Hvad kræver Cyber Essentials egentlig?
Cyber Essentials er en britisk regeringsstøttet ordning, der administreres af IASME på vegne af National Cyber Security Centre (NCSC). Den definerer fem tekniske kontrolområder, der, når de implementeres korrekt, er designet til at stoppe omkring 80 % af de mest almindelige internetbaserede cyberangreb. Cyber Essentials-hub forklarer ordningen på et overordnet niveau; denne side går i dybden med, hvad ordningen rent faktisk kræver af dit miljø.
Kravene er bevidst praktiske. I stedet for at bede dig om at skrive politikker, tester ordningen, om dine firewalls, enheder, konti, malware-forsvar og softwareopdateringer er konfigureret til en forsvarlig basislinje. I hver certificeringscyklus... ISMS.online Kunder og andre ansøgere udfylder et selvevalueringsspørgeskema (SAQ), der bekræfter, at kontrollerne er på plads på tværs af hele omfanget. For Cyber Essentials Plus verificerer en uafhængig assessor de samme kontroller gennem praktisk teknisk testning – se vores Krav til Cyber Essentials Plus vejledning til testdetaljer. For den praktiske linje-for-linje-beredskabsvejledning til disse krav, se vores Tjekliste til cybernødvendigheder.
De fem kontrolområder er firewalls og routere, sikker konfiguration, brugeradgangskontrol, malwarebeskyttelse og administration af sikkerhedsopdateringer. Det nuværende spørgsmålssæt, der opdateres årligt med 2026-opdateringen, og som indfører stærkere forventninger til cloud- og multifaktorgodkendelse, anvender de samme fem kontroller på bærbare computere, stationære computere, servere, mobile enheder, netværksudstyr og cloud-tjenester, der er omfattet.
Hvad er kravene til firewalls og routere?
Firewalls sidder på grænsen mellem dit betroede interne netværk og det ikke-betroede internet. Kontrolområdet kræver, at alle enheder, der opretter forbindelse til internettet, plus selve netværksgrænsen, er beskyttet af en korrekt konfigureret firewall (eller tilsvarende netværksenhed).
Helt konkret forventer ordningen, at du:
- Skift standardadministratoradgangskoden på alle internetvendte firewalls eller routere til et stærkt, unikt alternativ
- Bloker som standard ikke-godkendte indgående forbindelser
- Dokumentér og godkend alle indgående firewallregler, der tillader tjenester at komme igennem, med en dokumenteret business case
- Fjern eller deaktiver indgående regler, der ikke længere er nødvendige
- Brug en softwarefirewall på enheder, der bruges uden for virksomhedens netværk (bærbare computere derhjemme, på hotellets Wi-Fi eller på en café)
- Deaktiver fjernadgang fra internettet til firewallen, medmindre det er beskyttet af MFA eller en IP-tilladelsesliste og et dokumenteret forretningsbehov.
De mest almindelige huller, som vurderere markerer her, er hjemmearbejdere, hvis internetudbyderleverede router stadig har standardadministratoradgangskoden trykt på bagsiden, og SaaS-tunge organisationer, der antager, at de ikke har nogen firewalls, når alle medarbejderes bærbare computere faktisk skal have den værtsbaserede firewall aktiveret.
Den dokumentation, som assessoren vil bede om, omfatter typisk et skærmbillede eller en attestation, der viser firewallversionen og ændringen af administratoradgangskoden, en liste over indgående regler med deres forretningsmæssige begrundelse og en bekræftelse af, at værtsbaserede firewalls er aktiveret på tværs af enhedsområdet.
Hvad betyder sikker konfiguration i praksis?
Sikker konfiguration handler om at fjerne de sikkerhedssvagheder, der er indbygget i enheder og software fra starten: standardkonti, eksempeladgangskoder, unødvendige tjenester, demoindhold og overdrevent permissive delingsindstillinger. Alle enheder, servere og cloudtjenester skal konfigureres for at minimere eksponering, før de tages i brug.
For at opfylde dette kontrolområde skal du:
- Fjern eller deaktiver brugerkonti og software, du ikke har brug for (herunder forudinstalleret bloatware, ubrugte brugerkonti og standardadministratorkonti, hvor det er muligt)
- Skift alle standard- eller gættelige adgangskoder på enheder, konti og tjenester
- Deaktiver automatiske funktioner, der automatisk udfører kode fra flytbare medier
- Kræv, at brugerne godkender, før de får adgang til organisationsdata eller -tjenester
- Anvend multifaktorgodkendelse (MFA) på alle administratorkonti på cloudtjenester og på alle standardbrugere, hvor cloudtjenesten understøtter det.
- Brug en adgangskode på mindst 12 tegn (eller 8 plus MFA, eller 8 med begrænsning/spærring)
Spørgsmålssættet for 2026 har skærpet forventningerne til MFA, især for cloudtjenester. Hvis din organisation bruger Microsoft 365, Google Workspace, AWS, Azure eller en anden cloudplatform, er MFA på alle administrative konti nu ikke-forhandlingsbart, og bedømmere vil forvente at se bevis.
Almindelige huller omfatter ældre domæneadministratorkonti uden MFA, delte servicekonti med statiske adgangskoder gemt i regneark og Wi-Fi-gæstenetværk, der er brokoblet til virksomhedens LAN. Kør via din Selvevaluering af Cyber Essentials med sikker konfiguration i tankerne tidligt i dit projekt – det er kontrolområdet, hvor de fleste organisationer finder uventet arbejde.
Hvordan fungerer brugeradgangskontrol under Cyber Essentials?
Dette kontrolområde begrænser, hvem der kan gøre hvad på dine systemer. Cyber Essentials ønsker at sikre, at brugerkonti kun oprettes med godkendelse, at administratorrettigheder er begrænsede, og at konti fjernes, når folk forlader systemet.
De specifikke krav er:
- Hav en dokumenteret proces til oprettelse og godkendelse af brugerkonti
- Godkend brugere med stærke, unikke legitimationsoplysninger, før du giver adgang
- Fjern eller deaktiver brugerkonti, når de ikke længere er nødvendige (proces for tiltrædelse, flytning, afgang)
- Implementer multifaktorgodkendelse på cloudtjenester for alle brugere, hvor platformen understøtter det, og ubetinget for alle administratorkonti
- Adskil administratorkonti fra daglige brugerkonti — administratorer må ikke surfe på nettet eller læse e-mails ved hjælp af deres privilegerede konto.
- Gennemgå mindst én gang årligt, hvilke brugere der har administratorrettigheder, og fjern dem, der ikke længere er berettigede.
Evidensvurderere anmoder typisk om: din tiltrædelses-/flytte-/afgangsprocedure, en liste over administrative brugere med business casen for hver, skærmbilleder af MFA-konfigurationen fra dine primære cloudplatforme og en prøve på for nylig deaktiverede afgangskonti.
Det klassiske hul er den mangeårige medarbejder, hvis rolle er skiftet tre gange, og som stadig har administratorrettigheder arvet fra et tidligere job. Den anden store mangel er delte logins til finans, marketing eller sociale medieværktøjer – ordningen forbyder ikke alle delte konti, men forventer, at de er nøje begrundede, MFA-beskyttede og sporbare.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Hvordan fungerer kravene til malwarebeskyttelse?
Malwarebeskyttelse kræver, at alle enheder i systemet beskyttes mod skadelig kode ved hjælp af mindst én af tre godkendte metoder: anti-malware-software, liste over tilladelser til applikationer eller sandboxing. De fleste organisationer opfylder kravet ved hjælp af den indbyggede anti-malware i deres operativsystemer (Microsoft Defender på Windows, XProtect på macOS) suppleret med et EDR-produkt på enheder med højere risiko.
For at bestå skal du:
- Brug en af de tre godkendte mekanismer på alle enheder inden for området (anti-malware, liste over tilladelser til applikationer eller sandboxing)
- Hold anti-malware-software opdateret, ideelt set automatisk, så signaturer og søgemaskiner er aktuelle
- Konfigurer anti-malware til at scanne filer ved adgang og til at scanne websider
- Bloker forbindelser til kendte ondsindede websteder, hvor anti-malware-produktet tilbyder den pågældende funktion.
- Hvis du bruger en liste over godkendte programmer, skal du vedligeholde en liste over godkendte programmer og forhindre andre i at køre
- Hvis du bruger sandboxing, skal du sørge for, at hver applikation kører i en sandbox og ikke kan tilgå data fra andre sandbox-apps uden udtrykkelig tilladelse.
Mobile enheder (telefoner, tablets) er eksplicit omfattet. Både iOS og Android bruger sandboxing som den underliggende tilgang, hvilket er acceptabelt, men du må kun installere apps fra de officielle butikker (Apple App Store, Google Play eller en administreret virksomhedsbutik).
Det mest almindelige hul er ikke-administrerede BYOD-enheder: en medarbejders personlige Mac, der bruges til arbejdsmail, uden tilmelding, uden centralt håndhævet anti-malwarepolitik og uden synlighed for IT. Enten skal enheden inddrages i MDM, eller også skal arbejdet flyttes til en administreret enhed.
Hvad kræver administration af sikkerhedsopdateringer?
Dette kontrolområde kræver, at al software inden for rammerne understøttes, licenseres og opdateres. Ordningen er streng med hensyn til, hvad der tæller som "understøttet": det skal være en version, som leverandøren stadig udgiver sikkerhedsopdateringer til. Operativsystemer, browsere, plugins, firmware og applikationer, der er udtjent, er ikke acceptable, og deres tilstedeværelse vil ikke bestå i en vurdering.
De specifikke krav er:
- Alle operativsystemer og applikationer på enheder inden for området skal være licenseret og understøttet af leverandøren.
- Fjern eller erstat software, som leverandøren ikke længere understøtter, med sikkerhedsopdateringer
- Aktivér automatiske opdateringer, hvor leverandøren tilbyder dem
- Installer "høje" eller "kritiske" sikkerhedsopdateringer inden for 14 dage efter udgivelsen (14-dagesreglen)
- Dette gælder for operativsystemer, applikationer, firmware på routere og firewalls samt plugins eller udvidelser.
14-dages patchvinduet er den mest almindelige årsag til, at organisationer ikke består Cyber Essentials Plus-testen. Assessorer scanner dine enheder og markerer alt, der mangler en patch med høj alvorlighed, ud over vinduet. Servere, der kun får patches i løbet af et månedligt vedligeholdelsesvindue, overholder ofte ikke deadline.
Software omfattet betyder alt, der bruges til at få adgang til organisationsdata eller -tjenester. Det omfatter operativsystemer, produktivitetspakker, browsere, browserudvidelser, PDF-læsere, videokonferenceværktøjer, adgangskodeadministratorer og alle forretningsrelaterede apps. Firmware på routere, firewalls og adgangspunkter er også omfattet.
Oversigtstabel: et overblik over de 5 kontroller
Tabellen nedenfor opsummerer de fem kontrolområder for Cyber Essentials, hvad hvert enkelt kræver, og de mangler, som assessorer oftest finder.
| Kontrolområde | Nøglekrav | Almindelige huller |
|---|---|---|
| 1. Firewalls og routere | Skift standard administratoradgangskoder; bloker uautoriseret indgående trafik; dokumenter indgående regler; aktiver værtsbaserede firewalls på roamingenheder; beskyt fjernadgang for administratorer med MFA eller IP-tilladelsesliste. | Standardadgangskoder på internetudbyderleverede routere, der bruges af hjemmearbejdere; deaktiverede værtsfirewalls på bærbare computere; udokumenterede eller forældede indgående regler. |
| 2. Sikker konfiguration | Fjern ubrugte konti og software; skift standardadgangskoder; deaktiver automatisk kørsel; anvend MFA på cloudtjenester og alle administratorkonti; minimum adgangskodelængde på 12 tegn. | Ældre administratorkonti uden MFA; standardlegitimationsoplysninger på netværksenheder; bloatware og ubrugte tjenester på standardbuilds. |
| 3. Brugeradgangskontrol | Godkendt kontooprettelsesproces; fjern brugere, der forlader kontoen, omgående; adskil administrator- og standardkonti; MFA for alle cloud-brugere, hvor det understøttes; årlig gennemgang af administratorrettigheder. | Administratorrettigheder akkumuleret over tid; administratorer, der surfer på nettet med privilegerede konti; delte logins uden begrundelse. |
| 4. Malware-beskyttelse | Brug anti-malware, tilladelseslister for applikationer eller sandboxing på alle enheder; hold definitioner opdaterede; begræns mobilapps til officielle butikker; scan filer ved adgang. | Ikke-administrerede BYOD-enheder; anti-malware forældet eller deaktiveret på servere; tillad implementering af liste uden en godkendt app-liste. |
| 5. Administration af sikkerhedsopdateringer | Kør kun understøttet, licenseret software; fjern udtjente operativsystemer, apps og firmware; installer kritiske programrettelser inden for 14 dage; aktiver automatiske opdateringer, hvor det er muligt. | Mistet 14-dages programrettelsesvindue på servere; ældre Windows- eller ikke-understøttede browsere er stadig i brug; forældet routerfirmware. |
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvordan passer cloud-tjenester ind i kravene?
Cloud behandles nu som en forlængelse af dit miljø snarere end en undtagelse. Hvis din organisation bruger en cloudtjeneste til at behandle eller lagre organisationsdata, er den pågældende tjeneste omfattet, og du er ansvarlig for at konfigurere den, så den overholder kontrollerne. Ordningen skelner mellem tre cloudtjenestemodeller med lidt forskellige delte ansvarsområder for hver:
- Software som en service (SaaS) — f.eks. Microsoft 365, Google Workspace, Salesforce, Xero. Du er ansvarlig for brugeradgangskontrol, sikker konfiguration af konti og lejerindstillinger samt MFA. Udbyderen håndterer malwarebeskyttelse på den underliggende platform, men du er stadig ansvarlig for enhver klientsidekonfiguration.
- Platform som en service (PaaS) — f.eks. AWS App Runner, Azure App Service, Heroku. Du er desuden ansvarlig for administration af sikkerhedsopdateringer for det applikationslag, du implementerer, plus de samme opgaver inden for sikker konfiguration og adgangskontrol som SaaS.
- Infrastructure as a Service (IaaS) — f.eks. AWS EC2, Azure VM'er, Google Compute Engine. Du er ansvarlig for operativsystemet, al software, der kører på det, firewalls (sikkerhedsgrupper), patching, malware og adgangskontrol. I praksis behandles en IaaS-server næsten identisk med en on-premise server.
Den vigtigste konklusion: Du kan ikke påstå, at en cloudtjeneste er uden for rammerne af udbyderens dækningsområde, blot fordi udbyderen administrerer infrastrukturen. Dataene i den, og de konti, der tilgår dem, er altid dit ansvar at sikre.
Hvordan gælder BYOD og hjemmearbejde?
Medbring din egen enhed (BYOD) er et hyppigt problem. Reglen er enkel: Enhver enhed, der bruges til at få adgang til din organisations data eller tjenester, er omfattet, uanset hvem der ejer den. Det inkluderer personlige telefoner, der bruges til arbejds-e-mail, bærbare computere fra entreprenører og en hjemme-pc, der bruges til at få adgang til cloud-apps.
Der er begrænsede undtagelser: enheder, der kun har adgang til tale- eller tekstbeskeder (ingen e-mail, ingen apps, ingen dokumenter), og enheder, der udelukkende bruges til tofaktorgodkendelse, er uden for anvendelsesområdet. I alle andre tilfælde skal enheden opfylde alle relevante kontroller: et understøttet operativsystem, aktuelle programrettelser, anti-malware (eller tilsvarende), en adgangskode og muligheden for at blive låst eller slettet eksternt.
Hjemmearbejdere er som standard omfattet. Standardforventningen er, at virksomhedens bærbare computer har sin egen værtsbaserede firewall aktiveret (ikke afhængig af hjemmerouteren), og at alt følsomt cloud-administrationsarbejde er beskyttet af MFA. Hjemmeroutere er ikke i sig selv omfattet, medmindre organisationen har leveret eller konfigureret dem, men virksomhedens enhed opfører sig, som om den altid er på et fjendtligt netværk.
Hvordan afgør man, hvad der er inden for og uden for rammerne?
Omfang er den allervigtigste tidlige beslutning i et Cyber Essentials-projekt. Hvis du tager fejl, certificerer du enten en for snæver del af virksomheden (og certifikatet har begrænset troværdighed), eller du påtager dig for meget (og vurderingen bliver sværere end den behøver at være).
Ordningen tillader to hovedtilgange:
- Hele organisationens omfang — Alle brugere, enheder, netværk og cloud-tjenester på tværs af organisationen er omfattet. Dette er den anbefalede tilgang og giver det stærkeste certifikat. Kunder, forsikringsselskaber og offentlige kontrakter har en tendens til at antage, at det er dette, du har.
- Delmængdeomfang — En navngiven afdeling, forretningsenhed eller miljø er inden for omfanget, med alt andet udelukket. For at bruge et undersæt til omfanget skal du håndhæve en klar teknisk grænse — typisk et separat administreret netværk, en separat brugermappe og en separat cloud-lejer — så miljøet inden for omfanget ikke forurenes af miljøet uden for omfanget.
Uanset hvor du trækker grænsen, gælder de samme fem kontroller for alt indeni. Planlæg dit omfang, før du udfylder SAQ'en; ændring af omfang senere koster tid og penge. Prissætningen skaleres med størrelsen af det pågældende miljø, så gennemgå vores Pris på Cyber Essentials side, når du skalerer dit projekt.
Hvad er nyt i 2026-versionen?
Ordningen udvikler sig årligt. Det nuværende spørgsmålssæt bevarer de fem kontrolområder, men strammer en række krav for at afspejle ændringer i angriberadfærd og cloud-teknologiens stigende dominans. De mest bemærkelsesværdige opdateringer, der påvirker ansøgere, er:
- Multi-faktor autentificering — MFA er nu obligatorisk på alle administratorkonti for cloud-tjenester og forventes for standard cloud-brugere, hvor platformen understøtter det. SMS-kun MFA frarådes til fordel for godkendelsesapps eller hardwaretokens.
- Afklaring af cloud-omfang — SaaS, PaaS og IaaS er eksplicit behandlet med klarere vejledning om, hvilke ansvarsområder der ligger hos udbyderen, og hvilke der ligger hos kunden. Cloud-administratorkonti får samme kontrol som lokale domæneadministratorer.
- Adgangskodefri og biometrisk godkendelse — Ordningen anerkender nu moderne godkendelsesmetoder (adgangsnøgler, Windows Hello, Touch ID) som acceptable alternativer til traditionel adgangskode plus multifunktionel adgangskode.
- Forventninger til kapitalforvaltning — Du forventes at have en løbende lagerbeholdning af enheder og software, da du ikke pålideligt kan opdatere eller beskytte det, du ikke kender til.
- Rettelser af sårbarheder — 14-dages patchvinduet dækker nu eksplicit firmware på routere, switche og adgangspunkter, ikke kun operativsystemer og applikationer.
Når dit certifikat skal fornyes, gælder det seneste spørgsmålssæt. Se vores Fornyelse af Cyber Essentials en vejledning i, hvad du kan forvente, når du gencertificerer under opdaterede kriterier.
Hvorfor vælge ISMS.online til cybernødvendigheder?
- Forudtilknyttede kontroller — Alle Cyber Essentials-kontrolområder er kortlagt i ISMS.online, så du vurderer i forhold til hele skemaet uden at skulle bygge din egen tjekliste fra bunden.
- Enkelt kilde til bevismateriale — Vedhæft skærmbilleder, konfigurationseksporter, tiltrædelses-/afgangsregistreringer og politikdokumenter til den relevante kontrol én gang, og genbrug dem derefter på tværs af fornyelser, Plus-vurderinger og andre frameworks.
- Værktøj til kikkertsigte — Registrer dine brugere, enheder, netværk og cloudtjenester i et struktureret aktivregister, så omfangsgrænsen er dokumenteret, reviderbar og nem at opdatere.
- Sporing af gap-to-action — Hvert hul, der identificeres under din parathedsgennemgang, omdannes til en tildelt handling med en ejer og en forfaldsdato, så intet slipper igennem.
- Multi-framework gearing — Beviser for cyberessentielle elementer i ISMS.online fodrer også ISO 27001, SOC2 og NIS 2 arbejde, hvilket er grunden til, at kunder, der går videre fra Cyber Essentials, bliver på platformen.
- Klar til fornyelse — Platformen holder din dokumentation opdateret mellem årlige cyklusser, så du aldrig starter forfra, når det næste certifikat forfalder.
- Tillid fra tusindvis af organisationer — ISMS.online støtter virksomheder af alle størrelser på deres compliance-rejse, fra førstegangsansøgere til Cyber Essentials til globale ISO-certificerede grupper.
Relaterede Cyber Essentials-guider
Fortsæt din Cyber Essentials-rejse med de andre guider i denne serie:
- Pris på cybernødvendigheder — IASME-prisniveauer, plusomkostninger, skjulte omkostninger og 3-årige totaler for britiske virksomheder.
- Er cyber essentials det værd? — En ærlig vurdering af fordele, ulemper og hvem der rent faktisk har brug for certificering.
- Krav til Cyber Essentials Plus — Den tekniske revision, sårbarhedsscanninger og hvad Plus leverer ud over den grundlæggende certificering.
- Selvevaluering af cyberessensielle ting — SASQ-arbejdsgangen, omfang, evidens og almindelige faldgruber.
- Hvor lang tid tager det at lære cybernødvendigheder? — Typisk britisk tidslinje, hurtige muligheder og hvad der forsinker processen.
- Fornyelse af cybernødvendigheder — 12-månederscyklussen, kontrolændringer i 2026 og hvordan man forbereder sig 60 dage i forvejen.
- Cyber-essentielle ting til små virksomheder — SMB-specifik prisfastsættelse, omfang og cost-benefit-forhold.
- Cyber Essentials vs. ISO 27001 — Omfang, omkostninger, tid og anerkendelse sammenlignet.
Ofte Stillede Spørgsmål
Hvad dækker Cyber Essentials i almindeligt sprog?
Cyber Essentials dækker fem tekniske kontrolområder: firewalls og routere, sikker konfiguration, brugeradgangskontrol, malwarebeskyttelse og administration af sikkerhedsopdateringer. Hvert kontrolområde fastsætter specifikke, praktiske krav til de enheder, brugerkonti og cloudtjenester, som din organisation bruger. Sammen er de designet til at stoppe størstedelen af almindelige internetbaserede angreb.
Gælder Cyber Essentials for cloud-tjenester?
Ja. Enhver cloud-tjeneste, der bruges til at behandle eller lagre organisationsdata, er omfattet. SaaS, PaaS og IaaS er alle dækket, med lidt forskellige delte ansvarsområder. Du er altid ansvarlig for brugeradgang, MFA på administratorkonti og sikker konfiguration af din lejer; for IaaS håndterer du også patching, malware og host firewalls.
Er hjemmearbejde og BYOD omfattet?
Ja. Enhver enhed, der bruges til at få adgang til din organisations data eller tjenester, er omfattet, herunder bærbare computere til hjemmebrug og personlige telefoner, der bruges til arbejds-e-mail. Enheder, der udelukkende bruges til taleopkald, sms'er eller tofaktorgodkendelse, er ikke omfattet. Virksomhedsbærbare computere, der bruges derhjemme, skal have deres egen hostbaserede firewall aktiveret.
Hvilken software er omfattet af Cyber Essentials?
Enhver software, der bruges til at få adgang til organisationsdata eller -tjenester. Dette omfatter operativsystemer, browsere, browserudvidelser, produktivitetspakker, forretningsapplikationer og firmware på routere og firewalls. Alt dette skal være licenseret, leverandørunderstøttet og opdateret inden for 14 dage for vigtige opdateringer. Udtjent software er ikke acceptabel.
Hvilke beviser ønsker assessoren at se?
I forbindelse med selvevalueringen skal du give svar og bekræftelser på hvert spørgsmål. For Cyber Essentials Plus udfører assessoren praktisk testning: scanning af prøveenheder for manglende patches, kontrol af anti-malwarekonfiguration, verificering af MFA på cloud-konti og bekræftelse af firewallregler. Dokumenterede tiltrædelses-/afgangsprocedurer, lister over administratorkonti og patch-registreringer anmodes ofte om.
Hvad er nyt i 2026-versionen af Cyber Essentials?
Det nuværende spørgsmålssæt styrker kravene til cloud- og multifaktor-godkendelse, præciserer SaaS-, PaaS- og IaaS-ansvar, anerkender adgangskodefri og biometrisk godkendelse og udvider eksplicit 14-dages patch-vinduet til firmware. Forventningerne til aktivbeholdningen er også blevet gjort mere eksplicitte.
