Ηλεκτρονική υπογραφή και ISO 27001: Οδηγός 2026

Η ηλεκτρονική υπογραφή έχει καθιερωθεί ως σπονδυλική στήλη των συμβατικών διαδικασιών B2B, αλλά η νομική και εμπορική της αξία βασίζεται σε ένα προαπαιτούμενο που συχνά υποτιμάται: τη στιβαρότητα του πληροφοριακού συστήματος που την υποστηρίζει. Εδώ παρεμβαίνει το πρότυπο ISO/IEC 27001, το διεθνές πρότυπο διαχείρισης της ασφάλειας των πληροφοριών. Το 2026, ενώ οι κυβερνοεπιθέσεις που στοχεύουν τις πλατφόρμες υπογραφής πολλαπλασιάζονται και ο κανονισμός eIDAS 2.0 αυστηροποιεί τις απαιτήσεις των παρόχων υπηρεσιών πίστης, το ζήτημα της πιστοποίησης ISO 27001 δεν είναι πλέον ένα προνόμιο που δεσμεύεται για μεγάλα λογαριασμά: γίνεται κριτήριο επιλογής standard για κάθε ανάπτυξη ηλεκτρονικής υπογραφής στην επιχείρηση.

Αυτό το άρθρο αναλύει τις συνέργειες μεταξύ ISO 27001 και ηλεκτρονικής υπογραφής, τις συγκεκριμένες υποχρεώσεις που προκύπτουν, τους κινδύνους της μη συμμόρφωσης και τα βήματα για την απόκτηση ή την αξιολόγηση πιστοποίησης από τον SaaS παρόχο σας.

Τι είναι το πρότυπο ISO 27001 και γιατί είναι κεντρικό για την ηλεκτρονική υπογραφή;

Δημοσιευμένο από τον Διεθνή Οργανισμό Τυποποίησης (ISO) και την Διεθνή Ηλεκτροτεχνική Επιτροπή (IEC), το πρότυπο ISO/IEC 27001:2022 (αναθεωρημένη έκδοση τον Οκτώβριο 2022) καθορίζει τις απαιτήσεις για την καθιέρωση, την εφαρμογή, τη διατήρηση και τη συνεχή βελτίωση ενός Συστήματος Διαχείρισης της Ασφάλειας των Πληροφοριών (ΣΔΑΠ). Καλύπτει 93 ελέγχους κατανεμημένους σε τέσσερα θέματα: οργανωτικοί έλεγχοι, έλεγχοι προσωπικού, φυσικοί έλεγχοι και τεχνολογικοί έλεγχοι.

Για την ηλεκτρονική υπογραφή, αυτό το πρότυπο έχει ιδιαίτερη σημασία γιατί αντιμετωπίζει απευθείας τους τρεις πυλώνες της ασφάλειας των πληροφοριών:

• Εμπιστευτικότητα: προστασία των υπογεγραμμένων εγγράφων κατά τυχόν μη εξουσιοδοτημένης πρόσβασης
• Ακεραιότητα: εγγύηση ότι τα έγγραφα δεν τροποποιούνται μετά την υπογραφή
• Διαθεσιμότητα: προσβασιμότητα των αποδείξεων υπογραφής σε περίπτωση διαφοράς

Οι έλεγχοι ISO 27001 που εφαρμόζονται άμεσα στην ηλεκτρονική υπογραφή

Ανάμεσα στους 93 ελέγχους του Παραρτήματος Α του προτύπου, πολλοί εφαρμόζονται άμεσα στα workflows υπογραφής:

Έλεγχος 5.14 – Μεταφορά πληροφοριών: επιβάλλει τυπικούς κανόνες για την ασφαλή μετάδοση των εγγράφων προς υπογραφή, ιδίως μέσω κρυπτογραφημένων πρωτοκόλλων (TLS 1.3 ελάχιστο).

Έλεγχος 8.24 – Χρήση κρυπτογραφίας: απαιτεί τεκμηριωμένη πολιτική κρυπτογράφησης που καλύπτει τους αλγόριθμους που χρησιμοποιούνται για τη δημιουργία και την επαλήθευση των ηλεκτρονικών υπογραφών. Στην πράξη, αυτό συνεπάγεται τη χρήση αλγορίθμων συμμόρφων με τις συστάσεις του ANSSI (RSA-3072 ή ECDSA-256 ελάχιστο το 2026).

Έλεγχος 8.12 – Πρόληψη διαρροής δεδομένων (DLP): προστατεύει τα προσωπικά δεδομένα που περιέχονται στα υπογεγραμμένα έγγραφα, σε άμεση συνέπεια με τις υποχρεώσεις του GDPR.

Έλεγχος 5.18 – Δικαιώματα πρόσβασης: εγγυάται ότι μόνο εξουσιοδοτημένα άτομα μπορούν να ξεκινήσουν, να υπογράψουν ή να συμβουλευθούν ένα έγγραφο στην πλατφόρμα.

ISO 27001 έναντι άλλων πιστοποιήσεων ασφάλειας: ποια συμπληρωματικότητα;

Το ISO 27001 δεν είναι το μόνο σχετικό πρότυπο, αλλά αποτελεί το θεμέλιο. Συμπληρώνεται με:

• SOC 2 Type II (αμερικανικό πρότυπο, συχνά απαιτείται από επιχειρήσεις που είναι εισηγμένες στο NYSE)
• ISO/IEC 27017 και 27018: επεκτάσεις ειδικές για το cloud και την προστασία προσωπικών δεδομένων στο cloud
• Προσόν eIDAS που δίδεται από αναγνωρισμένους οργανισμούς (LSTI στη Γαλλία): υποχρεωτικό για τους Προσόντες Παρόχους Υπηρεσιών Πίστης (ΠПУП)

Ένας παροχέας ηλεκτρονικής υπογραφής πιστοποιημένος ISO 27001 ΚΑΙ προσόν eIDAS προσφέρει έτσι το μέγιστο επίπεδο εγγύησης, ευθυγραμμισμένο με αυτό που λεπτομερεί ο ολοκληρωμένος οδηγός κανονισμού eIDAS 2.0.

Ειδικές απαιτήσεις για τους SaaS παρόχους ηλεκτρονικής υπογραφής

Η επιλογή ενός SaaS ηλεκτρονικής υπογραφής με πιστοποίηση ISO 27001 δεν σημαίνει ότι η δική σας οργάνωση καλύπτεται — αλλά αυτό καθορίζει δυνατά το επίπεδο του υπολειπόμενου κινδύνου που αναλαμβάνετε.

Το πεδίο εφαρμογής της πιστοποίησης: τι πρέπει να ελέγξετε

Κατά την αξιολόγηση ενός προμηθευτή, τρεις ερωτήσεις είναι καθοριστικές:

1. Καλύπτει το πεδίο εφαρμογής της πιστοποίησης την υπηρεσία υπογραφής; Ένας εκδότης μπορεί να είναι πιστοποιημένος ISO 27001 για τις δραστηριότητες ανάπτυξης λογισμικού χωρίς η πλατφόρμα υπογραφής να βρίσκεται στο πεδίο εφαρμογής. Απαιτήστε το επίσημο πιστοποιητικό και επαληθεύστε τη δήλωση πεδίου εφαρμογής (Statement of Applicability).

1. Είναι η πιστοποίηση ενημερωμένη; Το ISO 27001 επιβάλλει ετήσιες επιτόπιες επιθεωρήσεις και επιθεώρηση ανανέωσης κάθε τρία χρόνια. Ένα λήξαν πιστοποιητικό ακυρώνει κάθε εγγύηση.

1. Ποιος φορέας πιστοποίησης; Στη Γαλλία, οι φορείς αναγνωρισμένοι από το COFRAC (Bureau Veritas, SGS, BSI Group, LRQA…) εκδίδουν αναγνωρισμένες πιστοποιήσεις. Μια αυτό-δήλωση συμμόρφωσης δεν έχει κανένα νομικό αξία.

Διαχείριση περιστατικών και συνέχεια υπηρεσίας

Το ISO 27001 απαιτεί ένα Σχέδιο Συνέχειας Δραστηριοτήτων (ΣΣΔ) και ένα Σχέδιο Επανάληψης Δραστηριοτήτων (ΣΕΔ) τεκμηριωμένα και δοκιμασμένα. Για μια πλατφόρμα ηλεκτρονικής υπογραφής, αυτό μεταφράζεται συγκεκριμένα σε:

• Ένα RTO (Recovery Time Objective) λιγότερο από 4 ώρες για τα περιβάλλοντα παραγωγής
• Ένα RPO (Recovery Point Objective) λιγότερο από 1 ώρα, αποφεύγοντας οποιαδήποτε απώλεια δεδομένων υπογραφής
• Δοκιμές ανάκτησης τεκμηριωμένες τουλάχιστον εξαμηνιαία
• Μια διαδικασία ειδοποίησης περιστατικών ασφάλειας σύμφωνα με το άρθρο 33 του GDPR (μέγιστο 72 ώρες)

Αυτές οι απαιτήσεις συμπίπτουν με αυτές της οδηγίας NIS2, που μεταφέρθηκε στο γαλλικό δίκαιο με το νόμο αριθ. 2024-449 της 21ης Μαΐου 2024, ο οποίος επιβάλλει στις κρίσιμες και σημαντικές οντότητες υποχρεώσεις αναφοράς περιστατικών και ενισχυμένα μέτρα κυβερνοασφάλειας.

Πώς η πιστοποίηση ISO 27001 ενισχύει την αποδεικτική αξία της ηλεκτρονικής υπογραφής

Ένα σημείο που συχνά αγνοείται από τους νομικούς και τους αγοραστές: η νομική στιβαρότητα μιας ηλεκτρονικής υπογραφής που διαθέτει προσόν εξαρτάται εν μέρει από τη τεχνική αλυσίδα εμπιστοσύνης που την υποστηρίζει. Ένα έγγραφο που υπογράφηκε σε μια πλατφόρμα της οποίας η ασφάλεια έχει παραβιαστεί μπορεί να δει την αποδεικτική του αξία να αμφισβητείται ενώπιον ενός δικαστηρίου.

Η ακεραιότητα των δεδομένων ως νομικό θεμέλιο

Το άρθρο 1366 του Αστικού Κώδικα θέτει ότι η ηλεκτρονική υπογραφή έχει αξία αποδεικτική ίση με την χειρόγραφη υπογραφή « εφόσον ο συντάκτης της μπορεί να αναγνωριστεί σωστά και εφόσον η υπογραφή έχει δημιουργηθεί και διατηρηθεί υπό συνθήκες που εγγυώνται την ακεραιότητά της ». Αυτή η συνθήκη ακεραιότητας είναι ακριβώς το κεντρικό αντικείμενο του ISO 27001.

Σε περίπτωση διαφοράς, ένας παροχέας πιστοποιημένος ISO 27001 θα μπορέσει να παράγει:

• Τα αμετάβλητα αρχεία ελέγχου που αποδεικνύουν το ιστορικό της πρόσβασης
• Τις εκθέσεις ελέγχου πιστοποίησης που βεβαιώνουν τους ελέγχους που είναι σε ισχύ
• Την πολιτική διαχείρισης κρυπτογραφικών κλειδιών σύμφωνη με το Παράρτημα Α

Αυτά τα στοιχεία αποτελούν ένα σύνολο αποδείξεων που ενισχύει σημαντικά τη θέση του μέρους που επικαλείται την εγκυρότητα της υπογραφής. Για να μάθετε περισσότερα σχετικά με την αποδεικτική αξία διαφορετικών επιπέδων υπογραφής, συμβουλευτείτε την σύγκριση των λύσεων ηλεκτρονικής υπογραφής.

Αρχειοθέτηση με αποδεικτική αξία και διάρκεια διατήρησης

Το ISO 27001, σε συνδυασμό με το πρότυπο NF Z42-020 (ψηφιακό θησαυροφυλάκιο) και τις συστάσεις του ETSI EN 319 162 (υπηρεσία ηλεκτρονικής αρχειοθέτησης που διαθέτει προσόν), επιτρέπει την καθιέρωση μιας πολιτικής αρχειοθέτησης που εγγυάται την αποδεικτική αξία των υπογραφών για μεγάλες περιόδους — έως 30 χρόνια για ορισμένα εμπορικά συμβόλαια.

Ο έλεγχος 8.10 – Διαγραφή των πληροφοριών του ISO 27001 επιβάλλει επιπλέον τεκμηριωμένες διαδικασίες για την ασφαλή καταστροφή δεδομένων στο τέλος του κύκλου ζωής, σε συνέπεια με το δικαίωμα διαγραφής του GDPR (άρθρο 17).

Πώς να αξιολογήσετε και να απαιτήσετε τη συμμόρφωση ISO 27001 από τον παροχέα ηλεκτρονικής υπογραφής σας

Στο πλαίσιο μιας διαδικασίας αγοράς ή ανανέωσης συμβολαίου SaaS, ακολουθεί ένα πρωτόκολλο αξιολόγησης σε τέσσερα βήματα.

Βήμα 1: Ζητήστε και επαληθεύστε το επίσημο πιστοποιητικό

Απαιτήστε το πιστοποιητικό ISO/IEC 27001:2022 (και όχι την έκδοση 2013, πλέον ξεπερασμένη από τον Οκτώβριο 2025) συνοδευόμενο από την πιο πρόσφατη έκθεση ελέγχου παρακολούθησης. Επαληθεύστε την ημερομηνία λήξης στο μητρώο του φορέα πιστοποίησης.

Βήμα 2: Αναλύστε τη δήλωση εφαρμογής (SoA)

Η Statement of Applicability καταγράφει τους ελέγχους που επιλέγονται και εξαιρούνται, με αιτιολόγηση. Οποιοσδήποτε έλεγχος εξαιρέθηκε χωρίς τεκμηριωμένη αιτιολόγηση αντιπροσωπεύει ένα υπολειπόμενο κίνδυνο προς αξιολόγηση στην ανάλυση κινδύνων του προμηθευτή σας.

Βήμα 3: Ενσωματώστε τις απαιτήσεις στο συμβόλαιο

Το συμβόλαιό σας με τον παροχέα πρέπει να περιέχει:

• Μια ρήτρα διατήρησης της πιστοποίησης με υποχρέωση ειδοποίησης σε περίπτωση αναστολής
• Δικαίωμα ελέγχου ή πρόσβασης σε ετήσιες εκθέσεις ελέγχου τρίτων
• SLA ασφάλειας ευθυγραμμισμένα με το ΣΣΔ/ΣΕΔ του παρόχου
• Ρήτρα ευθύνης σε περίπτωση περιστατικού ασφάλειας που επηρεάζει την ακεραιότητα των υπογραφών

Βήμα 4: Διενεργήστε τη δική σας ανάλυση κινδύνων

Ακόμα και ένας πιστοποιημένος παροχέας δεν καλύπτει τους δικούς σας κινδύνους. Το ISO 27001 επιβάλλει στη δική σας οργάνωση μια ανάλυση κινδύνων (ρήτρα 6.1.2) που καλύπτει ιδίως:

• Τη διαχείριση της πρόσβασης των συνεργατών σας στην πλατφόρμα υπογραφής
• Την ευαισθητοποίηση κατά των επιθέσεων phishing που στοχεύουν στα workflows υπογραφής
• Την πολιτική διαχείρισης των εξουσιοδοτήσεων υπογραφής

Αυτή η διαδικασία ενσωματώνεται φυσικά σε μια ολική πολιτική διαχείρισης της ηλεκτρονικής υπογραφής για τις ομάδες ανθρώπινου δυναμικού και νομικές, όπου τα μεγέθη εγγράφων που υποβάλλονται σε επεξεργασία εκθέτουν σε σημαντικούς λειτουργικούς κινδύνους.

Νομικό πλαίσιο που εφαρμόζεται στην ηλεκτρονική υπογραφή και το ISO 27001

Η συμμόρφωση ενός συστήματος ηλεκτρονικής υπογραφής βασίζεται σε μια στοίβα κανονιστικών απαιτήσεων που κάθε εταιρεία B2B πρέπει να κατακτήσει.

Αστικός Κώδικας, άρθρα 1366 και 1367: Το άρθρο 1366 θέτει την ισοδυναμία μεταξύ ηλεκτρονικής και χειρόγραφης υπογραφής υπό την προϋπόθεση αναγνώρισης του συντάκτη και εγγύησης ακεραιότητας. Το άρθρο 1367 ορίζει την ηλεκτρονική υπογραφή ως « τη χρήση ενός αξιόπιστου μέσου αναγνώρισης που εγγυάται τη σύνδεσή της με το έγγραφο στο οποίο συνδέεται ».

Κανονισμός eIDAS αριθ. 910/2014 και eIDAS 2.0 (Κανονισμός ΕΕ 2024/1183): Εφαρμόσιμος σε όλα τα κράτη μέλη της ΕΕ, διακρίνει τρεις τύπους υπογραφής (απλή, προηγμένη, προσόν) και επιβάλλει στους Προσόντες Παρόχους Υπηρεσιών Πίστης (ΠΠУП) ελέγχους συμμόρφωσης από αναγνωρισμένους οργανισμούς. Η αναθεώρηση eIDAS 2.0, η οποία άρχισε να εφαρμόζεται προοδευτικά από τον Μάιο 2024, αυστηροποιεί τις απαιτήσεις επίβλεψης και εισάγει το ευρωπαϊκό ψηφιακό πορτοφόλι ταυτότητας (EUDIW).

Κανονισμός GDPR αριθ. 2016/679: Τα προσωπικά δεδομένα που περιέχονται στα υπογεγραμμένα έγγραφα (ταυτότητα υπογράφοντος, διεύθυνση IP, χρονοσφραγίδα) αποτελούν προσωπικά δεδομένα. Ο υπεύθυνος επεξεργασίας πρέπει να εξασφαλίσει την προστασία τους (άρθρο 5), να ειδοποιήσει τις παραβιάσεις εντός 72 ωρών (άρθρο 33) και να εφαρμόσει την προστασία κατά σχεδιασμό (άρθρο 25). Το ISO 27001 παρέχει το τεχνικό πλαίσιο συμμόρφωσης.

Οδηγία NIS2 (Οδηγία ΕΕ 2022/2555), που ενσωματώθηκε στο γαλλικό δίκαιο με το νόμο αριθ. 2024-449 της 21ης Μαΐου 2024: Οι κρίσιμες και σημαντικές οντότητες — από τις οποίες πολλοί φορείς B2B — πρέπει να εφαρμόσουν αναλογικά μέτρα κυβερνοασφάλειας συμπεριλαμβανομένης της διαχείρισης των κινδύνων που σχετίζονται με τους προμηθευτές (άρθρο 21). Ένας παροχέας υπογραφής που δεν είναι πιστοποιημένος ISO 27001 μπορεί να αποτελέσει κίνδυνο τρίτου κατά την έννοια του NIS2.

Πρότυπα ETSI: Η σειρά ETSI EN 319 100 καθορίζει τις τεχνικές απαιτήσεις για τις ηλεκτρονικές υπογραφές που διαθέτουν προσόν (EN 319 132 για XAdES, EN 319 122 για CAdES, EN 319 142 για PAdES). Αυτά τα τεχνικά πρότυπα προϋποθέτουν μια υποδομή ασφάλειας σύμφωνη με τα πρότυπα ISO 27001.

**Αναφορικό π