Hvad er en cybersikkerhedscertificering?
En cybersikkerhedscertificering er en uafhængig bekræftelse af, at en organisation opfylder et defineret sæt af informationssikkerhedskontroller. I Storbritannien falder certificeringer i tre grupper: statsstøttede ordninger som f.eks. Cyber Essentials og Cyber Essentials Plus, internationale standarder for ledelsessystemer som f.eks. ISO 27001og revisionsrapporter såsom SOC2NIS 2 fungerer sideløbende med disse som et regulatorisk mandat snarere end en frivillig certificering.
Købere, tilsynsmyndigheder, forsikringsselskaber og forsyningskædepartnere kræver i stigende grad dokumentation for, at de leverandører, de arbejder med, lever op til en anerkendt standard. Den rigtige certificering afhænger af, hvem der anmoder om den, hvor du sælger, og hvor modne dine sikkerhedsoperationer skal være. Denne vejledning gennemgår de fem ordninger, som britiske organisationer oftest støder på, hvad hver enkelt dækker, hvad den koster, og hvem den passer til.
ISMS.online er den platform, som britiske organisationer bruger til at køre alle cybersikkerhedscertificeringer ét sted, hvor beviser og kontroller kortlægges på tværs af Cyber Essentials, ISO 27001, SOC 2 og NIS 2 i stedet for at genopbygge arbejdet for hver ordning.
Hvorfor får britiske organisationer cybersikkerhedscertificeringer?
Fem drivkræfter tegner sig for næsten alle certificeringsprojekter, vi ser:
- Krav til indkøb — Kontrakter med den britiske centralregering kræver Cyber Essentials for leverandører, der håndterer personoplysninger eller visse IKT-tjenester (Procurement Policy Note 09/14). Forsvarsministeriet kræver Cyber Essentials eller Cyber Essentials Plus for relevante leverandører i henhold til DEFCON 658. Mange private købere gentager det samme krav i deres leverandørkvalifikationsprocesser.
- Kundernes efterspørgsel — B2B-kunder sender i stigende grad sikkerhedsspørgeskemaer, inden de underskriver. Et aktuelt ISO 27001- eller SOC 2-certifikat erstatter ofte et spørgeskema med 200 spørgsmål med en enkelt vedhæftet fil.
- Sektorregulering — NIS 2 (i EU) og den tilsvarende ordning i Storbritannien kræver, at væsentlige og vigtige enheder i kritiske sektorer skal demonstrere cybersikkerhedskontroller og rapportering af hændelser.
- Cyberforsikring — Forsikringsselskaber beder rutinemæssigt om dokumentation for grundlæggende kontroller, før de binder en police. Cyber Essentials-certificering er ofte tilstrækkelig for SMB'er; større eller højere risikoforsikrede har i stigende grad brug for ISO 27001 eller SOC 2.
- Intern sikring — Bestyrelser og revisionsudvalg bruger uafhængig certificering som bevis på, at de kontroller, de underskriver, faktisk eksisterer og fungerer.
Hvis du endnu ikke ved, hvilken driver der gælder for dig, kan du finde vores guide til Er Cyber Essentials det værd gennemgår cost/benefit-beregningen for basisordningen, og valget bliver tydeligere derfra.
Hvad er de vigtigste cybersikkerhedscertificeringer i Storbritannien?
Fem ordninger dominerer det britiske landskab for cybersikkerhedscertificering. De første fire er frivillige certificeringer, der spænder fra den britisk-specifikke Cyber Essentials-familie til internationalt anerkendte standarder, mens den femte er en lovgivningsmæssig forpligtelse snarere end en egentlig certificering. De fleste britiske organisationer har mere end én af disse over tid, efterhånden som kundernes efterspørgsel, sektor og geografi udvikler sig.
Cyber Essentials: Det britiske regeringsstøttede indgangspunkt
Cyber Essentials er en britisk regeringsstøttet certificeringsordning, der blev lanceret i 2014 og nu overvåges af National Cyber Security Centre (NCSC), med IASME som eneste akkrediteringsorgan siden april 2020. Den tester fem tekniske kontrolområder (firewalls og routere, sikker konfiguration, brugeradgangskontrol, malwarebeskyttelse og administration af sikkerhedsopdateringer) på alle enheder og cloudtjenester inden for området.
Nøgle Fakta:
- Format: Selvvurderingsspørgeskema gennemgået af en IASME-akkrediteret assessor
- Gyldighed: 12 måneder, fornyes årligt
- Omkostninger: Fra £330 + moms for mikroorganisationer (1-9 ansatte) op til £500 + moms for store organisationer (250+); se Pris på Cyber Essentials for den fulde prisoversigt
- Typisk tidslinje: 4-12 uger fra kickoff til certifikat
- Bonus: Berettigede britiske organisationer med en omsætning på under £20 millioner modtager en gratis cyberansvarsforsikring til en værdi af £25,000
- Bedst til: Britiske SMV'er, der byder på offentlige arbejder; leverandører til store virksomheder; forsikringskrav; første formelle certificering
Cyber Essentials er den billigste og hurtigste cybersikkerhedscertificering i Storbritannien. Det er også den med den mest direkte indkøbsværdi, fordi den britiske regering og mange private købere specifikt kræver det ved navn. For linje-for-linje-beredskabsarbejdet er vores Tjekliste til cybernødvendigheder gennemgår hver check, før du indsender den.
Cyber Essentials Plus: uafhængigt revideret sikring
Cyber Essentials Plus bruger de samme fem kontrolområder som Cyber Essentials, men tilføjer en uafhængig teknisk revision. En IASME-akkrediteret assessor scanner eksempler på enheder, verificerer multifaktorgodkendelse via live login, tester e-mail- og webfiltrering og bekræfter, at de kontroller, du har dokumenteret, rent faktisk fungerer i praksis.
- Format: SAQ plus praktisk teknisk revision af en repræsentativ stikprøve af enheder
- Gyldighed: 12 måneder
- Omkostninger: Typisk £1,500-£3,000 oveni basisprisen for Cyber Essentials, afhængigt af miljøets kompleksitet
- Tidslinje: 1-2 uger oven i Cyber Essentials, når forberedelsesarbejdet er færdigt
- Bedst til: Leverandører til MOD eller højrisikoforsyningskæder (DEFCON 658), købere, der specifikt kræver Plus, organisationer, der bruger Plus som et springbræt til ISO 27001
De fem tekniske kontrolområder er detaljeret dokumenteret i Krav til Cyber Essentials PlusHvis du skal afveje CE vs. CE Plus, er den afgørende faktor normalt, om en specifik kontrakt eller et forsikringsselskab kræver Plus-niveauet.
ISO 27001: international certificering af informationssikkerhedsstyring
ISO/IEC 27001 er den internationale standard for informationssikkerhedsstyringssystemer (ISMS). Hvor Cyber Essentials tester fem tekniske kontroller, certificerer ISO 27001 et komplet styringssystem: et risikodrevet rammeværk, der dækker governance, politik, aktivstyring, leverandørsikkerhed, hændelsesrespons, forretningskontinuitet og 93 specifikke Annex A-kontroller (2022-revisionen; reduceret fra 114 i 2013-versionen).
- Format: Trin 1 dokumentationsrevision, derefter trin 2 implementeringsrevision, derefter overvågningsrevisioner hvert år og en fuld recertificeringsrevision hvert tredje år
- Gyldighed: 3 år mellem recertificeringer, med årlig overvågning
- Omkostninger: Typisk £3,000–£15,000+ for britiske SMV'er, afhængigt af omfang og valgt certificeringsorgan
- Tidslinje: 4-9 måneder for førstegangscertificering; længere for komplekse organisationer
- Bedst til: Organisationer, der sælger internationalt, B2B SaaS, regulerede sektorer, alle hvis kunder anmoder om et ISMS-certifikat ved navn
ISO 27001 er guldstandarden for cybersikkerhedscertificeringer globalt. De fleste virksomhedskunder forventer, at deres leverandører har den; mange britiske organisationer bruger Cyber Essentials som fundament og går derefter videre til ISO 27001, efterhånden som kundernes efterspørgsel vokser. For forskellene i dybde, omfang og anerkendelse, se Cyber Essentials vs. ISO 27001for detaljer om revisionsprocessen, se ISO 27001 certificering.
SOC 2: sikkerhed for amerikanske kunder og SaaS-udbydere
SOC 2 (Service Organisation Control 2) er en amerikansk revisionsrapport, der er udarbejdet i henhold til standarder fastsat af American Institute of CPAs (AICPA). Den evaluerer en serviceorganisation i forhold til de fem kriterier for tillidstjenester (sikkerhed, tilgængelighed, behandlingsintegritet, fortrolighed og privatliv), hvor sikkerhed er obligatorisk, og de andre er valgfrie baseret på omfang.
- Format: Type 1 (vurdering af design på et tidspunkt) eller type 2 (driftseffektivitet over et observationsvindue på 3-12 måneder)
- Gyldighed: SOC 2 producerer en rapport i stedet for et certifikat; rapporter fornyes typisk årligt
- Omkostninger: 15,000–100,000+ pund afhængigt af omfang, inkluderede kriterier og observationsvindue
- Tidslinje: 3-12 måneders observationsvindue for type 2; forberedelsesarbejde forlænger typisk 2-4 måneder
- Bedst til: SaaS-udbydere, der sælger til USA, serviceorganisationer, der opbevarer kundedata, enhver britisk organisation, hvis amerikanske kunder anmoder om SOC 2 ved navn
SOC 2 og ISO 27001 overlapper hinanden i høj grad i de kontroller, de kræver. Britiske organisationer, der sælger på begge sider af Atlanten, bruger ofte begge dele, med ISMS.online som det fælles bevislag. Vores SOC2 Hubben dækker kriterierne, parathedsprocessen og hvordan den adskiller sig fra ISO 27001.
NIS 2: Reguleringsmæssig cybersikkerhed for essentielle og vigtige enheder
NIS 2 er EU's anden generation af net- og informationssikkerhedsdirektiv, og Storbritannien har vedtaget en tilsvarende national ordning. Det er ikke en certificering, men et lovgivningsmæssigt krav for væsentlige og vigtige enheder i kritiske sektorer (energi, transport, bankvæsen, finansmarkedsinfrastrukturer, sundhed, drikkevand, digital infrastruktur, offentlig forvaltning, rumfart, posttjenester, affaldshåndtering, fremstilling og distribution af kemikalier, fødevarer, fremstilling af medicinsk udstyr og visse digitale tjenesteudbydere).
- Format: Lovpligtig til at implementere specificerede risikostyringsforanstaltninger for cybersikkerhed og tidsfrister for rapportering af hændelser
- Gyldighed: Kontinuerlig, med tilsyn af regulatorer
- Omkostninger: Intet certificeringsgebyr; omkostningerne ligger i selve kontrollerne, som ofte er i overensstemmelse med ISO 27001
- Tidslinje: Fasevis implementering; organisationer i dette område bør implementere det nu
- Bedst til: Enhver organisation, der er klassificeret som en væsentlig eller vigtig enhed i henhold til direktivet; leverandører til disse enheder er også indirekte berørt
NIS 2 er nogle gange den udløsende faktor, der skubber en organisation fra Cyber Essentials til ISO 27001, fordi ISO 27001 giver en struktureret måde at dokumentere de risikostyringsforanstaltninger, som direktivet kræver. NIS 2 Hubben gennemgår de omfattede sektorer og de specifikke forpligtelser.
Sammenligning: Overblik over britiske cybersikkerhedscertificeringer
| Certificering | Anvendelsesområde | Typiske omkostninger (britiske SMV'er) | Typisk tidslinje | Gyldighed | Bedste pasform |
|---|---|---|---|---|---|
| Cyber Essentials | 5 tekniske kontroller, selvevaluerede | Fra 330 £ + moms | 4-12 uger | 12 måneder | Britiske SMV'er, offentlige kontrakter, forsikring, første certificering |
| Cyber Essentials Plus | Samme 5 kontroller + uafhængig revision | Tilføj 1,500–3,000+ pund | +1–2 uger | 12 måneder | MOD-leverandører, kontrakter der kræver Plus, ISO 27001 springbræt |
| ISO 27001 | Fuld ISMS, 93 Anneks A kontroller, styring | £3,000–£15,000+ | 4–9 måneder | 3 år (årlig overvågning) | Internationalt salg, B2B SaaS, regulerede sektorer |
| SOC 2 (Type 2) | 5 kriterier for tillidstjenester, driftseffektivitet | £15,000–£100,000+ | 3-12 måneders observation | Årsrapport | SaaS-salg til USA, serviceorganisationer |
| NIS 2 | Regulatorisk cyberrisikostyring for essentielle/vigtige enheder | Integreret i driften | Kontinuerlig | Kontinuerlig | Kritiske infrastruktursektorer og deres leverandører |
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvordan vælger du mellem cybersikkerhedscertificeringer?
Start med det spørgsmål, der udløste projektet. Den rigtige certificering afhænger af, hvad (eller hvem) der beder om den.
- Kontrakt med den britiske regering eller leverandør af MOD — Start med Cyber Essentials, derefter Plus hvis det specifikt kræves. Dette er navngivet i PPN 09/14 og DEFCON 658.
- Cyberforsikring — Cyber Essentials er normalt tilstrækkeligt for SMB'er. Større eller mere risikofyldte forsikrede kan have brug for ISO 27001.
- Virksomhedskunde anmoder om et ISMS-certifikat — ISO 27001. Kunder nævner næsten altid dette specifikt.
- Amerikansk SaaS-kunde anmoder om en revisionsrapport — SOC 2 (normalt Type 2, når forholdet er etableret).
- NIS 2 eller tilsvarende lovgivningsmæssig forpligtelse — Implementer de kontroller, som forordningen kræver; mange organisationer bruger ISO 27001 som strukturel ramme for at dokumentere dette.
- Første certificering, ikke drevet af en specifik køber — Cyber Essentials. Det er det billigste, hurtigste og har den klareste indkøbsværdi i Storbritannien, og arbejdet indgår direkte i ISO 27001, hvis du gør fremskridt.
De fleste britiske organisationer ender med at have mere end én over tid. En typisk progression ser sådan ud: Cyber Essentials → Cyber Essentials Plus → ISO 27001 → SOC 2, når amerikanske kunder dukker op. Kontrollerne overlapper hinanden nok til, at vedligeholdelsen af den næste certificering er trinvis snarere end at starte forfra – forudsat at du har et enkelt evidenslag, der kortlægger kontroller på tværs af ordninger.
Hvad hvis du har brug for flere certificeringer?
Det er dyrt at køre Cyber Essentials, ISO 27001 og SOC 2 separat. Alle tre parter efterspørger den samme dokumentation (firewallregler, MFA-konfiguration, tiltrædelses-/afgangsregistreringer, aktivbeholdning, patchrapporter), bare i forskellige formater. Det meste af tiden ender det tre steder med tre sæt opdateringscyklusser.
Alternativet er at registrere alle kontrolelementer og alle beviser én gang, og kortlægge dem til alle de ordninger, de opfylder. Det er det, ISMS.online gør — et enkelt ISMS, der eksponerer Cyber Essentials, ISO 27001, SOC 2 og NIS 2 kontrolsæt på samme tid, med beviser forbundet én gang og genbrugt overalt. Kunder, der starter med Cyber Essentials i ISMS.online er ofte halvvejs til ISO 27001-parathed, når kundeefterspørgslen ankommer.
Hvad er de almindelige misforståelser om cybersikkerhedscertificering?
- "En certificering betyder, at vi er sikre." En certificering betyder, at du opfylder et defineret sæt kontroller på et givet tidspunkt. Det betyder ikke, at du ikke kan blive overtrådt. Betragt certifikatet som bevis på et program, ikke et resultat.
- "Cyber Essentials og ISO 27001 er det samme." Det er de ikke. Cyber Essentials dækker fem tekniske kontrolområder; ISO 27001 certificerer et komplet informationssikkerhedsstyringssystem, der dækker governance, risiko og 93 specifikke kontroller.
- "Vi har brug for både ISO 27001 og SOC 2 fra dag ét." Normalt nej. De fleste britiske organisationer starter med den, deres største nuværende køber har brug for, og tilføjer derefter den anden, når internationalt salg har brug for det.
- "Vores cloud-udbyders certificering dækker os." Din cloududbyders certifikat dækker deres infrastruktur, ikke din lejerkonfiguration, adgangskontroller eller datahåndtering. Du skal stadig bruge din egen certificering.
- "Certificering er et engangsprojekt." Enhver cybersikkerhedscertificering har en årlig eller treårig fornyelsescyklus. Betragt det som et driftsprogram, ikke et projekt.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvorfor vælge ISMS.online til cybersikkerhedscertificering?
- Én platform, hver ordning — Cyber Essentials, Cyber Essentials Plus, ISO 27001, SOC 2 og NIS 2 er alle foruddefinerede i ISMS.online, med kontroller justeret på tværs af ordninger, så beviser genbruges og ikke omskrives.
- Enkelt kilde til bevismateriale — Vedhæft et skærmbillede eller dokument én gang, og link det til alle de kontroller, det opfylder, på tværs af alle certificeringer. Ingen duplikering og ingen versionsforskydning.
- Risikoregister og ISMS-omfang — Indsaml dine informationsaktiver, risici og behandlinger i et struktureret ISMS, der opfylder kravene i ISO 27001-klausulen og understøtter din SOC 2-fortælling.
- Præbyggede politikker og procedurer — Et bibliotek af præskrevne politikker, der er afstemt med kontrollerne i hver ordning, så du starter fra en arbejdsbaseline i stedet for et blankt dokument.
- Klar til revision — Overvågningsrevisioner, recertificeringsrevisioner og SOC 2-observationsvinduer er nemmere, når platformen automatisk sporer bevisernes aktualitet, handlingsejere og forfaldsdatoer.
- Tillid fra tusindvis af organisationer — ISMS.online støtter virksomheder i alle størrelser, lige fra førstegangsansøgere til Cyber Essentials til globale multicertificeringsgrupper.
- Kundesucces, der har været igennem det — Implementeringsstøtte fra folk, der selv har certificeret sig til de samme ordninger, ikke blot har solgt platformen.
Ofte Stillede Spørgsmål
Hvad er den bedste cybersikkerhedscertificering for en britisk SMV?
For de fleste britiske SMV'er er det rette udgangspunkt Cyber Essentials. Det er den billigste certificering, den hurtigste at opnå, og den, der er påkrævet af den britiske regerings indkøbsprocedure under PPN 09/14. Cyber Essentials Plus kommer derefter, hvis en kontrakt eller forsyningskæde kræver det. Skift til ISO 27001, når efterspørgslen fra virksomhedskunder eller internationalt salg viser sig.
Er Cyber Essentials en internationalt anerkendt cybersikkerhedscertificering?
Cyber Essentials er specifikt for Storbritannien. Det er anerkendt af den britiske regering, britiske forsikringsselskaber og mange britiske private købere, men det har ikke direkte vægt uden for Storbritannien. ISO 27001 er den tilsvarende internationalt anerkendte certificering, og SOC 2 er den dominerende revisionsrapport i USA. Britiske organisationer, der sælger globalt, går normalt videre fra Cyber Essentials til ISO 27001 eller SOC 2.
Hvor meget koster en cybersikkerhedscertificering i Storbritannien?
Omkostningerne varierer meget. Cyber Essentials starter ved £330 + moms for de mindste organisationer. Cyber Essentials Plus tilføjer typisk £1,500-£3,000 til revisionen. ISO 27001 varierer fra £3,000 for meget små organisationer til £15,000+ for komplekse omfang. SOC 2 Type 2 varierer fra £15,000 til £100,000+ afhængigt af kriterier, omfang og observationsvindue. NIS 2 har intet certificeringsgebyr, men kræver investering i de underliggende kontroller.
Hvor lang tid tager en cybersikkerhedscertificering?
Cyber Essentials tager typisk 4-12 uger fra opstart. Cyber Essentials Plus lægger 1-2 uger oveni, plus forberedelsesarbejde. ISO 27001 tager 4-9 måneder for en førstegangs SMB-certificering. SOC 2 Type 2 kræver et observationsvindue på 3-12 måneder oveni forberedelsesarbejdet. NIS 2 er kontinuerligt: det er ikke et engangsprojekt.
Dækker en cybersikkerhedscertificering GDPR?
Ingen certificering i sig selv udgør overholdelse af GDPR. ISO 27001 og SOC 2 dækker begge mange af de sikkerhedskontroller, som GDPR kræver, og ISO 27701 udvider ISO 27001 specifikt til et privatlivsstyringssystem. Ingen af dem erstatter de juridiske og dokumentationsmæssige forpligtelser i henhold til den britiske GDPR, men de gør det meget nemmere at demonstrere sikkerhedskontrollerne.
Skal jeg recertificeres hvert år?
Cyber Essentials og Cyber Essentials Plus er gyldige i 12 måneder og fornyes årligt. ISO 27001 kører i en 3-årig cyklus med årlige overvågningsrevisioner. SOC 2-rapporter opdateres typisk årligt. NIS 2 er en løbende forpligtelse snarere end en periodisk certificering. Uanset hvilken ordning du har, skal du behandle den som et driftsprogram snarere end et engangsprojekt.
