O Centro Nacional de Segurança Cibernética anunciou alterações ao programa Cyber Essentials (CE), que entrarão em vigor a partir de 27 de abril de 2026.
A norma atualizada – Danzell – introduz requisitos mais rigorosos em relação à autenticação multifator e ao gerenciamento de patches, juntamente com medidas de responsabilização aprimoradas para organizações certificadas. Se você está planejando sua primeira certificação ou se preparando para renová-la, aqui está o que você precisa saber sobre as mudanças que estão por vir.
Alterações na Autoavaliação Verificada (VSA) do Cyber Essentials
Para a VSA do Cyber Essentials, as novas alterações significam que várias questões têm critérios de avaliação mais rigorosos:
- A Autenticação Multifator (MFA) para serviços em nuvem agora é um requisito obrigatório. Se a MFA não estiver implementada, quando disponível, isso resultará em reprovação automática em toda a VSA.
- Há duas novas questões, A6.4 e A6.5, relacionadas à aplicação de patches em roteadores e aplicativos. O não cumprimento dessas questões também resultará em reprovação automática.
Também foram incluídas novas perguntas mais específicas sobre o escopo da avaliação. Isso permite que organizações com limites complexos definam claramente o que está coberto pela sua certificação Cyber Essentials.
Além disso, ao final da Avaliação de Segurança Virtual (VSA), haverá uma declaração a ser assinada por um membro do Conselho de Administração ou Diretor, reconhecendo a responsabilidade da organização em manter a conformidade com todos os controles do Cyber Essentials durante todo o período de certificação. Isso reforça a importância da conformidade contínua após o período de avaliação.
Alterações no padrão Cyber Essentials Plus
Se uma organização não for aprovada na avaliação Cyber Essentials Plus devido à falta de patches, o avaliador deverá testar não apenas os dispositivos reprovados, mas também um novo conjunto de amostras adicional. Essa alteração visa impedir que as organizações atualizem seletivamente apenas os dispositivos testados e garantir que todas as atualizações necessárias sejam aplicadas em todo o escopo do Cyber Essentials Plus.
As organizações também não poderão mais ajustar suas respostas do VSA com base nos resultados da avaliação Cyber Essentials Plus. Os Termos e Condições do programa serão atualizados para exigir explicitamente que o VSA seja concluído, finalizado e permaneça inalterado antes do início dos testes do Cyber Essentials Plus.
Novo documento de Requisitos para Infraestrutura de TI
Há uma nova versão 3.3 do documento "Requisitos para Infraestrutura de TI". As alterações aprimoram a clareza e a orientação com a adição de novas tecnologias.
O novo conjunto de perguntas e o documento "Requisitos para Infraestrutura de TI" podem ser visualizados aqui:
https://iasme.co.uk/cyber-essentials/preview-the-self-assessment-questions-for-cyber-essentials/
É importante observar que as organizações que iniciaram o conjunto de perguntas anterior antes de 27 de abril de 2026 terão seis meses para concluir sua Autoavaliação de Segurança (VSA) a partir dessa data, e mais 90 dias para o Cyber Essentials Plus.
Informações Adicionais
bserve que as versões finais da norma ainda não foram totalmente divulgadas pela banca de avaliação e as informações podem sofrer alterações antes do lançamento oficial em abril.
Caso deseje discutir essas alterações em detalhes e como elas se aplicam à sua organização, entre em contato com nossa equipe. Podemos agendar uma análise de lacunas com nossos consultores de segurança qualificados.
