Přejít na hlavní obsah
Certyneo

Certifikace ISO pro elektronický podpis: průvodce rokem 2026

ISO 27001, eIDAS, ETSI… certifikace poskytovatelů elektronického podpisu se staly nezbytným kritériem výběru. Zjistěte, jak je efektivně porovnávat.

Équipe éditoriale Certyneo12 min čtení

Équipe éditoriale Certyneo

Autor — Certyneo · O Certyneo

Elektronický podpis se stal standardem v dokumentárním řízení francouzských a evropských podniků. Ale za zdánlivou jednoduchostí ověřovacího kliknutí se skrývá technický a regulační ekosystém velké složitosti. V roce 2026 již není otázka „měli bychom přijmout elektronický podpis?" ale „který poskytovatel nabízí dostatečné záruky bezpečnosti a souladu pro můj obor?" Certifikace ISO — a zejména ISO 27001 — představují jednu z nejspolehlivějších odpovědí na tuto otázku. Tento článek vás provede hlavními certifikacemi platnými pro poskytovatele elektronického podpisu, jejich skutečným rozsahem a kritérii pro rigorózní porovnání.

Proč jsou certifikace ISO rozhodující pro elektronický podpis

Elektronický podpis se neomezuje na funkčnost aplikace. Angažuje právní odpovědnost podnikající podepisující strany, důvěrnost zpracovávaných údajů a dlouhodobou integritu archivovaných dokumentů. Proto certifikace získané poskytovatelem nejsou pouhou marketingovou nálepkou: potvrzují úroveň bezpečnostní zralosti auditované nezávislou třetí stranou.

ISO 27001: nezbytný základ informační bezpečnosti

ISO/IEC 27001 je mezinárodní referenční norma pro systémy řízení bezpečnosti informací (SMSI). Pokrývá důvěrnost, integritu a dostupnost údajů. Pro poskytovatele elektronického podpisu tato certifikace znamená, že všechny jeho procesy — od vytvoření účtu podepisující strany až po archivaci podepsaného dokumentu — podléhají zdokumentovaným kontrolám, pravidelně auditovaným akreditovanou organizací (typ LSTI, Bureau Veritas, BSI, atd.).

Konkrétně ISO 27001 ukládá poskytovateli:

  • Vyčerpávající inventář informačních aktiv a jejich souvisejících rizik
  • Přísné zásady kontroly přístupu (silné ověřování, správa oprávnění)
  • Postupy pro správu incidentů a kontinuitu činnosti
  • Pravidelné interní audity a roční kontrolu vedením
  • Nepřetržité sledování zranitelností

Verze platná od roku 2022 (ISO/IEC 27001:2022) zahrnuje 93 bezpečnostních opatření seskupených do čtyř témat: organizační, lidské, fyzické a technologické. Poskytovatel certifikovaný touto verzí demonstruje postoj k bezpečnosti aktuální vůči současným hrozbám, zejména útokům ransomwarem a kompromisům v dodavatelském řetězci.

ISO 27017 a ISO 27018: nezbytná cloudová rozšíření

Téměř všechna SaaS řešení elektronického podpisu se opírají o cloudovou infrastrukturu. V tomto kontextu si zaslouží zvláštní pozornost dvě rozšíření řady ISO 27000:

ISO/IEC 27017 poskytuje specifické pokyny pro cloudové služby, pokrývající zejména sdílenou odpovědnost mezi poskytovatelem a jeho subdodavateli (poskytovatelé hostingu, třetí strany). Pro nákupčího B2B ověření, že poskytovatel má tuto certifikaci nebo se jí řídí, umožňuje ověřit, že data uložená v cloudu podléhají stejným bezpečnostním požadavkům jako prostředí on-premise.

ISO/IEC 27018 se konkrétně zaměřuje na ochranu osobních údajů v cloudu. Doplňuje GDPR definováním operačních postupů: zákaz použití údajů pro účely reklamy bez výslovného souhlasu, transparentnost subdodavatelů, právo na přenositelnost. Pro DPO a osoby zodpovědné za soulad představuje tato certifikace další záruku vážnosti v zacházení s údaji podepisujících stran.

Aby se dozvěděli více o právní hodnotě poskytnuté těmito standardy ve vztahu k evropskému právu, prostudujte si naši příručku o právní hodnotě elektronického podpisu.

Certifikace eIDAS a normy ETSI: co znamená být „kvalifikován"

Mimo normy ISO evropský regulační rámec ukládá své vlastní požadavky na dodržování pro poskytovatele služeb důvěry (PST). Nařízení eIDAS č. 910/2014, jehož přehlasování eIDAS 2.0 probíhá, rozlišuje tři úrovně elektronického podpisu: jednoduchý, pokročilý a kvalifikovaný.

Postavení kvalifikovaného poskytovatele služby důvěry (PSDT)

Aby poskytovatel mohl poskytovat kvalifikované elektronické podpisy — jedinou právní úroveň ekvivalentní ručnímu podpisu ve všech členských státech EU — musí být zapsán v seznamu důvěry svého členského státu (ve Francii seznam spravovaný ANSSI). Tato kvalifikace je založena na počáteční kontrole prováděné akreditovanou organizací pro posuzování shody (CAB), následované pravidelnými dozorčími audity.

Základní technické normy jsou především publikovány ETSI (Evropský institut pro telekomunikační normy):

  • ETSI EN 319 401: obecné požadavky pro PST
  • ETSI EN 319 411: politika a postupy certifikace pro certifikační autority
  • ETSI EN 319 132: profily XAdES pro pokročilý podpis XML
  • ETSI EN 319 122: profily CAdES pro pokročilý podpis CMS
  • ETSI EN 319 162: služba registrované elektronické doručovny

Poskytovatel certifikovaný podle těchto norem ETSI zajišťuje technickou interoperabilitu svých podpisů se všemi řešeními uznávanými v evropském prostoru, což je zásadní pro podniky operující v několika zemích. Naše komplexní příručka nařízení eIDAS podrobně popisuje povinnosti spojené s jednotlivými úrovněmi kvalifikace.

SOC 2 Type II: severnoamerický doplněk k monitorování

Ačkoliv méně běžná v evropském prostoru, zpráva SOC 2 Type II (Service Organization Control) vydaná podle standardů AICPA je často požadována velkými podniky, zejména těmi s pobočkami v USA nebo americkými partnery. Na rozdíl od ISO 27001 (certifikace) je SOC 2 auditní zpráva potvrzující dodržování kritérií trust services (bezpečnost, dostupnost, integrita zpracování, důvěrnost, soukromí) během období pozorování, obvykle šesti až dvanácti měsíců. Pro vyčerpávající porovnání ověření, zda má poskytovatel nedávnou zprávu SOC 2 Type II (méně než dvanáct měsíců), představuje silný signál operační zralosti.

Porovnání certifikací poskytovatelů: metodika a kritéria

Vzhledem k množství dostupných certifikací by se nákupčí B2B měli spíše než na pouhou marketingová tvrzení spolehnout na strukturovanou analytickou mřížku. Náš porovnávač řešení elektronického podpisu uvádí hlavní platformy dostupné ve Francii; zde je návod, jak vyhodnotit jejich úroveň certifikace.

Čtyři otázky, které si vždy položit

1. Jaké je přesné datum a rozsah certifikace? Certifikace ISO 27001 získaná před třemi lety a neobnovená nenabízí stejné záruky jako aktuálně platný certifikát. Systematicky si vyžádejte oficiální certifikát a ověřte rozsah auditovaného procesu: někteří poskytovatelé certifikují pouze svůj hlavní sídel, vyloučením datových center nebo týmů pro vývoj v zahraničí.

2. Kdo provedl audit certifikace? Certifikační orgán musí být sám akreditován členem IAF (International Accreditation Forum). Ve Francii je COFRAC (Francouzský výbor pro akreditaci) příslušný orgán. Certifikát vydaný neakreditovanou organizací nemá žádnou smlouvu nebo regulační hodnotu.

3. Zveřejňuje poskytovatel svou roční zprávu o penetračním testování? ISO 27001 vyžaduje pravidelné posouzení zranitelností, ale neurčuje standardní formát pro penetrační testy. Vyspělý poskytovatel zveřejňuje stručné shrnutí svého ročního pentstu provedeného třetí stranou. ANSSI doporučuje oslovit poskytovatele kvalifikované PASSI (Poskytovatel auditu bezpečnosti informačních systémů) pro tento typ cvičení.

4. Jaké jsou subdodávky a související certifikace? Poskytovatel elektronického podpisu se obvykle opírá o cloudového hostitele (AWS, Azure, OVHcloud atd.) a někdy o třetí strany certifikačních autorit. Ověřte, že tito subdodavatelé mají sami ekvivalentní certifikace (ISO 27001, HDS pro zdravotnické údaje, SecNumCloud pro citlivé údaje). Řetězec důvěry je platný jen tehdy, když je každý jeho článek auditován.

Zvláštní případ referenčního rámce HDS pro zdravotnické údaje

Pro zdravotnická zařízení, domovy pro seniory, zdravotní pojišťovny nebo pojišťovny spravující lékařské údaje, certifikace HDS (Hostitel zdravotnických údajů) se přidává k požadavkům ISO. Od dekretu ze 26. ledna 2018 musí být každý hostitel zdravotnických údajů obsahujících osobní údaje certifikován HDS akreditovanou organizací. Pro poskytovatele elektronického podpisu používaného v medicínském kontextu — souhlas s péčí, digitalizovaný lékařský předpis, zpráva o hospitalizaci — je tato certifikace podmínka sine qua non. Zjistěte speciálnosti elektronického podpisu v sektoru zdravotnictví pro vyhodnocení vašich povinností.

Dopad certifikací na smluvní vyjednávání a due diligence

Certifikace získané poskytovatelem nejsou pouze obchodními argumenty: strukturují vztah mezi stranami a rozdělení odpovědnosti.

Smluvní klauzule k systematickému zahrnutí

Při vyjednávání smlouvy s poskytovatelem elektronického podpisu si zaslouží zvláštní pozornost několik klauzulí přímo spojených s certifikacemi:

  • Klauzule udržování certifikace: poskytovatel se zavazuje udržovat své certifikace po dobu trvání smlouvy a okamžitě oznámit jakékoliv zrušení nebo pozastavení.
  • Auditní klauzule: klient si zachovává právo provádět nebo nechat provádět bezpečnostní audit u poskytovatele za definovaných podmínek (předstihu, rozsahu, důvěrnosti výsledků).
  • Klauzule subdodávky: jakékoliv změny v řetězci subdodávky musí být předmětem předchozího oznámení, s možností vypovězení, pokud nový subdodavatel nesplňuje definované požadavky na certifikaci.
  • SLA dostupnosti: pro poskytovatele certifikované ISO 27001 je minimálního závazku dostupnosti (SLA) 99,9 % na měsíční bázi rozumné očekávání, s finančními pokutami v případě překročení prahů nedostupnosti.

Tyto smluvní aspekty jsou součástí širšího přístupu k řízení elektronického podpisu v podniku, který podrobně popisujeme v naší vyhrazené příručce.

Přínos certifikací v rámci auditu GDPR nebo NIS2

Od vstupu do platnosti směrnice NIS2 (transponované do francouzského práva zákonem ze 15. dubna 2025) musí subjekty základního a důležitého rozsahu prokázat, že jejich kritičtí poskytovatelé — včetně poskytovatelů elektronického podpisu — splňují minimální požadavky na kybernetickou bezpečnost. Certifikace ISO 27001 poskytovatele představuje zdokumentovaný důkaz použitelný během auditu NIS2 nebo inspekce CNIL. Demonstruje zejména implementaci článku 32 GDPR, který vyžaduje vhodná technická a organizační opatření pro zajištění úrovně bezpečnosti přiměřené riziku.

Pro podniky plánující migraci z méně certifikovaného řešení na platformu s vyššími garancemi souladu, náš průvodce migrací na Certyneo podrobně popisuje kroky a opatrnosti, která je třeba dodržovat.

Právní rámec zákona zákona pro certifikace poskytovatelů elektronického podpisu

Právní platnost elektronického podpisu spočívá na vrstvě evropských a národních normativních textů, jejichž zvládnutí je nezbytné pro správné posouzení certifikací poskytovatele.

Občanský zákoník, články 1366 a 1367: Tyto články představují základ francouzského práva elektronického podpisu. Článek 1366 stanovuje, že „elektronický spis má stejnou důkazní hodnotu jako spis na papíru, za předpokladu, že lze řádně identifikovat osobu, z níž vychází, a že je sestaven a uchováván způsobem, který zaručuje jeho integritu". Článek 1367 precizuje, že „podpis nezbytný k dokonalosti právního jednání identifikuje jeho autora" a že v případě elektronické podoby „spočívá v použití spolehlivého postupu identifikace zaručujícího jeho spojení s jednáním, ke kterému se vztahuje". Certifikace ISO 27001 a kvalifikace eIDAS přímým způsobem přispívají k vytvoření této presumpce spolehlivosti.

Nařízení eIDAS č. 910/2014: Toto evropské nařízení, přímo použitelné ve všech členských státech, definuje tři úrovně elektronického podpisu (jednoduchý, pokročilý, kvalifikovaný) a ukládá poskytovatelům služeb důvěry povinnost podrobit se auditům shody podle norem ETSI. Jeho článek 24 precizuje požadavky platné pro kvalifikované poskytovatele, zejména povinnost zaměstnávat kvalifikovaný personál a udržovat dostatečné finanční zdroje. Přehlasování eIDAS 2.0 (Nařízení EU 2024/1183, které vstoupilo v platnost 20. května 2024) tyto požadavky posiluje zavedením Evropské peněženky digitální identity (EUDIW) a rozšířením rozsahu признávaných služeb důvěry.

GDPR č. 2016/679: Články 28 (zpracovatel), 32 (bezpečnost zpracování) a 35 (posouzení vlivu) jsou přímo dotčeny, když poskytovatel elektronického podpisu zpracovává osobní údaje jménem odpovídajícího za zpracování. Článek 32 zejména vyžaduje pseudonymizaci a šifrování osobních údajů, schopnost zajistit důvěrnost, integritu a odolnost systémů. Certifikace ISO 27001 pokrývající tyto aspekty umožňuje částečně splnit tuto povinnost dokazování.

Směrnice NIS2 (EU 2022/2555, transponována francouzským zákonem ze 15. dubna 2025): Ukládá subjektům základního a důležitého rozsahu řídit si rizika související s jejich digitálním dodavatelským řetězcem, včetně jejich poskytovatelů elektronického podpisu. Článek 21 NIS2 vypočítává minimální opatření kybernetické bezpečnosti, z nichž několik přímo překrývá požadavky ISO 27001.

Normy ETSI: Normy EN 319 401, EN 319 411-1, EN 319 411-2, EN 319 132 (XAdES), EN 319 122 (CAdES) a EN 319 162 definují technické požadavky pro poskytovatele kvalifikovaných služeb důvěry. Jejich dodržení je auditováno akreditovanými organizacemi před jakýmkoli zápisem do národních seznamů důvěry.

Odpovědnost při porušení certifikace: Necertifikovaný poskytovatel, který utrpí porušení údajů vedoucí k ohrožení elektronických podpisů, nese odpovědnost smlouvu a delikt. Pro klienta absence předchozího ověření certifikací může být považována za pochybení v řízení kybernetických rizik, které může ovlivnit krytí pojištění kyber.

Scénáře použití: ISO certifikace v praxi

Certifikace ISO nejsou teoretickými abstrakcemi. Zde jsou tři konkrétní scénáře ilustrující jejich operační dopad v různých obchodních kontextech.

Scénář 1: Právnická kancelář zaměřená na obchodní právo vybírající svého poskytovatele podpisu

Právnická kancelář zaměřená na obchodní právo s dvaceti kolegy zpracovává ročně několik stovek citlivých aktů: převody podílů, pakty společníků, dohody o důvěrnosti. Vedoucí oddělení IT musí odůvodnit svou volbu poskytovatele před partnery a velkými klienty, kteří smluvně vyžadují, aby digitální nástroje používané byly certifikované ISO 27001.

Spoléháním se na certifikaci ISO 27001:2022 zvoleného poskytovatele může kancelář v důkazních řízeních klientů předložit osvědčení o souladu. Audit ročního obnovení také představuje argument při veřejných výběrových řízeních, kde je bezpečnost údajů systematicky hodnocena. Výsledek pozorovaný v tomto typu struktur: snížení doby věnované bezpečnostním otázkám během obchodních jednání o 60 až 70 % a eliminace dvou incidentů souvisejících s nekonformními podpisy během období osmnácti měsíců.

Scénář 2: Malý průmyslový podnik spravující smlouvy se dodavateli na mezinárodní úrovni

Malý průmyslový podnik s přibližně 150 zaměstnanci spravující asi 300 smluv se dodavateli ročně, z nichž významnou část s partnery z Německa a Nizozemska, musí zajistit, aby jeho elektronické podpisy byly uznávány v těchto zemích. Kvalifikace eIDAS jeho poskytovatele — zapsaného v seznamu důvěry Francie a nabízejícího pokročilé podpisy v souladu s ETSI EN 319 132 — zaručuje právní interoperabilitu v evropském prostoru.

Paralelně je certifikace ISO 27001 poskytovatele vyžadována oddělením nákupu několika velkých klientů během ročních auditů dodavatelů. Společnost odhaduje, že se vyhnula dvěma requalifikacím smluv (přechod na ručního podpis z důvodu nesouladu) představujícím vyhnuté náklady přibližně 15 000 až 20 000 eur na zpoždění a logistické náklady během dvanácti měsíců.

Scénář 3: Nemocniční sdružení integrující elektronický podpis do svých HR a medicínských procesů

Nemocniční sdružení s přibližně 600 lůžky chce digitalizovat jednak své pracovní smlouvy (zdravotnický personál, lékařští překladatelé) a také své digitální souhlasy s léčbou. Dvě rodiny certifikací se ukazují jako nezbytné: ISO 27001 pro celkovou bezpečnost poskytovatele a certifikace HDS (Hostitel zdravotnických údajů) pro část zpracování medicínských údajů.

Sdružení vybírá poskytovatele disponující oběma certifikacemi, což mu umožňuje pokrýt všechny své případy použití v jediné smlouvě a zároveň splnit požadavky Agentury pro digitální zdravotnictví (ANS). Zvýšení produktivity měřené u HR procesů (smlouvy pro lékařské překladatele podepsány za méně než dvě hodiny oproti dvěma až třem dnům v papírové verzi) představuje odhad úspory 40 % na nákladech správy spojených, tedy roční hodnota okolo 80 000 až 120 000 eur pro objem 1 200 ročně podepsaných smluv.

Závěr

Certifikace ISO 27001, ISO 27017, ISO 27018 a kvalifikace eIDAS nejsou pouhou odznáčením zobrazeným na marketingové stránce: představují základ auditovaných záruk, pravidelně ověřovaných, které angažují odpovědnost poskytovatele a právně chrání podnik - klienta. V roce 2026, vzhledem k rostoucí sofistikovanosti kybernetických hrozeb a zesílení evropské regulace (NIS2, eIDAS 2.0), výběr certifikovaného poskytovatele elektronického podpisu již není možností, ale požadavkem na řízení.

Aby objektivně porovnaly dostupné poskytovatele na francouzském trhu, spolehněte se na čtyři klíčová kritéria identifikovaná v tomto článku: přesný rozsah certifikace, akreditace auditující organizace, transparentnost v řetězci subdodávky a smluvní klauzule zachování. Certyneo splňuje všechny tyto požadavky a pomáhá vám v dosahování souladu. Kontaktujte náš tým pro získání auditu vaší aktuální situace a zjistěte, jak přejít k plně certifikovanému elektronickému podpisu.

Vyzkoušejte Certyneo zdarma

Odešlete svou první podpisovou obálku za méně než 5 minut. 5 obálek zdarma měsíčně, bez platební karty.

Prohloubení tématu

Naše kompletní průvodce pro zvládnutí elektronického podpisu.

Komunita Certyneo

Máte otázku o elektronickém podpisu?

Připojte se ke komunitě Certyneo: položte své otázky, sdílejte své odpovědi a komunikujte s tisíci uživateli a naším týmem.