Siirdu põhisisu juurde
Certyneo

ISO-sertifitseering elektroonilisele allkirjale: juhend 2026

ISO 27001, eIDAS, ETSI… elektroonilise allkirja pakkujate sertifitseeringud on muutunud valimise lahutamatuks kriteeriumiks. Avastage, kuidas neid tõhusalt võrrelda.

Équipe éditoriale Certyneo10 min lugemisaega

Équipe éditoriale Certyneo

Kirjutaja — Certyneo · Certyneo kohta

A glass object with a blue background

Elektrooniline allkiri on muutunud standardiks prantsuse ja euroopa ettevõtete dokumendi halduses. Kuid näiliselt lihtsa kliki varjul peitub tehniliselt ja regulatiivselt keerukas ökosüsteem. 2026. aastal pole küsimus enam „kas tuleks kasutada elektroonilist allkirja?", vaid „milline pakkuja pakub piisavalt turvalisuse ja vastavuse garantiisid minu äritegevusele?". ISO-sertifitseeringud – eriti ISO 27001 – on üks usaldusväärsemaid vastuseid sellele küsimusele. See artikkel juhendab teid elektroonilise allkirja pakkujatele kohaldatavate peamiste sertifitseeringute, nende tegeliku ulatuse ja rangeks võrdlemiseks kasutatavate kriteeriumite kaudu.

Miks ISO-sertifitseeringud on elektroonilise allkirja puhul otsustava tähtsusega

Elektrooniline allkiri ei ole vaid rakenduse funktsioon. See teeb vastutavaks allkirjastava ettevõtte õiguslikult, nõuab käideldavate andmete konfidentsiaalset käsitlemist ja pikaajaalist arhiveeritud dokumentide terviklikkust. Sellepärast ei ole prestaatja poolt saadud sertifitseeringud vaid turunduslubud: need kinnitavad sõltumatu kolmanda osapoole poolt auditeeritud turvalisuse küpsuse taset.

ISO 27001: teabeturvalisuse ja juhtimissüsteemide paindumatu alus

ISO/IEC 27001 on rahvusvaheline viitestandard teabeturvalisuse juhtimissüsteemide (SMSI) jaoks. See hõlmab andmete konfidentsiaalsust, terviklikkust ja kättesaadavust. Elektroonilise allkirja pakkuja jaoks tähendab see sertifitseering, et kõik tema protsessid – alates allkirjastaja konto loomisest kuni allkirjastatud dokumendi arhiveerimiseni – on dokumenteeritud kontrolli all, mida regulaarselt auditeerib akrediteeritud asutus (nt LSTI, Bureau Veritas, BSI jne).

Praktikas nõuab ISO 27001 pakkujalt:

  • Teaberessursside ja nendega seotud riskide terviklikku inventuuri
  • Rangeid juurdepääsupoliitikaid (tugev autentimine, õiguste juhtimine)
  • Intsidentide juhtimise ja tegevuse järjepidevuse protseduure
  • Regulaarseid sisemisi auditeid ja iga-aastast juhtimisteravust
  • Pidevat haavatavuste jälgimist

Alates 2022. aastast kehtiv versioon (ISO/IEC 27001:2022) sisaldab 93 turvameedet, mis on rühmitatud neljaks teemaks: organisatsioonilised, inimlikud, füüsilised ja tehnoloogilised. Sel versioonil sertifitseeritud pakkuja näitab ajakohast turvaseisu nüüdisaegsete ohtude – eriti ransomware-rünnakute ja tarneahela kompromisseerimiste – suhtes.

ISO 27017 ja ISO 27018: pilveteenuste hädavajalikud laiendused

Peaaegu kõik pilveteenus-lahendused elektroonilisele allkirjale tuginevad pilvetaristu lahendusele. Selles kontekstis väärivad kaks ISO 27000 perekonna laiendust erilist tähelepanu:

ISO/IEC 27017 annab konkreetseid juhiseid pilveteenuste jaoks, hõlmates eriti vastutuse jagamist pakkuja ja tema alamettevõtjate (majutajad, usaldusväärne kolmas osapool) vahel. B2B-ostjale võimaldab selle sertifitseeringuga pakkuja kontrollimine või nendele vastavus kontrollida, et pilvesse salvestatud andmed kuuluvad samadele turvakontrolli nõuetele nagu kohapeal olevad keskkonnad.

ISO/IEC 27018 käsitleb konkreetselt isiklike andmete kaitset pilveteenuses. See täiendab GDPR-i, määratledes operatiivseid praktikaid: andmete kasutamise keeld reklaamieesmärkidel ilma selge nõusolekuta, läbipaistvus alamettevõtjate suhtes, andmete kannataavuse õigus. Andmekaitseametnikele ja vastavusalluvuse halduritele osutab see sertifitseering märkimisväärset tõsidust allkirjastajate andmete käsitlemisel. Rohkem teavet teabeohutuse ja elektroonilise allkirja õigusliku väärtuse kohta leiate meie juhendist elektroonilise allkirja õigusliku väärtuse kohta.

eIDAS-sertifitseering ja ETSI-standardid: mida tähendab „kvalifitseeritud"

Lisaks ISO-standarditele kehtib Euroopa regulatoorne raamistik usaldusasutuse teenuste (PSCo) pakkujatele oma vastavusnõudmised. Euroopa määrus eIDAS nr 910/2014, mille revisjoon eIDAS 2.0 on kaupade/teenuste ülekandmisel, eristab kolme elektroonilise allkirja taset: lihtne, täiustatud ja kvalifitseeritud.

Kvalifitseeritud usaldusasutuse teenuste pakkuja (PSCO) staatus

Kvalifitseeritud elektrooniliste allkirjade esitamiseks – ainus õiguslik tasand, mis on samaväärne käsitsi allkirjaga kõigis EL liikmesriikides – peab pakkuja olema kantud oma liikmesriigi usaldusväärsete asutuste nimekirja (Prantsusmaal ANSSI poolt hallatav nimekiri). See kvalifitseering põhineb akrediteeritud konformsuse hindamise asutuse (CAB) poolt tehtud esiauditil, millele järgnev regulaaraubindid järelevalve.

Aluseks olevad tehnilised standardid avaldab peamiselt ETSI (Euroopa Telekommunikatsiooni Standardite Instituut):

  • ETSI EN 319 401: üldnõuded PSCo-le
  • ETSI EN 319 411: sertifikaatide poliitika ja praktikat sertifikaatide asutustele
  • ETSI EN 319 132: XAdES profiilid XML-allkirjade jaoks
  • ETSI EN 319 122: CAdES profiilid CMS-allkirjade jaoks
  • ETSI EN 319 162: registreeritud elektroonilise kohaletoimetamise teenus

Nende ETSI-standardite kohaselt sertifitseeritud pakkuja tagab tema allkirjade tehnilist ühilduvust kõigi Euroopas tunnustatud lahenduste vahel, mis on kriitiline mitme riigis tegutsevate ettevõtete jaoks. Meie eIDAS-määruse täielik juhend detailiseerib iga kvalifikatsiooni tasemega seotud kohustused.

SOC 2 Type II: Põhja-Ameerika täiendus, mida peaks jälgima

Kuigi vähem levinud Euroopa ruumis, taotletakse AICPA standardite alusel väljastatud SOC 2 Type II -raportit sageli suurettevõtete poolt, eriti nendel, kellel on USA filiaalid või USA partnerid. Erinevalt ISO 27001-ist (sertifikaadist) on SOC 2 audit-aruanne, mis kinnitab usalduse teenuste kriteeriumite (turvalisus, kättesaadavus, töötlemise terviklikkus, konfidentsiaalsus, privaatsus) täitmist tavaliselt kuue kuni kaheteistkümne kuu jälgimisperioodil. Põhjaliku võrdluse jaoks on oluline kontrollida, kas pakkujal on hiljutine SOC 2 Type II-raportt (alla kaheteistkümne kuu), mis osutab tugevale operatiivsele küpsusele.

Elektroonilise allkirja pakkujate sertifitseeringute võrdlemine: meetod ja kriteeriumid

Saadaolevate sertifitseeringute mitmekesisuse korral peavad B2B-ostjad rakendama struktureeritud analüüsraamistikku, mitte ei tohiks tugineda ainult turundusnõuete väiteid. Meie elektroonilise allkirja lahenduste võrdlus loetleb Prantsusmaal saadaolevad peamised platvormid; siin on nende sertifitseerimise taseme hindamine.

Neli küsimust, mida tuleb süstemaatiliselt esitada

1. Kui vana ja mis ulatuses on sertifitseering? Kolm aastat tagasi saadud ja mitteuuendatud ISO 27001 sertifitseering ei paku samaid garantiisid kui praeguselt kehtiv sertifikaat. Taotlege süstemaatiliselt ametlikku sertifikaati ja kontrollige auditeeritud ulatust: mõned pakkujad sertifitseerivad ainult peakontorit, väljajättes andmekeskused või välismaised arendusmeeskonnad.

2. Kes teostas sertifitseerimisauditit? Sertifitseerimisasutus peab ise olema akrediteeritud IAF (Rahvusvaheline Akrediteerimisfoor) liikme poolt. Prantsusmaal on COFRAC (Comité Français d'Accréditation) pädev asutus. Akrediteerimata asutuse poolt väljastatud sertifikaat ei oma lepingulise ega regulatiivse väärtuse.

3. Kas pakkuja avaldab oma aastasel tungimise testiraporti? ISO 27001 nõuab regulaarseid haavatavuste hindamisi, kuid ei määratle testide standardset vormingut. Küps pakkuja avaldab kokkuvõtte oma aastasest kolmanda osapoole poolt tehtud pentest-ist. ANSSI soovitab seda tüüpi harjutuste jaoks kasutada PASSI-kvalifitseeritud pakkujaid (Prestataire d'Audit de la Sécurité des Systèmes d'Information).

4. Millised on alamettevõtted ja seotud sertifitseeringud? Elektrooniline allkirja pakkuja tugineb tavaliselt pilvearvutuse majutajale (AWS, Azure, OVHcloud jne) ja mõnikord kolmandate osapoolte sertifitseerimisasutustele. Kontrollige, et neilgi alamettevõtjatel oleksid samaväärse sertifitseeringud (ISO 27001, HDS tervishoiuandmete jaoks, SecNumCloud tundlike andmete jaoks). Usaldusväärsuse ahel on jõus vaid siis, kui iga selle link on auditeeritud.

Tervishoiuandmete HDS-viitestandardi erijuhtum

Tervishoiuasutuste, hooldekodude, vastastikuste kindlustamis- ja kindlustusettevõtete puhul, kes käitlevad meditsiiniandmeid, lisandub HDS-sertitseering (Hébergeur de Données de Santé) ISO-nõuetele. Pärast 2018. aasta 26. jaanuari määrust peab iga tervishoiuandmete majutaja isikuandmete käsitlemisel olema sertifitseeritud HDS-iga akrediteeritud asutus. Elektroonilist allkirja pakkuja jaoks, mida kasutatakse meditsiinilises kontekstis – arstiabi nõusolek, elektrooniline retsept, haiglaajalooliste märkuste kokkuvõte – on see sertifitseering tingimata vajalik. Avastage elektroonilise allkirja eripärad tervishoiusektoris, et hinnata oma kohustusi.

Sertifitseeringute mõju lepingulisele läbirääkimisele ja pädevuse uurimisele

Prestaatja saadud sertifitseeringud pole üksnes kaubanduslikud argumendid: nad struktureerivad lepingulise seose ja vastutuse jaotuse poolte vahel.

Lepingulised klauslid, mida tuleb süstemaatiliselt kaasata

Elektroonilise allkirja pakkujaga lepingu läbirääkimisel väärivad mitmed klauslid, mis on otseselt seotud sertifitseeringutega, erilist tähelepanu:

  • Sertifitseerimise säilitamise klausel: pakkuja kohustub säilitama oma sertifitseeringud kogu lepingu kestvusajal ja teatama viivitamatult iga taandamise või peatamise kohta.
  • Auditeerimise klausel: klient säilitab õiguse teostada või teha teostada turvalisuse audit pakkuja juurest määratud tingimustel (etteteatmine, maht, tulemuste konfidentsiaalsus).
  • Alamettevõtte klausel: iga muudatus alamettevõtte ahelas peab olema eelnevalt teatatud, võimalikult tühistamisõigusega, kui uus alamettevõtja ei vasta määratletud sertifitseerimise nõuetele.
  • Saadavuse SLA: ISO 27001-sertifitseeritud pakkujate jaoks on 99,9%-line saadavuse kohustus kuubaasil mõistlik ootus, finantssanktsioone ületäitmise korral.

Need lepingulised aspektid on osa laiemast elektroonilise allkirja valitsuse lähenemisest ettevõttes, mida uurime oma spetsialiseeritud juhendis.

Sertifitseeringute panus GDPR-auditeerimise või NIS2 raamis

Alates NIS2-direktiivi kehtestamise kuupäevast (Prantsusmaal üle võetud 15. aprilli 2025. aasta seadusega) peavad olulised ja olulised asutused näitama, et nende kriitilised prestaatorid – sealhulgas elektroonilise allkirja pakkujad – vastavad küberturvalisuse miinimumsele. Prestaatja ISO 27001-sertitseering moodustab dokumenteeritud tõendi, mida saab kasutada NIS2-auditeerimise või CNIL-inspektsiooni käigus. See näitab eelkõige GDPR 32. artikli rakendamist, mis nõuab riskiga seotud turva tasemega sobivaid tehnilist ja organisatsioonilist meetmeid.

Ettevõtetele, kes soovivad migreerida vähem sertifitseeritud lahendusest kõrgema vastavuse garantiidega platvormile, on meie Certyneole migratsiooni juhend detailist sammudega ja ettevaatusabinõudega.

Elektroonilise allkirja pakkujate sertifitseeringutele kohaldatav õiguslik raamistik

Elektroonilise allkirja õiguslik kehtivus põhineb euroopa ja rahvuslike õigusnormide kihistumisel, mille valdamine on pakkujate sertifitseeringute õigeks hindamiseks hädavajalik.

Tsiviilseadustik, artiklid 1366 ja 1367: Need artiklid moodustavad elektroonilise allkirja prantsuse õiguse aluse. Artikkel 1366 sätestab, et „elektrooniline dokument omab paberkandjal olevas dokumendis sellist tõendamise jõudu, kuni asjaomane isik, kellest see pärineb, on asjakohaselt tuvastatud ja see on koostatud ja säilitatud viisil, mis garanteerib selle terviklikkust". Artikkel 1367 täpsustab, et „õigusakt nõutud allkiri tuvastab selle autori" ja et elektrooniline allkiri „seisneb usaldusväärsele identifitseerimismenetlusele tuginemisel, mis garanteerib selle seose dokumendiga". ISO 27001- ja eIDAS-sertifitseeringud aitavad otseselt selle usaldatavuse eelduse kehtestamisele.

Euroopa määrus eIDAS nr 910/2014: See euroopa määrus, mida kohaldatakse kõigis liikmesriikides, määratleb elektroonilise allkirja kolm taset (lihtne, täiustatud, kvalifitseeritud) ja nõuab usaldusasutuste teenuste pakkujatelt allumist vastavusauditi nõudele ETSI-standardite alusel. Selle artikkel 24 määratleb kvalifitseeritud pakkujatele kohaldatavad nõuded, eriti nõude kasutada kvalifitseeritud töötajaid ja säilitada piisavad finantsvahendid. Revisjoon eIDAS 2.0 (Euroopa määrus 2024/1183, rakendus 20. mai 2024) tugevdab neid nõudmisi, tuues sisse Euroopa digitaalse isikutunnistuse portfelli (EUDIW) ja laiendades tunnustatud usaldusasutuste teenuste ulatust.

GDPR nr 2016/679: Artiklid 28 (andmehaldurid), 32 (töötlemise turvalisus) ja 35 (mõju-hindamise analüüs) kuuluvad otse, kui elektrooniline allkirja pakkuja käitleb vastutava isiku nimel isikuandmeid. Artikkel 32 nõuab eelkõige andmete pseudonüümimist ja krüpteerimist, võimekust garanteerida andmete konfidentsiaalsus, terviklikkus ja vastupidavus. ISO 27001-sertitseering, mis hõlmab neid aspekte, võimaldab osaliselt seda demonstratsiooniohtu rahuldada.

NIS2-direktiiv (EL 2022/2555, üle võetud Prantsusmaa seadusega 15. aprilli 2025): See nõuab olulistelt ja olulistelt asutustelt juhtida riske, mis on seotud nende digitaalse tarneahela, sealhulgas elektroonilise allkirja pakkujatega. NIS2 artikkel 21 loetleb küberturvalisuse miinimusmeetmeid, millest paljud langevad otseselt ISO 27001-nõuete piiresse.

ETSI-standardid: Standardid EN 319 401, EN 319 411-1, EN 319 411-2, EN 319 132 (XAdES), EN 319 122 (CAdES) ja EN 319 162 määratlevad usaldusasutuste teenuste pakkujatele kohaldatavad tehnilised nõuded. Nende järgimine auditeeritakse enne nimekirja sissekannet.

Vastutus sertifitseerimise puudumise korral: Sertifitseerimata pakkuja, kes kannustab andmete rikkumist, mis toob kaasa elektrooniliste allkirjade kompromisseerimise, on vastutav lepingulise ja deliktuaalse vastutuse eest. Kliendi jaoks on sertifitseeringute eelneva kontrollimata jätmine võimalik viga küberjuhtimises, mis võib mõjutada küberkindlustuse katvust.

Kasutamise stsenaariumid: ISO-sertifitseeringud praktikas

ISO-sertifitseeringud ei ole teoreetilised abstraktsioonid. Siin on kolm konkreetset stsenaariumi, mis illustreerivad nende operatiivset mõju erinevates ärikontekstides.

Stsenaarium 1: Juriidiline büroode ärifirma valiku selle allkirjapakkujate juhul

Juriidiline büroode ärifirma, millel on umbes kahekümne koostöötaja, käitleb aastaselt mitusada tundlikku akti: osaluste üleandmist, ühingute pakte, konfidentsiaalsuse lepinguid. IT-vastutaja peab oma valiku pakkuja osas selgitama juhatajatele ja suurklientidele, kes nõuavad lepinguliselt, et kasutatavad digitaalid vahendid oleks ISO 27001-sertifitseeritud.

Valitud pakkuja ISO 27001:2022-sertifitseeringule toetudes saab büroode koostada vastavuse sertifikaadi klientide detalielage ajal. Iga-aastane auditi uuendamine moodustab samuti argumendi pakkumiste palves, kus turvalisus hindatakse süstemaatiliselt. Sarnase struktuuri puhul märgitud tulemus: 60-70% vähenemine turvalisuse küsimuste jaoks kulutatud ajale äriliste läbirääkimiste käigus ja kahe mittevastavuse allkirja juhtumi elimineerimine kaheksateistaastaste perioodil.

Stsenaarium 2: Väike tööstusettevõte, mis haldab tehastetöötaja lepinguid rahvusvaheliselt

Väike tööstusettevõte umbes 150 töötajaga haldab aastas ligi 300 tehastetöötaja lepingut, millest märkimisväärne osa on Saksamaa ja Hollandiga partneritega, peab tagama, et tema elektrooniline allkiri oleks neis riikides tunnustatud. Tema pakkuja eIDAS-sertifitseering – inscribed Prantsusmaa usaldusväärsete nimekirja ja pakkuda täiustatud signaale, mis vastavad ETSI EN 319 132-le – tagab õigusliku ühilduvuse Euroopa ruumis.

Paralleelselt nõuavad mitmed tema suured klientide ostud tema pakkuja ISO 27001-sertifitseeringut iga-aastastes tarnija auditites. Ettevõte hindab, et on vältinud kahe uuesti kvalifikatsioonide teostamist (pöördumine käsitsi allkirjale mittevastavuse tõttu), mis esindab umbes 15 000 kuni 20 000 eurot kokkuhoidu viivitustes ja logistika kuludel, kaheteistkümnekuulises aastases kestuses.

Stsenaarium 3: Haiglate rühm integreerib elektroonilise allkirja oma HR- ja meditsiinilistes protsessides

Umbes 600-kohaline haigla rühm soovib dematrialiseerida nii oma töölepingud (meditsiiniline personal, ajutine arstiabi) kui ka oma otsused arvutiga seotud hoolduseks. Kaks sertifitseeringute peret on hädavajalikud: ISO 27001 pakkuja üldiseks turvalisuseks ja HDS-sertifitseering (Santé-andmete majutaja) meditsiiniandmete käsitlemise osas.

Haigla rühm valib pakkuja, kellel on mõlemad sertifitseeringud, mis võimaldab tema katta kogu tarvete spektri ühe lepinguga, samal ajal rahuldades Digitaalse Tervise Agentuuri (ANS) nõudmisi. Personalijuhtimise protsessides mõõdetud tootlikkuse kasv (ajutiste meditsiinilepingud allkirjastatud vähem kui kahe tunni jooksul võrreldes kahe-kolmepäevase paberversiooniga) esindab umbes 40% kokkuhoidu haldusliku halduse seotud kuludesse, väärtus umbes 80 000 kuni 120 000 eurot aastas aastas 1 200 allkirjastatud lepinguga aastas.

Kokkuvõte

ISO 27001, ISO 27017, ISO 27018 sertifitseeringud ja eIDAS-kvalifikatsioonid pole lihtsalt märgid, mis on kuvatud turunduslehel: need moodustavad auditeeritud garantiide aluse, mida regulaarselt kontrollitakse, mis angaž pakkuja vastutust ja kaitsevad õiguslikult klientide ettevõtet. 2026. aastal, silmitsi kasvavate küberohtude häire ja Euroopa regulatoorse raamistiku rangemaks muutumisega (NIS2, eIDAS 2.0), ei ole sertifitseeritud elektroonilise allkirja pakkuja valimata enam valik, vaid valitsuse nõudmine.

Prantsusmaa turule saadaolevate pakkujate objektiivseks võrdlemiseks tuginevad neljale selles artiklis tuvastatud põhikriteeriumile: sertifitseerimise täpne ulatus, auditiasutuse akrediteeering, läbipaistvus alamettevõtte ahelas ja lepingulised säilikumisklauslid. Certyneo vastab kõigile neile nõuetele ja aitab teil oma vastavuse maksimeerimisele. Võtke ühendust meie meeskonnaga, et saada oma praeguse situatsiooni audiit ja uurida, kuidas liikuda täielikult sertifitseeritud elektroonilise allkirja juurde.

Proovige Certyneot tasuta

Saatke oma esimene signatuurikiri vähem kui 5 minutiga. 5 tasuta kirja kuus, ilma krediitkaardita.

Süvendage teemat

Meie terviklikud juhendid elektroonilise signatuuriga seoses.

Certyneo kogukond

Küsimus elektroonilise allkirja kohta?

Liituge Certyneo kogukonnaga: esitage oma küsimused, jagage vastuseid ja suhelge tuhandete kasutajate ja meie meeskonnaga.