Elektronisk signatur og ISO 27001-standard: vejledning 2026

Elektronisk signatur er blevet rygraden i B2B-kontraktprocesser, men dens juridiske og kommercielle værdi afhænger af en ofte undervurderet forudsætning: robustheden af det informationssystem, der understøtter det. Det er netop her, ISO/IEC 27001-standarden, der er den internationale referencestandard for informationssikkerhedsledelse, kommer ind. I 2026, hvor cyberangreb på signeringsplatforme multipliceres, og eIDAS 2.0-forordningen skærper kravene til tillidsserviceudbydere, er spørgsmålet om ISO 27001-certificering ikke længere et luksus reserveret for store virksomheder: det bliver en standard udvælgelseskriterium for enhver implementering af elektronisk signatur i virksomheden.

Denne artikel analyserer synergier mellem ISO 27001 og elektronisk signatur, konkrete forpligtelser, som den medfører, risici ved manglende overensstemmelse, og trin til at opnå eller evaluere certificering hos din SaaS-leverandør.

Hvad er ISO 27001-standarden, og hvorfor er den central for elektronisk signatur?

Udgivet af Den Internationale Standardiseringsorganisation (ISO) og Det Internationale Elektrotechniske Kommission (IEC), definerer ISO/IEC 27001:2022-standarden (version revideret i oktober 2022) kravene til at etablere, implementere, vedligeholde og kontinuerligt forbedre et Informationssikkerhedsledelsessystem (ISMS). Den dækker 93 kontrolmål fordelt på fire temaer: organisatoriske kontrolmål, personalerelerede kontrolmål, fysiske kontrolmål og teknologiske kontrolmål.

For elektronisk signatur har denne standard særlig betydning, fordi den direkte behandler de tre søjler i informationssikkerhed:

• Fortrolighed: beskyttelse af signerede dokumenter mod enhver uautoriseret adgang
• Integritet: garanti for, at dokumenter ikke ændres efter signering
• Tilgængelighed: tilgængelighed af signaturbevis ved eventuel tvist

ISO 27001-kontrolmål, der direkte gælder for elektronisk signatur

Blandt de 93 kontrolmål i standarden bilag A gælder flere direkte for signaturworkflows:

Kontrolmål 5.14 – Informationsoverførsel: pålægger formelle regler for sikker transmission af dokumenter, der skal signeres, især via krypterede protokoller (TLS 1.3 minimum).

Kontrolmål 8.24 – Brug af kryptografi: kræver en dokumenteret krypteringspolitik, der dækker algoritmer, der bruges til generering og verifikation af elektroniske signaturer. I praksis indebærer dette brug af algoritmer, der er i overensstemmelse med ANSSI's anbefalinger (RSA-3072 eller ECDSA-256 minimum i 2026).

Kontrolmål 8.12 – Forebyggelse af datalæk (DLP): beskytter personlige data indeholdt i signerede dokumenter i direkte overensstemmelse med GDPR-forpligtelser.

Kontrolmål 5.18 – Adgangsrettigheder: sikrer, at kun autoriserede personer kan starte, signere eller konsultere et dokument på platformen.

ISO 27001 versus andre sikkerhedscertifikater: hvilken komplementaritet?

ISO 27001 er ikke den eneste relevante standard, men den udgør grundlaget. Den suppleres af:

• SOC 2 Type II (amerikansk standard, ofte påkrævet af virksomheder noteret på NYSE)
• ISO/IEC 27017 og 27018: cloud-specifikke udvidelser og beskyttelse af personlige data i skyen
• eIDAS-kvalifikation udstedt af akkrediterede organer (LSTI i Frankrig): obligatorisk for Kvalificerede Tillidsserviceudbydere (QTSP)

En elektronisk signeringsudbyders leverandør certificeret til både ISO 27001 og eIDAS-kvalificeret tilbyder således maksimalt garantiniveau, som der detaljeret beskrives i den fuldstændige vejledning til eIDAS 2.0-forordningen.

Specifikke krav til SaaS-udbydere af elektronisk signatur

At vælge en SaaS elektronisk signatur certificeret til ISO 27001 betyder ikke, at din egen organisation er dækket — men det betinger stærkt det niveau af restrisiko, som du påtager dig.

Certificeringens omfang: hvad du skal kontrollere

Ved evaluering af en leverandør er tre spørgsmål afgørende:

1. Dækker certificeringens omfang signeringstjenesten? En udgiver kan være certificeret til ISO 27001 for sine softwareudviklingsaktiviteter uden at signeringsplatformen er inden for omfanget. Kræv det officielle certifikat og kontroller applicerbarhedserklæringen (Statement of Applicability).

1. Er certificeringen aktuelt? ISO 27001 pålægger årlige overvågningsrevisioner og en fornyelsesrevision hvert tredje år. Et udløbet certifikat ugyldiggør enhver garanti.

1. Hvilket certificeringsorgan? I Frankrig udsteder organer akkrediteret af COFRAC (Bureau Veritas, SGS, BSI Group, LRQA…) anerkendte certifikater. Selvdeklarering af overensstemmelse har ingen juridisk værdi.

Håndtering af hændelser og forretningskontinuitet

ISO 27001 kræver en dokumenteret og testet Forretningskontinuitetsplan (BCP) og Gendannelsesplan (DRP). For en elektronisk signaturplatform oversættes dette konkret til:

• En RTO (Recovery Time Objective) på under 4 timer for produktionsmiljøer
• En RPO (Recovery Point Objective) på under 1 time, hvilket undgår ethvert tab af signaturdata
• Dokumenterede gendannelsestests mindst hvert halve år
• En procedure for underretning om sikkerhedshændelser i overensstemmelse med artikel 33 i GDPR (maksimalt 72 timer)

Disse krav stemmer overens med direktivet NIS2, som er gennemført i fransk lovgivning ved lov nr. 2024-449 af 21. maj 2024, som pålægger væsentlige og vigtige enheder forpligtelser til rapportering af hændelser og styrket cybersikkerhed.

Hvordan ISO 27001-certificering styrker den juridiske værdi af elektronisk signatur

Et punkt, som ofte ikke er kendt blandt jurister og indkøbere: den juridiske soliditet af en kvalificeret elektronisk signatur afhænger delvis af den tekniske tillidschain, der understøtter det. Et dokument signeret på en platform, hvis sikkerhed er kompromitteret, kan få sin juridiske værdi betvivlet før en domstol.

Dataintegritet som juridisk grundlag

Artikel 1366 i den franske borgerlig kodeks fastslår, at elektronisk signatur har værdi som en håndskreven signatur "på betingelse af, at dens ophavsmand kan være korrekt identificeret, og at den er etableret og bevaret under forhold, der kan garantere dens integritet". Denne integritetsforudsætning er netop ISO 27001's centrale fokus.

I tilfælde af tvist kan en leverandør certificeret til ISO 27001 fremlægge:

• Uforanderlige revisionslogger, der viser adgangshistorikken
• Certificeringsrevisionsrapporter, der attesterer kontroller på plads
• Kryptografisk nøglestyringsregler i overensstemmelse med bilag A

Disse elementer udgør en beviskæde, der betydeligt styrker positionen for den part, der påberåber sig signaturens gyldighed. For mere information om den juridiske værdi af forskellige signaturtyper, se vores sammenligning af elektroniske signeringsløsninger.

Retligt arkiv og opbevaringsperiode

ISO 27001, kombineret med standarden NF Z42-020 (digitalt kasseskab) og anbefalingerne fra ETSI EN 319 162 (kvalificeret elektronisk arkiveringsservice), gør det muligt at definere en arkiveringspolitik, der garanterer signaturs juridiske værdi over lange perioder — op til 30 år for visse forretningskontrakter.

Kontrolmål 8.10 – Sletning af information i ISO 27001 pålægger desuden dokumenterede procedurer for sikker dataødelæggelse ved livscyklens afslutning, i overensstemmelse med retten til glemsel i GDPR (artikel 17).

Hvordan evalueres og kræves ISO 27001-overensstemmelse fra din elektroniske signaturleverandør

I forbindelse med en SaaS-indkøbs- eller kontraktgennyelsesproces er her en evalueringsprotokol i fire trin.

Trin 1: Anmod og verificer det officielle certifikat

Kræv ISO/IEC 27001:2022-certifikatet (ikke version 2013, som nu er forældet siden oktober 2025) sammen med den seneste overvågningsrevisionsrapport. Verificer gyldighedsdatoen i certificeringsorganets register.

Trin 2: Analysér applicerbarhederklæringen (SoA)

Statement of Applicability lister de valgte og udelukkede kontrolmål med begrundelse. Ethvert udelukket kontrolmål uden dokumenteret begrundelse udgør en restrisiko, der skal evalueres i din leverandørrisiko-analyse.

Trin 3: Integrer krav i kontrakten

Din kontrakt med leverandøren skal indeholde:

• En klausul om vedligeholdelse af certificering med underretningspligt ved suspension
• En revisionsret eller adgang til årlige tredjepartsrevisionsrapporter
• Sikkerhedsaftaler (SLA'er) tilpasset leverandørens BCP/DRP
• En ansvarsklausul i tilfælde af sikkerhedshændelse, der påvirker signaturintegritet

Trin 4: Udfør din egen risikoanalyse

Selv en certificeret leverandør dækker ikke dine interne risici. ISO 27001 pålægger din egen organisation en risikoanalyse (punkt 6.1.2), der især dækker:

• Styring af medarbejderes adgang til signeringsplatformen
• Bevidsthed om phishing-angreb rettet mod signaturworkflows
• Politik for styring af signaturdelegeringer

Denne tilgang integreres naturligt i en samlet politik for elektronisk signaturledelse for HR- og juridiske teams, hvor dokumentmængderne eksponerer betydelige operationelle risici.

Lovgivningsmæssig ramme, der gælder for elektronisk signatur og ISO 27001

Overensstemmelsen af et elektronisk signaturSystem hviler på en normativ overlejring, som alle B2B-virksomheder skal beherske.

Borgerlig kodeks, artikler 1366 og 1367: Artikel 1366 sætter ligevægt mellem elektronisk signatur og håndskreven under betingelse af identifikation af ophavsmanden og integritetgaranti. Artikel 1367 definerer elektronisk signatur som "brugen af en pålidelig identifikationsprocedure, der garanterer forbindelsen til det dokument, som den er knyttet til".

eIDAS-forordning nr. 910/2014 og eIDAS 2.0 (EU-forordning 2024/1183): Gælder i alle EU-medlemsstater, den skelner mellem tre signaturtyper (simpel, avanceret, kvalificeret) og pålægger Kvalificerede Tillidsserviceudbydere (QTSP) overholdelsesrevisioner af akkrediterede organer. eIDAS 2.0-revision, som kom gradvist i drift siden maj 2024, styrker tilsynskravene og introducerer den europæiske digitale identitetsportfolio (EUDIW).

GDPR-forordning nr. 2016/679: Personlige data indeholdt i signerede dokumenter (signeringsophavsmands identitet, IP-adresse, tidsstempel) udgør personlige data. Behandlingsansvarlige skal sikre deres beskyttelse (artikel 5), underrette om krænkelser inden 72 timer (artikel 33) og implementere privacy by design (artikel 25). ISO 27001 giver det tekniske grundlag for implementering.

NIS2-direktiv (EU-direktiv 2022/2555), som er gennemført i fransk lovgivning ved lov nr. 2024-449 af 21. maj 2024: Væsentlige og vigtige enheder — herunder mange B2B-aktører — skal implementere proportional cybersikkerhed, herunder styring af leverandørrisici (artikel 21). En signeringsudbyders leverandør uden ISO 27001-certificering kan udgøre en tredjeparts-risiko i henhold til NIS2.

ETSI-standarder: ETSI EN 319 100-serien definerer tekniske krav til kvalificerede elektroniske signaturer (EN 319 132 for XAdES, EN 319 122 for CAdES, EN 319 142 for PAdES). Disse tekniske standarder forudsætter en sikkerhedsinfrastruktur i overensstemmelse med ISO 27001-standarder.

ANSSI-referenceramme: I Frankrig udgiver Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) anbefalinger på kryptografiske algoritmer (RGS-referenceramme — Référentiel Général de Sécurité), hvis implementering faciliteres af et ISO 27001-certificeret ISMS. Kvalifikation af franske udbydere efter eIDAS gennemgås af ANSSI som national tilsynsmyndighed.

Manglen på ISO 27001-certificering hos en signeringsudbyders leverandør udsætter virksomheden for risiko for anfægtelse af signaturenes juridiske værdi, GDPR-sanktioner (op til 4 % af årligt globalt omsætning eller 20 M€) og påtale for NIS2-ikke-overensstemmelse.

Brugsscenarier: ISO 27001 og elektronisk signatur i praksis

Scenarie 1 — Et større juridisk firma med 25 medarbejdere

Et firma, der specialiserer sig i fusions- og opkøb, behandler årligt over 600 dokumenter, der kræver avanceret eller kvalificeret elektronisk signatur (NDA'er, aftaleprotokoller, afståelseskonventioner). Efter en intern audit, der afslører mangler i sporbarhed af adgang til signeringsplatformen, beslutter firmaet kun at acceptere leverandører certificeret til ISO/IEC 27001:2022 med omfang, der eksplicit dækker signerings-tjenesten.

Resultat: Efter migration til en certificeret platform observerer firmaet en reduktion på 40 % i den tid, der bruges på sikkerhedsmæssig due diligence under kunders anbudsopfordringer, og kan levere certificerings-revisionsrapporter inden for 48 timer ved anmodninger fra deres store kundevirksomheder. Den gennemsnitlige tidsperiode for kontraktvalidering falder fra 3,2 dage til 1,4 dag.

Scenarie 2 — En industrivirksomhed, der administrerer 1 500 leverandørkontrakter årligt

En lille industriel underleverandør på Tier-1-niveau for en bilproducent skal demonstrere over for sin ordre-opgivende, at hele hendes elektroniske signaturkæde (indkøbsordrer, rammer-kontrakter, ændringer) opfylder ISO 27001-krav pålagt af koncernens indkøbsreference. SMV'en foretager en kortlægning af dens leverandørrisici i henhold til punkt 6.1.2 i standarden og identificerer, at dens tidligere SaaS-leverandør ikke har en gyldig certificering.

Efter migration til en certificeret løsning og implementering af et internt ISMS opnår SMV'en den påkrævede leverandørkvalifikation og sikrer en 4-årig rammekontrakt. Omkostningen ved certificering (cirka 15.000 til 25.000 € for en SMV af denne størrelse ifølge specialiserede konsulentfirmaer) amortiseres på under seks måneder i betragtning af det sikrede kontraktomfang.

Scenarie 3 — En hospitalskoncern på cirka 1 200 sengepladser

I sundhedssektoren er behandlingsenheder underlagt skærede krav: behandling af sundhedsdata (særlig kategori i henhold til artikel 9 i GDPR), HDS-certificering (Sundhedsdatatilretteholder) og nu NIS2-kvalifikation som væsentlig enhed. Hospitalskoncernen implementerer elektronisk signatur for arbejdskontrakter, kliniske forskeningskonventioner og offentlige indkøb (cirka 900 dokumenter/måned).

Ved at vælge en leverandør, der kumulerer ISO 27001-certificering, HDS-certificering og QTSP eIDAS-kvalifikation, reducerer institutionen sin eksponering for GDPR-overensstemmelsesrisiko med 60 % ifølge sin dataombudsmand og nyder fordelen af garanteret 30-årig juridisk arkivering for juridisk relevante medicinske dokumenter. Tidsperioden for signering af kliniske forskeningskontrakter falder fra 12 dage til i gennemsnit 3,5 dage, hvilket frigør betydelige ressourcer til administrative hold.

Konklusion

I 2026 er ISO/IEC 27001:2022-certificering ikke længere blot et marketingargument for elektroniske signeringsudybydere: det udgør et uundværligt teknisk og juridisk grundlag for at garantere signaturdokumenters integritet, GDPR- og NIS2-overensstemmelse og den juridiske værdi af kontraktlige engagement. For B2B-virksomheder er det blevet en rimeligt omsorgsfuld pligt at kræve denne certificering hos deres SaaS-leverandør, på samme måde som kontrol af eIDAS-kvalifikation.

Certyneo er certificeret til ISO/IEC 27001:2022 med et omfang, der dækker hele sin elektroniske signaturplatform. Vores hold kan bistå dig ved evaluering af din nuværende overensstemmelse og implementering af en sikker signaturworkflow tilpasset dine volumener og sektor. Anmod en gratis demonstration på Certyneo eller udforsk vores prissætning for at finde formlen tilpasset din organisation.