Cyber Essentials får en opdatering til 2025: Hvad britiske virksomheder har brug for at vide
Indholdsfortegnelse:
Med cybertrusler i stigning, fra ransomware-angreb til statsstøttet hacking, er organisationer i hele Storbritannien under stigende pres for at styrke deres informationssikkerhed. Mens mange store virksomheder tilpasser sig globale standarder som ISO 27001, støttede den britiske regering Cyber Essentials-ordning tilbyder et grundlæggende benchmark til demonstration af grundlæggende cyberhygiejne for mindre og mellemstore virksomheder.
Men der kommer ændringer.
Fra den 28. april 2025 vil Cyber Essentials og Cyber Essentials Plus certificeringsprocesserne gennemgå strategiske opdateringer. Disse ændringer afspejler udviklingen af cybertrusler og den stigende kompleksitet i de miljøer, som virksomheder opererer i. I denne blog pakker vi opdateringerne ud, udforsker, hvorfor de betyder noget, og skitserer, hvad organisationer skal gøre næste gang.
Hvorfor Cyber Essentials stadig betyder noget
Cyber Essentials blev lanceret i 2014 og blev designet til at hjælpe organisationer med at beskytte sig mod de mest almindelige cybertrusler og demonstrere deres engagement i cybersikkerhed. For mange har det fungeret som udgangspunktet i deres sikkerhedsrejse, et grundlæggende krav for at gøre forretninger med offentlige organer og et voksende antal private organisationer.
Med sit klare fokus på grundlæggende beskyttelse sætter Cyber Essentials en baseline for sikkerhed og opfordrer organisationer til at tage en proaktiv holdning. I sin kerne handler det om at få det grundlæggende i orden – ting som firewalls, sikre indstillinger, kontrol af, hvem der har adgang, beskyttelse mod malware og at holde systemerne opdaterede.
Men selv det grundlæggende udvikler sig over tid. Og det skal ordningen også.
Hvad ændrer sig i april 2025?
2025-opdateringerne er designet til at afspejle virkeligheden i det nuværende forretningstrussellandskab og sikre, at Cyber Essentials forbliver en meningsfuld standard. Her er hvad der er nyt:
1. Adgangskodeløs godkendelse bliver standarden
Et stort skift er skridtet mod adgangskodefri godkendelse. Det betyder ting som:
- Biometri (f.eks. fingeraftryk eller ansigtsgenkendelse)
- Hardware sikkerhedsnøgler
- Engangsadgangskoder eller push-meddelelser
Er nu anerkendt som gyldige, sikre login-metoder.
Hvorfor det betyder noget: Traditionelle adgangskoder er stadig et af de svageste led i cybersikkerhed. Genbrug af adgangskoder, phishing-angreb og brute-force-forsøg forbliver almindelige angrebsvektorer. Ved at flytte fokus til adgangskodeløse muligheder hjælper den nye vejledning organisationer med at vedtage stærkere og mere pålidelige måder at administrere adgang og holde systemerne sikre på.
2. Et bredere syn på fjernarbejde
Begrebet "hjemmearbejde" bliver erstattet med "hjemme- og fjernarbejde", en subtil, men væsentlig ændring.
Hvorfor det betyder noget: Medarbejdere er ikke længere begrænset til deres hjem. De arbejder fra caféer, lufthavne, tog og co-working spaces - som alle betragtes som upålidelige miljøer. Ordningen afspejler nu denne virkelighed, og virksomheder bliver nødt til at demonstrere, at data, der tilgås eksternt, er tilstrækkeligt beskyttet, uanset placeringen.
3. Ny terminologi for sårbarhedsrettelser
Det tidligere fokus på 'patches og opdateringer' udvides til at dække alle typer af 'sårbarhedsrettelser'. Det betyder:
- Ændringer i registreringsdatabasen
- Konfigurationsopdateringer
- Scripts eller leverandørgodkendte afhjælpninger
Hvorfor det er vigtigt: Ikke alle sikkerhedsproblemer har en pæn patch. Nogle gange ser rettelsen anderledes ud, og denne opdatering afspejler den virkelighed. Det giver organisationer mere fleksibilitet i, hvordan de reagerer på risici, samtidig med at det gør det klart, at handling forventes.
4. Større tilpasning til internationale standarder
Selvom det ikke er udtrykkeligt angivet, er den opdaterede ordning tættere på linje med globale cybersikkerhedsrammer som f.eks. National Institute of Standards (NIST) og ISO 27001.
Hvorfor det er vigtigt: For britiske organisationer, der arbejder internationalt, hjælper tilpasning til disse standarder med at opbygge troværdighed og åbner døre til nye markeder. For dem, der allerede er på vej mod ISO 27001-certificering, kan Cyber Essentials tjene som et springbræt, og nu er den vej mere klart defineret.
5. Ændringer til Cyber Essentials Plus-testspecifikationen
Der foretages nogle nødvendige justeringer af den måde, Cyber Essentials Plus-vurderinger udføres på:
- Bedømmere skal verificere, at omfanget stemmer overens med den indledende selvevaluering.
- Grænserne skal være klart definerede og teknisk adskilte, når omfanget ikke omfatter hele organisationen.
- Enhedsprøvetagning skal være repræsentativ og dokumenteret.
Hvorfor det er vigtigt: Disse opdateringer tilføjer strenghed og konsekvens til Plus-vurderingen. De sikrer, at organisationer ikke kan 'cherry-plukke' systemer til overholdelse og skal i stedet vise, at de har implementeret god praksis over hele linjen.
Hvad betyder dette for din virksomhed?
Disse ændringer er ikke designet til at fange organisationer ud. De er der for at sikre, at ordningen holder trit med de risici i den virkelige verden, som nutidens virksomheder står over for. De vil dog kræve handling, især for dem, der nærmer sig deres fornyelsesdato i slutningen af 2025.
Hvis du allerede er Cyber Essentials certificeret, er det nu, du skal gennemgå din nuværende kropsholdning:
- Udforsker du teknologier uden adgangskode?
- Afspejler dine fjernadgangspolitikker nutidens hybride arbejdsvirkelighed?
- Er din sårbarhedshåndteringstilgang fleksibel og lydhør?
Hvis du arbejder hen imod din første certificering, er det klogt at komme foran ændringerne nu. Vent ikke til april 2025; implementere denne praksis i dag.
Cyber Essentials and Beyond
Det er værd at huske på, at Cyber Essentials ikke er destinationen; det er udgangspunktet. Efterhånden som cybertrusler bliver mere sofistikerede, og det regulatoriske pres stiger, vælger mange organisationer at bygge videre på deres Cyber Essentials-grundlag med mere avancerede standarder.
ISO/IEC 27001 er et naturligt næste skridt. Det er en globalt anerkendt standard for informationssikkerhedsstyring, der giver en omfattende ramme for styring af informationsrisici. Hvor Cyber Essentials skitserer, hvad der skal være på plads, viser ISO 27001 dig, hvordan du integrerer denne praksis i din virksomheds daglige drift.
Sammen kan disse standarder hjælpe med at skabe en mere robust, kompatibel og ægte sikker organisation.
Uanset om du tager fat på ordningen for første gang eller tilpasser dig 2025-opdateringerne, kan det være en udfordring at få styr på de nye krav.
Det er her, vi kommer ind i billedet. Hos ISMS.online har vi arbejdet sammen med tusindvis af organisationer for at hjælpe dem med at holde sig på toppen af Cyber Essentials, Cyber Essentials Plus og ISO 27001. Vores platform er designet til at tage kompleksiteten ud af overholdelse og give dig et klart overblik over, hvad der er nødvendigt, og holde dig på sporet fra start til slut. Så du kan nærme dig din overholdelsesrejse med tillid.
Vi praktiserer også det, vi prædiker, efter at have brugt vores egen platform til at opnå Cyber Essential-gencertificering med succes i november 2024.
Og vi er allerede ved at opbygge støtten til ændringerne i april 2025, så du er klar, ikke forhastet dig.
Afsluttende tanker
Cyber Essentials er fortsat en kritisk del af Storbritanniens cybersikkerhedsstrategi. Det sender kunder, leverandører og partnere et klart budskab: du tager sikkerhed alvorligt.
De kommende ændringer sigter mod at gøre ordningen mere relevant og modstandsdygtig, hvilket afspejler realiteterne i moderne arbejde. Men dette er ikke bare en boks-tikkende øvelse. Det er en chance for at opbygge bedre sikkerhedsvaner på tværs af din organisation.
Hvis du ikke er begyndt at forberede dig, er det nu et godt tidspunkt at komme i gang. Gennemgå din sikkerhedsposition, engager dit lederskab, og forbered dig på fremtiden for Cyber Essentials. God informationssikkerhed er ikke kun et afkrydsningsfelt; det er en forretningsmæssig fordel.
