Jak funguje elektronický podpis v roce 2026

Úvod

Elektronický podpis je dnes jádrem digitální transformace podniků: v roce 2025 jej v alespoň jednom smluvním procesu integroval více než 70 % velkých evropských organizací (zdroj: Gartner, Digital Process Automation Survey 2025). Přesto jen málo rozhodovatelů chápe přesně mechanismy, které jej činí právně platným a technicky nepadělatelným. Pochopení toho, jak technicky funguje elektronický podpis — kryptografie, PKI, certifikáty — umožňuje zvolit správné řešení, snížit právní rizika a urychlit interní adopci. Tento článek vás krok za krokem provede architekturou a standardy, které elektronický podpis v roce 2026 řídí.

---

Kryptografické základy elektronického podpisu

Elektronický podpis se opírá o ověřené kryptografické primitiva. Pochopení mechanismů umožňuje pochopit, proč je spolehlivější než zdigitalizovaný ručně psaný podpis.

Asymetrické šifrování: veřejný klíč a soukromý klíč

Základní princip je asymetrická kryptografie, vynalezená v 70. letech 20. století a standardizovaná algoritmy jako RSA (Rivest–Shamir–Adleman) nebo eliptické křivky (ECDSA). Každý podepisující má dva matematicky související klíče:

• Soukromý klíč: utajovaně udržován podepisujícím na zabezpečeném zařízení (čipová karta, token HSM nebo chráněný softwarový modul). Slouží k vytvoření podpisu.
• Veřejný klíč: volně distribuován, zahrnut v digitálním certifikátu. Slouží k ověření podpisu.

Princip bezpečnosti spočívá v asymetrii výpočtů: matematicky je triviální ověřit podpis veřejným klíčem, ale prakticky nemožné rekonstruovat soukromý klíč z veřejného klíče (problém diskrétního logaritmu nebo faktorizace velkých čísel).

Hashovací funkce: digitální otisk dokumentu

Před podepsáním systém vypočítá kryptografický otisk dokumentu pomocí hashovací funkce (SHA-256 nebo SHA-3 v roce 2026). Tento otisk, nazývaný hash nebo kondenzát, je řetězec znaků pevné délky (256 bitů pro SHA-256), který jedinečně reprezentuje obsah dokumentu.

Zásadní vlastnost: změna jediného znaku v dokumentu vytvoří naprosto odlišný hash. To je to, co zaručuje integritu podepsaného dokumentu: jakákoliv pozdější změna je okamžitě detekovatelná.

Vlastní elektronický podpis je tedy šifrování tohoto hashe soukromým klíčem podepisujícího. Při ověřování příjemce:

1. Dešifruje podpis veřejným klíčem a obnoví původní hash;
2. Sám přepočítá hash přijatého dokumentu;
3. Porovná obě: pokud jsou shodné, podpis je platný.

---

Infrastruktura veřejných klíčů (PKI): řetězec důvěry

Samotná kryptografie nestačí: je třeba také prokázat, že veřejný klíč patří osobě, která si jej nárokovává. To je role PKI (Public Key Infrastructure) — Infrastruktury veřejných klíčů.

Certifikační autority (CA)

Certifikační autorita (CA) je akreditovaná třetí strana důvěry, která vydává digitální certifikáty. Digitální certifikát je standardizovaný soubor (formát X.509) obsahující:

• Identitu držitele (jméno, organizace, e-mail);
• Jeho veřejný klíč;
• Období platnosti;
• Digitální podpis samotné CA.

V Evropě jsou kvalifikované CA uvedeny v Trusted Lists publikovaných každým státem EU v souladu s nařízením eIDAS. Ve Francii ANSSI tuto seznam zveřejňuje a udržuje. Poskytovatelé kvalifikovaných služeb důvěry (QTSP) — jako CertSign, Certigna nebo Universign — podléhají pravidelnému auditu podle normy ETSI EN 319 401.

Řetězec certifikátů a zneplatňování

PKI funguje na hierarchickém modelu:

• Kořenová CA (Root CA) podepsaná sama sebou, uchovávána offline v podmínkách maximální fyzické bezpečnosti;
• Zprostředkující CA, které vydávají certifikáty koncovým uživatelům.

Zneplatňování certifikátů je kritický mechanismus: je-li soukromý klíč zkompromitován, CA zveřejní jeho zneplatnění prostřednictvím CRL (Certificate Revocation List) nebo protokolem OCSP (Online Certificate Status Protocol), což umožňuje ověření v reálném čase.

Pro kvalifikovaný elektronický podpis podle eIDAS musí být soukromý klíč generován a uchován v QSCD (Qualified Signature Creation Device) — hardwaru certifikovaném CC EAL4+ nebo vyššího, jako je čipová karta nebo HSM (Hardware Security Module).

---

Tři úrovně podpisu podle eIDAS

Evropské nařízení eIDAS č. 910/2014 (a jeho vývoj eIDAS 2.0 právě zaváděný) definuje tři úrovně podpisu, z nichž každá se opírá o rostoucí technické záruky. Chcete-li prohloubit tento regulační rámec, podívejte se na náš úplný průvodce nařízením eIDAS.

Jednoduchý elektronický podpis (SES)

Jednoduchý podpis je technicky nejméně omezující forma. Může být tak základní jako zaškrtnutí pole, jednorázové heslo (OTP) odeslané SMS, nebo obrázek ručně psaného podpisu. Nezávisí nutně na kvalifikovaném certifikátu.

Typické použití: potvrzení nabídek, marketingové souhlasy, smlouvy s nízkým rizikem.

Riziko: omezená důkazní hodnota v případě soudního sporu. Břemeno důkazu nese ten, kdo se na podpis odvolává.

Kvalifikovaný elektronický podpis (AdES)

Kvalifikovaný podpis splňuje čtyři přesné technické požadavky (článek 26 eIDAS):

1. Je jednoznačně vázán na podepisujícího;
2. Umožňuje identifikaci podepisujícího;
3. Je vytvořen z údajů pod výhradní kontrolou podepisujícího;
4. Umožňuje zjistit jakoukoli pozdější změnu dokumentu.

Prakticky to vyžaduje použití osobního digitálního certifikátu a robustního mechanismu ověřování. Standardní formáty jsou definovány ETSI: PAdES (pro PDF), XAdES (XML), CAdES (binární data) a JAdES (JSON), všechny standardizované v řadě ETSI EN 319 100.

Kvalifikovaný elektronický podpis (QES)

Kvalifikovaný podpis je nejvyšší úroveň. Vyžaduje:

• Kvalifikovaný certifikát vydaný akreditovaným QTSP podle eIDAS;
• QSCD pro vytvoření podpisu.

Má prospěch z právní prezumpce spolehlivosti a právní rovnosti s ručním podpisem v celé Evropské unii (článek 25 eIDAS). Je to úroveň požadovaná pro elektronické autentické listiny, některé notářské úkony nebo citlivé veřejné zakázky.

Náš srovnání řešení elektronického podpisu analyzuje praktické rozdíly mezi těmito úrovněmi, aby vám pomohl vybrat.

---

Kompletní proces elektronického podpisu krok za krokem

Zde se podívejte, jak probíhá v praxi transakce elektronického podpisu na platformě SaaS jako Certyneo:

Krok 1: příprava a odeslání dokumentu

Iniciátor podpisu nahraje dokument (smlouva, dodatek, objednávka) na platformu. Systém okamžitě vygeneruje hash SHA-256 původního souboru, opatřeného časovým razítkem a uchovávaného neměnně. Tento otisk bude sloužit jako reference pro budoucí ověření.

Krok 2: ověření totožnosti podepisujícího

V závislosti na zvolené úrovni podpisu se ověřování liší:

• SES: e-mail + odkaz na podpis;
• AdES: silné ověřování (OTP SMS, mobilní aplikace FIDO2);
• QES: ověření identity předem (osobně nebo videem IDV), vydání kvalifikovaného certifikátu jednorázového nebo trvalého používání.

Krok 3: vytvoření kryptografického podpisu

Podepisující zahájí akt podpisu. Platforma (nebo QSCD):

1. Vypočítá hash dokumentu;
2. Zašifruje tento hash soukromým klíčem podepisujícího;
3. Integruje podpis a certifikát do dokumentu (podepsané PDF ve formátu PAdES-LTV pro dlouhodobou archivaci).

Krok 4: kvalifikované časové razítko

Služba kvalifikovaného časového razítka (TSA) v souladu s normou RFC 3161 připojí kryptografické časové razítko, prokazující, že podpis existoval v konkrétní moment. To chrání před falšováním data a zaručuje důkazní hodnotu v čase — i když certifikát podepisujícího později skončí.

Krok 5: archivace důkazů

Podepsaný dokument se archivuje s kompletní auditní stopou: identita podepisujícího, IP adresa, časové razítko, hash dokumentu, použité certifikáty. Tato složka důkazů (audit trail) je nezbytná v případě soudního sporu. Řešení v souladu s eIDAS udržují tyto důkazy ve formátu PAdES-LTV (Long-Term Validation), který integruje ověřovací data umožňující ověření roky po podpisu.

Chcete-li pochopit, jak integrovat tento proces do svých HR toků, podívejte se na naše řešení elektronického podpisu pro HR a naše šablony smluv ke stažení.

Právní rámec použitelný na elektronický podpis

Elektronický podpis se řadí do vícevrstvého normatického rámce, který slaďuje národní občanské právo a harmonizované evropské právo.

Francouzský občanský zákoník

Článek 1366 francouzského občanského zákoníku stanoví základní princip: „Elektronický zápis má stejnou důkazní sílu jako zápis na papírovém nosiči, pokud lze řádně identifikovat osobu, od níž pochází, a je-li vytvořen a uchováván takovým způsobem, který zaručuje jeho integritu." Článek 1367 upřesňuje, že elektronický podpis „spočívá v použití spolehlivého postupu identifikace zaručujícího jeho spojení s aktem, k němuž se vztahuje".

Dekret č. 2017-1416 ze 28. září 2017 definuje prezumpci spolehlivosti pro kvalifikované a kvalifikované podpisy v souladu s eIDAS.

Nařízení eIDAS č. 910/2014

Opěrný bod evropského práva důvěry v digitálním prostředí, nařízení eIDAS (electronic IDentification, Authentication and trust Services) stanovuje jednotný právní rámec pro elektronické podpisy, elektronické pečetě, kvalifikované časové razítko, služby doporučené zásilky a certifikáty ověřování webů. Jeho článek 25, odstavec 2, přiznává kvalifikovanému podpisu právní prezumpci rovnocennosti s ručním podpisem v celé EU.

Nařízení eIDAS 2.0 (právě přijímáno na začátku 1. čtvrtletí 2026) posiluje tato ustanovení evropskou peněženkou digitální identity (EUDIW) a rozšiřuje povinnosti na trhy finančních služeb a zdravotnictví.

Normy ETSI

Formáty podpisů jsou standardizovány ETSI:

• ETSI EN 319 132 (XAdES), EN 319 122 (CAdES), EN 319 102 (PAdES) definují technické profily kvalifikovaných a kvalifikovaných podpisů;
• ETSI EN 319 421 upravuje politiky kvalifikovaných služeb časového razítka.

GDPR a ochrana údajů

Zpracování údajů identity v kontextu elektronického podpisu (jméno, e-mail, biometrie pro ověření identity) podléhá GDPR č. 2016/679. Správci údajů musí: mít právní základ (oprávněný zájem nebo plnění smlouvy), uplaňovat zásadu minimalizace údajů a zaručit bezpečnost vhodným technickým opatřením (šifrování, pseudonymizace).

Směrnice NIS2

Směrnice NIS2 (2022/2555/EU), přijatá v českém právu od října 2024, ukládá operátorům základních služeb a poskytovatelům digitálních služeb (včetně poskytovatelů elektronického podpisu) zesílené povinnosti v oblasti kybernetické bezpečnosti, řízení rizik a oznámení incidentů do 24 hodin. Nedodržení hrozí sankcemi až do výše 10 milionů eur nebo 2 % celosvětového obratu.

Konkrétní scénáře použití elektronického podpisu

Scénář 1: právnická kancelář automatizuje podpisování mandátů

Právnická kancelář zabývající se obchodním právem s asi dvanácti spolupracovníky zpracovávala v průměru 120 mandátů zastoupení měsíčně. Papírový postup vyžadoval tisk, poštovní doručení nebo osobní předání a následnou digitalizaci vrácených dokumentů — což vedlo k průměrnému zpoždění 4,5 pracovního dne na soubor a odhadovanému výpadku dokumentů 8 %.

Zavedením kvalifikovaného elektronického podpisu (AdES) s ověřením OTP kancelář snížila dobu podpisu na méně než 4 hodiny v průměru, snížila míru dokumentačních anomálií na méně než 1 % a ušetřila přibližně 2 200 € ročně na poštovních a tiskových nákladech. Auditní stopa generovaná automaticky také zjednodušila dva spory o mandát tím, že poskytla neprůchodný důkaz s časovým razítkem. Objevte naše řešení určené pro právní kanceláře.

Scénář 2: malý a střední průmyslový podnik digitalizuje smlouvy se dodavateli

Malý a střední průmyslový podnik spravující zhruba 200 smluv se dodavateli ročně (všeobecné podmínky nákupu, cenové dodatky, NDA) čelil zpožděním podpisu přesahujícím tři týdny u smluv přeshraniční s partnery z Německa a Španělska. Rozdíly v právních systémech a absence vzájemného uznání zpomalily jednání.

Přijetím kvalifikovaného podpisu (QES) vydaného akreditovaným QTSP podle eIDAS, uznávaným v celé EU, podnik těžil z automatického právního uznání ve všech třech zemích bez jakýchkoliv dalších légalizací. Průměrná doba podpisu přeshraniční smlouvy se zkrátila z 18 dní na 2,5 dne. Elektronický podpis v podniku podrobně rozebírá tato výhody pro nákupní týmy.

Scénář 3: zdravotnická skupina zajišťuje informovaný souhlas pacientů

Zdravotnická skupina o přibližně 800 lůžkách musela získat informovaný souhlas pacientů pro protokoly klinického výzkumu. Papírová správa vytvářela rizika GDPR (špatně archivované dokumenty, nesledovatelné data) a zatěžovala zdravotnický personál administrativními úkoly.

Integrací jednoduchého elektronického podpisu s identifikací kódem SMS — dostatečné pro činy nepodléhající kvalifikovanému požadavku — zdravotnická skupina automatizovala sběr, archivaci a sledování souhlasů. Administrativní čas na pacienta se zkrátil z 12 minut na méně než 2 minuty, čímž se uvolnilo přibližně 800 zdravotnických hodin ročně. Všechny dokumenty jsou archivovány s kvalifikovaným časovým razítkem, plně splňujícím požadavky CNIL. Prozkoumejte naše řešení podpisu pro zdravotnictví.

Závěr

Pochopení toho, jak technicky funguje elektronický podpis — od asymetrické kryptografie k PKI, od kvalifikovaných certifikátů k důkaznímu časovému razítku — je nezbytné pro vědomé rozhodování o souladu s předpisy a operační účinnosti. Tři úrovně eIDAS (jednoduchá, kvalifikovaná, kvalifikovaná) odpovídají různým potřebám a volba by měla být vždy vedena analýzou právního rizika a očekávané důkazní hodnoty.

Certyneo vás doprovází tímto přechodem s platformou SaaS v souladu s eIDAS, akreditovanými QTSP a zjednodušenou integrací do vašich stávajících procesů. Odhadněte potenciální zisky pro vaši organizaci pomocí našeho kalkulátoru ROI elektronického podpisu, nebo začněte bezprostředně prohlédnutím našich nabídek a cen. Soulad s předpisy a výkonnost již nejsou kompromisem.