Hvad er fornyelse af Cyber Essentials, og hvorfor er det vigtigt?
Fornyelsen af Cyber Essentials er den årlige recertificeringscyklus, som alle certificerede britiske organisationer skal gennemføre for at bevare deres Cyber Essentials Tillidsmærket er gyldigt. Et certifikat udstedes i præcis 12 måneder fra den dato, din vurdering er verificeret, og i det øjeblik, dette 12-måneders vindue udløber, udløber certifikatet – der er ingen henstandsperiode, der giver dig mulighed for fortsat at vise mærket eller gøre krav på certificeret status til kunder, offentlige købere eller forsikringsselskaber.
Denne udløbsdato er bevidst. Trusselsbilledet ændrer sig konstant, softwareleverandører lancerer nye sårbarheder hver måned, og IASME-konsortiet (som administrerer ordningen på vegne af NCSC) opdaterer de tekniske krav cirka en gang om året. Et 12-måneders certifikat garanterer, at alle, der viser mærket, er blevet vurderet i forhold til en nyere version af standarden, ikke et øjebliksbillede fra tre år siden. For købere, der anskaffer tjenester, der berører personoplysninger eller offentlige forsyningskæder, er denne aktualitet hele pointen med ordningen.
For de fleste britiske virksomheder er fornyelse også et kontraktligt og kommercielt krav. Hvis du leverer til den centrale regering, har kontrakter med MOD, arbejder med NHS eller er en del af en reguleret forsyningskæde, vil dine kunder tjekke IASME-certifikatregisteret for at bekræfte, at dit certifikat er gyldigt. Et udløbet certifikat betyder ofte en øjeblikkelig pause i nyt arbejde, en markering i din leverandørregistrering og i nogle tilfælde en kontraktbrudsklausul. At behandle fornyelse som rutinemæssigt papirarbejde er risikabelt – det bør planlægges, ejes og ressources som det oprindelige certificeringsprojekt.
Denne side dækker det fulde billede af fornyelsen for 2026: 12-måneders gyldighedsreglen, hvad der ændrer sig år for år, hvordan processen sammenlignes med en helt ny ansøgning, omkostninger på tværs af alle fem størrelsesintervaller, de IASME-kontrolopdateringer for 2026, du skal være klar til, hvor længe henstandsvinduet for udløbne certifikater faktisk er, og hvordan du beslutter, om du skal opgradere til ... Cyber Essentials Plus ved fornyelsestidspunktet.
Hvordan fungerer den 12-måneders fornyelsescyklus egentlig?
Cyber Essentials-certifikater er gyldige i præcis 12 måneder fra den dato, hvor assessoren bekræfter en beståelse. Udløbsdatoen er trykt på dit certifikat, angivet i IASME-registeret og sendt via e-mail til din registrerede kontaktperson op til fristen. Fra dag ét i år to har dit tidligere certifikat ingen status.
Fornyelsesprocessen er, i lovgivningen, identisk med en ny ansøgning. Du udfylder det samme Cyber Essentials Self-Assessment Questionnaire (SASQ), indsender det til det samme certificeringsorgan, betaler det samme gebyr baseret på din organisations størrelse, og dine svar gennemgås af den samme pulje af assessorer. Betegnelsen "fornyelse" er en bekvemmelighed ved fakturering og planlægning, ikke en lettere proces. Der er intet forkortet spørgeskema, ingen mulighed for "samme svar som sidste år" og intet reduceret gebyr for tilbagevendende organisationer.
Det, der ændrer sig mellem år et og år to, er det, du skal svare på. Dit omfang kan være vokset, du har implementeret nye enheder og software, cloudtjenester kan være flyttet, og selve spørgeskemaet er blevet opdateret. IASME udgiver en ny version af kravene cirka hvert år i april. Hvis din fornyelse falder efter denne opdatering, svarer du i henhold til den nye version – selvom du certificerede til den gamle version 11 måneder tidligere. Derfor er en ren kopi af sidste års svar nyttigt som udgangspunkt, men aldrig tilstrækkeligt som den endelige indsendelse.
De fleste certificeringsorganer lader dig starte din fornyelsesindsendelse op til 90 dage før udløb. Tidspunktet på dit nye 12-måneders certifikat starter fra datoen for det nye pas, så tidlig indsendelse forkorter ikke din dækning for andet år; det flytter blot din udløbsdato frem med det antal dage tidligere, du certificerer.
Start din gratis prøveperiode
Vil du udforske?
Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde
Hvilke ændringer i kravene til cyberessensielle færdigheder i 2026?
IASME opdaterede de tekniske kontroller, der ligger til grund for Cyber Essentials, i april 2026. De fem kontroltemaer - firewalls, sikker konfiguration, administration af sikkerhedsopdateringer, brugeradgangskontrol og malwarebeskyttelse - forbliver den strukturelle rygrad i ordningen. Hvilke ændringer er specifikke for hvert tema: hvordan MFA skal implementeres, hvilke enhedstyper er omfattet, hvordan cloudtjenester og hjemmearbejde behandles, og de definitioner af softwaresupport, der udløser en konstatering af ikke-understøttet software.
Tabellen nedenfor opsummerer, hvad der er nyt i 2026, versus hvad der er uændret fra spørgsmålssættet fra 2025. Brug den som en hurtig kontrol af mangler, før du starter din fornyelsesindsendelse.
| Kontrolområde | Nyheder i 2026 | Overført fra 2025 |
|---|---|---|
| Firewalls og afgrænsninger | Skærpet formulering af softwarefirewalls til enheder, der bruges uden for virksomhedens netværk; eksplicit krav om at dokumentere eventuelle indgående regler med en forretningsmæssig begrundelse. | Standardafvisning af indgående trafik, ændring af standardadgangskoder for leverandører, dedikeret beskyttelse af administrativ grænseflade. |
| Sikker konfiguration | Klarere forventninger til deaktivering af automatisk kørsel/automatisk afspilning på tværs af alle enheder inden for området, plus forbedret vejledning om adskillelse af gæste- og Wi-Fi-netværk for hjemmearbejdere. | Fjernelse af unødvendig software og konti, enhedslåsning efter 10 minutters inaktivitet, brute-force-beskyttelse på brugerkonti. |
| Styring af sikkerhedsopdateringer | Opdateret definition af "understøttet" software, der eksplicit registrerer udløbsdatoer for leverandørers udvidede support og behandler licenslåste ældre versioner som ikke-understøttede. | 14-dages programrettelsesvindue for høje/kritiske CVE'er, automatiske opdateringer hvor tilgængelige, fjernelse af ikke-understøttet software fra omfang eller netværk. |
| Brugeradgangskontrol | MFA-udvidelse: Alle cloudtjenester (ikke kun administrative), der anvendes af organisationen, kræver nu MFA for alle brugere, og administratorer anbefales til at beskytte mod phishing. Strengere regler for delte konti og servicekonti. | Unikke brugerkonti, formel godkendelsesproces for brugerkonti, adskillelse af standard- og administratorkonti, MFA om cloud-administratoradgang. |
| Beskyttelse af malware | Skærpet formulering af de tre accepterede tilgange (anti-malware-software, tilladelsesliste for applikationer, sandboxing) og eksplicit krav om, at mobile platforme skal være dækket. | Scanning i realtid, signatur-/heuristiske opdateringer, webfiltrering eller tilsvarende for enheder inden for området. |
| Omfang af cloud-tjenester | Forfinet definition af cloudtjenester inden for rammerne: alle SaaS-, PaaS- eller IaaS-tjenester, som din organisation er afhængig af til forretningsdrift, skal være dækket, med klarere ansvarlighed for delt ansvar. | Produktivitetspakker, fillagring og samarbejdsplatforme i Office 365/Google Workspace-stil er omfattet. |
| BYOD og hjemmearbejde | Skærpede forventninger til personlige enheder, der tilgår virksomhedsdata — de samme fem kontroller skal påviseligt anvendes med praktisk vejledning om MDM og betinget adgang. | Hjemmearbejde er som standard inkluderet, hjemmeroutere er ikke omfattet af anvendelsesområdet, og medarbejderejede enheder er omfattet af anvendelsesområdet, når de bruges til arbejde. |
| Spørgeskemastruktur | Omformulerede spørgsmål for at sikre klarhed, fjerne dubletter og forbedre forgreningslogik, så respondenterne kun ser relevante spørgsmål for deres miljø. | Fem kontroltemaer, organisatoriske og tekniske afsnit, godkendelse af en underskriver på bestyrelsesniveau. |
Hvis du blev certificeret i 2025, har kontrollerne i sig selv ikke fundamentalt ændret sig, men formuleringen er blevet strammet, og forventningerne til MFA er vokset. Den mest almindelige hindring ved fornyelsen i 2026 er det bredere MFA-krav om standardbrugerkonti (ikke kun administratorer) til cloudtjenester. Hvis din nuværende udrulning kun dækker administratorer, skal du planlægge dette arbejde i dit 60-dages forberedelsesvindue inden indsendelse - udrulning af MFA til hele organisationen tager normalt længere tid, end den tekniske konfiguration antyder.
Hvor meget koster det at forny Cyber Essentials i 2026?
Fornyelsesomkostningerne er identiske med en ny ansøgning. IASME fastsætter priserne centralt, så du betaler det samme gebyr uanset hvilket certificeringsorgan du vælger. Priserne er opdelt efter organisationsstørrelse, defineret af det samlede antal medarbejdere på tværs af organisationen (ikke kun det certificerede omfang), og alle gebyrer er angivet ekskl. moms.
| Størrelsesbånd | Medarbejdere | Fornyelsesgebyr for Cyber Essentials |
|---|---|---|
| Micro | 0-9 | £ 330 + Moms |
| Small | 10-49 | £ 400 + Moms |
| Medium | 50-249 | £ 450 + Moms |
| Large | 250 + | £ 500 + Moms |
Hvis du opgraderer til Cyber Essentials Plus ved fornyelse, betaler du standardgebyret for Cyber Essentials ovenfor plus et separat vurderingsgebyr for Cyber Essentials Plus, som opkræves direkte af dit certificeringsorgan og afhænger af antallet af enheder og cloud-tjenester i dækningsområdet. For en fuldstændig oversigt over omkostningsbilledet på tværs af begge certifikater og inklusive de bredere leverandørbesparelser, se vores Prisguide til Cyber Essentials.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvornår skal man begynde at forberede sig på fornyelse?
Det ærlige svar er "tidligere end du tror". Den største årsag til mislykkede eller forhastede fornyelser er, at arbejdet udsættes til de sidste to uger. En praktisk og stressfri tilgang er at starte fornyelsesprojektet 60 dage før udløbsdatoen. Det giver dig nok tid til at håndtere ændringer i omfang, MFA-udrulninger og rettelser til softwaresupport uden at glide ind i det udløbne vindue.
60 dage før udløb
Hent en kopi af sidste års indsendte SASQ, det nuværende IASME-spørgsmålssæt og dine aktiv- og softwareopgørelser. Kør en hurtig gap-analyse i forhold til de opdaterede kontroller. Identificér eventuelle nye placeringer, cloudtjenester eller enhedsklasser, der er kommet ind i omfanget siden din sidste certificering.
30–45 dage før udløb
Luk eventuelle tekniske huller: Udrul MFA til standardbrugere, fjern eller opgrader ikke-understøttet software, stram firewallkonfigurationer, gennemgå og opdater jeres acceptable brugs- og tilmeldings-/flytte-/afmeldingsprocesser. Kør en intern test af selvevalueringsspørgeskema med de personer, der vil underskrive det.
14–21 dage før udløb
Indsend SASQ'en til dit certificeringsorgan. De fleste vurderinger returneres inden for fem arbejdsdage, hvilket giver dig en buffer til afklaringsspørgsmål eller en anmodning om at rette og indsende igen (hvilket tæller som en enkelt vurdering, ikke en ny, forudsat at du svarer inden for samme indsendelsesvindue).
Indleveringsdagen og fremefter
Når du består, udstedes dit nye certifikat samme dag, og IASME-registeret opdateres. Opdater din hjemmeside, leverandørportaler, udbudsdokumenter og eventuelle kontraktlige optegnelser, der refererer til certifikatnummeret eller udløbsdatoen.
Hvad sker der, hvis dit certifikat udløber?
Hvis dit certifikat udløber, før du indsender en fornyelse, behandler IASME din indsendelse som en ny ansøgning snarere end en fornyelse – med én vigtig undtagelse. I henhold til de nuværende IASME-regler kan du stadig beskrive det nye certifikat som en løbende recertificering til markedsførings- og leverandørformål, hvis du indsender og består inden for 14 dage efter din tidligere udløbsdato. Ud over dette 14-dages vindue er din historiske certificeringsstatus brudt, du skal deklarere det som en ny ansøgning, og dine kunder kan opleve et hul i certifikatregisteret.
Omkostningerne er de samme under alle omstændigheder – bortfald udløser ikke et gebyr – men de omdømmemæssige og kontraktmæssige konsekvenser kan være betydelige. Offentlige leverandørers rammer og forsikringsprodukter, der kræver løbende certificering, vil behandle ethvert hul, selv en enkelt dag, som manglende overholdelse. Hvis du leverer til den centrale regering via Crown Commercial Service, kan du forvente at blive anfægtet for ethvert hul, der er længere end det administrative vindue på 14 dage.
Hvis du er i risiko for at bortfalde af årsager uden for din kontrol (fravær af nøglemedarbejdere, ændring af omfang midt i projektet, et mislykket første forsøg), skal du underrette dit certificeringsorgan så tidligt som muligt. De kan ikke forlænge dit eksisterende certifikat – kun IASME kunne, og ordningens regler tillader det ikke – men de kan normalt prioritere din indsendelse og hjælpe dig med at minimere hullet.
Skal du opgradere til Cyber Essentials Plus ved fornyelse?
Fornyelse er det naturlige tidspunkt at overveje at opgradere til Cyber Essentials Plus. Standard Cyber Essentials-certifikatet er selvevalueret og verificeret ved skrivebordsgennemgang. Cyber Essentials Plus tilføjer en uafhængig, praktisk teknisk revision foretaget af dit certificeringsorgan, der dækker sårbarhedsscanninger, enhedsprøvetagning og verifikation af, at de kontroller, du hævder, faktisk er konfigureret som beskrevet.
Tre signaler tyder på, at det er det rette tidspunkt at bevæge sig opad:
- Kundepres — et udbud eller en leverandørgennemgang har specifikt anmodet om Cyber Essentials Plus, ikke kun Cyber Essentials.
- Forsikringsgearing — din cyberforsikringsmægler angiver en betydelig præmiereduktion eller dækningsforhøjelse for Plus-certificerede organisationer.
- Modenhedssignal — Du har et års driftsdata, der viser, at kontrollerne fungerer i praksis, og du ønsker at dokumentere det eksternt.
Plus-vurderingen bruger det samme selvevalueringsspørgeskema som basisniveauet, så forberedelserne er stort set det samme. Den ekstra indsats er at afholde den tekniske revision (typisk en halv dag til en hel dag for en lille organisation) og sikre, at de udtaget enheder er tilgængelige og konfigureret korrekt på dagen. Se vores Kravside for Cyber Essentials Plus for en kontrol-for-kontrol opdeling af revisionen, og vores kravvejledning for de underliggende kontroldetaljer, der gælder for begge certifikater. For det fulde linje-for-linje-beredskabsarbejde, som begge ruter deler, se vores Tjekliste til cybernødvendigheder.
Hvorfor vælge ISMS.online til fornyelse af cyberessensielle færdigheder?
- Forudtilpasset til spørgsmålssættet fra 2026 — ISMS.online sporer det aktuelle IASME-spørgsmålssæt, så du vurderer det i forhold til de seneste krav uden at skulle genopbygge din egen tjekliste hvert år.
- Én platform til fornyelsesdokumentation — indsamle, lagre og forbinde bevismateriale (firewallkonfigurationer, MFA-skærmbilleder, patching-poster, aktivregistre) direkte til det spørgsmål, det besvarer, så intet går tabt mellem år et og år to.
- Indbygget gapanalyse — sammenlign din nuværende tilstand med de live IASME-kontroller og afdæk de huller med højest prioritet, der skal lukkes inden indsendelse.
- Ejerledet handlingssporing — omdanne hvert hul til en opgave med en navngiven ejer, forfaldsdato og status, så forberedelsesvinduet på 60 dage forbliver på sporet.
- Overførsel fra år et — genbrug sidste års beviser og svar som udgangspunkt, og opdater derefter kun det, der er ændret, hvilket reducerer forberedelsestiden betydeligt.
- Ét sted til flere rammer — hvis du også holder ISO 27001 eller arbejder hen imod SOC2 or NIS 2, ISMS.online kortlægger overlappende kontroller, så den samme dokumentation understøtter flere certificeringer.
- Tillid fra tusindvis af britiske organisationer — ISMS.online understøtter compliance-teams i hele Storbritannien i at håndtere tilbagevendende certificeringer uden overdådige regnearksopgaver.
Relaterede Cyber Essentials-guider
Fortsæt din Cyber Essentials-rejse med de andre guider i denne serie:
- Krav til cybernødvendigheder — De fem kontrolområder, beslutninger om omfang og hvad evidensvurderere kigger efter.
- Pris på cybernødvendigheder — IASME-prisniveauer, plusomkostninger, skjulte omkostninger og 3-årige totaler for britiske virksomheder.
- Er cyber essentials det værd? — En ærlig vurdering af fordele, ulemper og hvem der rent faktisk har brug for certificering.
- Krav til Cyber Essentials Plus — Den tekniske revision, sårbarhedsscanninger og hvad Plus leverer ud over den grundlæggende certificering.
- Selvevaluering af cyberessensielle ting — SASQ-arbejdsgangen, omfang, evidens og almindelige faldgruber.
- Hvor lang tid tager det at lære cybernødvendigheder? — Typisk britisk tidslinje, hurtige muligheder og hvad der forsinker processen.
- Cyber-essentielle ting til små virksomheder — SMB-specifik prisfastsættelse, omfang og cost-benefit-forhold.
- Cyber Essentials vs. ISO 27001 — Omfang, omkostninger, tid og anerkendelse sammenlignet.
Ofte Stillede Spørgsmål
Hvor længe er et Cyber Essentials-certifikat gyldigt?
Et Cyber Essentials-certifikat er gyldigt i præcis 12 måneder fra den dato, hvor assessoren bekræfter bestået. Derefter udløber certifikatet, og du kan ikke længere gøre krav på certificeret status eller vise tillidsmærket, før du har gennemført en vellykket fornyelse.
Hvor meget koster det at forny Cyber Essentials?
Fornyelsesgebyrerne er identiske med en ny ansøgning og fastsættes centralt af IASME. Priserne afhænger af antallet af medarbejdere: £330 + moms (mikro, 0-9), £400 + moms (lille, 10-49), £450 + moms (mellem, 50-249) og £500 + moms (stor, 250+). Opgradering til Cyber Essentials Plus involverer et ekstra vurderingsgebyr, der opkræves af dit certificeringsorgan.
Hvad er forskellen mellem fornyelse af Cyber Essentials og en ny ansøgning?
Proceduremæssigt er der ingen forskel. Fornyelse bruger det samme selvevalueringsspørgeskema, det samme certificeringsorgan, den samme assessorpulje og den samme gebyrplan som en ny ansøgning. Mærket er en bekvemmelighed ved planlægning, ikke en lettere proces. Du besvarer det aktuelle IASME-spørgsmålssæt fuldt ud, uanset om du blev certificeret sidste år.
Hvad sker der, hvis mit Cyber Essentials-certifikat udløber?
Hvis du indsender og består inden for 14 dage efter din tidligere udløbsdato, giver IASME dig mulighed for at beskrive det nye certifikat som en løbende recertificering. Ud over dette vindue er din historiske certificeringsstatus brudt, og indsendelsen behandles som en helt ny ansøgning. Gebyret er det samme under alle omstændigheder, men kunder, der tjekker IASME-registeret, vil se et synligt hul.
Hvornår skal jeg begynde at forberede mig på fornyelse?
Start fornyelsesprojektet 60 dage før udløbsdatoen. Brug de første 30 dage til at vurdere i forhold til det nuværende IASME-spørgsmålssæt og identificere huller, de næste 15-30 dage til at lukke tekniske huller (MFA, patching, firewallkonfiguration) og de sidste 14-21 dage til at indsende, give plads til spørgsmål fra bedømmeren og bestå. At udsætte arbejdet til de sidste fjorten dage er den største enkeltårsag til mislykkede eller udløbne fornyelser.
Kan jeg opgradere til Cyber Essentials Plus ved fornyelse?
Ja, og fornyelse er et naturligt tidspunkt at opgradere. Cyber Essentials Plus bruger den samme SASQ som basisniveauet, men tilføjer en uafhængig teknisk revision foretaget af dit certificeringsorgan. Revisionen verificerer, at de kontroller, du hævder, faktisk er konfigureret som beskrevet, og tager typisk en halv dag til en hel dag på stedet eller eksternt. Beregn yderligere tid og budget til Plus-vurderingsgebyret oven i dit standard fornyelsesgebyr.
