Hi!

reicht es, einfach http durch https auszutauschen?

Nein. Das ist nicht ausreichend.
Dadurch, daß du einfach https:// statt http:// schreibst, erreichst du noch keine verschlüsselte Übertragung.
Auf dem Server muß als Grundvoraussetzung erst einmal OpenSSL (oder GnuTLS) installiert sein.

Müssen wir da nicht ein Zertifikat kaufen, oder so?

Du kannst auch ein Zertifikat natürlich auch selbst erstellen.
Dann erscheint im Browser allerdings die Meldung, daß dein Zertifikat nicht vertrauenswürdig sei (es sei denn man installiert dein Zertifikat im Browser).

Es sollte so korrekt wie möglich ablaufen, da es sich ja wie gesagt um die Seite einer orga handelt..

Also um sicher verschlüsselt Daten zu übertragen, mußt du dir kein Zertifikat kaufen. Die eigentliche Verschlüsselung funktioniert auch so.
Aber wenn du mit deiner Site dann wirklich etwas verkaufen willst (oder wenn Leute spenden sollen), dann würde ich das schon tun.
Ansonsten wirkt die Sache nicht besonders seriös. Ich würde bei sowas dann ziemlich skeptisch werden und meine Bankdaten garantiert nicht eingeben.

Schöner Gruß,
rob