Elektronický podpis a norma ISO 27001: průvodce 2026

Elektronický podpis se stal páteří B2B smluvních procesů, ale jeho právní a komerční hodnota spočívá na předpokladu, který je často podceňován: robustnosti informačního systému, který jej podporuje. To je přesně místo, kde vstupuje norma ISO/IEC 27001, mezinárodní referenční standard pro management bezpečnosti informací. V roce 2026, kdy se kybernetické útoky zaměřené na platformy podpisu znásobují a nařízení eIDAS 2.0 zpřísňuje požadavky na poskytovatele důvěry, otázka certifikace ISO 27001 již není luxus vyhrazený pro velké účty: stává se standardním kritériem výběru pro každé nasazení elektronického podpisu v podniku.

Tento článek analyzuje synergie mezi ISO 27001 a elektronickým podpisem, konkrétní povinnosti, které z ní vyplývají, rizika nesouladu a kroky k získání nebo vyhodnocení certifikace u vašeho SaaS poskytovatele.

Co je norma ISO 27001 a proč je pro elektronický podpis tak klíčová?

Publikovaná Mezinárodní organizací pro normalizaci (ISO) a Mezinárodní elektrotechnickou komisí (IEC), norma ISO/IEC 27001:2022 (verze revidovaná v říjnu 2022) definuje požadavky pro vytvoření, zavedení, údržbu a neustálé zlepšování Systému Řízení Bezpečnosti Informací (SRBI). Pokrývá 93 kontrolních mechanismů rozdělených do čtyř témat: organizační kontroly, kontroly osob, fyzické kontroly a technologické kontroly.

Pro elektronický podpis má tato norma zvláštní důležitost, protože přímo řeší tři pilíře bezpečnosti informací:

• Důvěrnost: ochrana podepsaných dokumentů před neoprávněným přístupem
• Integrita: záruka, že dokumenty nejsou po podpisu pozměněny
• Dostupnost: dostupnost důkazů podpisu v případě možného soudního sporu

Kontrolní mechanismy ISO 27001 přímo použitelné na elektronický podpis

Z 93 kontrolních mechanismů v příloze A normy se několik přímo týká pracovních toků podpisu:

Kontrola 5.14 – Přenos informací: ukládá formální pravidla pro bezpečný přenos dokumentů k podpisu, zejména prostřednictvím šifrovaných protokolů (minimálně TLS 1.3).

Kontrola 8.24 – Použití kryptografie: vyžaduje zdokumentovanou politiku šifrování pokrývající algoritmy používané pro generování a ověřování elektronických podpisů. V praxi to znamená použití algoritmů odpovídajících doporučením ANSSI (minimum RSA-3072 nebo ECDSA-256 v roce 2026).

Kontrola 8.12 – Prevence úniku dat (DLP): chrání osobní údaje obsažené v podepsaných dokumentech v přímé shodě s povinnostmi GDPR.

Kontrola 5.18 – Přístupová práva: zaručuje, že pouze oprávněné osoby mohou v platformě iniciovat, podepsat nebo si prohlédnout dokument.

ISO 27001 vs. jiné certifikace bezpečnosti: jaká komplementarita?

ISO 27001 není jedinou relevantní normou, ale představuje základ. Doplňuje ji:

• SOC 2 Type II (americký standard, často požadovaný společnostmi kotovanými na NYSE)
• ISO/IEC 27017 a 27018: rozšíření specifická pro cloud a ochranu osobních údajů v cloudu
• Kvalifikace eIDAS vydávaná akreditovanými subjekty (LSTI ve Francii): povinná pro Kvalifikované poskytovatele služeb důvěry (QPST)

Poskytovatel elektronického podpisu certifikovaný ISO 27001 A zároveň kvalifikovaný eIDAS tedy nabízí maximální úroveň záruk, sladěné s tím, co podrobně popisuje kompletní průvodce nařízením eIDAS 2.0.

Specifické požadavky pro SaaS poskytovatele elektronického podpisu

Výběr SaaS elektronického podpisu certifikovaného ISO 27001 neznamená, že vaše vlastní organizace je kryta – ale to značně ovlivňuje úroveň zbývajícího rizika, které na sebe berete.

Rozsah certifikace: co je třeba ověřit

Při vyhodnocování dodavatele jsou rozhodující tři otázky:

1. Pokrývá rozsah certifikace službu podpisu? Vydavatel může být certifikován ISO 27001 pro své činnosti vývoje softwaru bez toho, aby byla platforma podpisu v rozsahu. Vyžadujte oficiální certifikát a ověřte si prohlášení o vhodnosti (Statement of Applicability).

1. Je certifikace aktuální? ISO 27001 vyžaduje roční dozorující audity a audit obnovení každé tři roky. Vypršená certifikace zneplatňuje jakoukoli záruku.

1. Který certifikační orgán? Ve Francii orgány akreditované COFRAC (Bureau Veritas, SGS, BSI Group, LRQA…) vydávají uznávané certifikace. Vlastní prohlášení o souladu nemá žádnou právní hodnotu.

Řízení incidentů a kontinuita činnosti

ISO 27001 vyžaduje zdokumentovaný a testovaný Plán kontinuity činnosti (BCP) a Plán obnovy činnosti (DRP). Pro platformu elektronického podpisu se to konkrétně překládá na:

• RTO (Recovery Time Objective) nižší než 4 hodiny pro produkční prostředí
• RPO (Recovery Point Objective) nižší než 1 hodina, aby se zabránilo ztrátě dat podpisu
• Testované obnovy zdokumentované alespoň pololetně
• Postup hlášení bezpečnostních incidentů v souladu s článkem 33 GDPR (maximálně 72 hodin)

Tyto požadavky se shodují s požadavky směrnice NIS2, transponované do francouzského práva zákonem č. 2024-449 ze 21. května 2024, který ukládá základním a důležitým subjektům povinnosti hlášení incidentů a posílená opatření v oblasti kybernetické bezpečnosti.

Jak certifikace ISO 27001 posiluje důkazní hodnotu elektronického podpisu

Často přehlížený bod právníků a nákupčích: právní pevnost kvalifikovaného elektronického podpisu závisí částečně na technickém řetězci důvěry, který jej podporuje. Dokument podepsaný na platformě, jejíž bezpečnost je ohrožena, může mít svou důkazní hodnotu napadnutou u soudu.

Integrita dat jako právní základ

Článek 1366 Občanského zákoníku stanoví, že elektronický podpis má hodnotu ručně psaného podpisu "za předpokladu, že jej lze řádně identifikovat autora a je proveden a uchován způsobem vhodným k zajištění jeho integrity". Tato podmínka integrity je přesně ústředním předmětem ISO 27001.

V případě sporu bude moci poskytovatel certifikovaný ISO 27001 předložit:

• Neměnné auditní logy dokazující historii přístupů
• Zprávy auditů certifikace osvědčující zavedené kontroly
• Politiku správy kryptografických klíčů odpovídající příloze A

Tyto prvky tvoří soubor důkazů, který značně posiluje pozici strany, která se odvolává na platnost podpisu. Další podrobnosti o právní hodnotě různých úrovní podpisu naleznete v našem srovnání řešení elektronického podpisu.

Důkazní archivace a doba uchovávání

ISO 27001 v kombinaci s normou NF Z42-020 (digitální bezpečnostní schránka) a doporučeními ETSI EN 319 162 (kvalifikovaná služba elektronického archivování) umožňuje definovat politiku archivování, která zaručuje důkazní hodnotu podpisů po dlouhé doby – až 30 let pro některé obchodní smlouvy.

Kontrolní mechanismus 8.10 – Smazání informací v ISO 27001 navíc ukládá zdokumentované postupy pro bezpečné zničení dat na konci jejich životního cyklu, v souladu s právem na zapomenutí podle GDPR (článek 17).

Jak vyhodnotit a vyžadovat soulad ISO 27001 od vašeho poskytovatele podpisu

V rámci procesu nákupu nebo obnovení smlouvy SaaS je zde čtyřstupňový protokol hodnocení.

Krok 1: Požádejte a ověřte oficiální certifikát

Vyžadujte certifikát ISO/IEC 27001:2022 (nikoli starší verzi 2013, která je od října 2025 zastaralá) spolu s nejnovější zprávou z dozorujícího auditu. Ověřte datum platnosti v rejstříku certifikačního orgánu.

Krok 2: Analyzujte prohlášení o vhodnosti (SoA)

Statement of Applicability uvádí vybrané a vyloučené kontrolní mechanismy s odůvodněním. Jakýkoli kontrolní mechanismus vyloučený bez zdokumentovaného odůvodnění představuje zbývající riziko, které je třeba vyhodnotit ve vaší analýze rizik dodavatele.

Krok 3: Začleňte požadavky do smlouvy

Vaše smlouva s poskytovatelem musí obsahovat:

• Ustanovení o zachování certifikace s povinností hlášení v případě pozastavení
• Právo na audit nebo přístup k ročním zprávám externích auditů
• SLA bezpečnosti sladěné s BCP/DRP poskytovatele
• Ustanovení o odpovědnosti v případě bezpečnostního incidentu ovlivňujícího integritu podpisů

Krok 4: Proveďte vlastní analýzu rizik

I certifikovaný poskytovatel nechrání vaša interní rizika. ISO 27001 ukládá vaší vlastní organizaci analýzu rizik (klauzule 6.1.2) pokrývající zejména:

• Správu přístupu zaměstnanců k platformě elektronického podpisu
• Povědomí o útocích spamem cílených na pracovní toky podpisu
• Politiku správy delegací podpisu

Tento přístup se přirozeně integruje do celosvětové politiky správy elektronického podpisu pro HR a právní týmy, kde objemy zpracovaných dokumentů vystavují významným operačním rizikům.

Právní rámec platný pro elektronický podpis a ISO 27001

Soulad systému elektronického podpisu spočívá na vrstvě norem, kterou musí každý B2B podnik ovládat.

Občanský zákoník, články 1366 a 1367: Článek 1366 předpokládá rovnocennost elektronického a ručně psaného podpisu za podmínky identifikace autora a záruky integrity. Článek 1367 definuje elektronický podpis jako "používání spolehlivého postupu identifikace zaručujícího jeho spojení s aktem, ke kterému se vztahuje".

Nařízení eIDAS č. 910/2014 a eIDAS 2.0 (Nařízení EU 2024/1183): Použitelné ve všech členských státech EU, rozlišuje tři úrovně podpisu (jednoduchý, pokročilý, kvalifikovaný) a ukládá kvalifikovaným poskytovatelům služeb důvěry (QSCD) audity souladu provedené akreditovanými subjekty. Revize eIDAS 2.0, která začala aplikovat postupně od května 2024, zpřísňuje požadavky na dohled a zavádí evropské digitální peněženky (EUDIW).

Nařízení GDPR č. 2016/679: Osobní údaje obsažené v podepsaných dokumentech (identita podepisujícího, IP adresa, čas) představují osobní údaje. Správce zpracování musí zajistit jejich ochranu (článek 5), oznámit porušení do 72 hodin (článek 33) a zavést ochranu podle návrhu (článek 25). ISO 27001 poskytuje technický rámec pro dosažení souladu.

Směrnice NIS2 (Směrnice EU 2022/2555), transponovaná do francouzského práva zákonem č. 2024-449 ze 21. května 2024: Důležité a základní subjekty – včetně mnoha B2B subjektů – musí zavést odpovídající opatření v oblasti kybernetické bezpečnosti, včetně řízení rizik souvisejících s dodavateli (článek 21). Poskytovatel podpisu bez certifikace ISO 27001 může představovat riziko třetí strany podle NIS2.

Normy ETSI: Řada ETSI EN 319 100 definuje technické požadavky pro kvalifikované elektronické podpisy (EN 319 132 pro XAdES, EN 319 122 pro CAdES, EN 319 142 pro PAdES). Tyto technické normy předpokládají infrastrukturu bezpečnosti odpovídající standardům ISO 27001.

Referenční architektura ANSSI: Ve Francii Národní agentura pro bezpečnost informačních systémů zveřejňuje doporučení týkající se kryptografických algoritmů (referenční architektura RGS – Obecný bezpečnostní referenční rámec), jejichž zavedení je usnadňováno systémem SRBI certifikovaným ISO 27001. Kvalifikace eIDAS českých poskytovatelů se posuzuje ANSSI jako orgánem národního dohledu.

Absence certifikace ISO 27001 u poskytovatele podpisu vystavuje firmu klientů rizikům napadení platnosti podepsaných dokumentů, sankcím GDPR (až 4 % celosvětového obratu nebo 20 M€) a zpochybnění souladu s NIS2.

Scénáře využití: ISO 27001 a elektronický podpis v praxi

Scénář 1 – Advokátní kancelář se zaměřením na obchodní právo s 25 spolupracovníky

Kancelář specialista na fúze a akvizice zpracovává ročně více než 600 aktů vyžadujících pokročilý nebo kvalifikovaný elektronický podpis (NDA, protokoly dohod, smlouvy o převodu). Po interním auditu odhalujícím nedostatky v sledovatelnosti přístupu k platformě podpisu se kancelář rozhodne přijmout pouze poskytovatele certifikované ISO/IEC 27001:2022 s rozsahem explicitně pokrývajícím službu podpisu.

Výsledek: po migraci na certifikovanou platformu zaznamenala kancelář 40% snížení času věnovaného bezpečnostní due diligence během žádostí o nabídky od klientů a může poskytnout zprávy o auditu certifikace do 48 hodin při požadavcích od velkých klientů. Průměrná doba ověřování smlouvy se zkrátila z 3,2 dne na 1,4 dne.

Scénář 2 – Průmyslová firma spravující 1 500 dodavatelských smluv ročně

Malá průmyslová podnik subdodavatel Tier-1 automobilového konstruktéra musí demonstrovat svému hlavnímu objednávajícímu, že celý řetězec elektronického podpisu (objednávky, rámcové smlouvy, dodatky) splňuje požadavky ISO 27001 určené nákupním referenčním rámcem skupiny. Malý podnik provádí mapování rizik dodavatelů podle klauzule 6.1.2 normy a zjišťuje, že starý SaaS poskytovatel nemá aktuální certifikaci.

Po migraci na certifikované řešení a zavedení interního SRBI získá podnik požadovanou kvalifikaci dodavatele a zabezpečí čtyřletou rámcovou smlouvu. Náklady na certifikaci (přibližně 15 000 až 25 000 € pro malý podnik této velikosti podle specialistů na konzultaci) se amortizují za méně než šest měsíců s ohledem na množství zabezpečených smluv.

Scénář 3 – Nemocniční skupina s přibližně 1 200 lůžky

V sektoru zdravotnictví podléhají zdravotnická zařízení posíleným požadavkům: zpracování zdravotnických údajů (zvláštní kategorie podle článku 9 GDPR), certifikace HDS (Poskytovatel služeb ukládání zdravotnických údajů) a nyní kvalifikace NIS2 jako základní subjekt. Nemocniční skupina zavádí elektronický podpis pro své pracovní smlouvy, dohody o klinickém výzkumu a veřejné zakázky (přibližně 900 dokumentů/měsíc).

Výběrem poskytovatele kumulujícího certifikaci ISO 27001, certifikaci HDS a kvalifikaci QPST eIDAS snižuje zařízení expozici rizikům neshody GDPR o 60 % podle svého DPO a těží z garantované důkazní archivace na 30 let pro právně relevantní zdravotnické dokumenty. Doba podpisu smluv o klinickém výzkumu se zkrátí z 12 dnů na průměrně 3,5 dne, uvolňující administrativním týmům významné prostředky.

Závěr

V roce 2026 certifikace ISO/IEC 27001:2022 není již pouhým marketingovým argumentem pro poskytovatele elektronického podpisu: představuje nezbytný technický a právní základ pro zajištění integrity podepsaných dokumentů, soulad s GDPR a NIS2 a důkazní hodnotu smluvních závazků. Pro B2B firmy vyžadovat tuto certifikaci od jejich SaaS poskytovatele se stalo povinností řádné péče, stejně jako ověření kvalifikace eIDAS.

Certyneo je certifikován ISO/IEC 27001:2022 s rozsahem pokrývajícím celou platformu elektronického podpisu. Naše týmy vám mohou pomoci vyhodnotit vaši současnou soulad a zavést bezpečný pracovní tok podpisu vhodný pro vaše objemy a sektor. Požádejte o bezplatnou ukázku na Certyneo nebo prozkoumejte naše tarify abyste našli formuli přizpůsobenou vaší organizaci.