Cyber ​​Essentials får en uppdatering för 2025: Vad brittiska företag behöver veta

Med cyberhot på uppgång, från ransomware-attacker till statsstödd hacking, är organisationer över hela Storbritannien under växande press att stärka sin informationssäkerhet. Medan många stora företag anpassar sig till globala standarder som ISO 27001, stödde den brittiska regeringen Cyber ​​Essentials-schema erbjuder ett grundläggande riktmärke för att demonstrera grundläggande cyberhygien för mindre och medelstora företag. 

Men förändringar kommer. 

Från och med den 28 april 2025 kommer certifieringsprocesserna Cyber ​​Essentials och Cyber ​​Essentials Plus att genomgå strategiska uppdateringar. Dessa förändringar återspeglar cyberhotens föränderliga natur och den ökande komplexiteten i de miljöer där företag verkar. I den här bloggen packar vi upp uppdateringarna, utforskar varför de är viktiga och beskriver vad organisationer måste göra härnäst. 

Varför Cyber ​​Essentials fortfarande är viktiga 

Cyber ​​Essentials lanserades 2014 och designades för att hjälpa organisationer att skydda sig mot de vanligaste cyberhoten och visa sitt engagemang för cybersäkerhet. För många har det fungerat som startpunkten i deras säkerhetsresa, ett grundkrav för att göra affärer med statliga organ och ett växande antal organisationer inom den privata sektorn. 

Med sitt tydliga fokus på grundläggande skydd sätter Cyber ​​Essentials en baslinje för säkerhet och uppmuntrar organisationer att ta en proaktiv hållning. I grunden handlar det om att få grunderna rätt – saker som brandväggar, säkra inställningar, kontrollera vem som har åtkomst, skydda mot skadlig programvara och hålla systemen uppdaterade. 

Men även grunderna utvecklas med tiden. Och så måste ordningen. 

Vad förändras i april 2025? 

2025-uppdateringarna är designade för att spegla verkligheten i det nuvarande affärshotlandskapet och säkerställa att Cyber ​​Essentials förblir en meningsfull standard. Här är vad som är nytt:

1. Lösenordslös autentisering blir standard

En stor förändring är övergången mot lösenordslös autentisering. Det betyder saker som: 

• Biometri (t.ex. fingeravtryck eller ansiktsigenkänning) 

• Säkerhetsnycklar för maskinvara 

• Engångslösenkoder eller push-meddelanden 

Erkänns nu som giltiga, säkra inloggningsmetoder. 

Varför det är viktigt: Traditionella lösenord är fortfarande en av de svagaste länkarna inom cybersäkerhet. Lösenordsåteranvändning, nätfiske-attacker och brute-force-försök förblir vanliga attackvektorer. Genom att flytta fokus till lösenordslösa alternativ hjälper den nya vägledningen organisationer att anta starkare, mer pålitliga sätt att hantera åtkomst och hålla system säkra. 

2. En bredare syn på fjärrarbete

Termen "hemarbete" ersätts med "hem och distansarbete", en subtil men betydande förändring. 

Varför det är viktigt: Anställda är inte längre begränsade till sina hem. De arbetar från kaféer, flygplatser, tåg och samarbetsutrymmen - som alla betraktas som opålitliga miljöer. Systemet återspeglar nu denna verklighet, och företag kommer att behöva visa att data som nås på distans är tillräckligt skyddad, oavsett var. 

3. Ny terminologi för sårbarhetskorrigeringar

Det tidigare fokuset på "patchar och uppdateringar" utökas till att täcka alla typer av "sårbarhetskorrigeringar". Detta betyder: 

• Registerändringar 

• Konfigurationsuppdateringar 

• Skript eller leverantörsgodkända begränsningar 

Varför det är viktigt: Inte alla säkerhetsproblem har en snygg patch. Ibland ser korrigeringen annorlunda ut, och den här uppdateringen återspeglar den verkligheten. Det ger organisationer mer flexibilitet i hur de reagerar på risker samtidigt som det gör det tydligt att åtgärder förväntas. 

4. Större anpassning till internationella standarder

Även om det inte uttryckligen anges, överensstämmer det uppdaterade schemat närmare med globala ramverk för cybersäkerhet som t.ex. National Institute of Standards (NIST) och ISO 27001 . 

Varför det är viktigt: För brittiska organisationer som arbetar internationellt hjälper anpassningen till dessa standarder att bygga trovärdighet och öppnar dörrar till nya marknader. För dem som redan är på väg mot ISO 27001-certifiering kan Cyber ​​Essentials fungera som ett språngbräda, och nu är den vägen tydligare definierad. 

5. Ändringar av testspecifikationen för Cyber ​​Essentials Plus

Vissa nödvändiga justeringar görs av hur Cyber ​​Essentials Plus-bedömningar utförs: 

• Bedömare måste verifiera att omfattningen stämmer överens med den initiala självbedömningen. 

• Gränserna måste vara tydligt definierade och tekniskt åtskilda när omfattningen inte omfattar hela organisationen. 

• Enhetsprovtagning måste vara representativ och bevisad. 

Varför det är viktigt: Dessa uppdateringar lägger till stränghet och konsekvens till Plus-bedömningen. De säkerställer att organisationer inte kan välja system för efterlevnad och måste istället visa att de har implementerat god praxis över hela linjen. 

Vad betyder detta för ditt företag? 

Dessa förändringar är inte utformade för att fånga organisationer. De är där för att säkerställa att systemet håller jämna steg med de verkliga riskerna som dagens företag står inför. De kommer dock att kräva åtgärder, särskilt för dem som närmar sig sitt förnyelsedatum i slutet av 2025. 

Om du redan är Cyber ​​Essentials-certifierad är det nu dags att se över din nuvarande hållning: 

• Utforskar du teknologier utan lösenord? 

• Speglar dina fjärråtkomstpolicyer dagens hybridarbete? 

• Är ditt tillvägagångssätt för sårbarhetshantering flexibel och lyhörd? 

Om du arbetar mot din första certifiering är det klokt att gå före förändringarna nu. Vänta inte till april 2025; implementera dessa metoder idag. 

Cyber ​​Essentials and Beyond 

Det är värt att komma ihåg att Cyber ​​Essentials inte är destinationen; det är utgångspunkten. När cyberhoten blir mer sofistikerade och regeltrycket ökar, väljer många organisationer att bygga vidare på sina Cyber ​​Essentials-grunder med mer avancerade standarder. 

ISO/IEC 27001 är ett naturligt nästa steg. Det är en globalt erkänd standard för hantering av informationssäkerhet som tillhandahåller ett omfattande ramverk för att hantera informationsrisker. Där Cyber ​​Essentials beskriver vad som behöver vara på plats, visar ISO 27001 hur du integrerar dessa metoder i ditt företags dagliga verksamhet. 

Tillsammans kan dessa standarder bidra till att skapa en mer motståndskraftig, kompatibel och genuint säker organisation. 

Behöver du hjälp med att navigera i ändringarna? 

Oavsett om du tar itu med programmet för första gången eller anpassar dig till 2025 års uppdateringar, kan det vara en utmaning att ta tag i de nya kraven. 

Det är där vi kommer in. På ISMS.online har vi arbetat med tusentals organisationer för att hjälpa dem hålla koll på Cyber ​​Essentials, Cyber ​​Essentials Plus och ISO 27001. Vår plattform är utformad för att ta komplexiteten ur efterlevnad, ge dig en tydlig bild av vad som behövs och hålla dig på rätt spår från början till slut. Så du kan närma dig din efterlevnadsresa med tillförsikt. 

Vi utövar också det vi predikar, efter att ha använt vår egen plattform för att framgångsrikt uppnå Cyber ​​Essential-omcertifiering, i november 2024.  

Och vi bygger redan in stöd för ändringarna i april 2025, så att du är redo, inte har bråttom. 

Avslutande tankar 

Cyber ​​Essentials är fortfarande en kritisk del av Storbritanniens cybersäkerhetsstrategi. Det skickar kunder, leverantörer och partners ett tydligt budskap: du tar säkerheten på allvar. 

De kommande förändringarna syftar till att göra systemet mer relevant och motståndskraftigt, vilket återspeglar verkligheten i modernt arbete. Men det här är inte bara en box-tick-övning. Det är en chans att bygga bättre säkerhetsvanor i hela din organisation. 

Om du inte har börjat förbereda dig, är det nu ett bra tillfälle att komma igång. Se över din säkerhetsställning, engagera ditt ledarskap och förbered dig för framtiden för Cyber ​​Essentials. Bra informationssäkerhet är inte bara en kryssruta; det är en affärsfördel.