Miksi Cyber Essentials sopii hyvin pienyrityksille?
Cyber Essentials suunniteltiin pienempiä organisaatioita ajatellen. Se on Ison-Britannian hallituksen tukema IASME-konsortion toteuttama ohjelma, joka keskittyy viiteen tekniseen valvontaan, jotka jokaisella yrityksellä tulisi jo olla käytössä. Ei pitkiä auditointeja, ei tarvetta erilliselle tietoturvatiimille eikä dokumentaatiomaratoneja. Ison-Britannian pk-yritykselle, joka haluaa vain todistaa, että sillä on perusasiat kunnossa, sertifiointi on yksi kustannustehokkaimmista saatavilla olevista pätevyysvaatimuksista.
Yksinyrittäjälle tai 20 hengen konsulttiyritykselle tämä vetovoima on käytännöllinen. Viisi valvontaa kattavat palomuurit, suojatun konfiguroinnin, käyttäjien pääsynhallinnan, haittaohjelmien torjunnan ja tietoturvapäivitysten hallinnan – samat hygieniatoimenpiteet, jotka estävät suurimman osan opportunistisista hyökkäyksistä. Perusasioiden kattaminen estää arviolta 80 prosenttia yleisistä kyberhyökkäyksistä, ja juuri näitä hyökkäyksiä pienyritykset kohtaavat useimmiten. Sinun ei tarvitse rakentaa ISO 27001-luokan johtamisjärjestelmä kelpuuttaaksesi; sinun tarvitsee vain osoittaa, että kontrollit toimivat.
Järjestelmä on myös nimenomaisesti skaalattu yrityksen koon mukaan. Hinnoittelu on porrastettu siten, että alle 10 työntekijän mikroyritys maksaa murto-osan siitä, mitä 250 hengen yritys maksaa, ja itsearviointikysely on sama henkilöstömäärästä riippumatta. Tämä tekee siitä helppokäyttöisen sekä kannettavalla tietokoneella yritystä pyörittäville perustajille että pienille toimijoille. Laajemman kontekstin koko järjestelmästä löydät osoitteesta Kyberasioiden perusteet -keskus.
Mikä ajaa pienyrityksiä sertifioimaan vuonna 2026?
Kolme vallitsevaa painetta. Ensinnäkin Yhdistyneen kuningaskunnan hallituksen hankinnat edellyttävät yhä useammin Cyber Essentials -ominaisuuksien noudattamista kaikilta arkaluonteisia tai henkilökohtaisia tietoja käsitteleviltä toimittajilta. Jos teet tarjouksen keskushallinnon, NHS:n, puolustusministeriön tai paikallisviranomaisten sopimuksista, Cyber Essentials on tyypillisesti perusvaatimus ja usein hankintavaiheessa ehdoton hyväksymis- tai hylkäyskriteeri. Monet kunnat vaativat sitä nyt kaikissa kansalaisten tietoja koskevissa sopimuksissa, riippumatta siitä, kuinka pieni sopimuksen arvo on.
Toiseksi, toimitusketjun paine on kiristynyt. Suuret yritysasiakkaat – pankit, vakuutusyhtiöt, ammattipalveluyritykset ja jälleenmyyjät – pyrkivät puskemaan kyberturvallisuustuotteita toimittajakuntansa kautta osana omia kolmannen osapuolen riskienhallintaohjelmiaan. Pk-yrityksiltä, jotka toimittavat suurille organisaatioille, pyydetään yhä useammin todisteita sertifioinnista ennen sopimusten tekemistä tai uusimista. Sertifioinnin laiminlyönti voi tarkoittaa olemassa olevan liiketoiminnan menettämistä, ei vain uusien mahdollisuuksien menettämistä.
Kolmanneksi, kybervakuutusmarkkinat ovat kovettuneet. Vakuutusyhtiöt esittävät nyt yksityiskohtaisia kysymyksiä tarjousmenettelyjen valvontatoimista, ja useat suuret brittiläiset vakuutusyhtiöt alentavat nimenomaisesti Cyber Essentials -sertifioitujen yritysten vakuutusmaksuja tai parantavat niiden vakuutusehtoja. Pk-yritykselle, joka maksaa vuosittain 500–5 000 puntaa kyberturvaa, jopa 10–20 prosentin vakuutusmaksualennus voi kompensoida suuren osan sertifiointikustannuksista ensimmäisenä vuonna. Täydellisemmän kustannus-hyötykuvan saat oppaastamme... Onko Cyber Essentials hintansa arvoinen kävelee numeroiden läpi.
Mitä Cyber Essentials oikeastaan vaatii pk-yritykseltä?
Standardi määrittelee viisi teknistä valvonta-aluetta. Vuoden 2022 päivityksessä standardin piiriin nousivat kotityöskentely, pilvipalvelut ja BYOD, ja juuri näin useimmat pienyritykset nykyään toimivat.
- palomuurit — Rajapintapalomuurit ja henkilökohtaiset palomuurit laitteissa, jotka muodostavat yhteyden epäluotettaviin verkkoihin (mukaan lukien etätyöntekijöiden käyttämät kotireitittimet).
- Suojattu kokoonpano — Laitteet ja ohjelmistot on konfiguroitu vähentämään haavoittuvuuksia. Oletussalasanat poistettu, käyttämättömät tilit poistettu käytöstä ja tarpeettomat palvelut kytketty pois päältä.
- Käyttäjän käytön valvonta — Jokaisella käyttäjällä on oma tili, järjestelmänvalvojilla on erilliset järjestelmänvalvojan tilit, monivaiheinen todennus pilvipalveluissa ja kaikissa ulkoisesti käytettävissä olevissa palveluissa.
- Haittaohjelmien suojaus — Haittaohjelmien torjunta jokaisessa päätepisteessä, ajan tasalla. Sovellusten sallittujen listaus tai hiekkalaatikkoympäristö vaihtoehtoina hallituille laitteille.
- Tietoturvapäivitysten hallinta — Kaikki ohjelmistot ovat toimittajan tukemia, ja korkeat ja kriittiset korjauspäivitykset asennettiin 14 päivän kuluessa.
Mikään näistä ei ole eksoottinen. Useimmat Microsoft 365:tä tai Google Workspacea hallinnoiduilla kannettavilla tietokoneilla käyttävät pk-yritykset ovat jo 60–80-prosenttisesti valmiita ennen kuin ne edes aloittavat arviointia. Haasteena on yleensä näyttö ja johdonmukaisuus pikemminkin kuin kontrollien täydellinen puuttuminen.
Aloita helposti henkilökohtaisella tuote-esittelyllä
Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.
Paljonko Cyber Essentials maksaa pienyritykselle vuonna 2026?
IASME-konsortio käyttää kokoluokkaperusteista hinnoittelumallia Cyber Essentials -perusarvioinnissa, joten pienemmät yritykset maksavat huomattavasti vähemmän kuin suuremmat. Hinnoittelu asetetaan punnissa (GBP) ja se on ilman arvonlisäveroa. Mikrotaso kattaa useimmat startup-yritykset ja erittäin pienet yritykset, minkä vuoksi Cyber Essentials on realistisesti edullinen yhdestä yhdeksään työntekijän organisaatiolle.
Alla oleva taulukko esittää yhteenvedon nykyisistä kokoluokista. Tarkista aina uusimmat luvut IASME:n verkkosivuilta ennen budjetointia, sillä järjestelmä tarkistaa hinnoittelua säännöllisesti.
| Kokovyöhyke | Tyypillinen henkilöstömäärä | Cyber Essentialsin perusmaksu (ilman ALV:tä) | Kenelle tämä sopii |
|---|---|---|---|
| Mikro | Jopa 9 työntekijää | Alkaen £ 330 | Yksityisyrittäjät, perustajat, startupit, freelance-konsulttiyritykset |
| Pieni | 10–49 työntekijää | Alkaen £ 420 | Kasvavat pk-yritykset, toimistot ja pienet ammattipalveluyritykset |
| Keskikova | 50–249 työntekijää | Alkaen £ 500 | Vakiintuneet pk-yritykset ja scale-upit |
| Suuri | Yli 250 työntekijää | Alkaen £ 600 | Yritysorganisaatiot |
Arviointimaksu on vain sertifiointielimen veloittama maksu. Käytännön budjetin tulisi sisältää myös valmisteluaika (tyypillisesti 20–40 tuntia sisäistä työtä pk-yritykselle) ja kaikki käyttöönottoon tarvittavat työkalut, kuten päätelaitteiden haittaohjelmien torjunta tai MFA-ratkaisu, jos sinulla ei vielä ole sellaista. Monet pienyritykset, joilla on modernit pilvipohjaiset ratkaisut, huomaavat, että ainoa lisäkustannus on itse arviointimaksu. Yksityiskohtaisen erittelyn, mukaan lukien konsulttien hinnat, löydät verkkosivuiltamme. Cyber Essentialsin kustannusopas.
Miten pienyrityksen tulisi laajenna kyberasioiden perusteiden arviointiaan?
Arvioinnin laajuus on pk-yrityksen tärkein yksittäinen päätös arvioinnin aikana. Jos teet sen oikein, prosessi on suoraviivainen; jos teet sen väärin, menetät aikaa toimittamalla todisteita järjestelmistä, joiden ei olisi pitänyt olla laajuudessa, tai pahempaa, jätät pois jotain, jonka olisi pitänyt olla laajuudessa, ja riskeeraat arvioinnin epäonnistumisen.
Oletusarvoisesti koko organisaatio kuuluu sertifioinnin piiriin. Koko organisaation sertifiointi on se, mitä useimmat yritysten hankintatiimit odottavat näkevänsä ja mitä useimmat vakuutusyhtiöt haluavat varmistaa. Pienelle yritykselle organisaation osien sertifiointi on harvoin monimutkaisuuden arvoista, ellei ole olemassa selkeää, erillistä ympäristöä, jota ei voida aidosti saattaa standardin mukaiseksi nopeasti.
| Pk-yritysten laajuuden huomioon ottaminen | Mitä soveltamisalaan kuuluu | Yhteinen pk-yritysten lähestymistapa |
|---|---|---|
| Kotityölaitteet | Mikä tahansa laite, jota käytetään organisaatiotietojen käyttämiseen, mukaan lukien BYOD, jos sitä ei ole eroteltu | Myönnä hallituille kannettaville tietokoneille ehdollisen käyttöoikeuden tai rekisteröi henkilökohtaiset laitteet MDM:ään |
| Kotireitittimet | Käytetään rajapintojen palomuureina, jos niitä käytetään työtietojen käyttämiseen, ellei laitteen ohjelmistopalomuuria ole määritetty vakiomuotoon | Luota laitteen palomuuriin (esim. Windows Defenderin palomuuriin) poistaaksesi kotireitittimen suojausalueelta |
| Microsoft 365 / Google Workspace | Kaikki organisaatiotietoja sisältävät pilvipalvelut kuuluvat soveltamisalaan. | Pakota monitoimitunnistus (MFA) kaikille järjestelmänvalvojan ja käyttäjän tileille, dokumentoi kokoonpano |
| SaaS-työkalut (asiakkuudenhallinta, kirjanpito, projektinhallinta) | Soveltamisalan piiriin kuuluvat, jos heillä on organisaatio- tai asiakastietoja | Ota käyttöön MFA, rajoita järjestelmänvalvojan pääsyä, listaa jokainen järjestelmä resurssirekisteriin |
| Matkapuhelimet | Soveltamisalaan kuuluva, jos sitä käytetään sähköpostin tai yritystietojen käyttämiseen | Vaadi PIN-koodi tai biometrinen lukitus, ota käyttöön etätyhjennys M365:n tai Google-hallinnan kautta |
| Henkilökohtaiset laitteet (BYOD) | Soveltamisalan piirissä aina, kun he käyttävät organisaatiotietoja; nimenomaisesti soveltamisalan sisällä vuoden 2022 päivityksestä lähtien | Joko ota käyttöön MDM tai rajoita BYOD vain verkkopohjaiseen käyttöön ilman paikallista dataa |
| Urakoitsijat ja freelancerit | Soveltamisalaan kuuluvat, jos he käyttävät laitteitasi tai pääsevät käsiksi tietoihisi tiliesi kautta | Myönnä heille organisaatiotilit samoilla hallintalaitteilla tai anna heidän käyttää omaa sertifioitua järjestelmää. |
Nykyaikainen pilvityöskentely auttaa pieniä yrityksiä sertifioinnissa. Koska Microsoft 365 ja Google Workspace keskittävät identiteetin, monitarkistuksen ja laitekäytännöt, pienyritys voi osoittaa yhdenmukaiset valvonnan kaikille käyttäjille yhdestä hallintakonsolista – paljon helpompaa kuin useiden paikallisten palvelimien sekakiinteistön auditointi. Ennen lähettämistä, suorita läpi itsearviointikysely harjoitusyrityksenä laajuuden ja todisteiden puutteiden havaitsemiseksi varhaisessa vaiheessa.
Vapauta itsesi laskentataulukoiden vuorten vallasta
Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.
Pitäisikö pk-yrityksen käyttää konsulttia vai toimia itse?
Useimmat pienyritykset voivat suorittaa Cyber Essentials -perusarvioinnin itse yrityksen sisällä ilman konsulttia. Kyselylomake on selkeästi kirjoitettu, IASME-ohjeet ovat kattavat ja kontrollit vastaavat selkeästi tyypillisen brittiläisen pk-yrityksen jo käyttämiä Microsoft 365- tai Google Workspace -ympäristöjä. Perustaja, IT-päällikkö tai operatiivinen johtaja voi yleensä viedä projektin päätökseen kahdesta kuuteen viikkoon osa-aikatyönä.
Konsultit ovat järkeviä kolmessa tilanteessa. Ensimmäinen on silloin, kun sinulla ei ole sisäistä teknistä osaamista ja haluat jonkun kartoittavan olemassa olevan laitteistosi ohjaimiin ja kertovan, mitä on muutettava. Toinen on silloin, kun pyrit Cyber Essentials Plus (auditoitu versio, johon on tehty ulkoinen tekninen arviointi) ja haluat apua ympäristön valmistelussa. Kolmas vaihtoehto on, kun sinulla on monimutkainen tai sekaympäristö – vanhat paikalliset järjestelmät, useita toimistoja, niche-teollisuuslaitteet – jossa laajuuspäätökset vaativat asiantuntijan panosta.
Konsulttien hinnat Ison-Britannian pk-yritysmarkkinoilla vaihtelevat tyypillisesti 500–3 000 punnan välillä Cyber Essentials -perusarvioinnin tuesta riippuen arvioinnin laajuudesta ja konsultin kokemuksesta. Useimmille pienyrityksille tämä raha on parempi käyttää työkaluihin (monitoiminen analysointi, haittaohjelmien torjunta, MDM) kuin neuvonta-aikaan. Poikkeuksena on Plus, jossa puolen tai yhden päivän mittainen ulkoisen testauksen laajuuden läpikäyminen voi olla arvokasta.
Mikä on realistinen aikataulu pienyritykselle?
Useimmat pk-yritykset ovat valmiita lähettämään kyselyn kahdesta kuuteen viikon kuluessa aloittamisesta. Vaihtelu riippuu lähes kokonaan nykytilan ja viiden kontrollin välisestä ajasta. Pienyritys, jossa on jo käytössä Microsoft 365 monitoimisen autentikoinnin (MFA), hallitut kannettavat tietokoneet ja automaattinen Windows Update, voi täyttää kyselylomakkeen muutamassa päivässä. Yrityksen, jonka on otettava käyttöön MFA, vaihdettava tuen ulkopuolella oleva käyttöjärjestelmä tai otettava käyttöön haittaohjelmien torjunta koko laitekannassaan, tulisi suunnitella kysely useiden viikkojen varalta.
Realistinen suunnitelma näyttää tältä. Viikko yksi: lue kysymyssarja, listaa laitteesi ja pilvipalvelusi ja tunnista mahdolliset ilmeiset puutteet. Viikot kaksi–neljä: korjaa puutteet – ota käyttöön monitoimitunnistus kaikkialla, korjaa tuen ulkopuolella olevat ohjelmistot ja dokumentoi kokoonpanosi. Viikko viisi: täytä kyselylomake ja kerää tukevat todisteet. Viikko kuusi: lähetä ja vastaanota sertifikaatti (yleensä kolmen arkipäivän kuluessa lähettämisestä, jos jatkokysymyksiä ei ole). Vakiosertifikaatti on voimassa 12 kuukautta. Tarkemman erittelyn toimintoittain löydät oppaastamme aiheesta. kuinka kauan Cyber Essentials kestää.
Mitä yleisiä sudenkuoppia pienyritykset kohtaavat?
Viisi ongelmaa selittävät suurimman osan pk-yritysten hylkäämisistä ja uudelleenlähetyksistä. Mikään niistä ei ole teknistä uudelleen keksimistä – ne ovat laajuuden määrittelyyn ja näyttöön liittyviä ongelmia, jotka yllättävät yritykset, kun ne pitävät arviointia pelkkänä rasti-ruudun täyttämisenä pikemminkin kuin tilannekuvana siitä, miten ne todellisuudessa toimivat.
- Tuen ulkopuolella oleva ohjelmisto — Kaikki käyttöjärjestelmät, selaimet tai yrityssovellukset, joiden toimittajan tuen päättymispäivämäärä on ohi, hylätään automaattisesti. Suorita Windows-versioiden, Office-versioiden, macOS-versioiden ja kaikkien erikoistuneiden ohjelmistojen tarkastus ennen lähettämistä. Korvaa tai päivitä kaikki, minkä elinkaaren päättymispäivämäärä on ohi.
- Makrotaloudellisen rahoitusavun vajeet — Monivaiheisen todennuksen on katettava kaikki järjestelmänvalvojan tilit ja kaikki internetin kautta käytettävissä olevat pilvipalvelut. Yleinen pk-yritysten ongelma on vanha sähköpostin edelleenlähetystili, CRM-järjestelmänvalvojan kirjautuminen tai talousjärjestelmä, jossa monivaiheinen todennus ei ole koskaan hiljaisesti käytössä.
- BYOD-oletukset — Yllättävän monet pienyritykset olettavat, että jos laite kuuluu työntekijälle, se ei kuulu valvonnan piiriin. Näin ei ole. Jos henkilökohtainen puhelin tai kannettava tietokone koskettaa organisaation tietoja, se kuuluu valvonnan piiriin ja sen on täytettävä valvonnan vaatimukset.
- Korjausviive — 14 päivän sääntö tärkeille ja tärkeille korjauksille koskee käyttöjärjestelmiä ja kaikkia asennettuja sovelluksia. Yritys, joka korjaa Windowsin automaattisesti, mutta jättää kolmannen osapuolen selaimet ja PDF-lukuohjelmat vanhentuneiksi, epäonnistuu. Käytä korjausten hallintatyökalua tai hallittujen palveluiden kumppania, jos manuaalinen seuranta on epärealistista.
- Todisteiden heikkous — Arvioija etsii todisteita, ei varmuuksia. Kuvakaappauksia monitoimityökalun asetuksista, korjaustiedostojen vientiä, henkilökunnan hyväksymiä kirjallisia käyttöehtoja ja todellisuutta vastaavaa resurssirekisteriä. PK-yritykset, jotka pitävät todisteiden keräämistä arvioinnin viimeisenä vaiheena sen sijaan, että ne olisivat sen perusta, hukkaavat aikaa virheellisten todisteiden perässä juoksemiseen niiden lähettämisen jälkeen.
Useimmat näistä voidaan suunnitella pois ensimmäisestä päivästä lähtien, jos aloitat alustalla, joka pyytää todisteita jokaista kontrollia vastaan sen sijaan, että odottaisit lähetysviikkoon asti.
Mitä hyötyä kybervakuutuksesta on pk-yrityksille?
Isossa-Britanniassa toimiville mikro- ja pienyrityksille Cyber Essentials -perussertifikaatti sisältää nyt kybervastuuvakuutuksen osana pakettia, edellyttäen, että vuosittainen liikevaihto on alle 20 miljoonaa puntaa ja koko organisaatio kuuluu vakuutuksen piiriin. Vakuutus aktivoituu automaattisesti Isossa-Britanniassa toimiville yrityksille, jotka täyttävät kelpoisuusvaatimukset, ilman erillistä vakuutuspäätöstä. Vaikka vakuutus on vaatimaton (yleensä 25 000 puntaa kybervastuuvakuutusta), se on aidosti hyödyllinen yksityisyrittäjille ja mikroyrityksille, joilla muuten ei olisi lainkaan kybervakuutusta.
Sisältyvän vakuutuksen lisäksi sertifioidut yritykset neuvottelevat paremmat ehdot valtavirran kybervakuutusyhtiöiden kanssa. Vakuutusyhtiöt pitävät sertifikaattia todisteena siitä, että perushygienia on kunnossa, mikä pienentää heidän arvioitua riskiään. Erillisissä kybervakuutuksissa 10–20 prosentin vakuutusmaksualennukset ovat yleisiä, ja jotkut välittäjät raportoivat jopa 30 prosentin alennuksista pk-yrityksille, jotka yhdistävät kyberturvan järkeviin lisätoimenpiteisiin, kuten varmuuskopiotestaukseen ja häiriötilanteiden hallintasuunnitelmaan. Laskelmat tarkoittavat yleensä, että arviointi maksaa itsensä takaisin ensimmäisenä vuonna pelkästään vakuutussäästöjen kautta.
Miksi valita ISMS.online pienyritysten kyberturvallisuustarpeisiin?
ISMS.online poistaa Cyber Essentialsin valmisteluun ja ylläpitoon liittyvän kitkan, joten pieni tiimi voi hoitaa koko projektin ilman asiantuntijoiden määrää.
- pk-yritysystävällinen hinnoittelu - ISMS.online on rakennettu skaalautumaan sekä alas- että ylös, joten viiden hengen yritys maksaa tarvitsemansa ilman suurempaa työkalujen lisäkustannuksia.
- Valmiiksi määritetyt Cyber Essentials -ohjaimet — Viisi ohjausaluetta on valmiiksi ladattu käytännön ohjeilla, näyttöön perustuvilla kehotteilla ja esimerkkikäytännöillä, joita voit mukauttaa muutamassa minuutissa sen sijaan, että kirjoittaisit ne tyhjästä.
- Todistekirjasto — Lataa, versioi ja linkitä jokainen todiste (monitoimijärjestelmän näyttökuvat, korjauspäivitykset, konfiguraation lähtötasot) asiaankuuluvaan kontrolliin, jotta arvioijalla on selkeä auditointiketju.
- Resurssi- ja laiterekisteri — Seuraa kaikkia kannettavia tietokoneita, mobiililaitteita ja pilvipalveluita, mukaan lukien BYOD-laitteet ja urakoitsijoiden laitteet, tilaindikaattoreilla, jotka merkitsevät kaikki käytäntöjen vastaiset asiat.
- Mukana olevat käytäntömallit — Hyväksyttävä käyttö, salasana ja pääsy, oman laitteen tuominen, korjauspäivitysten hallinta ja tapausten vastekäytännöt sisältyvät kaikki muokattavina mallipohjina.
- Vuosittainen uusiminen on helppoa — Alusta seuraa uusimispäivämäärääsi, muistuttaa sinua muutoksista ja antaa sinun käyttää todisteita uudelleen sen sijaan, että aloittaisit kyselylomakkeen alusta joka vuosi.
- Polku ISO 27001 -standardiin, kun se on valmis — Kun kyberturvallisuus on sinulle liian vaativaa ja asiakkaasi alkavat kysyä ISO 27001 or SOC 2, työ, jonka olet jo tehnyt ISMS.online jatkuu suoraan eteenpäin — ei uudelleenalustoja, ei uudelleendokumentointia.
Aiheeseen liittyviä Cyber Essentials -oppaita
Jatka kyberasioiden perusteet -matkaasi tämän sarjan muiden oppaiden avulla:
- Kyberturvallisuusvaatimukset — Viisi valvonta-aluetta, laajuuspäätökset ja mitä näytön arvioijat etsivät.
- Kybertarvikkeiden hinta — IASME-hinnoitteluportaat, lisäkustannukset, piilokustannukset ja 3 vuoden kokonaiskustannukset Yhdistyneen kuningaskunnan yrityksille.
- Onko kyberturvallisuus hintansa arvoinen? — Rehellinen arvio hyödyistä, haitoista ja siitä, kuka sertifiointia todella tarvitsee.
- Cyber Essentials Plus -vaatimukset — Tekninen auditointi, haavoittuvuustarkistukset ja mitä Plus tarjoaa perussertifioinnin lisäksi.
- Kyberasioiden itsearviointi — SASQ-työnkulku, laajuus, näyttö ja yleiset sudenkuopat.
- Kuinka kauan kyberturvallisuusongelmiin valmistautuminen kestää? — Tyypillinen aikataulu Isossa-Britanniassa, nopeutetut vaihtoehdot ja mikä hidastaa prosessia.
- Kyberturvallisuuden uusiminen — 12 kuukauden sykli, vuoden 2026 määräysvallan muutokset ja miten valmistautua 60 päivän lähtöön.
- Kyberturvallisuusasiat vs. ISO 27001 — Laajuus, kustannukset, aika ja tunnustus verrattuna.
UKK
Onko Cyber Essentials pakollinen pienille yrityksille Isossa-Britanniassa?
Cyber Essentials ei ole yleinen lakisääteinen vaatimus, mutta se on pakollinen monissa Yhdistyneen kuningaskunnan hallituksen sopimuksissa, joissa toimittaja käsittelee arkaluonteisia tai henkilökohtaisia tietoja. Yhä useammin myös yritysasiakkaat vaativat sitä osana toimitusketjun riskiohjelmiaan. Jos myyt valtiolle tai suurille organisaatioille, käsittele sitä kaupallisesti pakollisena, vaikka se ei olisikaan lain mukaan pakollista.
Paljonko Cyber Essentials maksaa startup-yritykselle tai yksityisyrittäjälle?
Mikrotaso (enintään 9 työntekijää) maksaa alkaen 330 puntaa plus alv perus-itsearvioinnista. Yksityisyrittäjät kuuluvat tähän ryhmään. Jos nykyinen järjestelmäsi tukee jo MFA:ta ja automaattisia päivityksiä, arviointimaksu voi olla ainoa suora kustannuksesi. Cyber Essentials Plus, joka lisää ulkoisen teknisen auditoinnin, maksaa huomattavasti enemmän – tyypillisesti 1 400–3 000 puntaa pienyritykselle sertifiointilaitoksesta riippuen.
Kuinka kauan pienyritykseltä kestää saada sertifiointi?
Useimmat pk-yritykset suorittavat kyberturvallisuuden perusteet kahdesta kuuteen viikkoon. Yritykset, jotka jo käyttävät moderneja pilvipalveluita, joissa on käytössä monitoiminen autentikointi (MFA), saattavat suorittaa sen viikossa. Yritysten, jotka tarvitsevat monitoimisen autentikoinnin (MFA), korvaavat tukemattomat ohjelmistot tai ottavat käyttöön haittaohjelmien torjuntaohjelmiston, tulisi varautua koko kuuteen viikkoon. Kun sertifikaatti on lähetetty, sertifiointilaitos antaa päätöksen yleensä kolmen arkipäivän kuluessa.
Kattaako Cyber Essentials etätyön ja BYOD:n?
Kyllä. Tammikuun 2022 päivityksestä lähtien etätyöskentelylaitteet ja organisaatiotietojen käyttämiseen käytettävät henkilökohtaiset BYOD-laitteet ovat nimenomaisesti kuuluneet järjestelmän piiriin. Yleisin pk-yritysten lähestymistapa on joko myöntää hallittuja kannettavia tietokoneita tai vaatia henkilökohtaisten laitteiden rekisteröintiä mobiililaitteiden hallintaan ehdollisella pääsyllä. Kotireitittimet voidaan yleensä poistaa järjestelmän piiriin luottamalla kunkin laitteen ohjelmistopalomuuriin.
Tarvitsenko konsulttia vai voinko tehdä sen itse?
Useimmat pienyritykset voivat suorittaa Cyber Essentials -perusarvioinnin ilman konsulttia. Kyselylomake on kirjoitettu selkokielellä ja IASME-ohjeet ovat yksityiskohtaiset. Harkitse konsultin palkkaamista, jos sinulla ei ole teknistä johtajaa, jos tavoitteenasi on Cyber Essentials Plus -kurssi tai jos sinulla on monimutkainen ympäristö, jossa on vanhoja järjestelmiä tai useita toimistoja. Käyttämällä alustaa, kuten ISMS.online Valmiiksi määritettyjen kontrollien ja käytäntömallien ansiosta useimmat pk-yritykset säästävät konsulttipalkkion kokonaan.
Alentaako Cyber Essentials kybervakuutusmaksuani?
Usein kyllä. Alle 20 miljoonan punnan liikevaihdon omaavat brittiläiset mikro- ja pienyritykset saavat automaattisesti kybervastuuvakuutuksen osana Cyber Essentials -perussertifikaattia. Tämän lisäksi valtavirran kybervakuutusyhtiöt tarjoavat tyypillisesti 10–20 prosentin vakuutusmaksualennuksia sertifioitujen yritysten erillisistä vakuutuksista, ja jotkut välittäjät raportoivat jopa 30 prosentin alennukset. Pelkästään vakuutussäästöt usein kattavat arviointimaksun ensimmäisenä vuonna.
