Cyber Essentials krijgt een update voor 2025: wat Britse bedrijven moeten weten

Door Rebecca Harper • 16 april 2025

Nu cyberdreigingen toenemen, van ransomware-aanvallen tot door de overheid gesteunde hacks, staan organisaties in het Verenigd Koninkrijk onder toenemende druk om hun informatiebeveiliging te versterken. Terwijl veel grote ondernemingen zich aanpassen aan wereldwijde normen zoals ISO 27001, heeft de door de Britse overheid gesteunde Cyber Essentials-regeling biedt een fundamentele maatstaf voor het aantonen van basiscyberhygiëne voor kleine en middelgrote bedrijven.

Maar er komen veranderingen aan.

Vanaf 28 april 2025 worden de certificeringsprocessen voor Cyber Essentials en Cyber Essentials Plus strategisch vernieuwd. Deze wijzigingen weerspiegelen de veranderende aard van cyberdreigingen en de toenemende complexiteit van de omgevingen waarin bedrijven actief zijn. In deze blog bespreken we de updates, onderzoeken we waarom ze belangrijk zijn en schetsen we welke volgende stappen organisaties moeten nemen.

Waarom cyber essentials nog steeds belangrijk zijn

Cyber Essentials, gelanceerd in 2014, is ontworpen om organisaties te helpen zich te beschermen tegen de meest voorkomende cyberdreigingen en hun toewijding aan cybersecurity te tonen. Voor velen was het het startpunt in hun beveiligingstraject en een basisvereiste voor zakendoen met overheidsinstanties en een groeiend aantal organisaties in de private sector.

Met een duidelijke focus op fundamentele bescherming legt Cyber Essentials de basis voor beveiliging en moedigt het organisaties aan om proactief te werk te gaan. In de kern draait het om het goed regelen van de basisprincipes – zoals firewalls, veilige instellingen, toegangscontrole, bescherming tegen malware en het up-to-date houden van systemen.

Maar zelfs de basisprincipes evolueren in de loop der tijd. En dat geldt ook voor het plan.

Wat verandert er in april 2025?

De updates voor 2025 zijn ontworpen om de realiteit van het huidige bedreigingslandschap voor bedrijven te weerspiegelen en ervoor te zorgen dat Cyber Essentials een zinvolle standaard blijft. Dit is wat er nieuw is:

1. Wachtwoordloze authenticatie wordt de standaard

Een belangrijke verandering is de overstap naar wachtwoordloze authenticatie. Dat betekent onder andere:

Biometrie (bijvoorbeeld vingerafdruk of gezichtsherkenning)

Hardware-beveiligingssleutels

Eenmalige toegangscodes of pushmeldingen

Worden nu erkend als geldige, veilige inlogmethoden.

Waarom het belangrijk is: Traditionele wachtwoorden vormen nog steeds een van de zwakste schakels in cybersecurity. Hergebruik van wachtwoorden, phishingaanvallen en bruteforce-pogingen blijven veelvoorkomende aanvalsmethoden. Door de focus te verleggen naar wachtwoordloze opties, helpt de nieuwe richtlijn organisaties om sterkere, betrouwbaardere manieren te implementeren om toegang te beheren en systemen veilig te houden.

2. Een bredere kijk op werken op afstand

De term ‘thuiswerken’ wordt vervangen door ‘thuis- en op afstand werken’. Dit is een subtiele maar belangrijke verandering.

Waarom het belangrijk is: Werknemers zitten niet langer aan huis gekluisterd. Ze werken vanuit cafés, op luchthavens, in de trein en in co-workingruimtes – allemaal omgevingen die als onbetrouwbaar worden beschouwd. De regeling weerspiegelt deze realiteit en bedrijven zullen moeten aantonen dat gegevens die op afstand worden geraadpleegd, adequaat worden beschermd, ongeacht de locatie.

3. Nieuwe terminologie voor kwetsbaarheidsoplossingen

De eerdere focus op 'patches en updates' wordt uitgebreid naar alle soorten 'oplossingen voor kwetsbaarheden'. Dit betekent:

Registerwijzigingen

Configuratie-updates

Scripts of door leveranciers goedgekeurde mitigaties

Waarom het belangrijk is: Niet elk beveiligingsprobleem heeft een nette patch. Soms ziet de oplossing er anders uit, en deze update weerspiegelt die realiteit. Het geeft organisaties meer flexibiliteit in hoe ze op risico's reageren en maakt tegelijkertijd duidelijk dat er actie wordt verwacht.

4. Betere afstemming op internationale normen

Hoewel dit niet expliciet wordt vermeld, sluit het bijgewerkte schema beter aan bij mondiale cyberbeveiligingskaders zoals de Nationaal Instituut voor Standaarden (NIST) en ISO 27001 .

Waarom het belangrijk is: Voor Britse organisaties die internationaal actief zijn, draagt afstemming op deze normen bij aan het opbouwen van geloofwaardigheid en opent het deuren naar nieuwe markten. Voor degenen die al bezig zijn met de ISO 27001-certificering, kan Cyber Essentials dienen als opstapje, en dat pad is nu duidelijker gedefinieerd.

5. Wijzigingen in de Cyber Essentials Plus-testspecificatie

Er worden enkele noodzakelijke aanpassingen doorgevoerd in de manier waarop Cyber Essentials Plus-beoordelingen worden uitgevoerd:

Beoordelaars moeten verifiëren of de reikwijdte overeenkomt met de initiële zelfevaluatie.

Wanneer de scope niet de gehele organisatie omvat, moeten de grenzen duidelijk gedefinieerd en technisch gescheiden zijn.

De bemonstering van apparaten moet representatief zijn en met bewijsstukken onderbouwd.

Waarom het belangrijk is: Deze updates zorgen voor meer nauwkeurigheid en consistentie in de Plus-beoordeling. Ze zorgen ervoor dat organisaties niet zomaar systemen kunnen selecteren voor naleving, maar moeten aantonen dat ze overal goede praktijken hebben geïmplementeerd.

Wat betekent dit voor uw bedrijf?

Deze wijzigingen zijn niet bedoeld om organisaties te verrassen. Ze zijn er om ervoor te zorgen dat de regeling gelijke tred houdt met de reële risico's waarmee bedrijven vandaag de dag te maken hebben. Ze vereisen echter wel actie, vooral voor bedrijven die hun verlengingsdatum eind 2025 naderen.

Als u al Cyber Essentials-gecertificeerd bent, is het nu tijd om uw huidige houding te herzien:

Onderzoekt u wachtwoordloze technologieën?

Zijn uw beleid voor toegang op afstand afgestemd op de huidige hybride werkrealiteit?

Is uw aanpak van kwetsbaarheidsbeheer flexibel en responsief?

Als je bezig bent met je eerste certificering, is het verstandig om nu al op de veranderingen in te spelen. Wacht niet tot april 2025, maar implementeer deze maatregelen vandaag nog.

Cyber Essentials en meer

Het is belangrijk om te onthouden dat Cyber Essentials niet het eindpunt is, maar het startpunt. Naarmate cyberdreigingen steeds geavanceerder worden en de regelgeving toeneemt, kiezen veel organisaties ervoor om hun Cyber Essentials-fundamenten verder uit te bouwen met geavanceerdere standaarden.

ISO/IEC 27001 is een logische volgende stap. Het is een wereldwijd erkende norm voor informatiebeveiligingsbeheer die een uitgebreid raamwerk biedt voor het beheersen van informatierisico's. Waar Cyber Essentials beschrijft wat er moet gebeuren, laat ISO 27001 zien hoe u deze praktijken kunt integreren in de dagelijkse bedrijfsvoering.

Samen kunnen deze normen bijdragen aan een veerkrachtigere, beter nalevende en echt veilige organisatie.

Hulp nodig bij het navigeren door de veranderingen?

Of u nu voor het eerst met het programma aan de slag gaat of dat u zich moet aanpassen aan de updates van 2025: het kan een uitdaging zijn om te wennen aan de nieuwe vereisten.

Daar komen wij in beeld. Bij ISMS.online hebben we met duizenden organisaties samengewerkt om hen te helpen op de hoogte te blijven van Cyber Essentials, Cyber Essentials Plus en ISO 27001. Ons platform is ontworpen om compliance te vereenvoudigen, zodat u een duidelijk beeld krijgt van wat er nodig is en u van begin tot eind op koers blijft. Zo kunt u uw compliancetraject vol vertrouwen tegemoet zien.

Ook wij doen wat we beloven en hebben met behulp van ons eigen platform de Cyber Essential-hercertificering met succes behaald in november 2024.

We zijn al bezig met het inbouwen van ondersteuning voor de wijzigingen van april 2025, zodat u voorbereid bent en niet hoeft te haasten.

Conclusie

Cyber Essentials blijft een cruciaal onderdeel van de Britse cybersecuritystrategie. Het geeft klanten, leveranciers en partners een duidelijke boodschap: u neemt beveiliging serieus.

De komende veranderingen zijn bedoeld om de regeling relevanter en veerkrachtiger te maken en zo de realiteit van modern werken te weerspiegelen. Maar dit is niet zomaar een kwestie van afvinken. Het is een kans om betere beveiligingsgewoonten in uw hele organisatie te ontwikkelen.

Als u nog niet bent begonnen met de voorbereidingen, is dit een goed moment om in actie te komen. Evalueer uw beveiligingshouding, betrek uw leidinggevenden erbij en bereid u voor op de toekomst van Cyber Essentials. Goede informatiebeveiliging is niet zomaar een vinkje; het is een zakelijk voordeel.

Rebecca Harper

Rebecca is het hoofd contentmarketing van ISMS.online. Met meer dan 12 jaar ervaring in de informatie- en cyberbeveiligingsindustrie, is Rebecca toegewijd aan het opleiden, vergroten van bewustzijn en het empoweren van bedrijven om doelstellingen op het gebied van compliance, informatie en cyberbeveiligingsbeheer te bereiken.