Hvad er Cyber Essentials Plus, og hvordan adskiller det sig fra grundlæggende Cyber Essentials?
Cyber Essentials Plus er det højere niveau af den britiske regerings Cyber Essentials-ordning, administreret af National Cyber Security Center (NCSC) og leveret gennem IASME og dets netværk af certificeringsorganer. Den dækker de samme fem tekniske kontrolområder som den grundlæggende certificering, men med én afgørende forskel: en uafhængig assessor verificerer, at kontrollerne rent faktisk er på plads og fungerer på dine live-systemer, i stedet for at stole på et selvevalueringsspørgeskema.
Basic Cyber Essentials er en selvevalueret certificering. Du besvarer cirka 80 spørgsmål om, hvordan din organisation håndterer firewalls, sikker konfiguration, brugeradgang, malwarebeskyttelse og håndtering af sikkerhedsopdateringer, og en kvalificeret assessor gennemgår dine svar. Det er hurtigt, overkommeligt og velegnet til mindre organisationer, der ønsker et anerkendt grundlag.
Cyber Essentials Plus tager udgangspunkt i den samme baseline og tilføjer en uafhængig teknisk revision. En uddannet assessor opretter forbindelse til en stikprøve af dine enheder, kører sårbarhedsscanninger, forsøger at levere simuleret malware for at teste endpoint-forsvar og inspicerer konfigurationsbeviser direkte. Det er det sikkerhedsniveau, som britiske regeringsafdelinger, Forsvarsministeriet (MOD) og NHS-leverandører i stigende grad kræver af deres forsyningskæde, og det er ved at blive en standardforventning i virksomheders indkøbsprocesser for enhver leverandør, der håndterer følsomme data.
For en side-om-side oversigt over de to niveauer, se vores Selvevalueringsvejledning til Cyber EssentialsHvis du afvejer Cyber Essentials Plus mod en bredere ramme for informationssikkerhed, er vores Sammenligning af Cyber Essentials og ISO 27001 forklarer, hvordan de to komplementerer hinanden. Før du booker revisionen, bør du gennemgå vores Tjekliste til cybernødvendigheder for at bekræfte, at alle kontrolområder rent faktisk er på plads — Plus fejl kan normalt spores tilbage til et enkelt hul, som en beredskabskontrol ville have opdaget.
Hvilke fem kontrolområder gennemgås under Cyber Essentials Plus?
Cyber Essentials Plus-revisionen gennemgår de samme fem tekniske kontrolområder som den grundlæggende ordning, men med praktisk verifikation af dine faktiske systemer i stedet for en papirbaseret attestering. Revisoren vil ikke stole på dit ord – de vil kontrollere.
1. Firewalls og internetgateways
Assessoren bekræfter, at alle enheder i omfanget (inklusive bærbare computere for hjemme- og fjernarbejdere) er beskyttet af en korrekt konfigureret firewall. Standard administrative adgangskoder på grænsefirewalls skal ændres, uautoriserede indgående forbindelser skal blokeres som standard, og enhver regel, der tillader indgående trafik, skal dokumenteres med en forretningsmæssig begrundelse. Softwarefirewalls på brugerenheder kontrolleres for at bekræfte, at de er aktiveret og konfigureret.
2. Sikker konfiguration
Systemer skal hærdes fra deres standardtilstand. Revisoren kontrollerer, at ubrugt software og tjenester er blevet fjernet eller deaktiveret, at standard- og gæstekonti er deaktiveret, og at automatiske funktioner er slået fra på brugerenheder. Enheder, der opretter forbindelse til virksomhedsdata, skal håndhæve en skærmlås og krav til legitimationsoplysninger. Revisoren vil inspicere repræsentative enheder og bekræfte konfigurationen i forhold til din byggestandard.
3. Brugeradgangskontrol
Adgang skal gives på basis af mindst mulig rettigheder. Revisoren vil verificere, at brugerkonti oprettes gennem en formel godkendelsesproces, at administrative rettigheder er adskilt fra daglige konti, og at multifaktor-godkendelse (MFA) håndhæves på alle cloud-tjenester og på administrativ adgang. Konti for fratrædende skal straks deaktiveres, og assessoren kan undersøge tiltrædelses-, flytte- og fratrædelsesregistre for at teste processen.
4. Malware-beskyttelse
Alle enheder i omfanget skal køre anti-malware-software, være på tilladelseslister for applikationer eller fungere i et sandkassemiljø, f.eks. en administreret mobilenhedsprofil. Auditøren vil forsøge at levere testmalware-eksempler (typisk EICAR-testfilen og inerte varianter) via e-mail og webdownload for at bekræfte, at endpoint-beskyttelsen faktisk registrerer og blokerer trusler i praksis, ikke kun på papiret.
5. Administration af sikkerhedsopdateringer
Alle operativsystemer og højrisikosoftware (browsere, e-mailklienter, kontorpakker, PDF-læsere) skal være leverandørunderstøttet og have opdateringer inden for fjorten dage efter udgivelsen af en sikkerhedsopdatering, når opdateringen adresserer en sårbarhed, der er vurderet som høj eller kritisk. Revisoren vil køre en autentificeret sårbarhedsscanning mod udvalgte enheder for at bekræfte, at ingen af de systemer, der er omfattet af programmet, mangler en kvalificerende opdatering, og at der ikke er nogen udtjent software i brug.
Den fulde tekniske specifikation vedligeholdes af NCSC og IASME og opdateres med jævne mellemrum. For en mere detaljeret gennemgang af hver kontrol, se vores Vejledning til krav til Cyber Essentials.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvad indebærer Cyber Essentials Plus-revisionen egentlig?
Cyber Essentials Plus-revisionen er en struktureret, evidensbaseret vurdering udført af en kvalificeret assessor fra et IASME-akkrediteret certificeringsorgan. Revisionen følger en defineret testspecifikation og udføres normalt eksternt, selvom besøg på stedet nogle gange bruges til større eller mere komplekse ejendomme. Der er fem forskellige tekniske tests.
Ekstern sårbarhedsscanning
Assessoren kører en autentificeret og uautentificeret scanning af alle internetvendte IP-adresser i omfanget. Scanningen leder efter manglende programrettelser, usikre tjenester, forkert konfigurerede grænseenheder og eksponerede administrative grænseflader. Enhver sårbarhed med en CVSS v3-score på 7.0 eller derover behandles som en fejl, medmindre den kan påvises som en falsk positiv.
Intern autentificeret sårbarhedsscanning
En stikprøve af slutbrugerenheder scannes med legitimationsoplysninger, hvilket gør det muligt for værktøjet at opregne installeret software, manglende programrettelser og konfigurationssvagheder. Ligesom med den eksterne scanning er høje eller kritiske sårbarheder en fiasko. Dette er den test, der oftest afslører organisationer, fordi den afslører ikke-patchede browser-plugins, forældede PDF-læsere og ældre versioner af kontorsoftware, der ofte slipper igennem uformelle programrettelsesprocesser.
Simuleret malwarelevering via e-mail
Assessoren sender en række testfiler (en blanding af harmløse EICAR-prøver og adgangskodebeskyttede arkiver, der indeholder inerte nyttelast) til en brugerpostkasse. Den forventede adfærd er, at e-mail-sikkerhedsgatewayen, e-mailklienten og endpoint-anti-malware-motoren kombineres for at blokere eller sætte hver prøve i karantæne. Enhver fil, der når indbakken og kan udføres, tæller som en fejl.
Simuleret malwarelevering via websurfing
Testfiler hostes på en kontrolleret webserver, og assessoren forsøger at downloade dem via browseren på en samplet enhed. Endpoint-beskyttelsen skal forhindre udførelse. Testen verificerer også, at browsere er konfigureret til at blokere kendte skadelige websteder, og at enhver standard downloadadfærd er fornuftig.
Konfiguration og kontogennemgang
Ud over de automatiserede scanninger vil assessoren inspicere de udvalgte enheder interaktivt for at bekræfte skærmlåsepolitikker, MFA-håndhævelse, adskillelse af administratorkonti, fjernelse af ikke-understøttet software og fravær af standardlegitimationsoplysninger på netværksudstyr.
Hvor mange enheder stikprøver revisoren?
Stikprøvestørrelsen er defineret af IASME-testspecifikationen og skaleres med størrelsen af ejendomsmæglerboligen. Større organisationer revideres ikke fra ende til anden på alle enheder, men der udvælges en statistisk meningsfuld stikprøve på tværs af hver enhedstype og operativsystem.
| Antal enheder inden for omfanget | Stikprøvestørrelse pr. enhedstype | Noter |
|---|---|---|
| 1 - 10 | Alle enheder | Alle enheder inden for området testes |
| 11 - 50 | 10 enheder eller 20 %, alt efter hvad der er størst | Stikprøve stratificeret på tværs af operativsystemer og enhedsroller |
| 51 - 200 | 15 enheder pr. type | Inkluderer en blanding af virksomheds- og BYOD-løsninger, hvor det er relevant |
| 201 + | Defineret af assessor, minimum 20 pr. type | Stikprøve aftalt på forhånd og registreret i revisionsplanen |
Stikprøven skal dække alle operativsystemer, alle buildtyper (virksomhed, entreprenør, BYOD) og alle rolleprofiler (standardbruger, administrator, udvikler). En enkelt fejl på en stikprøveenhed behandles som en fejl i populationen, så ensartede buildstandarder på tværs af systemet er afgørende.
Hvilken dokumentation vil revisoren anmode om, før testen begynder?
Før der udføres scanninger, vil assessoren udstede en scoping-pakke og en anmodning om dokumentation før revisionen. At have denne pakke klar på forhånd er den vigtigste løftestang for en problemfri revision. Typisk dokumentation omfatter:
- Beholdning af aktiver — En komplet liste over enheder inden for området (servere, slutbrugerenheder, mobile enheder) med værtsnavne, operativsystemversioner og fysisk placering eller ejer
- Netværksdiagram — Viser internetgateways, intern segmentering og eventuelle cloudtjenester inden for rammerne
- Byggestandarder — Dokumenterede konfigurationsgrundlinjer for hvert operativsystem, der er i brug
- Politik og beviser for patchhåndtering — Inklusive den seneste måneds patchrapport
- Registreringer for tilflyttere og afgående personer — For en stikprøve af nyligt tiltrådte og afgående medarbejdere, dokumentation for, at konti blev oprettet og deaktiveret i overensstemmelse med politikken
- MFA-konfigurationsbevis — Skærmbilleder eller eksport til administratorkonsol, der bekræfter MFA-håndhævelse på cloudtjenester og privilegerede konti
- Rapport om dækning af anti-malware — Bekræftelse af, at alle enheder inden for området rapporterer til administrationskonsollen
- Firewall-regelbase — Konfiguration af grænsefirewall eller eksport af regler med forretningsmæssige begrundelser for indgående regler
- BYOD-politik — Hvis personlige enheder tilgår virksomhedsdata, den politik og de tekniske kontroller (typisk MDM eller containerisering på appniveau), der håndhæver den
Organisationer, der bevarer dette bevismateriale som et levende artefakt – i stedet for at kæmpe for at samle det i ugerne før revisionen – gennemfører konsekvent Cyber Essentials Plus i den lave ende af den typiske tidslinje.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Hvor meget koster Cyber Essentials Plus i 2026?
Cyber Essentials Plus er væsentligt dyrere end grundlæggende Cyber Essentials på grund af den tid, det tager for assessoren at udføre den tekniske revision. Priserne varierer afhængigt af certificeringsorganet og af ejendommens størrelse og kompleksitet, men de vejledende intervaller nedenfor afspejler typiske tilbud fra 2026 fra IASME-akkrediterede organer i Storbritannien.
| Certificering | Typisk gebyr (ekskl. moms) | Hvad er inkluderet |
|---|---|---|
| Grundlæggende cyberkundskaber | £330 - £600 | Selvevalueringsspørgeskema, vurdering af assessor, certifikat gyldigt i 12 måneder. Gebyret er trindelt efter antal ansatte. |
| Cyber Essentials Plus (lille organisation, op til ~50 enheder) | £1,500 - £2,200 | Grundlæggende cybersikkerhedsprincipper plus teknisk revision, sårbarhedsscanninger og simulerede malwaretests |
| Cyber Essentials Plus (mellemstor organisation, 50 — 250 enheder) | £2,200 - £3,500 | Som ovenfor, med en større stikprøve og typisk yderligere assessordage |
| Cyber Essentials Plus (større eller komplekse ejendomme) | £ 3,500 + | Skræddersyet tilbud — multi-site, multi-OS eller betydelig cloud-dækning øger prisen |
Disse er kun direkte certificeringsgebyrer. De reelle samlede omkostninger ved certificering inkluderer også intern indsats for at udarbejde beviser, afhjælpe eventuelle resultater før revision og anskaffe eller opgradere værktøjer (f.eks. MFA på ældre systemer eller udskiftning af software, der er udtjent). For en fuldstændig oversigt over direkte og indirekte omkostninger, se vores Prisguide til Cyber Essentials.
Hvor lang tid tager det at få Cyber Essentials Plus fra start til slut?
For en velforberedt organisation, der allerede har grundlæggende Cyber Essentials-færdigheder, tager Cyber Essentials Plus-forløbet typisk seks til otte uger. Den grundlæggende certificering skal være på plads, før Plus-auditen kan køre, og den må ikke være mere end tre måneder gammel på det tidspunkt, hvor Plus-vurderingen bookes.
| Stage | Typisk varighed | Hvad sker |
|---|---|---|
| Omfang og engagement | 1 — 2 uger | Certificeringsorganet bekræfter omfang, stikprøvestørrelse og revisionsvindue. Dokumentationspakke før revision udstedes. |
| Bevisforberedelse og afhjælpning før revision | 2 — 4 uger | Du indsamler bevismateriale, kører en intern sårbarhedsscanning og lukker eventuelle store eller kritiske fund inden den formelle revision. |
| Revisionsarbejde i felten | 2-5 dage | Assessor kører eksterne og interne scanninger, simulerede malwaretests og konfigurationsgennemgang på de samplede enheder |
| Fund og afhjælpning | 0 — 4 uger | Eventuelle fejl skal afhjælpes og testes igen inden for revisionsvinduet (typisk 30 dage) |
| Certificering udstedt | 1 uge | Når alle tests er bestået, udsteder IASME certifikatet, der er gyldigt i 12 måneder. |
Organisationer, der fejler ved det første revisionsforsøg – normalt fordi en godkendt intern scanning afslører en manglende programrettelse eller et ikke-understøttet stykke software – kan betale et ekstra gebyr for gentestning i stedet for at genstarte processen, forudsat at problemet er løst inden for tredive dage. Når certifikatet er udstedt, skal du planlægge fremad for årlig fornyelse, hvilket kræver en ny revision hvert år.
Hvem har egentlig brug for Cyber Essentials Plus?
Cyber Essentials Plus er et kontraktkrav i et stigende antal britiske indkøbsscenarier og en konkurrencemæssig differentiator i mange andre. De klareste mandater kommer fra den offentlige sektor:
- Kontrakter fra staten — Cyber Essentials er obligatorisk for enhver kontrakt, der involverer håndtering af personlige oplysninger eller levering af IKT-produkter og -tjenester. Plus er påkrævet, når kontrakten involverer følsomme eller personoplysninger i stor skala.
- Forsvarsministeriet (MOD) — I henhold til Defence Cyber Protection Partnership (DCPP) og cybersikkerhedsmodellen skal leverandører, der håndterer identificerbare oplysninger fra MOD, som minimum have Cyber Essentials Plus, mens projekter på højere niveau kræver yderligere kontroller.
- NHS og leverandører i sundhedssektoren — Data Security and Protection Toolkit anerkender eksplicit Cyber Essentials Plus, og mange NHS-trusts gør det til en indkøbsportal for leverandører, der har kontakt med patientdata
- Lokale myndigheder og offentlige organer — I stigende grad indskrevet i udbudskravene for enhver kontrakt, der involverer borgerdata eller kritiske tjenester
- Virksomhedsindkøb — Mange store private organisationer efterspørger nu Cyber Essentials Plus fra nøgleleverandører, især inden for finansielle tjenester, juridiske tjenester og relationer med managed service providers.
- Cyberforsikring — Flere britiske forsikringsselskaber tilbyder reducerede præmier eller forbedrede dækningsvilkår for organisationer, der har Cyber Essentials Plus, hvilket afspejler den lavere skadefrekvens blandt certificerede virksomheder.
Hvis din organisation allerede har grundlæggende Cyber Essentials og deltager i udbud, kan du forvente, at Plus fremstår som et krav inden for tolv til fireogtyve måneder. Det er betydeligt billigere og mindre forstyrrende at handle, før det bliver blokerende, end at skulle kæmpe med at certificere inden en deadline.
Hvorfor vælge ISMS.online til Cyber Essentials Plus?
Forberedelse til en Cyber Essentials Plus-revision er grundlæggende et evidensproblem. De tekniske kontroller er ikke komplekse – det, der sætter organisationer i en vanskelig situation, er disciplinen med at holde konfigurations-, patch- og adgangsregistre løbende klar til revision. ISMS.online hjælper dig med at opnå og vedligeholde Cyber Essentials Plus-certificering ved at omdanne den underliggende kontrolbevismateriale til et levende, delt registreringssystem.
- Forudtilknyttet Cyber Essentials-kontrolramme — Alle krav på tværs af de fem kontrolområder er indbygget i platformen, så du kan vurdere i forhold til den officielle ordning uden at skulle designe din egen tjekliste
- Centraliseret bevisbibliotek — Gem eksport af firewallregler, patchrapporter, buildstandarder, MFA-skærmbilleder og tiltrædelses-, flytte- og afgangsregistreringer mod de kontroller, de dokumenterer, så din revisionspakke samles af sig selv.
- Aktivregister og omfangsstyring — Vedligehold en enkelt fortegnelse over enheder inden for området med ejere, operativsystemer og livscyklusstatus, så assessorens stikprøve er let at definere
- Skabeloner til politikker og procedurer — Politikskabeloner til acceptabel brug, adgangskontrol, patching, BYOD og hændelsesrespons, der er tilpasset Cyber Essentials, skrevet til britiske virksomheder og klar til implementering
- Arbejdsgang for tiltrædende, flyttende og afgående — Spor nye medarbejdere, rolleændringer og afgående medarbejdere i forhold til adgangsbeslutninger, og frembring den dokumentation, som assessoren forventer, uden manuel regnearksbehandling
- Genbrug på tværs af rammer — De samme kontrolbeviser understøtter ISO 27001, SOC2 og andre rammer, så Cyber Essentials Plus bliver et springbræt til bredere certificeringer snarere end en selvstændig øvelse
- Tillid fra tusindvis af britiske organisationer — ISMS.online støtter virksomheder på tværs af den offentlige sektors forsyningskæde, professionelle tjenester, teknologi og markeder for managed service-udbydere på deres vej mod certificering.
Relaterede Cyber Essentials-guider
Fortsæt din Cyber Essentials-rejse med de andre guider i denne serie:
- Krav til cybernødvendigheder — De fem kontrolområder, beslutninger om omfang og hvad evidensvurderere kigger efter.
- Pris på cybernødvendigheder — IASME-prisniveauer, plusomkostninger, skjulte omkostninger og 3-årige totaler for britiske virksomheder.
- Er cyber essentials det værd? — En ærlig vurdering af fordele, ulemper og hvem der rent faktisk har brug for certificering.
- Selvevaluering af cyberessensielle ting — SASQ-arbejdsgangen, omfang, evidens og almindelige faldgruber.
- Hvor lang tid tager det at lære cybernødvendigheder? — Typisk britisk tidslinje, hurtige muligheder og hvad der forsinker processen.
- Fornyelse af cybernødvendigheder — 12-månederscyklussen, kontrolændringer i 2026 og hvordan man forbereder sig 60 dage i forvejen.
- Cyber-essentielle ting til små virksomheder — SMB-specifik prisfastsættelse, omfang og cost-benefit-forhold.
- Cyber Essentials vs. ISO 27001 — Omfang, omkostninger, tid og anerkendelse sammenlignet.
Ofte Stillede Spørgsmål
Har jeg brug for grundlæggende Cyber Essentials, før jeg kan få Cyber Essentials Plus?
Ja. Cyber Essentials Plus er bygget oven på den grundlæggende selvevaluering, og det grundlæggende certifikat skal være på plads, før Plus-revisionen kan køre. IASME kræver, at den grundlæggende certificering ikke er mere end tre måneder gammel, når Plus-vurderingen bookes, så de fleste organisationer gennemfører de to inden for et enkelt planlagt projekt i stedet for at behandle dem som separate arrangementer.
Hvad sker der, hvis vi ikke består en del af Cyber Essentials Plus-revisionen?
En fejl på en individuel test betyder, at certifikatet ikke kan udstedes i sin nuværende tilstand, men det betyder ikke, at man skal starte forfra. Certificeringsorganet registrerer resultatet, du afhjælper problemet (typisk en manglende programrettelse, et ikke-understøttet stykke software eller et MFA-hul), og assessoren tester den berørte kontrol igen. Så længe afhjælpning og gentest er afsluttet inden for tredive dage efter den oprindelige revision, undgår du en fuld gentest og betaler kun et mindre gebyr for gentest.
Dækker Cyber Essentials Plus cloud-tjenester?
Ja. Siden 2022 har ordningen eksplicit inkluderet cloud-tjenester, hvor du kontrollerer dataene, brugerkontiene eller konfigurationen. Infrastructure as a Service (IaaS) og Platform as a Service (PaaS) er altid omfattet. Software as a Service (SaaS) er omfattet, hvor du administrerer konti og konfigurerer sikkerhedsindstillinger, hvilket gælder for de fleste platforme for virksomhedsproduktivitet, identitet og samarbejde. Revisoren verificerer MFA-håndhævelse, administratoradskillelse og konfiguration i din lejer, ikke i udbyderens underliggende infrastruktur.
Kan fjernarbejde og hjemmearbejde være inkluderet i anvendelsesområdet?
Ja – og det skal de. Enhver enhed, der behandler virksomhedsdata eller tilgår virksomhedens cloud-tjenester, er omfattet, uanset hvor brugeren arbejder. Revisoren forventer at se den samme firewall, patching, anti-malware og adgangskontrol anvendt på hjemme- og fjernenheder som på kontorbaserede enheder, med den yderligere hensyntagen, at hjemme-internetrouteren behandles som grænseenheden.
Hvor længe er Cyber Essentials Plus gyldigt?
Certifikatet er gyldigt i tolv måneder fra udstedelsesdatoen. For at forblive certificeret løbende skal du genauditere årligt, og mange organisationer tilpasser fornyelsen til deres regnskabsår eller en større indkøbscyklus. ISMS.online vedligeholder dine kontrolbeviser løbende mellem revisioner, så fornyelsen bliver en opdatering snarere end en fuld genstart.
Skal jeg tage Cyber Essentials Plus eller gå direkte til ISO 27001?
For de fleste britiske organisationer er svaret begge dele, i rækkefølge. Cyber Essentials Plus er en fokuseret teknisk certificering, der beviser, at dine grundlæggende kontroller fungerer, og det er ofte et kontraktligt krav i sig selv. ISO 27001 er en bredere certificering af ledelsessystemer, der dækker governance, risikostyring og hele informationssikkerhedslivscyklussen. Plus er hurtigere og billigere at opnå og giver dig det meste af den tekniske kontrolbevis, som ISO 27001 senere vil forvente, så det er et fornuftigt første skridt på vejen mod en bredere certificering.
