El Centro Nacional de Ciberseguridad ha anunciado cambios en el programa Cyber Essentials (CE), que entrarán en vigor a partir del 27 de abril de 2026.
El estándar actualizado, Danzell, introduce requisitos más estrictos en cuanto a la autenticación multifactor y la gestión de parches, además de medidas de responsabilidad mejoradas para las organizaciones certificadas. Tanto si planea obtener su primera certificación como si se prepara para renovarla, aquí encontrará la información que necesita sobre los cambios que se avecinan.
Cambios en la Autoevaluación Verificada (VSA) de Cyber Essentials
En la VSA de Cyber Essentials, los nuevos cambios implican criterios de calificación más estrictos para varias preguntas:
- La autenticación multifactor (MFA) para servicios en la nube es ahora un requisito estricto. Si no se implementa la MFA donde está disponible, se producirá un fallo automático en todo el VSA.
- Se han añadido dos nuevas preguntas, A6.4 y A6.5, relacionadas con la actualización de routers y aplicaciones. El incumplimiento de estas preguntas también provocará un fallo automático.
También se incluyen preguntas nuevas y más específicas sobre el alcance de la evaluación. Esto permite a las organizaciones con estructuras complejas definir con claridad qué abarca su certificación Cyber Essentials.
Además, al finalizar la Evaluación de Seguridad Virtual (VSA, por sus siglas en inglés), un miembro del Consejo de Administración o un director deberá firmar una declaración en la que reconozca la responsabilidad de la organización de mantener el cumplimiento de todos los controles de Cyber Essentials durante todo el periodo de certificación. Esto refuerza la importancia del cumplimiento continuo una vez finalizado el periodo de evaluación.
Cambios en el estándar Cyber Essentials Plus
Si una organización no supera la evaluación de Cyber Essentials Plus por falta de parches, el evaluador deberá probar no solo los dispositivos que fallaron, sino también un nuevo conjunto de muestras adicional. Este cambio tiene como objetivo evitar que las organizaciones actualicen selectivamente solo los dispositivos probados y garantizar que se apliquen todas las actualizaciones necesarias en todo el alcance de Cyber Essentials Plus.
Además, las organizaciones ya no podrán modificar sus respuestas de VSA en función de los resultados de la evaluación de Cyber Essentials Plus. Los Términos y Condiciones del programa se actualizarán para exigir explícitamente que la VSA se complete, finalice y permanezca sin cambios antes del inicio de las pruebas de Cyber Essentials Plus.
Nuevo documento de Requisitos para la Infraestructura de TI
Ya está disponible la versión 3.3 del documento «Requisitos para la Infraestructura de TI». Los cambios mejoran la claridad y la orientación con la incorporación de nuevas tecnologías.
Puede consultar el nuevo conjunto de preguntas y el documento «Requisitos para la Infraestructura de TI» aquí:
https://iasme.co.uk/cyber-essentials/preview-the-self-assessment-questions-for-cyber-essentials/
Es importante tener en cuenta que las organizaciones que hayan comenzado el cuestionario anterior antes del 27 de abril de 2026 tendrán seis meses para completar su VSA a partir de esa fecha, y 90 días adicionales para Cyber Essentials Plus.
Información adicional
Tenga en cuenta que la junta evaluadora aún no ha publicado las versiones finales del estándar y que la información podría cambiar antes de su publicación general en abril.
Si desea analizar estos cambios en detalle y cómo se aplican a su organización, póngase en contacto con nuestro equipo. Podemos organizar un análisis de brechas con nuestros consultores de seguridad cualificados.
