Електронен подпис и стандарт ISO 27001: ръководство 2026

Електронният подпис се превърна в гръбнак на договорните процеси B2B, но неговата юридическа и търговска стойност зависи от един често недооценяван предпоставки: здравината на информационната система, която го поддържа. Именно тук е значението на стандарта ISO/IEC 27001, международния референтен документ за управление на сигурността на информацията. През 2026 г., когато кибератаките срещу платформите за подпис се умножават и регламент eIDAS 2.0 затвърждава изискванията към доставчиците на доверителни услуги, въпросът за сертификация ISO 27001 вече не е лукс, запазен за голямите компании: той се превърна в стандартен критерий за избор при всяко внедряване на електронен подпис в предприятието.

Тази статия анализира синергиите между ISO 27001 и електронния подпис, конкретните задължения, които той води с себе си, рисковете от неспазване и стъпките за получаване или оценка на сертификация от вашия SaaS доставчик.

Какво е стандарт ISO 27001 и защо е централен за електронния подпис?

Публикуван от Международната организация по стандартизация (ISO) и Международната електротехническа комисия (IEC), стандартът ISO/IEC 27001:2022 (преработена версия от октомври 2022 г.) определя изискванията за установяване, внедряване, поддържане и непрекъснато подобряване на Система за управление на сигурността на информацията (СМСИ). Той обхваща 93 контрола, разпределени в четири области: организационни контроли, контроли на персонала, физически контроли и технологични контроли.

За електронния подпис този стандарт е особено важен, защото директно адресира трите стълба на сигурността на информацията:

• Конфиденциалност: защита на подписаните документи срещу всякакъв неоторизиран достъп
• Интегритет: гарантия, че документите не са изменени след подписване
• Достъпност: възможност за достъп до доказателства на подпис в случай на евентуален спор

Контроли на ISO 27001, преки приложими към електронния подпис

Сред 93-те контрола от приложение А на стандарта, няколко се прилагат директно към работния процес на подписване:

Контрол 5.14 – Прехвърляне на информация: налага официални правила за сигурна передача на документи за подпис, по-специално чрез криптирани протоколи (TLS 1.3 минимум).

Контрол 8.24 – Използване на криптография: изисква документирана политика на криптиране, обхващаща алгоритмите, използвани за генериране и проверка на електронни подписи. На практика това предполага използването на алгоритми, които отговарят на препоръките на ANSSI (RSA-3072 или ECDSA-256 минимум през 2026 г.).

Контрол 8.12 – Предотвратяване на течове на данни (DLP): защитава личните данни, съдържащи се в подписаните документи, в пълно съответствие със задълженията на GDPR.

Контрол 5.18 – Права на достъп: гарантира, че само упълномощени лица могат да инициират, подпишат или консултират документ в платформата.

ISO 27001 срещу други сертификации за сигурност: каква е комплементарност?

ISO 27001 не е единствената релевантна норма, но представлява основата. Тя се допълва с:

• SOC 2 Type II (американски стандарт, често изисквван от компании, котирани на NYSE)
• ISO/IEC 27017 и 27018: разширения, специфични за облака и защита на личните данни в облака
• Квалификация eIDAS, издавана от акредитирани организации (LSTI във Франция): задължително за квалифицирани доставчици на услуги от доверие (PSCQ)

Доставчик на електронен подпис, сертифициран както по ISO 27001, така и квалифициран по eIDAS, предлага по този начин максимално ниво на гаранция, в съответствие с това, което са подробни в пълното ръководство на регламент eIDAS 2.0.

Специфични изисквания за SaaS доставчици на електронен подпис

Избора на SaaS за електронен подпис, сертифициран по ISO 27001, не означава, че вашата собствена организация е покрита — но това силно обуславя нивото на остатъчния риск, който приемате.

Обхватът на сертификацията: какво трябва да проверите

При оценяване на доставчик, три въпроса са решаващи:

1. Обхватът на сертификацията обхваща ли услугата за подпис? Издател може да бъде сертифициран ISO 27001 за своята дейност в разработването на софтуер, без да е платформата за подпис в обхвата. Изискайте официалния сертификат и проверете декларацията за приложимост (Statement of Applicability).

1. Сертификацията актуална ли е? ISO 27001 налага ежегодни одити за наблюдение и одит за обновяване всеки три години. Изтекъл сертификат обезсилва всякакви гаранции.

1. Кой е издавателят на сертификата? във Франция организациите, акредитирани от COFRAC (Bureau Veritas, SGS, BSI Group, LRQA...), издават признати сертификати. Самодекларирана декларация на съответствие няма юридическа стойност.

Управление на инцидентите и непрекъснатост на услугата

ISO 27001 изисква документиран и тестван План за непрекъснатост на бизнеса (ПНБ) и План за възстановяване на бизнеса (ПВБ). За платформа на електронен подпис, това се отразява конкретно като:

• RTO (Objective on Recovery Time) по-малко от 4 часа за производствени среди
• RPO (Objective on Recovery Point) по-малко от 1 час, избягвайки всякаква загуба на данни за подпис
• Тестване на възстановяване, документирано поне два пъти годишно
• Процедура за уведомяване на инцидентите на сигурността в съответствие с член 33 на GDPR (максимум 72 часа)

Тези изисквания се съответстват с изискванията на директива NIS2, преведена в френския закон чрез закон № 2024-449 от 21 май 2024 г., който налага на съществени и важни субекти задължения за докладване на инцидентите и засилени мерки за кибербезопасност.

Как сертификацията ISO 27001 укрепва доказателствената стойност на електронния подпис

Един често неизвестен момент на правници и купувачи: твърдостта на юридическата стойност на електронния подпис отчасти зависи от техническото доверие, което го поддържа. Документ, подписан на платформа, чиято сигурност е компрометирана, може да види своята доказателствена стойност оспорена пред съд.

Интегритет на данните като правна основа

Член 1366 на Гражданския кодекс установява, че електронният подпис има стойност на писмен подпис „при условие че неговият автор може да бъде надлежно идентифициран и че той е установен и съхранен при условия, които гарантират неговия интегритет". Това условие за интегритет е именно централният обект на ISO 27001.

В случай на спор доставчик, сертифициран по ISO 27001, ще може да представи:

• Неизменяеми одитни журнали, доказващи историята на достъпа
• Одитни доклади на сертификацията, удостоверяващи контролите на място
• Политика за управление на криптографските ключове в съответствие с приложение А

Тези елементи представляват снопче от доказателства, което значително укрепва позицията на страната, която иска валидност на подпис. За да разберете повече за юридическата стойност на различните нива на подпис, консултирайте нашия преглед на решенията за електронен подпис.

Архивиране за доказателства и период на съхранение

ISO 27001, комбинирана с норма NF Z42-020 (цифров сейф) и препоръками на ETSI EN 319 162 (квалифицирана услуга на електронно архивиране), позволява установяване на политика на архивиране, която гарантира доказателствена стойност на подписите за дълги периоди — до 30 години за някои търговски договори.

Контрол 8.10 – Изтриване на информация на ISO 27001 по-нататък налага документирани процедури за безопасно унищожаване на данните в края на цикъла на живота, в съответствие с правото на забравяне на GDPR (член 17).

Как да оцените и да изискате съответствие на ISO 27001 от вашия доставчик на подпис

В контекста на процес на закупуване или обновяване на SaaS договор, ето протокол за оценяване в четири етапа.

Етап 1: Поискайте и проверете официалния сертификат

Изискайте сертификата ISO/IEC 27001:2022 (не версия 2013, която е вече остаряла от октомври 2025 г.) придружена от най-скорошния доклад на одит за наблюдение. Проверете датата на валидност в регистъра на издавателя на сертификата.

Етап 2: Анализирайте декларацията за приложимост (SoA)

Statement of Applicability изброява избраните и изключени контроли, с обоснование. Всеки контрол, изключен без документирано обоснование, представлява остатъчен риск за оценка във вашия анализ на риск доставчик.

Етап 3: Интегрирайте изискванията в договора

Вашият договор с доставчика трябва да съдържа:

• Клауза за поддържане на сертификацията с задължение за уведомяване в случай на прекъсване
• Право на одит или достъп до ежегодни одитни доклади на трети страни
• SLA за сигурност, привързани към ПНБ/ПВБ на доставчика
• Клауза за отговорност в случай на инцидент на сигурност, засягащ интегритета на подписите

Етап 4: Извършете собствен анализ на риск

Дори сертифициран доставчик не покрива вашите вътрешни рискове. ISO 27001 налага на вашата собствена организация анализ на риск (клауза 6.1.2), обхващаща по-специално:

• Управление на достъпа на служителите до платформата на подпис
• Информираност относно фишинг атаки, насочени към работни процеси на подпис
• Политика за управление на делегирането на подпис

Този подход се интегрира естествено в глобална политика на управление на електронен подпис за HR и правни екипи, където обемите на обработвани документи излагат на значими оперативни рискове.

Приложим правен режим за електронен подпис и ISO 27001

Съответствието на система на електронен подпис зависи от норматив пласт, който всяко B2B предприятие трябва да овладее.

Граждански кодекс, членове 1366 и 1367: Член 1366 установява еквивалентност между електронния и писмения подпис при условие на идентификацията на автора и гарантиране на интегритета. Член 1367 определя електронния подпис като „използванието на надежден процес на идентификация, гарантиращ неговата връзка със сделката, към която е приложен".

Регламент eIDAS № 910/2014 и eIDAS 2.0 (Регламент ЕС 2024/1183): Приложим във всички страни членки на ЕС, той разграничава три нива на подпис (прост, напреднал, квалифициран) и налага на квалифицирани доставчици на услуги от доверие (PSCQ) одити на съответствие от акредитирани организации. Преработката eIDAS 2.0, влязла в постепенно прилагане от май 2024 г., засилва изискванията на надзор и въвежда европейския портфейл на цифрова идентичност (EUDIW).

Регламент GDPR № 2016/679: Личните данни, съдържащи се в подписаните документи (идентичност на подписалия, IP адрес, времева мярка), представляват лични данни. Отговорният за обработката трябва да осигури защитата им (член 5), да уведоми нарушенията в 72 часа (член 33) и да приложи защита по дизайн (член 25). ISO 27001 предоставя техническото рамка за осъществяване на съответствието.

Директива NIS2 (Директива ЕС 2022/2555), преведена в френския закон чрез закон № 2024-449 от 21 май 2024 г.: Съществени и важни субекти — на които се отнася много B2B актьори — трябва да приложат пропорционални мерки на кибербезопасност, включително управление на рискове, свързани с доставчици (член 21). Доставчик на подпис, който не е сертифициран ISO 27001, може да представлява риск на трета страна според NIS2.

Норми ETSI: Серия ETSI EN 319 100 определя технически изисквания за квалифицирани електронни подписи (EN 319 132 за XAdES, EN 319 122 за CAdES, EN 319 142 за PAdES). Тези технически норми предполагат инфраструктура на сигурност, в съответствие със стандарти ISO 27001.

Референтен справочник ANSSI: във Франция Национална агенция на сигурност на информационните системи публикува препоръки за криптографските алгоритми (референтен документ RGS — Референтен общ справочник за сигурност), чието прилагане се облекчава от СМСИ, сертифицирана по ISO 27001. Квалификацията eIDAS на френските доставчици е разглеждана от ANSSI като национален орган за надзор.

Отсъствието на сертификация ISO 27001 у доставчик на подпис излага клиентното предприятие на рискове от оспориване на доказателствена стойност на подписаните документи, към наказания GDPR (до 4% от световния годишен оборот или 20 млн. евро) и привеждане в отговорност на неговото съответствие на NIS2.

Сценарии за използване: ISO 27001 и електронен подпис на практика

Сценарий 1 — Корпоративен адвокатски кабинет от 25 колеги

Кабинет, специализиран в сливания и придобивания, обработва ежегодно над 600 документа, изискващи напреднал или квалифициран електронен подпис (NDA, договори за договор, конвенции на прехвърляне). След вътрешен одит, който разкрива недостатъци в проследяването на достъпа до платформата на подпис, кабинетът решава да приеме само доставчици, сертифицирани ISO/IEC 27001:2022, с обхват, който явно обхваща услугата на подпис.

Резултат: след миграция към сертифицирана платформа кабинетът констатира намаление на 40% на времето, прекаран на проверки за сигурност при обществения търг на клиенти, и може да представи одитни доклади на сертификацията в 48 часа при искания на техни клиенти голямо счетоводство. Средното време за валидиране на договор намалява от 3,2 дни на 1,4 дни.

Сценарий 2 — Индустриално предприятие, управляващо 1 500 договора с доставчици годишно

PME индустриално подизпълнител Tier-1 на производител на автомобили трябва да демонстрира на своя поръчител, че целия му чин на подпис (поръчки, рамкови договори, модификации) отговаря на изискванията ISO 27001, наложени от референтния документ на закупуване на групата. PME реализира картография на своите рискове от доставчици согласно клауза 6.1.2 на норма и идентифицира, че неговия предишен SaaS доставчик не притежава валидна в момента сертификация.

След миграция към сертифицирано решение и внедряване на вътрешна СМСИ, PME получава необходимата квалификация на доставчик и защитава четирегодишен рамков договор. Разходът на сертификацията (приблизително 15 000 до 25 000 евро за PME от този размер, според специализирани консултантски кабинети) се амортизира за по-малко от шест месеца, с оглед на обема на защитен договор.

Сценарий 3 — Болнична група от около 1 200 легла

В здравния сектор лечебните учреждения са подложени на засилени изисквания: обработване на здравни данни (категория специално изключение според член 9 на GDPR), сертификация HDS (Болничен хост на данни) и в момента квалификация NIS2 като съществен субект. Болничната група внедрява електронния подпис за своите трудови договори, конвенции на клинични проучвания и публични пазари (приблизително 900 документа/месец).

Чрез избор на доставчик, кумулиращ сертификация ISO 27001, сертификация HDS и квалификация PSCQ eIDAS, учреждението намалява експозицията си към рискове на GDPR неспазване на 60%, според неговия DPO, и се възползва от гарантирано архивиране на доказателства 30 години за правни медицински документи. Времето за подписване на договори на клинични проучвания пада от 12 дни до средно 3,5 дни, освобождавайки значителни ресурси за административни екипи.

Заключение

През 2026 г. сертификацията ISO/IEC 27001:2022 вече не е просто маркетингов аргумент за доставчици на електронен подпис: тя представлява неопходна техническа и правна основа за гарантиране на интегритета на подписаните документи, съответствието на GDPR и NIS2, и доказателствена стойност на договорните ангажименти. За B2B предприятия изискването на тази сертификация от техния SaaS доставчик е станало задължение на разумна мотивност, както е проверката на квалификацията на eIDAS.

Certyneo е сертифициран ISO/IEC 27001:2022 с обхват, обхващащ цялата платформа на електронен подпис. Нашите екипи могат да ви придружат при оценяване на вашето текущо съответствие и внедряването на защитен работен процес на подпис, адаптиран към вашите обеми и сектор. Поискайте безплатна демонстрация на Certyneo или разгледайте нашите цени за намиране на формула, подходяща за вашата организация.