmetode | Selvevalueringsspørgeskema (SAQ) underskrevet af en ledende medarbejder og gennemgået af en assessor | Selvevaluering efterfulgt af en uafhængig teknisk revision, herunder praktisk testning af en stikprøve af enheder |
| Sårbarhedsscanning | Ikke påkrævet | Interne og eksterne autentificerede sårbarhedsscanninger af eksempelenheder |
| Test for standardkonfigurationer, MFA og patching | Bekræftet ved attestation | Fysisk verificeret af assessoren |
| Typisk pris | Fra £330 + moms for mikrovirksomheder, op til £500 + moms for større organisationer | Typisk £1,500 til £3,000+ afhængigt af miljøets størrelse |
| Typisk tidslinje | 2 til 4 uger efter færdiggørelsen | Tilføjer yderligere 4 til 6 uger til den tekniske revisionsfase |
| Gyldighed | 12 måneder | 12 måneder |
| Bedst til | Mindre leverandører, kontrakter med lavere risiko, virksomheder der opbygger et baseline | Regulerede leverandører, arbejde i henhold til MOD og NHS, større indkøbsaftaler, organisationer, der ønsker verificeret sikkerhed |
Hvis din kontrakt specificerer, hvilket niveau der kræves, skal du følge det. Hvis du har et valg, så start med grundlæggende Cyber Essentials for hurtigt at finde og lukke huller, og planlæg derefter Plus, når du er sikker på, at kontrollerne holder under reel testning. Mange organisationer sigter mod at gennemføre Plus inden for tre måneder efter opnåelse af basiscertifikatet, mens beviserne er friske, og miljøet ikke har ændret sig.
Den anden vigtige nuance: Plus er det eneste niveau, der giver en indkøber ægte uafhængig sikkerhed for, at dine kontroller fungerer. Selvattesterede Cyber Essentials er tilstrækkeligt for mange leverandørkategorier, men hvor kontrakter involverer følsomme data eller kritiske tjenester, kan man forvente, at kunden beder om Plus. Ved at bygge hen imod Plus fra dag ét, selvom du kun certificerer på det grundlæggende niveau i starten, holder du din dokumentation i en tilstand, der vil bestå en ekstern revision senere.
Hvor meget koster Cyber Essentials?
Basic Cyber Essentials bruger en flad IASME-prisstruktur, der skaleres efter organisationens størrelse. For 2026 er niveauerne:
- Mikro (0 til 9 medarbejdere) — 330 £ + moms
- Lille (10 til 49 ansatte) — 400 £ + moms
- Mellem (50 til 249 medarbejdere) — 450 £ + moms
- Stor (250+ ansatte) — 500 £ + moms
Gebyret inkluderer én indsendelse med mulighed for at genindsende den, hvis der påpeges mindre mangler, og selve IASME-certifikatet. For virksomheder i Storbritannien med en omsætning på under £20 millioner inkluderer det også den IASME-støttede cyberansvarsforsikring på op til £25,000.
Cyber Essentials Plus prissættes separat af dit valgte certificeringsorgan og afhænger af størrelsen på det pågældende miljø og antallet af prøveenheder, som revisoren skal teste. Typiske priser i Storbritannien ligger i prisklassen £1,500 til £3,000+ for SMV'er, hvilket stiger for større og mere komplekse ejendomme. Læg det grundlæggende Cyber Essentials-gebyr oveni, og medregn den interne tid til forberedelse og afhjælpning.
For den fulde oversigt, inklusive skjulte omkostninger og treårige totaler, se vores Pris på Cyber Essentials guide.
Det overordnede IASME-gebyr er sjældent hele historien. De fleste britiske virksomheder bruger også penge på forberedelsessiden: licensomkostninger til at opdatere ældre software til en understøttet version, MFA-værktøjer til konti, der ikke havde det, MDM-tilmelding til BYOD-enheder og nogle gange et par dages konsulentbistand for at validere svarene før indsendelse. Som en tommelfingerregel for planlægning bør du fordoble IASME-gebyret for basisniveauet og budgettere med to til tre gange Plus-gebyret oveni for at dække de samlede omkostninger ved at blive Cyber Essentials Plus-klar for første gang. Efterfølgende årlige fornyelser er betydeligt billigere, når kontrollerne og beviserne er integreret.
Hvor lang tid tager Cyber Essentials?
Det ærlige svar er: alt fra 3 arbejdsdage til 8 uger, afhængigt af hvor forberedt du allerede er. Selve spørgeskemaet kan udfyldes og vurderes på under en uge, hvis dine kontroller er på plads, og din dokumentation er til stede. Den langsomme del er at lukke hullerne. De fleste britiske virksomheder bruger 2 til 4 uger på den grundlæggende certificering fra start til slut, og yderligere 4 til 6 uger, hvis de går direkte videre til Plus.
De største forsinkelser kommer typisk fra tre kilder:
- Opdagelse af ældre administratorkonti uden MFA eller software, der skal udskiftes
- Venter på beviser fra tredjeparter såsom IT-support, cloudadministratorer eller BYOD-brugere
- Genindsendelsescyklusser, hvor assessoren markerer præciseringer på spørgeskemaet
For den fulde fase-for-fase tidslinje og hurtigruten, se vores Hvor lang tid tager Cyber Essentials? guide.
Start din gratis prøveperiode
Vil du udforske?
Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde
Sådan bliver du certificeret i Cyber Essentials: trin-for-trin processen
Certificeringsprocessen har seks forskellige faser. Ingen af dem er teknisk komplicerede, men hver enkelt belønner forberedelse.
- Bestem dit omfang — Vælg enten hele organisationens omfang (anbefales) eller et klart afgrænset undersæt. Kortlæg alle brugere, enheder, netværk og cloudtjenester inden for omfanget.
- Kør en gap-analyse — Gennemgå hvert af de fem kontrolområder i forhold til dit nuværende miljø, og identificer, hvad der mangler. Willow-spørgsmålssættet er offentliggjort, så du kan bruge det som din tjekliste til gapanalyse.
- Luk huller — Skift standardadgangskoder, aktiver MFA på cloud-konti, udskift software, der ikke længere fungerer, dokumentér din tiltrædelses- og flytteproces, aktiver host-firewalls på roaming-bærbare computere.
- Vælg et certificeringsorgan — IASME offentliggør en liste over godkendte certificeringsorganer på sin hjemmeside. De fleste er prismæssigt konkurrencedygtige inden for et lille interval; vælg et, der reagerer hurtigt og tilbyder nyttig rådgivning før indsendelse.
- Udfyld SAQ'en — En ledende embedsmand underskriver svarene, og certificeringsorganet vurderer indsendelsen. Hvis noget er uklart, kan du forvente svar.
- Modtag dit certifikat (og valgfri Plus-audit) — Basiscertifikatet udstedes typisk inden for et par hverdage efter en ren indsendelse. Hvis du vælger Plus, følger den tekniske revision.
For et dybere kig på selve spørgeskemaet, de ønskede beviser og de mest almindelige faldgruber, se vores Selvevaluering af Cyber Essentials guide.
Fornyelse af Cyber Essentials: hvad sker der efter 12 måneder
Cyber Essentials er ikke en engangsøvelse. Certifikatet er gyldigt i 12 måneder fra udstedelsesdatoen, og fornyelsen skal udfyldes i henhold til det spørgsmålssæt, der er aktuelt på fornyelsesdatoen. Da ordningen strammer sine krav årligt, introducerer fornyelsen ofte kontroller, der ikke var på plads, da du først blev certificeret.
Almindelige problemer med fornyelse omfatter stærkere MFA-forventninger til cloud-konti, eksplicitte krav til aktivbeholdning og anvendelse af 14-dages patch-vinduet til firmware på routere og adgangspunkter. Planlæg at starte din fornyelsesforberedelse mindst 60 dage før dit certifikat udløber, så du kan lukke eventuelle nye huller uden at forhaste dig.
For at se hele 12-månederscyklussen og hvordan du forbereder dig i etaper, se vores Fornyelse af Cyber Essentials guide.
Cyber Essentials vs. ISO 27001 og SOC 2
Cyber Essentials er en baseline, der kun findes i Storbritannien. ISO 27001 er den internationale standard for et informationssikkerhedsstyringssystem (ISMS) og SOC2 er det amerikanske rapporteringsrammeværk, der oftest ses hos nordamerikanske købere. Hvert rammeværk henvender sig til et forskelligt publikum, og certificeringerne supplerer snarere end konkurrerer.
| Cyber Essentials | ISO 27001 | SOC2 | |
|---|---|---|---|
| Anvendelsesområde | 5 tekniske kontrolområder | Fuld ISMS plus 93 Annex A-kontroller | 5 kriterier for tillidstjenester, begrænset til en tjeneste |
| Geografisk anerkendelse | UK | internationale | Primært Nordamerika |
| Typisk pris | Fra 330 £ + moms | £3,000 til £15,000+ til certificering plus intern indsats | £15,000 til £50,000+ for en type 2-rapport |
| Typisk tidslinje | 2 8 uger til | 6 til 18 måned | 6 til 12 måneder plus en observationsperiode på 3 til 12 måneder |
| Fornyelse | Årligt | 3-årig cyklus med årlig overvågning | Årlig rapportcyklus |
| Bedst til | Kontrakter fra den britiske regering, forsyningskædens baseline, cyberforsikring | Salg til virksomheder, internationale kunder, regulerede brancher | SaaS-leverandører, der sælger til nordamerikanske virksomheder |
Den pragmatiske vej for de fleste britiske virksomheder er først at opnå Cyber Essentials for at frigøre kontrakter og forsikringer, og derefter bygge ledelsessystemets fundament for ISO 27001 (og SOC 2 hvis relevant) ovenpå. De fem Cyber Essentials-kontroller er direkte knyttet til ISO 27001 Annex A, så arbejdet bliver mere kompliceret i stedet for at duplikere. For en direkte sammenligning, se vores Cyber Essentials vs. ISO 27001 guide.
Hvis du er en lille virksomhed med en 12-måneders køreplan, er en fornuftig rækkefølge: Cyber Essentials i de første tre måneder for at opfylde umiddelbare indkøbs- og forsikringsbehov, Cyber Essentials Plus inden måned seks for at demonstrere verificeret sikkerhed, og et ISO 27001 implementeringsprojekt, der kører parallelt fra måned tre og fremefter. SOC 2 kommer typisk kun i billedet, hvis du begynder at sælge SaaS til nordamerikanske virksomheder. For en gennemgang af beslutningen fokuseret på små virksomheder, se vores Cyber-essentielle ting til små virksomheder guide.
Almindelige fejl i forbindelse med cyber essentials (og hvordan man undgår dem)
De fleste mislykkede eller forsinkede Cyber Essentials-ansøgninger handler om den samme lille liste over undgåelige fejl:
- For snævert omfang — Certificering af et enkelt team eller miljø og derefter manglende mulighed for at bruge certifikatet til en bredere kontrakt. Standardindstilling er hele organisationens omfang, medmindre du har en klar teknisk grund til ikke at gøre det.
- Glem BYOD og hjemmeroutere — Private telefoner, der bruges til arbejds-e-mail og hjemmearbejde på standard internetudbyderroutere, er omfattet. Kortlæg dem på forhånd, ikke efter assessoren har spurgt.
- Kørsel af software, der er udtjent — Windows-versioner, der ikke understøttes, ikke-opdateringer til browsere, ældre forretningsapps. Ordningen behandler disse som automatiske fejl. Lav en inventar, før du starter.
- Inkonsekvent MFA — MFA aktiveret på administrerende direktørs konto, men ikke på den ældre domæneadministrator eller servicekontoen. Vurderingsmedarbejdere ser efter fuld dækning på alle administratorkonti på alle cloudplatforme.
- Mangler 14-dages patch-vinduet — Servere, der får månedlige patches, overskrider ofte deadline for høj eller kritisk alvorlighed. Skift til en hyppigere kadens for sikkerhedsopdateringer.
- Forældede tiltrædelses-/flytterafgangsregistreringer — Medarbejdere med lang anciennitet og optjente administratorrettigheder, personer, der har forladt virksomheden, hvis konti aldrig er blevet deaktiveret. Kør en oprydning, før du indsender.
- Beviserne udsættes til sidste øjeblik — Projekter glider afsted i den sidste uge, hvor man forsøger at samle skærmbilleder, konfigurationseksporter og politikdokumenter. Indsaml beviser, mens du lukker hvert hul.
Udforsk Cyber Essentials-guiderne
Dyk dybere ned i de emner, der er vigtigst, når du planlægger, opnår og fornyer din Cyber Essentials-certificering:
- Krav til cybernødvendigheder — De fem kontrolområder, beslutninger om omfang og hvad evidensvurderere kigger efter.
- Pris på cybernødvendigheder — IASME-prisniveauer, plusomkostninger, skjulte omkostninger og 3-årige totaler for britiske virksomheder.
- Er cyber essentials det værd? — En ærlig vurdering af fordele, ulemper og hvem der rent faktisk har brug for certificering.
- Krav til Cyber Essentials Plus — Den tekniske revision, sårbarhedsscanninger og hvad Plus leverer ud over den grundlæggende certificering.
- Selvevaluering af cyberessensielle ting — SASQ-arbejdsgangen, omfang, evidens og almindelige faldgruber.
- Hvor lang tid tager det at lære cybernødvendigheder? — Typisk britisk tidslinje, hurtige muligheder og hvad der forsinker processen.
- Fornyelse af cybernødvendigheder — 12-månederscyklussen, kontrolændringer i 2026 og hvordan man forbereder sig 60 dage i forvejen.
- Cyber-essentielle ting til små virksomheder — SMB-specifik prisfastsættelse, omfang og cost-benefit-forhold.
- Cyber Essentials vs. ISO 27001 — Omfang, omkostninger, tid og anerkendelse sammenlignet.
Hvorfor vælge ISMS.online til cybernødvendigheder?
- Forudtilknyttede kontroller — Alle Cyber Essentials-kontrolområder er allerede kortlagt indeni ISMS.online, så du vurderer i forhold til hele skemaet uden at skulle bygge din egen tjekliste eller regneark fra bunden.
- Guidet gapanalyse — Gå trin for trin gennem hver kontrol med indbyggede prompter, marker den aktuelle tilstand, og omdan hvert hul til en tildelt handling med en ejer og en forfaldsdato.
- Enkelt bevisbibliotek — Vedhæft eksport af firewallkonfigurationer, MFA-skærmbilleder, tiltrædelses-, flytte- og afgangsregistreringer og patchlogs én gang, og genbrug dem derefter på tværs af fornyelser, Plus-revisioner og andre frameworks.
- Udnyttelse af flere rammer — Beviser for cyberessentielle elementer i ISMS.online føder også ISO 27001, SOC 2 og NIS 2 arbejde, hvilket er grunden til, at kunder, der går videre fra Cyber Essentials, bliver på platformen.
- Fornyelsesklar som standard — Platformen holder din dokumentation opdateret mellem årlige cyklusser med påmindelser 60 dage før dit certifikat udløber, så du aldrig starter forfra.
- Altid opdateret med ordningen — Platformen sporer det nuværende Willow-spørgsmålssæt og markerer nye krav, efterhånden som IASME strammer kontrollen hvert år.
- Tillid fra tusindvis af organisationer — ISMS.online støtter britiske virksomheder af alle størrelser på deres compliance-proces, fra førstegangsansøgere til Cyber Essentials til globale ISO-certificerede grupper.
Ofte Stillede Spørgsmål
Hvad er Cyber Essentials på almindeligt engelsk?
Cyber Essentials er en certificering, der er støttet af den britiske regering, og som bekræfter, at din virksomhed har fem grundlæggende tekniske kontroller på plads for at forsvare sig mod almindelige cyberangreb: firewalls, sikker konfiguration, brugeradgangskontrol, malwarebeskyttelse og administration af sikkerhedsopdateringer. Den administreres af IASME på vegne af NCSC og er den anerkendte britiske standard for cybersikkerhed på begynderniveau. Certifikatet er gyldigt i 12 måneder.
Hvor meget koster Cyber Essentials i 2026?
Basic Cyber Essentials bruger IASME-faste priser: £330 + moms for mikrovirksomheder (0 til 9 ansatte), £400 + moms for små (10 til 49), £450 + moms for mellemstore (50 til 249) og £500 + moms for store (250+). Cyber Essentials Plus prissættes separat af dit certificeringsorgan og ligger typisk fra £1,500 til £3,000+ afhængigt af størrelsen på dit miljø. Læg intern forberedelsestid oveni.
Hvor lang tid tager det at få Cyber Essentials?
De fleste britiske virksomheder gennemfører den grundlæggende certificering på 2 til 4 uger, med et minimum på omkring 3 til 5 arbejdsdage, hvis der allerede er kontroller på plads. Cyber Essentials Plus tilføjer yderligere 4 til 6 uger til den uafhængige tekniske revision. De største forsinkelser kommer fra at lukke huller i ældre systemer, såsom manglende MFA, udtjent software og udokumenterede administratorkonti.
Hvad er forskellen på Cyber Essentials og Cyber Essentials Plus?
Basic Cyber Essentials er et selvevalueringsspørgeskema, der underskrives internt og gennemgås af en ekstern assessor. Cyber Essentials Plus har samme omfang med en tilføjet uafhængig teknisk revision, herunder sårbarhedsscanninger og praktisk test af en stikprøve af dine enheder. Plus giver verificeret sikkerhed og er i stigende grad påkrævet for kontrakter med MOD, NHS og regulerede leverandørorganisationer. Du kan ikke have Plus uden først at opnå den grundlæggende certificering.
Hvem har brug for cybernødvendigheder?
Cyber Essentials er obligatorisk for leverandører til den britiske centralregering på kontrakter, der involverer personlige oplysninger eller visse IKT-tjenester, og for leverandører til Forsvarsministeriet i henhold til DEFCON 658. NHS-leverandører, lokale myndigheder og et stigende antal private virksomheder kræver det også. Mange cyberforsikringsselskaber tilbyder bedre præmier eller gør det til en forudsætning for dækning. Selv uden kontraktmæssigt pres er det et anerkendt grundlag for god cyberhygiejne.
Hvad dækker Cyber Essentials?
Cyber Essentials dækker fem tekniske kontrolområder: firewalls og routere, sikker konfiguration, brugeradgangskontrol, malwarebeskyttelse og administration af sikkerhedsopdateringer. Alle enheder, brugerkonti og cloudtjenester, der er omfattet, skal opfylde kravene på tværs af alle fem. Cloudtjenester, herunder Microsoft 365, Google Workspace, AWS og Azure, er eksplicit omfattet, med MFA på alle administratorkonti som en grundlæggende forventning i 2026.
Er Cyber Essentials det værd?
For de fleste britiske virksomheder, ja. Certificeringen åbner op for kontrakter i den offentlige sektor, understøtter cyberforsikringsansøgninger og tvinger en oprydning af de grundlæggende kontroller, der forhindrer størstedelen af opportunistiske angreb. Omkostningerne (minimum £330 + moms) og tiden (et par uger) er lave i forhold til de kontraktmæssige og forsikringsmæssige fordele. For en mere fuldstændig og ærlig vurdering, se vores Er Cyber Essentials det værd? guide.
Hvordan adskiller Cyber Essentials sig fra ISO 27001?
Cyber Essentials er en baseline, der kun er tilgængelig i Storbritannien og fokuserer på fem tekniske kontrolområder. ISO 27001 er den internationale standard for et komplet informationssikkerhedsstyringssystem (ISMS), der dækker 93 Annex A-kontroller, lederskab, risikostyring og løbende forbedringer. Cyber Essentials tager uger og koster fra £330 + moms; ISO 27001 tager måneder og koster fra omkring £3,000+. De to supplerer hinanden, hvor Cyber Essentials typisk er et springbræt mod ISO 27001.
