Cyber Essentials on Ison-Britannian hallituksen tukema kyberturvallisuussertifiointijärjestelmä, joka auttaa organisaatioita puolustautumaan yleisimmiltä verkkouhilta. IASME hallinnoi sitä National Cyber Security Centren (NCSC) puolesta, ja se edellyttää viiden teknisen valvonnan käyttöönottoa, jotka kattavat palomuurit, turvallisen konfiguroinnin, käyttäjien pääsyn, haittaohjelmien torjunnan ja tietoturvapäivitykset. Sertifioinnin saaminen viestii asiakkaille, sääntelyviranomaisille ja toimitusketjun kumppaneille, että yrityksesi suhtautuu kyberhygienian perusteisiin vakavasti.
Tämä opas selittää kaiken, mitä Yhdistyneen kuningaskunnan yrityksen on tiedettävä Cyber Essentials -sertifikaatista vuonna 2026: mitä järjestelmä oikeastaan kattaa, kuka sitä tarvitsee, mitä se maksaa, kuinka kauan se kestää, miten perussertifikaatti eroaa Cyber Essentials Plus -sertifikaatista ja miten se vertautuu laajempiin standardeihin, kuten ISO 27001Lopuksi käsittelemme organisaatioiden yleisimpiä virheitä ja näytämme, miten ISMS.online lyhentää matkaa aukosta todistukseen.
Mikä on Cyber Essentials?
Cyber Essentials on Yhdistyneen kuningaskunnan hallituksen tukema sertifiointijärjestelmä, joka määrittelee jokaisen organisaation edellyttämät kyberturvallisuustoimenpiteet. Järjestelmä käynnistettiin vuonna 2014, ja sitä valvoo nyt NCSC. Sen toteuttaa IASME, ainoa akkreditointielin, joka toimii Yhdistyneen kuningaskunnan sertifiointielinten verkoston kautta. Se on tarkoituksella suunniteltu käytännölliseksi ja oikeasuhtaiseksi, ja se keskittyy teknisiin toimenpiteisiin, jotka estävät suurimman osan opportunistisista internet-hyökkäyksistä.
Järjestelmässä on kaksi tasoa. Cyber Essentials -perussertifiointi suoritetaan itsearviointikyselylomakkeella (SAQ-kysymyssarja, jonka IASME päivittää jokaisen järjestelmäpäivityksen yhteydessä), jonka yrityksen vanhempi toimihenkilö allekirjoittaa ja jonka ulkopuolinen arvioija sitten tarkistaa. Cyber Essentials Plus lisää päälle riippumattoman teknisen tarkastuksen, jossa arvioija suorittaa käytännön testauksia laitteistasi, etsii puuttuvia korjauksia ja varmistaa, että kontrollit todella toimivat käytännössä.
NCSC:n mukaan organisaatiot, joilla on käytössä Cyber Essentials -sertifikaatti, joutuvat huomattavasti epätodennäköisemmin yleisten kyberhyökkäysten, kuten tietojenkalasteluhyökkäyksiin perustuvan tunnistetietojen varastamisen, päivittämättömän ohjelmiston kautta leviävien kiristysohjelmien ja oletusasetusten kautta leviävien haittaohjelmien, uhreiksi. Sertifikaatti on voimassa 12 kuukautta myöntämispäivästä, ja se on uusittava vuosittain sen kysymyslistan mukaisesti, joka on kulloinkin ajankohtainen.
On syytä tehdä selväksi, mitä Cyber Essentials ei ole. Se ei ole syvällinen tekninen penetraatiotesti, se ei ole tietoturvallisuuden hallintajärjestelmä (eli ISO 27001) eikä se ole GDPR-vaatimustenmukaisuussertifiointi (joka on erikseen käsiteltävä sääntelyvelvoite). Se on kohdennettu ja toistettava tarkistus, jolla varmistetaan, että kyberturvallisuuden perusteet ovat kunnossa koko organisaatiossa. Järjestelmän arvo tulee siitä, että sen testaamat kontrollit ovat juuri niitä, jotka estävät valtaosan opportunistisista hyökkäyksistä, joita Ison-Britannian yritykset todellisuudessa kohtaavat.
Kuka tarvitsee kyberturvallisuusvälineitä? (ja miksi)
Kyberturvallisuusvaatimukset ovat pakollisia tai niitä suositellaan vahvasti yhä useammalle Yhdistyneen kuningaskunnan organisaatiolle. Yleisimmät syyt sertifioinnin hakemiseen ovat:
- Yhdistyneen kuningaskunnan keskushallinnon sopimukset — Vuodesta 2014 lähtien toimittajien, jotka ovat tehneet tarjouksia sopimuksista, joihin liittyy henkilötietojen käsittelyä tai tiettyjen ICT-tuotteiden ja -palveluiden toimittamista, on täytynyt noudattaa Cyber Essentials -sertifikaattia. Vaatimus on kirjattu vakiomuotoiseen hankintakehykseen ja sitä sovelletaan sekä suoriin toimittajiin että moniin alihankkijoihin.
- Puolustusministeriön toimittajat — Puolustusministeriö vaatii Cyber Essentials -lisenssin kaikilta toimittajilta, jotka käsittelevät puolustusministeriön tunnistavia tietoja, ja Cyber Essentials Plus -lisenssin, jos toimittaja käsittelee arkaluonteisempia tietoja DEFCON 658 -säännösten mukaisesti.
- NHS-toimittajat ja tietoturva- ja suojaustyökalupakki — NHS-organisaatioiden toimittajat tarvitsevat usein Cyber Essentials -työkaluja osana tietoturva- ja suojaustyökalupakin arviointia.
- Kuntien ja julkisen sektorin tarjouskilpailut — Monet kunnat, sinisten valojen palvelut ja lähipiiriorganisaatiot sisällyttävät nyt Cyber Essentialsin hyväksymis- tai hylkäysvaatimukseksi tarjouskilpailun.
- Yksityisen sektorin toimitusketjut — Suuret brittiläiset yritykset pyytävät yhä useammin pk-yrityksiltä toimittajiltaan kyberturvallisuustodistusta ennen sopimusten allekirjoittamista, erityisesti tietojen käsittelijöiltä, IT-toimittajilta ja hallinnoitujen palvelujen tarjoajilta.
- Kybervakuutus — Cyber Essentials -sertifikaatin omistaminen avaa usein paremmat kybervakuutusmaksut tai on joissakin tapauksissa vakuutusturvan edellytys. IASME:n tukema sertifikaatti sisältää myös ilmaisen vastuuvakuutuksen Isossa-Britanniassa toimiville pienyrityksille, joiden liikevaihto on alle 20 miljoonaa puntaa.
- Luottamussignaali asiakkaille — Sertifiointimerkki on tunnustettu osoitus siitä, että olet ottanut käyttöön kyberturvallisuuden perusteet, millä on merkitystä B2B-myynnin, -markkinoinnin ja -hankinnan arvioinneissa.
Jos organisaatiosi ei ole mikään yllä mainituista eikä sillä ole välitöntä sopimuspainetta, Cyber Essentials on silti järkevä lähtökohta. Kustannukset ovat alhaiset, kontrollit ovat yleisesti ottaen hyviä käytäntöjä ja sertifiointiprosessi pakottaa sinut dokumentoimaan asiat, jotka sinulla pitäisi jo olla käytössä.
Mitä Cyber Essentials kattaa? Viisi valvonta-aluetta
Cyber Essentials määrittelee viisi teknistä valvonta-aluetta. Jokaisen laitteen, käyttäjätilin ja pilvipalvelun on täytettävä vaatimukset kaikilla viidellä. Alla oleva taulukko esittää yhteenvedon kunkin valvonta-alueen sisällöstä ja siitä, mitä todisteita arvioijat etsivät. Katso täydelliset vaatimukset osoitteesta Kyberturvallisuusvaatimukset opas.
| Valvonta-alue | Mitä se kattaa | Mitä arvioijat tarkistavat |
|---|---|---|
| 1. Palomuurit ja reitittimet | Yrityksesi ja internetin välinen verkkoraja, mukaan lukien internet-palveluntarjoajan toimittamat reitittimet, erilliset palomuurit ja isäntäpohjaiset palomuurit roaming-kannettavissa tietokoneissa. | Oletusarvoiset järjestelmänvalvojan salasanat on vaihdettu; saapuvan liikenteen säännöt on dokumentoitu ja perusteltu; isäntäpohjaiset palomuurit on otettu käyttöön toimiston ulkopuolella käytettävillä laitteilla. |
| 2. Suojattu kokoonpano | Laitteisiin ja pilvipalveluihin valmiiksi rakennettujen heikkouksien poistaminen: oletustilit, esimerkkisalasanat, automaattisesti suoritettavat asetukset, tarpeettomat palvelut. | Oletussalasanat poistettu; tarpeettomat käyttäjätilit ja ohjelmistot poistettu käytöstä; monivaiheinen todennus (MFA) kaikilla järjestelmänvalvojan tileillä; salasanan vähimmäispituus 12 merkkiä (8 merkkiä, jos MFA on käytössä). |
| 3. Käyttäjien käyttöoikeuksien hallinta | Käyttäjätilien luominen, todentaminen, käyttöoikeuksien myöntäminen ja poistaminen käyttäjien poistuessa. | Dokumentoitu liittyjän ja käyttäjän muuton prosessi; järjestelmänvalvojan tilit erotettu päivittäisistä tileistä; pilvikäyttäjien monitoiminen autentikointi, jos sitä tuetaan; järjestelmänvalvojan oikeuksien vuosittainen tarkistus. |
| 4. Haittaohjelmasuojaus | Laitteiden puolustaminen haitallista koodia vastaan haittaohjelmien torjuntaohjelmistojen, sovellusten sallittujen listausten tai hiekkalaatikoiden avulla. | Jokaisella laajuusalueella olevalla laitteella on yksi hyväksytty mekanismi; allekirjoitukset pidetään ajan tasalla; mobiilisovellukset tulevat vain virallisista kaupoista; käyttöoikeuksien tarkistus on käytössä. |
| 5. Tietoturvapäivitysten hallinta | Kaikkien ohjelmistojen pitäminen tuettuina, lisensoituina ja päivitettyinä, jotta hyökkääjät eivät voi hyödyntää tunnettuja haavoittuvuuksia. | Käytössä vain toimittajan tukema ohjelmisto; korkeat ja kriittiset korjauspäivitykset asennettiin 14 päivän kuluessa; elinkaarensa päättäneet käyttöjärjestelmät ja selaimet poistettu; reitittimien ja palomuurien laiteohjelmistot pidettiin ajan tasalla. |
Samat viisi valvontatoimenpidettä koskevat kannettavia tietokoneita, pöytätietokoneita, palvelimia, mobiililaitteita, verkkolaitteita ja pilvipalveluita, jotka kuuluvat järjestelmän piiriin. Järjestelmä käsittelee pilvipalveluita (Microsoft 365, Google Workspace, AWS, Azure ja vastaavat) ympäristösi jatkeena eikä poikkeuksena, ja olet aina vastuussa jokaisen käyttämäsi pilvipalvelun käyttäjäoikeuksista, monitoimisesta autentikointia (MFA) ja vuokralaisen määrityksistä.
Vapauta itsesi laskentataulukoiden vuorten vallasta
Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.
Cyber Essentials vs. Cyber Essentials Plus
Yleisin yksittäinen kysymys Cyber Essentialsista on: tarvitsenko perussertifikaatin vai Plus-sertifikaatin? Rehellinen vastaus on, että ne eivät ole oikeastaan vaihtoehtoja. Lisäksi siihen kuuluu perussertifikaatti ja riippumaton tekninen tarkastus. Et voi pitää Plussaa hallussasi saavuttamatta ensin kyberessentiaalien perusvaatimuksia.
Alla olevassa taulukossa esitetään käytännön erot. Katso Plus-auditoinnin täydelliset tekniset tiedot Cyber Essentials Plus -vaatimukset opas.
| Ominaisuus | Kyberturvallisuuden perusteet (perus) | Cyber Essentials Plus |
|---|---|---|
| Arviointimenetelmä | Itsearviointikysely (SAQ), jonka vanhempi virkailija allekirjoittaa ja arvioija tarkistaa | Itsearviointi, jota seuraa riippumaton tekninen tarkastus, joka sisältää laitteiden otoksen käytännön testauksen |
| Haavoittuvuustarkistus | Ei tarvita | Esimerkkilaitteiden sisäiset ja ulkoiset todennetut haavoittuvuusskannaukset |
| Oletusasetusten, monitunnistuksen ja korjausten testaus | Vahvistettu todistuksella | Arvioijan fyysisesti tarkastama |
| Tyypillinen hinta | Alkaen 330 puntaa + alv mikroyrityksille, jopa 500 puntaa + alv suuremmille organisaatioille | Tyypillisesti 1 500–3 000 puntaa+ ympäristön koosta riippuen |
| Tyypillinen aikajana | 2–4 viikkoa valmistelujen valmistuttua | Lisää tekniseen auditointivaiheeseen 4–6 viikkoa lisää |
| Voimassaolo | 12 kuukautta | 12 kuukautta |
| Parasta | Pienemmät toimittajat, pienemmän riskin sopimukset, yritykset rakentavat perustasoa | Säännellyt toimittajat, puolustusministeriön ja kansallisen terveyspalvelun työt, suuremmat hankintasopimukset, organisaatiot, jotka haluavat varmennettua varmuutta |
Jos sopimuksessasi on määritelty vaadittava taso, noudata sitä. Jos sinulla on valinnanvaraa, aloita perustietojärjestelmistä löytääksesi ja korjataksesi aukot nopeasti ja suunnittele sitten Plus-tasoa, kun olet varma, että kontrollit kestävät todellisia testejä. Monet organisaatiot pyrkivät suorittamaan Plus-tason kolmen kuukauden kuluessa perussertifikaatin saamisesta, kun näyttö on tuoretta ja ympäristö ei ole muuttunut.
Toinen tärkeä vivahde: Plus on ainoa taso, joka antaa hankintaviranomaiselle aidon ja riippumattoman varmuuden siitä, että kontrollisi toimivat. Itse vahvistettu Cyber Essentials -sertifikaatti riittää monille toimittajakategorioille, mutta jos sopimuksiin liittyy arkaluonteisia tietoja tai kriittisiä palveluita, asiakkaan on odotettava pyytävän Plus-sertifikaattia. Plus-sertifikaattiin siirtyminen ensimmäisestä päivästä lähtien, vaikka sertifioisit aluksi vain perustason sertifikaatilla, pitää todisteesi kunnossa, joka läpäisee myöhemmin ulkoisen tarkastuksen.
Paljonko Cyber Essentials maksaa?
Basic Cyber Essentials käyttää tasaista IASME-hinnoittelurakennetta, joka skaalautuu organisaation koon mukaan. Vuonna 2026 tasot ovat:
- Mikro (0–9 työntekijää) — 330 puntaa + alv
- Pieni (10–49 työntekijää) — 400 puntaa + alv
- Keskikokoinen (50–249 työntekijää) — 450 puntaa + alv
- Suuri (yli 250 XNUMX työntekijää) — 500 puntaa + alv
Maksu sisältää yhden hakemuksen, jonka voi lähettää uudelleen, jos siinä havaitaan pieniä puutteita, sekä itse IASME-sertifikaatin. Yhdistyneessä kuningaskunnassa toimiville yrityksille, joiden liikevaihto on alle 20 miljoonaa puntaa, maksuun sisältyy myös IASME:n tukema kybervastuuvakuutus jopa 25 000 puntaan asti.
Valitsemasi sertifiointilaitos hinnoittelee Cyber Essentials Plus -palvelun erikseen. Hinta riippuu auditoijan testaaman ympäristön koosta ja näytelaitteiden määrästä. Tyypillinen hinta Isossa-Britanniassa on pk-yrityksille 1 500–3 000 puntaa ja yli, ja se nousee suuremmilla ja monimutkaisemmilla kiinteistöillä. Lisää tähän Cyber Essentials -perusmaksu ja ota huomioon sisäinen valmisteluun ja korjaaviin toimenpiteisiin kuluva aika.
Täydellinen erittely, mukaan lukien piilokulut ja kolmen vuoden kokonaissummat, katso Cyber Essentialsin hinta opas.
Pelkkä IASME-maksu ei usein kerro koko totuutta. Useimmat brittiläiset yritykset käyttävät rahaa myös valmisteluihin: lisenssikustannuksiin vanhan ohjelmiston päivittämiseksi tuettuun versioon, MFA-työkaluihin tileille, joilla sitä ei ollut, MDM-rekisteröintiin BYOD-laitteille ja joskus muutaman päivän konsultointiin vastausten validoimiseksi ennen lähettämistä. Suunnittelun nyrkkisääntönä on kaksinkertainen IASME-maksu peruspaketille ja kaksinkertaistaa Plus-maksu Plus-maksuun verrattuna, jotta katetaan Cyber Essentials Plus -valmiuden kokonaiskustannukset ensimmäisellä kerralla. Myöhemmät vuosittaiset uusimiset ovat huomattavasti halvempia, kun kontrollit ja todisteet on otettu käyttöön.
Kuinka kauan Cyber Essentialsin käyttö kestää?
Rehellinen vastaus on: kolmesta arkipäivästä kahdeksaan viikkoon riippuen siitä, kuinka valmistautunut olet jo. Itse kyselylomake voidaan täyttää ja arvioida alle viikossa, jos valvonta on kunnossa ja todisteet ovat käsillä. Hitain vaihe on aukkojen paikaaminen. Useimmilla Yhdistyneen kuningaskunnan yrityksillä perussertifiointi kestää 2–4 viikkoa alusta loppuun, ja vielä 4–6 viikkoa, jos ne siirtyvät suoraan Plus-tasolle.
Suurimmat viivästykset johtuvat yleensä kolmesta lähteestä:
- Vanhojen järjestelmänvalvojan tilien löytäminen ilman MFA:ta tai elinkaaren loppuun saatettuja ohjelmistoja, jotka vaativat vaihtamista
- Odotetaan todisteita kolmansilta osapuolilta, kuten IT-tuelta, pilvipalvelun ylläpitäjiltä tai BYOD-käyttäjiltä
- Uudelleenlähetysjaksot, joissa arvioija merkitsee kyselylomakkeen selvennyksiä
Katso koko vaiheittainen aikataulu ja nopeutettu reitti kohdasta Kuinka kauan Cyber Essentialsin käyttö kestää? opas.
Aloita ilmainen kokeilu
Haluatko tutkia?
Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia
Kybertietotaitojen perusteiden sertifiointi: vaiheittainen prosessi
Sertifiointiprosessissa on kuusi erillistä vaihetta. Mikään niistä ei ole teknisesti monimutkainen, mutta jokainen palkitsee valmistautumista.
- Päätä laajuutesi — Valitse joko koko organisaation laajuinen laajuus (suositus) tai selkeästi rajattu osajoukko. Kartoita jokainen laajuuteen kuuluva käyttäjä, laite, verkko ja pilvipalvelu.
- Suorita aukkoanalyysi — Käy läpi kaikki viisi kontrollialuetta nykyistä ympäristöäsi vasten ja tunnista, mitä puuttuu. Willow-kysymyssetti on julkaistu avoimesti, joten voit käyttää sitä aukkoanalyysin tarkistuslistana.
- Tyhjennä aukot — Vaihda oletussalasanat, ota käyttöön MFA pilvitileillä, vaihda käyttöiän päättymisestä poistetut ohjelmistot, dokumentoi liittyjän ja lähtejän prosessi ja ota käyttöön isäntäpaloinnit roaming-kannettavissa.
- Valitse sertifiointilaitos — IASME julkaisee luettelon hyväksytyistä sertifiointilaitoksista verkkosivuillaan. Useimmat ovat hintakilpailukykyisiä pienellä vaihteluvälillä; valitse sellainen, joka vastaa nopeasti ja tarjoaa hyödyllisiä neuvoja ennen hakemuksen jättämistä.
- Täytä itsearviointikysely — Vanhempi virkailija allekirjoittaa vastaukset ja sertifiointielin arvioi lähetyksen. Jos jokin on epäselvää, vastaamme kysymyksiin.
- Saat sertifikaattisi (ja valinnaisen Plus-auditoinnin) — Perussertifikaatti myönnetään tyypillisesti muutaman arkipäivän kuluessa virheettömästä lähetyksestä. Jos valitset Plus-sertifikaatin, tekninen tarkastus seuraa perässä.
Tarkempaa tietoa itse kyselylomakkeesta, näytön arvioijien toiveista ja yleisimmistä sudenkuopista on saatavilla artikkelissamme Kyberasioiden itsearviointi opas.
Cyber Essentials -tilauksen uusiminen: mitä tapahtuu 12 kuukauden kuluttua
Kyberturvallisuusvaatimukset eivät ole kertaluonteinen suoritus. Sertifikaatti on voimassa 12 kuukautta myöntämispäivästä, ja uusiminen on suoritettava uusimispäivänä voimassa olevan kysymyssarjan perusteella. Koska järjestelmä tiukentaa vaatimuksiaan vuosittain, uusiminen tuo usein mukanaan valvontaa, jota ei ollut käytössä, kun sertifioit ensimmäisen kerran.
Yleisiä uusimisen haasteita ovat tiukemmat MFA-odotukset pilvitileillä, selkeät resurssien inventointivaatimukset ja 14 päivän korjausikkunan soveltaminen reitittimien ja tukiasemien laiteohjelmistoihin. Aloita uusimisen valmistelu vähintään 60 päivää ennen varmenteen vanhenemista, jotta voit paikata mahdolliset uudet aukot kiireettömästi.
Koko 12 kuukauden syklin ja vaiheittaisen valmistautumisen löydät verkkosivuiltamme. Cyber Essentials -uusiminen opas.
Kyberalan perusteet vs. ISO 27001 ja SOC 2
Cyber Essentials on ainoa Isossa-Britanniassa käytössä oleva standardi. ISO 27001 on kansainvälinen standardi tietoturvallisuuden hallintajärjestelmälle (ISMS) ja SOC 2 on Yhdysvalloissa kehitetty raportointikehys, jota käytetään useimmiten pohjoisamerikkalaisten ostajien keskuudessa. Jokainen niistä palvelee eri kohdeyleisöä, ja sertifikaatit täydentävät toisiaan kilpailevien sijaan.
| Cyber Essentials | ISO 27001 | SOC 2 | |
|---|---|---|---|
| Laajuus | 5 teknistä valvonta-aluetta | Täydellinen tietoturvan hallintajärjestelmä sekä 93 liitteen A mukaista valvontaa | 5 Luottamuspalvelukriteerit, jotka on rajattu palveluun |
| Maantieteellinen tunnistus | UK | kansainvälisesti | Pääasiassa Pohjois-Amerikka |
| Tyypillinen hinta | Alkaen 330 puntaa + alv | 3 000–15 000 puntaa+ sertifiointiin ja sisäiseen työhön | 15 000–50 000 puntaa+ tyypin 2 raportista |
| Tyypillinen aikajana | 2 ja 8 viikkoa | 6 ja 18 kuukautta | 6–12 kuukautta plus 3–12 kuukauden seurantajakso |
| Uusiminen | Vuosittain | 3 vuoden sykli ja vuosittainen seuranta | Vuosiraportointisykli |
| Parasta | Yhdistyneen kuningaskunnan hallituksen sopimukset, toimitusketjun lähtötaso, kybervakuutus | Yritysmyynti, kansainväliset asiakkaat, säännellyt toimialat | SaaS-toimittajat myyvät pohjoisamerikkalaisille yrityksille |
Useimpien brittiläisten yritysten käytännönläheinen toimintatapa on ensin hankkia Cyber Essentials -standardit sopimusten ja vakuutusten avaamiseksi ja sen jälkeen rakentaa ISO 27001 -standardin (ja tarvittaessa SOC 2:n) hallintajärjestelmän perusta. Viisi Cyber Essentials -standardin valvontaa liittyvät suoraan ISO 27001 -standardin liitteeseen A, joten työ kasaantuu päällekkäisyyden sijaan. Katso vertailusivumme. Kyberturvallisuusasiat vs. ISO 27001 opas.
Jos olet pienyritys ja sinulla on 12 kuukauden etenemissuunnitelma, järkevä järjestys on seuraava: Cyber Essentials kolmen ensimmäisen kuukauden aikana välittömien hankinta- ja vakuutustarpeiden tyydyttämiseksi, Cyber Essentials Plus kuudennen kuukauden aikana varmennetun varmuuden osoittamiseksi ja ISO 27001 -standardin käyttöönottoprojekti rinnakkain kolmannesta kuukaudesta eteenpäin. SOC 2 tulee tyypillisesti kuvaan vain, jos alat myydä SaaS-palveluita pohjoisamerikkalaisille yrityksille. Pienyrityksille suunnatun päätöksenteon läpikäynnin löydät osoitteesta Kyberturvallisuuden perusteet pienyrityksille opas.
Yleisiä Cyber Essentials -virheitä (ja miten niitä vältetään)
Useimmat epäonnistuneet tai viivästyneet Cyber Essentials -sovellukset johtuvat samasta pienestä vältettävissä olevien virheiden luettelosta:
- Liian suppea rajaus — Yksittäisen tiimin tai ympäristön sertifiointi, jota ei voida käyttää laajempaan sopimukseen. Käytä oletusarvoisesti koko organisaation sertifiointilaajuutta, ellei sinulla ole selkeää teknistä syytä olla sertifioimatta.
- BYODin ja kotireitittimien unohtaminen — Työsähköpostiin ja etätöihin käytettävät henkilökohtaiset puhelimet, jotka on kytketty oletusreitittimiin, kuuluvat arvioinnin piiriin. Tee kartoitus etukäteen, älä vasta arvioijan pyydettyä.
- Käyttöiän päättymisen ohjelmiston suorittaminen — Tuen umpeutuneet Windows-versiot, korjaamattomat selaimet, vanhat liiketoimintasovellukset. Järjestelmä käsittelee näitä automaattisina epäonnistumisina. Tee inventaario ennen aloittamista.
- Epäjohdonmukainen monitoimitunnistus — Monitoimitunnistus on käytössä toimitusjohtajan tilillä, mutta ei vanhan toimialueen järjestelmänvalvojan tai palvelutilin kautta. Arvioijat tarkistavat, että jokainen järjestelmänvalvojan tili on täysin käytössä kaikilla pilvialustoilla.
- 14 päivän korjausikkunan puuttuminen — Palvelimet, joille päivitetään kuukausittain, eivät usein saavuta korkean tai kriittisen vakavuuden määräaikaa. Siirry tiheämpään tietoturvapäivitysten tahtiin.
- Vanhentuneet liitos-, muutto- ja lähtörekisterit — Pitkäaikaiset työntekijät, joilla on kertyneet järjestelmänvalvojan oikeudet, sekä työsuhteen päättäneet, joiden tilejä ei ole koskaan poistettu käytöstä. Suorita siivous ennen lähettämistä.
- Todisteiden jättäminen viimeiseen hetkeen — Kuvakaappausten, konfiguraatiovientien ja käytäntöasiakirjojen kokoaminen viimeisellä viikolla on tapa, jolla projektit lipsahtavat. Kerää todisteita sitä mukaa, kun kurot umpeen kutakin aukkoa.
Tutustu Cyber Essentials -oppaisiin
Perehdy tarkemmin aiheisiin, jotka ovat tärkeimpiä Cyber Essentials -sertifiointiasi suunnitellessasi, saavuttaessasi ja uusiessasi:
- Kyberturvallisuusvaatimukset — Viisi valvonta-aluetta, laajuuspäätökset ja mitä näytön arvioijat etsivät.
- Kybertarvikkeiden hinta — IASME-hinnoitteluportaat, lisäkustannukset, piilokustannukset ja 3 vuoden kokonaiskustannukset Yhdistyneen kuningaskunnan yrityksille.
- Onko kyberturvallisuus hintansa arvoinen? — Rehellinen arvio hyödyistä, haitoista ja siitä, kuka sertifiointia todella tarvitsee.
- Cyber Essentials Plus -vaatimukset — Tekninen auditointi, haavoittuvuustarkistukset ja mitä Plus tarjoaa perussertifioinnin lisäksi.
- Kyberasioiden itsearviointi — SASQ-työnkulku, laajuus, näyttö ja yleiset sudenkuopat.
- Kuinka kauan kyberturvallisuusongelmiin valmistautuminen kestää? — Tyypillinen aikataulu Isossa-Britanniassa, nopeutetut vaihtoehdot ja mikä hidastaa prosessia.
- Kyberturvallisuuden uusiminen — 12 kuukauden sykli, vuoden 2026 määräysvallan muutokset ja miten valmistautua 60 päivän lähtöön.
- Kyberturvallisuuden perusteet pienyrityksille — Pk-yrityksille suunnattu hinnoittelu, laajuus ja kustannus-hyötyanalyysi.
- Kyberturvallisuusasiat vs. ISO 27001 — Laajuus, kustannukset, aika ja tunnustus verrattuna.
Miksi valita ISMS.online kyberturvallisuuden perusteisiin?
- Valmiiksi yhdistetyt ohjaimet — Jokainen Cyber Essentials -hallinta-alue on jo kartoitettu sisällä ISMS.online, joten voit arvioida koko järjestelmää vasten rakentamatta omaa tarkistuslistaa tai laskentataulukkoa tyhjästä.
- Ohjattu kuiluanalyysi — Käy läpi jokainen ohjausobjekti sisäänrakennettujen kehotteiden avulla, merkitse nykyinen tila ja muuta jokainen aukko omistajan ja määräpäivän omaavaksi toiminnoksi.
- Yhden todistusaineiston kirjasto — Liitä palomuurin määritysviennit, MFA-näyttökuvat, liittyjän siirtäjän poistumistietueet ja korjauslokit kerran ja käytä niitä sitten uudelleen uusimisissa, Plus-auditoinneissa ja muissa kehyksissä.
- Monikehysten vipuvaikutus — Cyber Essentials -todisteet ISMS.online syöttää myös ISO 27001-, SOC 2- ja NIS 2 toimii, minkä vuoksi Cyber Essentials -palvelusta eteenpäin siirtyvät asiakkaat pysyvät alustalla.
- Uusiminen on oletuksena valmis — Alusta pitää todisteesi ajan tasalla vuosittaisten jaksojen välillä muistuttamalla 60 päivää ennen todistuksesi vanhenemista, joten sinun ei koskaan tarvitse aloittaa alusta.
- Aina ajan tasalla suunnitelman suhteen — Alusta seuraa nykyistä Willow-kysymysjoukkoa ja merkitsee uudet vaatimukset IASME:n tiukentaessa valvontaa vuosittain.
- Tuhansien organisaatioiden luottama - ISMS.online tukee kaikenkokoisia Yhdistyneen kuningaskunnan yrityksiä niiden vaatimustenmukaisuuden edistämisessä, aina ensikertalaisista Cyber Essentials -hakijoista globaaleihin ISO-sertifioituihin ryhmiin.
UKK
Mitä on Cyber Essentials selkokielellä?
Cyber Essentials on Yhdistyneen kuningaskunnan hallituksen tukema sertifikaatti, joka vahvistaa, että yritykselläsi on käytössä viisi perustavanlaatuista teknistä suojautumiskeinoa yleisiä kyberhyökkäyksiä vastaan: palomuurit, turvallinen konfigurointi, käyttäjien pääsynhallinta, haittaohjelmien torjunta ja tietoturvapäivitysten hallinta. IASME hallinnoi sitä NCSC:n puolesta, ja se on tunnustettu Yhdistyneen kuningaskunnan kyberturvallisuusstandardi. Sertifikaatti on voimassa 12 kuukautta.
Paljonko Cyber Essentials maksaa vuonna 2026?
Basic Cyber Essentials käyttää IASME-kiinteää hinnoittelua: 330 puntaa + alv mikroyrityksille (0–9 työntekijää), 400 puntaa + alv pienille yrityksille (10–49), 450 puntaa + alv keskisuurille yrityksille (50–249) ja 500 puntaa + alv suurille yrityksille (yli 250). Cyber Essentials Plus -palvelun hinnoittelee erikseen sertifiointilaitoksesi, ja se vaihtelee tyypillisesti 1 500 punnan ja yli 3 000 punnan välillä ympäristösi koosta riippuen. Lisäksi veloitetaan sisäinen valmisteluaika.
Kuinka kauan Cyber Essentialsin saaminen kestää?
Useimmat Yhdistyneen kuningaskunnan yritykset suorittavat perussertifioinnin 2–4 viikossa, ja nopeutettu prosessi kestää vähintään noin 3–5 arkipäivää, jos valvonta on jo käytössä. Cyber Essentials Plus lisää riippumattoman teknisen tarkastuksen 4–6 viikkoa lisää. Suurimmat viivästykset johtuvat vanhojen aukkojen, kuten puuttuvien monitoimitenttien, käyttöiän päättymisen ja dokumentoimattomien järjestelmänvalvojan tilien, korjaamisesta.
Mitä eroa on Cyber Essentialsilla ja Cyber Essentials Plussalla?
Basic Cyber Essentials on itsearviointikyselylomake, jonka allekirjoittaa sisäisesti ja jonka ulkopuolinen arvioija tarkistaa. Cyber Essentials Plus on sama laajuinen, mutta siihen sisältyy riippumaton tekninen tarkastus, joka sisältää haavoittuvuuksien tarkistuksia ja laitteiden otoksen käytännön testausta. Plus tarjoaa varmennetun varmuuden ja sitä vaaditaan yhä enemmän puolustusministeriön, kansallisen terveyspalvelun ja säänneltyjen toimittajien sopimuksissa. Plus-sertifikaattia ei voi saada ilman perussertifikaattia.
Kuka tarvitsee kyberturvallisuusvaatimuksia?
Cyber Essentials on pakollinen Yhdistyneen kuningaskunnan keskushallinnon toimittajille sopimuksissa, jotka koskevat henkilötietoja tai tiettyjä ICT-palveluita, sekä puolustusministeriön toimittajille DEFCON 658 -asetuksen mukaisesti. Myös NHS:n toimittajat, paikallisviranomaisten urakoitsijat ja yhä useammat yksityisen sektorin yritykset vaativat sitä. Monet kybervakuutusyhtiöt tarjoavat parempia vakuutusmaksuja tai asettavat sen vakuutuksen edellytykseksi. Se on tunnustettu hyvän kyberhygienian perusta, vaikka sopimuspainetta ei olisikaan.
Mitä Cyber Essentials kattaa?
Cyber Essentials kattaa viisi teknistä valvonta-aluetta: palomuurit ja reitittimet, suojatun konfiguroinnin, käyttäjien pääsynhallinnan, haittaohjelmien torjunnan ja tietoturvapäivitysten hallinnan. Jokaisen laitteen, käyttäjätilin ja pilvipalvelun on täytettävä vaatimukset kaikilla viidellä alueella. Pilvipalvelut, kuten Microsoft 365, Google Workspace, AWS ja Azure, kuuluvat nimenomaisesti soveltamisalaan, ja monitoimitunnistus kaikilla järjestelmänvalvojan tileillä on lähtökohtaisesti odotettavissa vuonna 2026.
Onko Cyber Essentials hintansa arvoinen?
Useimmille Yhdistyneen kuningaskunnan yrityksille kyllä. Sertifiointi avaa julkisen sektorin sopimuksia, tukee kybervakuutussovelluksia ja pakottaa puhdistamaan peruskontrollit, jotka estävät suurimman osan opportunistisista hyökkäyksistä. Kustannukset (vähintään 330 puntaa + alv) ja aika (muutama viikko) ovat alhaiset suhteessa sopimus- ja vakuutusetuihin. Katso täydellisempi ja rehellisempi arvio verkkosivuiltamme. Onko Cyber Essentials hintansa arvoinen? opas.
Miten Cyber Essentials eroaa ISO 27001 -standardista?
Cyber Essentials on ainoa Isossa-Britanniassa toimiva standardi, joka keskittyy viiteen tekniseen valvonta-alueeseen. ISO 27001 on kansainvälinen standardi täydelliselle tietoturvallisuuden hallintajärjestelmälle (ISMS), joka kattaa 93 liitteen A mukaista valvontaa, johtamisen, riskienhallinnan ja jatkuvan parantamisen. Cyber Essentialsin käyttöönotto kestää viikkoja ja maksaa alkaen 330 puntaa + alv; ISO 27001 kestää kuukausia ja maksaa alkaen noin 3 000 puntaa. Nämä kaksi täydentävät toisiaan, ja Cyber Essentials on tyypillisesti välietappi kohti ISO 27001 -standardia.
