Gå til hovedindhold
Certyneo

ISO-certificering for elektronisk underskrift: vejledning 2026

ISO 27001, eIDAS, ETSI… certificeringer for elektroniske underskriftsudbydere er blevet et uomgørligt valgkriterium. Få at vide, hvordan du sammenligner dem effektivt.

Équipe éditoriale Certyneo12 min. læsning

Équipe éditoriale Certyneo

Forfatter — Certyneo · Om Certyneo

Elektronisk underskrift er blevet en standard inden for dokumenthåndtering i franske og europæiske virksomheder. Men bag det tilsyneladende enkle klik på validering skjuler sig et teknisk og regulatorisk økosystem af stor kompleksitet. I 2026 handler spørgsmålet ikke længere om "skal vi vedtage elektronisk underskrift?" men "hvilken udbyder tilbyder tilstrækkelige sikkerhed- og overholdelses garantier for min forretningssammenhæng?". ISO-certificeringer — særligt ISO 27001 — udgør en af de mest pålidelige svar på dette spørgsmål. Denne artikel guider dig gennem de vigtigste certificeringer, der gælder for elektroniske underskriftsudbydere, deres faktiske rækkevidde og kriterierne til en grundig sammenligning.

Hvorfor ISO-certificeringer er afgørende for elektronisk underskrift

Elektronisk underskrift reduceres ikke til en applikationsfunktionalitet. Den forpligter den underskrivende virksomheds juridiske ansvar, fortroligheden af de behandlede data og langsigtet integritet af arkiverede dokumenter. Derfor er de certificeringer, som en udbyder opnår, ikke blot markedsføringsmærker: de bekræfter et sikkerhedsniveauet for modning, der er revideret af en uafhængig tredjemand.

ISO 27001: det uomgørlige grundlag for informationssikkerhed

ISO/IEC 27001 er den internationale referencestandard for styringssystemer for informationssikkerhed (ISMS). Den dækker fortrolighed, integritet og tilgængelighed af data. For en elektronisk underskriftsudbyder betyder denne certificering, at alle hans processer — fra oprettelse af underskriverkonti til arkivering af underskrevne dokumenter — er underlagt dokumenterede kontroller, der regelmæssigt bliver revideret af en akkrediteret organisation (som LSTI, Bureau Veritas, BSI osv.).

I praksis pålægger ISO 27001 udbyder følgende:

  • En udtømmende fortegnelse over informationsaktiver og tilhørende risici
  • Streng adgangskontrolpolitik (stærk godkendelse, rettighedsstyring)
  • Procedurer for hændelsesstyring og forretningskontinuitet
  • Regelmæssige interne revisioner og årlige ledelsesgennemgange
  • Løbende overvågning af sårbarheder

Den version, der er gyldig siden 2022 (ISO/IEC 27001:2022), integrerer 93 sikkerhedsmål grupperet i fire temaer: organisatoriske, menneskelige, fysiske og teknologiske. En certificeret udbyder på denne version demonstrerer en sikkerhedsposition, der er opdateret over for moderne trusler, især ransomware-angreb og angreb på forsyningskæder.

ISO 27017 og ISO 27018: de uundværlige cloud-udvidelser

Næsten alle SaaS-løsninger til elektronisk underskrift er baseret på cloud-infrastrukturer. I denne sammenhæng fortjener to udvidelser af ISO 27000-familien særlig opmærksomhed:

ISO/IEC 27017 giver specifikke retningslinjer for cloud-tjenester, bl.a. dækkende det delte ansvar mellem udbyder og hans underleverandører (værter, tillidspartnere). For en B2B-køber gør det at bekræfte, at udbyder har denne certificering eller overholder den, det muligt at validere, at data, der er gemt i cloud'en, er underlagt samme sikkerhedskrav som lokale miljøer.

ISO/IEC 27018 vedrører specifikt beskyttelsen af personoplysninger i cloud'en. Den supplerer GDPR ved at definere operationelle praksisser: forbud mod brug af data til reklamering uden udtrykkelig samtykke, transparens om underleverandører, ret til dataportabilitet. For informationssikkerhedschefer og compliance-ansvarlige udgør denne certificering et yderligere tegn på alvor i håndteringen af underskrivernes data.

For at dykke dybere ned i den juridiske værdi, som disse standarder tildeler i forbindelse med europæisk ret, se vores vejledning til juridisk værdi af elektronisk underskrift.

ETSI-certificering og normer: hvad det betyder at være "kvalificeret"

Ud over ISO-normer pålægger den europæiske regulatoriske ramme sine egne overholdelses krav til udbydere af tillidsservices (TSP). Forordning eIDAS nr. 910/2014, hvis revision eIDAS 2.0 er under transponering, skelner mellem tre niveauer af elektronisk underskrift: simpel, avanceret og kvalificeret.

Status som Kvalificeret Tillidsserviceudbyder (QTSP)

For at kunne levere kvalificerede elektroniske underskrifter — det eneste niveau, der juridisk svarer til en håndskrevet underskrift i alle EU-medlemsstater — skal en udbyder være registreret på tillidelisten i sin medlemsstat (i Frankrig administreret af ANSSI). Denne kvalificering er baseret på en indledende revision fra en akkrediteret overensstemmelsesvurderingsorgan (CAB), efterfulgt af regelmæssige revisioner.

De underliggende tekniske standarder udgives primært af ETSI (European Telecommunications Standards Institute):

  • ETSI EN 319 401: generelle krav til QTSP'er
  • ETSI EN 319 411: politik og praksis for certificering for certificeringsmyndigheder
  • ETSI EN 319 132: profiler til XAdES avanceret signering
  • ETSI EN 319 122: profiler til CAdES avanceret signering
  • ETSI EN 319 162: registreret elektronisk leveringsservice

En udbyder, der er certificeret i henhold til disse ETSI-normer, sikrer teknisk interoperabilitet af hans underskrifter med alle anerkendte løsninger i det europæiske område, hvilket er afgørende for virksomheder, der opererer i flere lande. Vores komplet vejledning til eIDAS-forordningen detaljerer de forpligtelser, der er forbundet med hvert kvalifikationsniveau.

SOC 2 Type II: det nordamerikanske supplement at overvåge

Selvom det er mindre almindeligt i det europæiske område, anmodes SOC 2 Type II-rapporten (Service Organization Control) i henhold til AICPA-standarder ofte af store virksomheder, særligt dem med amerikanske datterselskaber eller amerikanske partnere. I modsætning til ISO 27001 (certificering) er SOC 2 en revisionsrapport, der bekræfter overholdelse af trust services-kriteria (sikkerhed, tilgængelighed, behandlingsintegritet, fortrolighed, privatlivsbeskyttelse) over en observationsperiode på typisk seks til tolv måneder. For en udtømmende sammenligning er det at kontrollere, at udbyder har en nylig SOC 2 Type II-rapport (mindre end tolv måneder), et stærkt tegn på operationel modenhed.

Sammenligning af leverandørernes certificeringer: metode og kriterier

Over for pluraliteten af tilgængelige certificeringer skal B2B-købere tage stilling til en struktureret analyseramme i stedet for blot at stole på marketingkrav. Vores sammenligning af elektroniske underskriftsløsninger optæller de vigtigste platforme, der er tilgængelige i Frankrig; sådan evaluerer du deres certificeringsniveau.

De fire spørgsmål at stille systematisk

1. Hvad er den nøjagtige dato og rækkevidde af certificeringen? En ISO 27001-certificering opnået for tre år siden og ikke fornyet giver ikke samme garantier som et gyldigt certifikat. Anmod systematisk det officielle certifikat og bekræft omfanget af den reviderede perimeter: nogle udbydere certificerer kun deres hovedkvarter og udelukker datacentre eller offshore-udviklingsteams.

2. Hvem foretog revisionen af certificeringen? Certificeringsorganet skal selv være akkrediteret af et medlem af IAF (International Accreditation Forum). I Frankrig er COFRAC (Comité Français d'Accréditation) det relevante organ. Et certifikat, der er udstedt af et ikke-akkrediteret organ, har ingen kontraktuel eller regulatorisk værdi.

3. Offentliggør udbyder sin årsrapport om penetrationstesten? ISO 27001-certificering kræver regelmæssige sårbarheds vurderinger, men foreskriver ikke et standardformat for penetrationstests. En moden udbyder offentliggør en ledelsesmæssig oversigt over hans årlige pentest gennemført af en tredjemand. ANSSI anbefaler at kontakte udbydere, der er kvalificerede i PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) til denne type øvelse.

4. Hvad er underleverandørerne og tilhørende certificeringer? En elektronisk underskriftsudbyder baserer sig normalt på en cloud-vært (AWS, Azure, OVHcloud osv.) og nogle gange på tredjepartscer tificeringsmyndigheder. Bekræft, at disse underleverandører selv har tilsvarende certificeringer (ISO 27001, HDS for sundhedsdata, SecNumCloud for følsomme data). Tillidsenettet er kun værd, hvis hvert enkelt link bliver revideret.

Det særlige tilfælde af HDS-rammeværket for sundhedsdata

For sundhedsudstyr, plejehjem, gensidigt forsikringsselskaber eller forsikringsselskaber, der håndterer medicinske data, tilføjes HDS-certificering (Hébergeur de Données de Santé) til ISO-kravene. Siden dekret af 26. januar 2018 skal alle værter af personlige sundhedsdata være HDS-certificeret af et akkrediteret organ. For en elektronisk underskriftsudbyder, der bruges i en medicinsk sammenhæng — samtykke til behandling, elektronisk recept, hospitalspapirer — er denne certificering en betingelse. Opdag særegenhederne ved elektronisk underskrift i sundhedssektoren for at evaluere dine forpligtelser.

Virkningen af certificeringer på kontraktforhandlinger og due diligence

Certificeringer, som en udbyder opnår, er ikke blot kommercielle argumenter: de strukturerer forholdet til kontrakten og ansvarsdelingen mellem parterne.

Kontraktbestemmelser, der systematisk skal inkluderes

Ved forhandling af en kontrakt med en elektronisk underskriftsudbyder fortjener flere bestemmelser direkte relateret til certificeringer særlig opmærksomhed:

  • Certificeringsvedvarende klausul: udbyder forpligter sig til at opretholde sine certificeringer i hele kontraktperioden og at underrette omgående om eventuel tilbagekaldelse eller suspension.
  • Revisionsklausul: klienten bevarer retten til at gennemføre eller få gennemført en sikkerhedsrevision hos udbyder under definerede betingelser (forudsætning for meddelelse, perimeter, resultatfortrolighed).
  • Underleverandørklausul: enhver ændring af underleverandørkæden skal informeres på forhånd, med mulighed for bortfald, hvis den nye underleverandør ikke opfylder de fastsatte certificeringskrav.
  • Tilgængelighedsmål: for udbydere certificeret i ISO 27001 er en tilgængeligheds forpligtelse (SLA) på mindst 99,9 % baseret på månedbasis en rimelig forventning, med økonomiske bøder, hvis udelukkelsestærskler overskrides.

Disse kontraktuelle aspekter indgår i en bredere styringsstrategi for elektronisk underskrift i virksomheden, som vi detaljerer i vores dedikerede vejledning.

Bidraget fra certificeringer i forbindelse med GDPR- eller NIS2-revision

Siden ikrafttrædelsen af NIS2-direktiv (transponeret i fransk ret ved lov af 15. april 2025) skal væsentlige og vigtige enheder demonstrere, at deres kritiske udbydere — herunder elektroniske underskriftsudbydere — opfylder minimale cybersikkerhedskrav. ISO 27001-certificeringen af en udbyder udgør dokumenteret bevis, der kan bruges under en NIS2-revision eller CNIL-inspektion. Det demonstrerer især implementeringen af artikel 32 i GDPR, som kræver tekniske og organisatoriske foranstaltninger, der svarer til risikoniveauet.

For virksomheder, der ønsker at migrere fra en mindre certificeret løsning til en platform med højere overholdelses garantier, angiver vores migrationsvejledning til Certyneo trinene og forholdsregler, der skal overholdes.

Retsligt rammesæt, der gælder for certificering af elektroniske underskriftsudbydere

Den juridiske gyldighed af en elektronisk underskrift er baseret på en stablet sæt europæiske og nationale normtekster, hvis mestring er vigtig for korrekt at evaluere en udbyder.

Kodeks for borgere, artikler 1366 og 1367: Disse artikler udgør grundlaget for fransk elektronisk underskriftsret. Artikel 1366 bestemmer, at "elektronisk skrift har samme bevisvægt som skrift på papirmedium, under forudsætning af, at personen, hvorfra den stammer, kan identificeres korrekt, og den oprettes og bevares under betingelser, der sikrer dens integritet". Artikel 1367 præciserer, at "underskriftsbehovet for at fuldføre en juridisk handling identificerer dets ophavsmand" og at, når det er elektronisk, "består det i brugen af en pålidelig identifikationsprocedure, der garanterer dets forbindelse til handlingen, den knytter sig til". ISO 27001-certificeringer og eIDAS-kvalifikationer bidrager direkte til at etablere denne formodning om pålidelighed.

Forordning eIDAS nr. 910/2014: Denne europæiske forordning, der er direkte gældende i alle medlemsstater, definerer de tre niveauer af elektronisk underskrift (simpel, avanceret, kvalificeret) og pålægger udbydere af kvalificerede tillidsservices at underkaste sig overensstemmelsesvurderinger i henhold til ETSI-normer. Artiklen 24 præciserer kravene til kvalificerede udbydere, herunder pligten til at ansætte kvalificeret personale og opretholde tilstrækkelige økonomiske ressourcer. Revisionen af eIDAS 2.0 (Europa-Parlamentets og Rådets forordning (EU) 2024/1183, der trådte i kraft den 20. maj 2024) styrker disse krav ved at introducere den europæiske digital identitetsportfolio (EUDIW) og ved at udvide omfanget af anerkendte tillidsservices.

GDPR nr. 2016/679: Artiklerne 28 (databehandler), 32 (behandlingssikkerhed) og 35 (konsekvensevaluering) er direkte relevante, når en elektronisk underskriftsudbyder behandler personlige data på vegne af en dataansvarlig. Artikel 32 kræver navnlig pseudonymisering og kryptering af personoplysninger, evnen til at garantere fortrolighed, integritet og modstandskraft i systemerne. En ISO 27001-certificering, der dækker disse aspekter, gør det muligt delvist at opfylde denne demonstrationspligt.

NIS2-direktiv (EU 2022/2555, transponeret ved fransk lov af 15. april 2025): Det pålægger væsentlige og vigtige enheder at håndtere risici relateret til deres digitale forsyningskæde, herunder deres elektroniske underskriftsudbydere. Artikel 21 i NIS2 lister minimale cybersikkerhedsforanstaltninger, hvoraf flere overlapper direkte med kravene i ISO 27001.

ETSI-normer: Normerne EN 319 401, EN 319 411-1, EN 319 411-2, EN 319 132 (XAdES), EN 319 122 (CAdES) og EN 319 162 definerer tekniske krav til udbydere af kvalificerede tillidsservices. Deres overholdelse revideres af akkrediterede organer, før registrering på nationale tillidelister.

Ansvar for mangel på certificering: En ikke-certificeret udbyder, der oplever en dataovertrædelse, der resulterer i kompromittering af elektroniske underskrifter, pådrager sig kontraktuel og erstatningsansvar. For klienten kan mangel på forudgående verifikation af certificeringer betegnes som en fejl i cybersikkerhedsstyring, der kan påvirke cyberforsikringsdækningen.

Brugsscenarier: ISO-certificeringer i praksis

ISO-certificeringer er ikke teoretiske abstraktioner. Her er tre konkrete scenarier, der illustrerer deres operationelle indvirkning i varierede forretningssammenhænge.

Scenarie 1: Et kommercielt advokatbureau vælger sin elektroniske underskriftsudbyder

Et kommercielt advokatbureau med omkring tyve kolleger behandler årligt flere hundrede følsomme dokumenter: overdragelse af anparter, associeringspagter, fortrolighedsaftaler. Den ansvarlige for it skal retfærdiggøre valget af udbyder over for partnere og store virksomhedskunder, som kontraktmæssigt kræver, at de digitale værktøjer, der bruges, er ISO 27001-certificeret.

Ved at stole på udbyderens ISO 27001:2022-certificering kan kontoret fremstille en overensstemmelseserklæring under due diligence af kunder. Den årlige revisionsfornyelse udgør også et argument under offentlig licitation, hvor datasikkerhed systematisk evalueres. Resultatet konstateret i denne type struktur: reduktion på 60 til 70 % af tiden til sikkerhedsspørgsmål under kommercielle forhandlinger, og eliminering af to hændelser relateret til ikke-konforme underskrifter over en periode på atten måneder.

Scenarie 2: En lille industrivirksomhed, der håndterer leverandørkontrakter internationalt

En lille industrivirksomhed på omkring 150 medarbej dere, der håndterer omkring 300 leverandørkontrakter årligt, hvoraf en betydelig del med tyske og hollandske partnere, skal sikre, at hans elektroniske underskrifter anerkendes i disse lande. Udbyders eIDAS-certificering — registreret på den franske tillideliste og tilbyder avancerede underskrifter i overensstemmelse med ETSI EN 319 132 — garanterer juridisk interoperabilitet i det europæiske område.

Samtidig kræves udbyders ISO 27001-certificering af indkøbsafdelingen i flere af hans store virksomhedskunder under årlige leverandørrevisioner. Virksomheden estimerer at have undgået to kontraktuelle rekvalifikationer (overgang til håndskreven underskrift på grund af ikke-overensstemmelse), der repræsenterer en undgået omkostning på omkring 15.000 til 20.000 euro i forsinkelser og logistikgebyrer over tolv måneder.

Scenarie 3: Et hospitalskompleks integrerer elektronisk underskrift i HR- og medicinske processer

Et hospitalskompleks på omkring 600 senge ønsker at dematrialisere både sine arbejdskontrakter (sundhedspersonale, medicinske vikarmedarbejdere) og hans samtykkeerklæringer til digital sundhedspleje. To familier af certificeringer viser sig uundværlige: ISO 27001 for udbyders overordnede sikkerhed, og HDS-certificering (Hébergeur de Données de Santé) for det medicinske databehandlingssegment.

Komplekset vælger en udbyder med begge certificeringer, hvilket gør det muligt at dække alle hans use cases i en enkelt kontrakt, samtidig med at kravene fra Agence du Numérique en Santé (ANS) opfyldes. Produktivitetsgevinsten målt på HR-processer (vikarkkontrakter underskrevet på mindre end to timer mod to til tre dage i papirudgave) repræsenterer en estimeret besparelse på 40 % på administrationsomkostningerne forbundet hermed, eller en årlig værdi omkring 80.000 til 120.000 euro for et bind på omkring 1.200 kontrakter underskrevet årligt.

Konklusion

ISO 27001-, ISO 27017-, ISO 27018-certificeringer og eIDAS-kvalifikationer er ikke blot insignier, der er anbragt på en marketingside: de udgør et fundament af revisionsgarantier, der regelmæssigt kontrolleres, hvilket forpligter udbyders ansvar og beskytter klientvirksomheden juridisk. I 2026 står virksomheder over for stigende sofistikering i cybertrusler og skærpelse af den europæiske regulatoriske ramme (NIS2, eIDAS 2.0), og valget af en certificeret elektronisk underskriftsudbyder er ikke længere en mulighed men et overhedskrav.

For objektivt at sammenligne tilgængelige udbydere på det franske marked skal du stole på de fire vigtigste kriterier, der er identificeret i denne artikel: nøjagtig certificeringsperimeter, akkreditering af revisionsorganet, transparens i underleverandørkæden og kontraktbestemmelser for certificeringsvedvarende. Certyneo opfylder alle disse krav og ledsager dig i din overholdelsesstrategi. Kontakt vores team for at få en revision af din aktuelle situation og opdag, hvordan du skifter til elektronisk underskrift fuldt certificeret.

Prøv Certyneo gratis

Send din første signaturkuvert på under 5 minutter. 5 gratis kuverter om måneden, intet kreditkort nødvendigt.

Gå dybere ned i emnet

Vores komprehensive guider til at mestre elektronisk underskrift.

Certyneo-fællesskab

Et spørgsmål om elektronisk signatur?

Tilslut dig Certyneo-fællesskabet: stil dine spørgsmål, del dine svar og kommuniker med tusinder af brugere og vores team.