¿Qué es la renovación de Cyber Essentials y por qué es importante?
La renovación de Cyber Essentials es el ciclo de recertificación anual que toda organización certificada del Reino Unido debe completar para mantener su certificación. Cyber Essentials Sello de confianza válido. Se emite un certificado con una validez exacta de 12 meses a partir de la fecha de verificación de su evaluación. Transcurridos esos 12 meses, el certificado caduca; no existe ningún período de gracia que le permita seguir mostrando el distintivo o alegar que cuenta con la certificación ante clientes, organismos gubernamentales o aseguradoras.
Esa fecha de vencimiento tan abrupta es deliberada. El panorama de amenazas cambia constantemente, los proveedores de software publican nuevas vulnerabilidades cada mes y el Consorcio IASME (que administra el programa en nombre del NCSC) actualiza los requisitos técnicos aproximadamente una vez al año. Un certificado de 12 meses garantiza que todos los que exhiben la marca han sido evaluados según una versión reciente del estándar, no una instantánea de hace tres años. Para los compradores que adquieren servicios que involucran datos personales o cadenas de suministro gubernamentales, esa actualidad es la clave del programa.
Para la mayoría de las empresas del Reino Unido, la renovación es un requisito contractual y comercial. Si provee al gobierno central, tiene contratos con el Ministerio de Defensa, trabaja con el NHS o forma parte de una cadena de suministro regulada, sus clientes consultarán el registro de certificados de IASME para confirmar que su certificado está vigente. Un certificado caducado suele implicar la suspensión inmediata de nuevos trabajos, una anotación negativa en su historial de proveedores y, en algunos casos, el incumplimiento de una cláusula contractual. Tratar la renovación como un trámite rutinario es arriesgado; debe planificarse, gestionarse y contar con los recursos necesarios, al igual que el proyecto de certificación original.
Esta página cubre el panorama completo de renovación para 2026: la regla de validez de 12 meses, qué cambia año tras año, cómo se compara el proceso con una solicitud completamente nueva, costos en las cinco bandas de tamaño, las actualizaciones de control IASME 2026 para las que debe estar preparado, cuánto dura realmente el período de gracia para certificados caducados y cómo decidir si debe actualizar su certificación. Cyber Essentials Plus en el momento de la renovación.
¿Cómo funciona realmente el ciclo de renovación de 12 meses?
Los certificados Cyber Essentials tienen una validez de 12 meses a partir de la fecha en que el evaluador confirma la aprobación. La fecha de vencimiento aparece impresa en su certificado, registrada en el registro de IASME y se envía por correo electrónico a su contacto registrado antes de la fecha límite. A partir del primer día del segundo año, su certificado anterior deja de tener validez.
El proceso de renovación es, en términos normativos, idéntico al de una solicitud nueva. Deberá completar el mismo Cuestionario de Autoevaluación de Cyber Essentials (SASQ), enviarlo al mismo organismo de certificación, pagar la misma tarifa según el tamaño de su organización y sus respuestas serán revisadas por el mismo grupo de evaluadores. La denominación "renovación" es una conveniencia para la facturación y la programación, no un proceso más sencillo. No existe un cuestionario abreviado, ni la opción de "las mismas respuestas que el año anterior", ni una tarifa reducida para las organizaciones que renuevan su certificación.
Debes responder sobre los cambios que se producen entre el primer y el segundo año. Es posible que tu alcance haya aumentado, que hayas incorporado nuevos dispositivos y software, que los servicios en la nube hayan cambiado y que el cuestionario se haya actualizado. IASME publica una nueva versión de los requisitos aproximadamente cada abril. Si tu renovación coincide con la fecha de dicha actualización, debes responder según la nueva versión, incluso si te certificaste según la versión anterior 11 meses antes. Por eso, una copia limpia de las respuestas del año anterior es útil como punto de partida, pero nunca suficiente como envío final.
La mayoría de los organismos de certificación permiten iniciar el trámite de renovación hasta 90 días antes de la fecha de vencimiento. El plazo de vigencia de su nuevo certificado de 12 meses comienza a contar desde la fecha de emisión del nuevo pase, por lo que presentar la solicitud con anticipación no reduce la cobertura del segundo año; simplemente adelanta la fecha de vencimiento la cantidad de días que transcurran antes de la certificación.
Comienza tu prueba gratuita
¿Quieres explorar?
Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer
¿Qué cambios se producen en los requisitos de Cyber Essentials para 2026?
IASME actualizó los controles técnicos que sustentan Cyber Essentials en abril de 2026. Los cinco temas de control —firewalls, configuración segura, gestión de actualizaciones de seguridad, control de acceso de usuarios y protección contra malware— siguen siendo la base estructural del programa. Los cambios se refieren a los detalles específicos de cada tema: cómo debe implementarse la autenticación multifactor (MFA), qué tipos de dispositivos están incluidos, cómo se tratan los servicios en la nube y el teletrabajo, y las definiciones de compatibilidad de software que activan una detección de software no compatible.
La siguiente tabla resume las novedades de 2026 y las preguntas que permanecen sin cambios respecto al cuestionario de 2025. Úsela para revisar rápidamente las posibles deficiencias antes de enviar su solicitud de renovación.
| Área de control | ¿Qué hay de nuevo en 2026 | Trasladado desde 2025 |
|---|---|---|
| Cortafuegos y límites | Se ha endurecido la redacción de las normas sobre cortafuegos de software para dispositivos utilizados fuera de la red corporativa; se exige explícitamente documentar cualquier regla de entrada con una justificación empresarial. | Denegación de acceso entrante por defecto, cambio de contraseñas predeterminadas del proveedor, protección de interfaz administrativa dedicada. |
| Configuración segura | Expectativas más claras sobre la desactivación de la ejecución/reproducción automática en todos los dispositivos incluidos en el ámbito de aplicación, además de una guía más precisa sobre la segregación de redes Wi-Fi y de invitados para los trabajadores que trabajan desde casa. | Eliminación de software y cuentas innecesarias, bloqueo del dispositivo tras 10 minutos de inactividad, protección contra ataques de fuerza bruta en las cuentas de usuario. |
| Gestión de actualizaciones de seguridad | Definición actualizada de software "compatible" que recoge explícitamente las fechas límite de finalización del soporte extendido del proveedor y trata las versiones antiguas con licencia bloqueada como no compatibles. | Ventana de aplicación de parches de 14 días para CVE de alta/crítica vulnerabilidad, actualizaciones automáticas cuando estén disponibles, eliminación del software no compatible del ámbito o la red. |
| Control de acceso de usuario | Ampliación de la autenticación multifactor (MFA): todos los servicios en la nube (no solo los administrativos) que utiliza la organización ahora requieren MFA para cada usuario, y se recomiendan métodos resistentes al phishing para los administradores. Normas más estrictas para las cuentas compartidas y de servicio. | Cuentas de usuario únicas, proceso formal de aprobación de cuentas de usuario, separación de cuentas estándar y administrativas, autenticación multifactor (MFA) en el acceso de administrador en la nube. |
| Protección de malware | Se ha mejorado la redacción de los tres enfoques aceptados (software antivirus, listas blancas de aplicaciones y entornos aislados) y se ha establecido el requisito explícito de que se incluyan las plataformas móviles. | Escaneo en tiempo real, actualizaciones de firmas/heurísticas, filtrado web o equivalente para los dispositivos incluidos en el ámbito de aplicación. |
| Alcance del servicio en la nube | Definición más precisa de los servicios en la nube incluidos en el ámbito de aplicación: cualquier SaaS, PaaS o IaaS del que dependa su organización para sus operaciones comerciales debe estar cubierto, con una rendición de cuentas más clara en cuanto a la responsabilidad compartida. | Se incluyen suites de productividad, almacenamiento de archivos y plataformas de colaboración similares a Office 365/Google Workspace. |
| BYOD y teletrabajo | Se han endurecido las expectativas para los dispositivos de propiedad personal que acceden a datos corporativos: se deben aplicar de forma demostrable los mismos cinco controles, con orientación práctica sobre la gestión de dispositivos móviles (MDM) y el acceso condicional. | El teletrabajo está incluido por defecto, los routers domésticos quedan excluidos del ámbito de aplicación, y los dispositivos propiedad del empleado entran en el ámbito de aplicación cuando se utilizan para trabajar. |
| Estructura del cuestionario | Se reformularon las preguntas para mayor claridad, se eliminaron las duplicadas y se mejoró la lógica de ramificación para que los encuestados solo vean las preguntas relevantes para su entorno. | Cinco temas de control, secciones organizativas y técnicas, que requieren la aprobación de un miembro del consejo de administración. |
Si obtuvo la certificación en 2025, los controles en sí no han cambiado fundamentalmente, pero la redacción se ha vuelto más estricta y las exigencias de la autenticación multifactor (MFA) han aumentado. El principal obstáculo para la renovación en 2026 es el requisito más amplio de MFA para las cuentas de usuario estándar (no solo para administradores) en los servicios en la nube. Si su implementación actual solo abarca a los administradores, planifique este trabajo dentro de su período de preparación de 60 días antes de la presentación; implementar la MFA en toda la organización suele llevar más tiempo del que sugiere la configuración técnica.
¿Cuánto cuesta renovar Cyber Essentials en 2026?
Los costes de renovación son idénticos a los de una solicitud nueva. IASME fija los precios de forma centralizada, por lo que usted paga la misma tarifa independientemente del organismo de certificación que elija. Los precios se dividen por rangos según el tamaño de la organización, definido por el número total de empleados (no solo el ámbito certificado), y todas las tarifas se cotizan sin IVA.
| Banda de tamaño | Empleados | Tarifa de renovación de Cyber Essentials |
|---|---|---|
| Micro | 0-9 | £ 330 + IVA |
| Pequeña | 10-49 | £ 400 + IVA |
| Media | 50-249 | £ 450 + IVA |
| Ancha | 250+ | £ 500 + IVA |
Si va a actualizar a Cyber Essentials Plus al renovar su certificación, pagará la tarifa estándar de Cyber Essentials mencionada anteriormente más una tarifa de evaluación de Cyber Essentials Plus por separado, que le cotizará directamente su organismo de certificación y que depende de la cantidad de dispositivos y servicios en la nube incluidos en el alcance. Para obtener un desglose completo de los costos de ambas certificaciones, incluidos los ahorros generales del proveedor, consulte nuestra Guía de precios de Cyber Essentials.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Cuándo debería empezar a prepararse para la renovación?
La respuesta sincera es: "antes de lo que piensas". La principal causa de renovaciones fallidas o apresuradas es dejar el trabajo para las últimas dos semanas. Un enfoque práctico y sin estrés consiste en comenzar el proyecto de renovación 60 días antes de la fecha de vencimiento. Esto te da tiempo suficiente para gestionar cambios en el alcance, implementaciones de autenticación multifactor y correcciones de software sin que se te pase el plazo.
60 días antes de la caducidad
Obtenga una copia del SASQ presentado el año pasado, el conjunto de preguntas actual de IASME y sus inventarios de activos y software. Realice un análisis rápido de brechas con respecto a los controles actualizados. Identifique cualquier ubicación nueva, servicio en la nube o clase de dispositivo que haya entrado en el alcance desde su última certificación.
Entre 30 y 45 días antes de su vencimiento.
Cierre cualquier brecha técnica: implemente la MFA para usuarios estándar, elimine o actualice el software no compatible, refuerce las configuraciones del firewall, revise y actualice sus procesos de uso aceptable y de ingreso/traslado/baja. Realice una prueba interna de la cuestionario de autoevaluación con las personas que lo aprobarán.
Entre 14 y 21 días antes de su vencimiento.
Envíe el SASQ a su organismo de certificación. La mayoría de las evaluaciones se devuelven en un plazo de cinco días hábiles, lo que le da margen para preguntas de aclaración o para solicitar correcciones y una nueva presentación (que cuenta como una sola evaluación, no como una nueva, siempre que responda dentro del mismo plazo de envío).
A partir del día de presentación
Una vez aprobado, recibirá su nuevo certificado el mismo día y se actualizará el registro de IASME. Actualice su sitio web, portales de proveedores, documentos de licitación y cualquier registro contractual que haga referencia al número de certificado o a la fecha de vencimiento.
¿Qué ocurre si caduca tu certificado?
Si su certificado vence antes de que presente la renovación, IASME la considera una solicitud nueva, con una importante excepción. Según las normas actuales de IASME, si presenta y aprueba la solicitud dentro de los 14 días posteriores a la fecha de vencimiento anterior, aún puede describir el nuevo certificado como una recertificación continua para fines de marketing y para proveedores. Transcurridos esos 14 días, su historial de certificación se interrumpe, debe declararlo como una solicitud nueva y sus clientes podrían observar una laguna en el registro de certificados.
El coste es el mismo en ambos casos —la caducidad no conlleva penalización—, pero las consecuencias para la reputación y los contratos pueden ser significativas. Los marcos de proveedores gubernamentales y los productos de seguros que exigen certificación continua considerarán cualquier interrupción, incluso de un solo día, como incumplimiento. Si presta servicios al gobierno central a través del Crown Commercial Service, prepárese para que se le impugne cualquier interrupción superior al plazo administrativo de 14 días.
Si corre el riesgo de perder su certificación por motivos ajenos a su control (ausencia de personal clave, cambio de alcance del proyecto a mitad de camino, un primer intento fallido), informe a su organismo de certificación lo antes posible. No pueden prorrogar su certificado actual (solo IASME podría hacerlo y las normas del programa no lo permiten), pero generalmente pueden priorizar su solicitud y ayudarle a minimizar el periodo de inactividad.
¿Deberías actualizar a Cyber Essentials Plus al renovar tu suscripción?
La renovación es el momento idóneo para plantearse la actualización a Cyber Essentials Plus. El certificado estándar de Cyber Essentials se autoevalúa y verifica mediante una revisión documental. Cyber Essentials Plus añade una auditoría técnica independiente y práctica realizada por su organismo de certificación, que abarca análisis de vulnerabilidades, muestreo de dispositivos y la verificación de que los controles que usted afirma estén configurados según lo descrito.
Tres señales sugieren que ahora es el momento adecuado para ascender:
- Presión del cliente — En una licitación o revisión de proveedores se ha solicitado específicamente Cyber Essentials Plus, no solo Cyber Essentials.
- Apalancamiento de seguros — Su agente de seguros cibernéticos le indicará una reducción significativa de la prima o un aumento de la cobertura para las organizaciones con certificación Plus.
- Señal de madurez — Usted dispone de un año de datos operativos que demuestran que los controles funcionan en la práctica y desea demostrarlo externamente.
La evaluación Plus utiliza el mismo cuestionario de autoevaluación que el nivel básico, por lo que el trabajo de preparación es prácticamente el mismo. El esfuerzo adicional consiste en organizar la auditoría técnica (normalmente entre medio día y un día para una organización pequeña) y garantizar que los dispositivos muestreados estén disponibles y configurados correctamente el día de la auditoría. Consulte nuestra Página de requisitos de Cyber Essentials Plus para un desglose control por control de la auditoría y nuestro guía de requisitos para el detalle de control subyacente que se aplica a ambos certificados. Para el trabajo de preparación completo línea por línea que comparten ambas rutas, consulte nuestra Lista de verificación de Cyber Essentials.
¿Por qué elegir ISMS.online para la renovación de Cyber Essentials?
- Previamente mapeado al conjunto de preguntas de 2026 - SGSI.online Realiza un seguimiento del conjunto de preguntas actuales de IASME para que pueda evaluar según los requisitos más recientes sin tener que reconstruir su propia lista de verificación cada año.
- Una plataforma para evidenciar la renovación — Recopilar, almacenar y vincular las pruebas (configuraciones de firewall, capturas de pantalla de MFA, registros de parches, registros de activos) directamente con la pregunta a la que responden, para que no se pierda nada entre el primer y el segundo año.
- Análisis de brechas integrado — Compare su estado actual con los controles vigentes de IASME e identifique las deficiencias de mayor prioridad que deben corregirse antes de la presentación.
- Seguimiento de acciones lideradas por el propietario — convertir cada hueco en una tarea con un responsable designado, una fecha límite y un estado, para que el plazo de preparación de 60 días se mantenga dentro de los plazos previstos.
- Continuación del primer año — Reutilizar las pruebas y respuestas del año pasado como punto de partida, y luego actualizar solo lo que haya cambiado, reduciendo significativamente el tiempo de preparación.
- Un único lugar para múltiples marcos de trabajo. — si también tienes ISO 27001, o están trabajando para SOC 2 or NIS 2, SGSI.online Los mapas superponen controles, de modo que la misma evidencia respalda múltiples certificaciones.
- Con la confianza de miles de organizaciones del Reino Unido. - SGSI.online Brinda soporte a los equipos de cumplimiento normativo en todo el Reino Unido para gestionar las certificaciones recurrentes sin la complejidad de las hojas de cálculo.
Guías relacionadas de Cyber Essentials
Continúa tu aprendizaje sobre Ciberseguridad Fundamental con las demás guías de esta serie:
- Requisitos de Cyber Essentials — Las cinco áreas de control, las decisiones sobre el alcance y las pruebas que buscan los evaluadores.
- Costo de Cyber Essentials — Niveles de precios de IASME, costes adicionales, costes ocultos y totales a 3 años para empresas del Reino Unido.
- ¿Merece la pena Cyber Essentials? — Una evaluación honesta de los beneficios, los inconvenientes y quiénes realmente necesitan la certificación.
- Requisitos de Cyber Essentials Plus — La auditoría técnica, los análisis de vulnerabilidades y las ventajas que Plus ofrece con respecto a la certificación básica.
- Autoevaluación de Cyber Essentials — El flujo de trabajo, el alcance, las evidencias y los errores comunes de SASQ.
- ¿Cuánto tiempo tarda la instalación de Cyber Essentials? — Cronograma típico en el Reino Unido, opciones para acelerar el proceso y qué lo ralentiza.
- Fundamentos de ciberseguridad para pequeñas empresas — Precios, alcance y análisis de costo-beneficio específicos para pymes.
- Cyber Essentials frente a ISO 27001 — Comparación del alcance, el coste, el tiempo y el reconocimiento.
Preguntas Frecuentes
¿Cuánto tiempo es válido un certificado Cyber Essentials?
El certificado Cyber Essentials tiene una validez de 12 meses a partir de la fecha en que el evaluador confirma la aprobación. Transcurrido ese plazo, el certificado caduca y ya no podrá reclamar la certificación ni mostrar el distintivo de confianza hasta que complete una renovación exitosa.
¿Cuánto cuesta renovar Cyber Essentials?
Las tarifas de renovación son idénticas a las de una solicitud nueva y las establece centralmente IASME. Los precios varían según el número de empleados: 330 £ + IVA (microempresas, 0–9), 400 £ + IVA (pequeñas empresas, 10–49), 450 £ + IVA (medianas empresas, 50–249) y 500 £ + IVA (grandes empresas, 250 o más). Para obtener la certificación Cyber Essentials Plus, deberá abonar una tarifa de evaluación adicional que le proporcionará su organismo de certificación.
¿Cuál es la diferencia entre renovar la certificación Cyber Essentials y solicitar una nueva certificación?
En cuanto al procedimiento, no hay diferencia. La renovación utiliza el mismo cuestionario de autoevaluación, el mismo organismo de certificación, el mismo grupo de evaluadores y el mismo baremo de tasas que una solicitud nueva. La etiqueta facilita la programación, no simplifica el proceso. Debe responder al cuestionario IASME vigente en su totalidad, independientemente de si obtuvo la certificación el año pasado.
¿Qué sucede si mi certificado Cyber Essentials caduca?
Si presenta su solicitud y la aprueba dentro de los 14 días posteriores a la fecha de vencimiento de su certificado anterior, IASME le permite describir el nuevo certificado como una recertificación continua. Transcurrido ese plazo, su historial de certificación se pierde y la solicitud se considera una solicitud completamente nueva. La tarifa es la misma en ambos casos, pero los clientes que consulten el registro de IASME notarán una diferencia.
¿Cuándo debo empezar a prepararme para la renovación?
Inicie el proyecto de renovación 60 días antes de la fecha de vencimiento. Dedique los primeros 30 días a evaluar su desempeño según el conjunto de preguntas de IASME vigente e identificar deficiencias; los siguientes 15 a 30 días a subsanar deficiencias técnicas (MFA, parcheo, configuración del firewall); y los últimos 14 a 21 días a presentar la solicitud, responder las preguntas del evaluador y aprobar. Dejar el trabajo para el último momento es la principal causa de renovaciones fallidas o caducadas.
¿Puedo actualizar a Cyber Essentials Plus al momento de renovar mi suscripción?
Sí, y la renovación es el momento ideal para dar un paso adelante. Cyber Essentials Plus utiliza el mismo SASQ que el nivel básico, pero añade una auditoría técnica independiente realizada por su organismo de certificación. La auditoría verifica que los controles que usted afirma estén configurados según lo descrito y suele durar entre medio día y un día, ya sea presencial o remotamente. Tenga en cuenta que deberá presupuestar tiempo adicional para la evaluación de Plus, además de la cuota de renovación estándar.
