Sähköinen allekirjoitus ja ISO 27001 -standardi: opas 2026

Sähköinen allekirjoitus on tullut B2B-sopimusten keskeiseksi osaksi, mutta sen oikeudellinen ja kaupallinen arvo perustuu usein aliarvioidulle tekijälle: sen tukevan tietojärjestelmän kestävyyteen. Tässä roolissa toimii ISO/IEC 27001 -standardi, kansainvälinen tietoturvan hallinnon viitteistö. Vuonna 2026, jolloin allekirjoitusalustoita kohtaan kohdistuvat kyberhyökkäykset lisääntyvät ja eIDAS 2.0 -asetus tiukentaa luottamuspalveluntarjoajien vaatimuksia, ISO 27001 -sertifiointi ei ole enää vain suurten yritysten luksus: se on tullut vakiokriteereiksi kaikelle sähköisen allekirjoituksen käyttöönotolle yrityksessä.

Tämä artikkeli analysoi ISO 27001:n ja sähköisen allekirjoituksen välisiä synergioita, konkreettisia velvoitteita, joita sertifiointi aiheuttaa, vaatimustenmukaisuuden puuttumisen riskejä ja vaiheita sertifioinnin hankkimiseksi tai sen arvioimiseksi SaaS-palveluntarjoajalta.

Mikä ISO 27001 -standardi on ja miksi se on keskeinen sähköiselle allekirjoitukselle?

Kansainvälisen standardisointijärjestön (ISO) ja Kansainvälisen sähköteknisen komission (IEC) julkaisema ISO/IEC 27001:2022 -standardi (tarkistettu versio lokakuussa 2022) määrittelee vaatimukset tietoturvallisuuden hallintajärjestelmän (ISMS) perustamiselle, täytäntöönpanolle, ylläpidolle ja jatkuvalle parantamiselle. Se kattaa 93 kontrollia, jotka on jaettu neljään teemaan: organisatoriset kontrollit, henkilöihin liittyvät kontrollit, fyysiset kontrollit ja teknologiset kontrollit.

Sähköisen allekirjoituksen osalta tämä standardi on erityisen tärkeä, koska se käsittelee suoraan tietoturvallisuuden kolmea pilaria:

• Luottamuksellisuus: allekirjoitettujen dokumenttien suojaaminen luvattomalta pääsyltä
• Eheys: dokumenttien muuttumattomuuden takaaminen allekirjoituksen jälkeen
• Saatavuus: allekirjoitustodisteisiin pääsy mahdollisen oikeudenkäynnin yhteydessä

ISO 27001 -kontrollit, jotka soveltuvat suoraan sähköiseen allekirjoitukseen

Standardin liitteen A 93 kontrollista useat koskevat suoraan allekirjoitustyönkulkuja:

Kontrolli 5.14 – Tiedonsiirto: määrää virallisten sääntöjen dokumentoinnin tietojen turvalliselle siirrolle, erityisesti salattujen protokollien (TLS 1.3 vähintään) avulla.

Kontrolli 8.24 – Salauksen käyttö: vaatii dokumentoitua salauskäytäntöä, joka kattaa sähköisten allekirjoitusten luomiseen ja varmentamiseen käytetyt algoritmit. Käytännössä tämä tarkoittaa ANSSI:n suosituksiin noudattavien algoritmien käyttöä (RSA-3072 tai ECDSA-256 vähintään vuonna 2026).

Kontrolli 8.12 – Tietovuotoriskien ehkäisy (DLP): suojaa allekirjoitetuissa asiakirjoissa olevia henkilötietoja GDPR-velvoitteiden mukaisesti.

Kontrolli 5.18 – Pääsyoikeudet: varmistaa, että vain valtuutetut henkilöt voivat käynnistää, allekirjoittaa tai tarkastella asiakirjaa alustalla.

ISO 27001 vs. muut turvallisuussertifikaatit: mikä on täydentävä arvo?

ISO 27001 ei ole ainoa asiaankuuluva standardi, mutta se muodostaa perustan. Se täydentää:

• SOC 2 Type II (amerikkalainen standardi, jota vaativat usein NYSE:ssa listatut yritykset)
• ISO/IEC 27017 ja 27018: pilveen ja henkilötietojen suojaamiseen pilvessä liittyvät laajennukset
• eIDAS-pätevyys, jonka myöntävät akkreditoidut organisaatiot (LSTI Ranskassa): pakollinen pätevyydellisissä luottamuspalvelun tarjoajille (QTSP)

Sähköisen allekirjoituksen palveluntarjoaja, jolla on sekä ISO 27001 -sertifiointi että eIDAS-pätevyys, tarjoaa siten maksimaalisen takaustason, joka on samassa linjassa eIDAS 2.0 -asetuksen kattavassa oppaassa esitetyn kanssa.

Sähköisen allekirjoituksen SaaS-palveluntarjoajille asetetut erityisvaatimukset

Sähköisen allekirjoituksen SaaS-palveluntarjoajan valitseminen, jolla on ISO 27001 -sertifiointi, ei tarkoita, että oma organisaatiosi olisi suojattu — mutta se vaikuttaa suuresti siihen, minkä tason jäljellä olevaa riskiä olet valmis ottamaan.

Sertifioinnin soveltamisala: mitä tulee tarkistaa

Palveluntarjoajaa arvioitaessa kolme kysymystä ovat ratkaisevat:

1. Kattaako sertifioinnin soveltamisala allekirjoituspalvelun? Toimittaja voi olla ISO 27001 -sertifioitu ohjelmistokehityksensä osalta ilman, että allekirjoitusalusta on sertifioinnin soveltamisalalla. Vaadi virallinen sertifikaatti ja tarkista soveltamisalueen ilmoitus (Statement of Applicability).

1. Onko sertifiointi ajan tasalla? ISO 27001 vaatii vuosittaiset valvontaauditointit ja uusintasertifioinnin kolmen vuoden välein. Vanhentunut sertifikaatti mitätöi kaikki takuut.

1. Ketkä ovat sertifiointiorganisaatio? Ranskassa COFRAC:n (Veritas Bureau, SGS, BSI Group, LRQA…) akkreditoimat organisaatiot myöntävät tunnustettuja sertifiointeja. Oma vaatimustenmukaisuuden ilmoitus ei ole juridisesti arvokas.

Häiriötapahtumien hallinta ja palveluiden jatkuvuus

ISO 27001 vaatii dokumentoitua ja testattua liiketoiminnan jatkuvuussuunnitelmaa (PCA) ja palautumissuunnitelmaa (PRA). Sähköisen allekirjoitusalustan osalta tämä käytännössä tarkoittaa:

• RTO (Recovery Time Objective) -vaatimusta alle 4 tuntia tuotantoympäristöille
• RPO (Recovery Point Objective) -vaatimusta alle 1 tunti, mikä estää allekirjoitustietojen häviämisen
• Palautumistestit dokumentoituna vähintään puolivuosittain
• Tietoturvatapahtumien ilmoitusmenettely GDPR:n 33 artiklan mukaisesti (enintään 72 tuntia)

Nämä vaatimukset vastaavat NIS2-direktiivin vaatimuksia, jotka on pantu täytäntöön Ranskassa lailla n°2024-449 21. toukokuuta 2024. Laki velvoittaa kriittiset ja tärkeät entiteetit vahvistettuihin kybertietoturvan toimiin ja häiriötapahtumien raportointiin.

Kuinka ISO 27001 -sertifiointi vahvistaa sähköisen allekirjoituksen todistusvoimaa

Usein juridikoille ja ostajille tuntematon seikka: pätevän sähköisen allekirjoituksen oikeudellinen vakaus riippuu osittain sen teknisestä luottamusketjusta. Asiakirja, joka on allekirjoitettu alustalla, jonka turvallisuus on vaadittu, voi nähdä todistusvoimansa kyseenalaistetuksi oikeudenkäynnissä.

Tietojen eheystä koskevan oikeusperuste

Siviililain 1366 artikla määrää, että sähköisellä allekirjoituksella on käsinkirjoitetun allekirjoituksen arvo "edellyttäen, että sen allekirjoittaja voidaan asianmukaisesti tunnistaa ja se on muodostettu ja säilytetty siten, että sen eheyttä taataan". Tämä eheysvaatimus on juuri ISO 27001:n keskeinen aihe.

Oikeudenkäynnin yhteydessä ISO 27001 -sertifioitu palveluntarjoaja voi esittää:

• Muuttumattomia audittilokit, jotka todentavat pääsyn historian
• Sertifiointiraportteja, jotka todentavat käytössä olevan kontrollit
• Salausavainten hallintakäytäntöä, joka noudattaa liitettä A

Nämä elementit muodostavat todistusjoukan, joka merkittävästi vahvistaa niiden osapuolen asemaa, joka vetoaa allekirjoituksen pätevyyteen. Lisätietoa allekirjoitusten eri tasojen oikeudellisesta arvosta saat sähköisen allekirjoitusratkaisujen vertailusta.

Todistusarvoinen arkistointi ja säilytysaika

ISO 27001, yhdessä NF Z42-020 -normin (digitaalinen säilytyslaatikko) ja ETSI EN 319 162 -suositusten (pätevä sähköinen arkistointipalvelu) kanssa, mahdollistaa arkistointikäytännön määrittämisen, joka takaa allekirjoitusten todistusvoiman pitkillä ajanjaksoilla — jopa 30 vuotta tietyille kaupallisille sopimuksille.

ISO 27001:n kontrolli 8.10 – Tiedon poistaminen vaatii puolestaan dokumentoituja menettelyjä tietojen turvalliseksi hävittämiseksi elinkaaren lopussa, GDPR:n (artikla 17) oikeuden unohtamisen kanssa yhdenmukaisen.

Kuinka arvioida ja vaatia ISO 27001 -vaatimustenmukaisuutta sähköisen allekirjoituksen palveluntarjoajaltasi

SaaS-palveluntarjoajan hankinta- tai sopimuksen uusimisprosessin yhteydessä seuraava neljävaiheinen evaluointiprosessi on tarkoituksenmukainen.

Vaihe 1: Vaadi ja tarkista virallinen sertifikaatti

Vaadi ISO/IEC 27001:2022 -sertifikaattia (ei vanhentunutta 2013-versiota, joka on ollut vanhentunutta lokakuusta 2025 alkaen) sekä viimeisintä valvontaauditointiraporttia. Tarkista voimassaolopäivä sertifiointiorganisaation rekisteristä.

Vaihe 2: Analysoi soveltamisalueen ilmoitus (SoA)

Statement of Applicability luetteloi hyväksytyt ja poissuljetut kontrollit perusteluin. Mikä tahansa kontrolli, joka on jätetty pois ilman dokumentoitua perustetta, edustaa jäljellä olevaa riskiä, joka tulee arvioida palveluntarjoajan riskianalyysissä.

Vaihe 3: Sisällytä vaatimukset sopimukseen

Palveluntarjoajasi kanssa tehdyssä sopimuksessa tulee olla:

• Lauseke sertifioinnin ylläpidosta ja ilmoitusvelvollisuudesta keskeytyksen yhteydessä
• Oikeus auditoida tai pääsy kolmannen osapuolen vuosittaisiin auditointiraportteihin
• Turvallisuuteen liittyvät palvelutasotavoitteet (SLA), jotka vastaavat palveluntarjoajan PCA/PRA:ta
• Vastuulauseke tietoturvatapahtuman tapauksessa, joka vaikuttaa allekirjoitusten eheyteen

Vaihe 4: Suorita oma riskianalyysi

Jopa sertifioitu palveluntarjoaja ei kata sisäisiä riskejä. ISO 27001 velvoittaa omaa organisaatiotasi riskianalyysin tekemiseen (kohta 6.1.2), joka erityisesti kattaa:

• Yhteistyön jäsenten pääsyn hallintaa sähköisen allekirjoitusalustaan
• Tietoisuutta phishing-hyökkäyksistä, jotka kohdistuvat allekirjoitustyönkulkuihin
• Allekirjoituksien delegoinnin hallintakäytäntöä

Tämä lähestymistapa integroituu luonnollisesti laajempaan sähköisen allekirjoituksen hallintakäytäntöön HR- ja juridisille tiimeille, joissa käsiteltävien dokumenttien määrä altistaa merkittäville operatiivisille riskeille.

Sähköiseen allekirjoitukseen ja ISO 27001:een sovellettava oikeusperusta

Sähköisen allekirjoituksen järjestelmän vaatimustenmukaisuus perustuu normatiiviseen kerrokseen, jonka jokaisen B2B-yrityksen tulee hallita.

Siviililaki, artiklarit 1366 ja 1367: Artikla 1366 asettaa sähköisen allekirjoituksen ja käsinkirjoitetun allekirjoituksen väliset yhteydet edellyttäen tekijän tunnistamista ja eheyden takausta. Artikla 1367 määrittelee sähköisen allekirjoituksen "luotettavan tunnistusmenetelmän käyttönä, joka takaa sen yhteyden asiakirjaan, johon se liittyy".

eIDAS-asetus n°910/2014 ja eIDAS 2.0 (EU:n asetus 2024/1183): Soveltuu kaikkiin EU:n jäsenvaltioissa, se erottaa kolme allekirjoitustasojen (yksinkertainen, edistynyt, pätevä) ja velvoittaa pätevyydelliset luottamuspalvelun tarjoajat (QTSP) auditoitavaksi akkreditoiduilla organisaatioilla. Tarkistettu eIDAS 2.0, joka on astunut voimaan asteittain toukokuusta 2024 alkaen, tiukentaa valvontavaatimuksia ja ottaa käyttöön digitaalisen identiteettisalkun Euroopan laajuisesti (EUDIW).

GDPR-asetus n°2016/679: Allekirjoitetuissa dokumenteissa olevat henkilötiedot (allekirjoittajan henkilöllisyys, IP-osoite, aikaleimat) muodostavat henkilötietoja. Vastuullisen osapuolen on varmistettava niiden suojaaminen (artikla 5), ilmoitettava loukkauksista 72 tunnin sisällä (artikla 33) ja otettava käyttöön suojaus suunnittelun kautta (artikla 25). ISO 27001 tarjoaa teknisen vaatimustenmukaisuuden perustan.

NIS2-direktiivi (EU-direktiivi 2022/2555), pantu täytäntöön Ranskassa lailla n°2024-449 21. toukokuuta 2024: Kriittiset ja tärkeät entiteetit — mukaan lukien monet B2B-toimijat — ovat velvollisia ottamaan käyttöön suhteellisia kyberturvallisuuden mittoja, mukaan lukien toimittajien tietoturvaliittyvien riskien hallinta (artikla 21). Sähköisen allekirjoituksen palveluntarjoaja, jolla ei ole ISO 27001 -sertifiointia, voi muodostaa riskitoimittajan NIS2-merkityksessä.

ETSI-standardit: ETSI EN 319 100 -sarja määrittelee pätevyydelliset sähköisten allekirjoitusten tekniset vaatimukset (EN 319 132 XAdES:lle, EN 319 122 CAdES:lle, EN 319 142 PAdES:lle). Nämä tekniset standardit edellyttävät ISO 27001 -standardien mukaista turvallisuusinfrastruktuuria.

ANSSI-viitteistö: Ranskassa Agence nationale de la sécurité des systèmes d'information julkaisee suosituksia salausalgoritmeista (viitteistö RGS — Référentiel Général de Sécurité), joiden täytäntöönpano on helpompaa ISO 27001 -sertifioidulla ISMS:llä. Ranskan palveluntarjoajien eIDAS-kelpoisuus ohjataan ANSSI:n toimesta kansallisena valvontaviranomaisen roolissa.

ISO 27001 -sertifioinnin puuttuminen sähköisen allekirjoituksen palveluntarjoajalla altistaa asiakaasyrityksen riskeille, jotka liittyvät allekirjoitetuissa asiakirjoissa olevan todistusvoiman kiistämiseen, GDPR-sakkoihin (jopa 4 % maailmanlaajuisesta liikevaihdosta tai 20 M€) ja NIS2-vaatimustenmukaisuuden kyseenalaistamiseen.

Käyttötapaukset: ISO 27001 ja sähköinen allekirjoitus käytännössä

Skenaario 1 — Liikeasiainnistö 25 yhteistyöntekijällä

Asianajotoimisto, joka on erikoistunut yrityskauppoihin, käsittelee vuosittain yli 600 asiakirjaa, jotka vaativat edistyneen tai pätevän tason sähköistä allekirjoitusta (NDA, neuvotteluprotokollat, luovutussopimukset). Sisäisen auditoinnin jälkeen, joka paljasti puutteita allekirjoitusalustan käyttöoikeuksien jäljitettävyydessä, toimisto päättää hyväksyä vain ISO/IEC 27001:2022 -sertifioidut palveluntarjoajat, joiden soveltamisala nimenomaisesti kattaa allekirjoituspalvelun.

Tulos: siirtymisen jälkeen sertifioidulle alustalle toimisto huomaa 40 %:n vähennyksen asiakkaiden turvallisuusvaatimuksiin käytetyssä ajassa, ja voi tuottaa sertifiointiraportteja 48 tunissa asiakkaiden vaatimusten saapuessa. Sopimukseen liittyvän validoinnin keskimääräinen kesto vähenee 3,2 päivästä 1,4 päivään.

Skenaario 2 — Teollisuusyritys, joka hallinnoi 1 500 toimittajasopimusta vuodessa

Pieni teollisuusalan alihankkija, joka on Tier-1 -toimittaja autojenrakentajalle, joutuu osoittamaan tilaajajleen, että sen koko sähköisen allekirjoitusketju (tilaukset, puitesopimukset, muutokset) noudattaa ryhmän ostokriteereihin kuuluvia ISO 27001 -vaatimuksia. Pieni yritys tekee riskien kartoituksen palveluntarjoajista normin kohdan 6.1.2 mukaisesti ja tunnistaa, että entinen SaaS-palveluntarjoaja ei hallusta voimassa olevaa sertifiointia.

Siirtymisen jälkeen sertifioiduille ratkaisuille ja sisäisen ISMS:n käyttöönotolle pieni yritys saa vaaditun toimittajapätevyyden ja turvaa 4 vuoden puitesopimuksen. Sertifioinnin kustannus (noin 15 000–25 000 € pienelle yritykselle alan neuvontapalvelujen mukaan) kertyy takaisin alle kuudessa kuussa mitattaessa sopimukseen liittyvää määrää.

Skenaario 3 — Sairaalaklusteriin kuuluvat noin 1 200 sänkyä

Terveysalalla hoitolaitokset ovat vaatimuksien alaisia: terveystietojen käsittely (erityiskategoria GDPR:n artiklan 9 merkityksessä), HDS-sertifiointi (Hébergeur de Données de Santé) ja nyt NIS2-pätevyys olennaisena entiteettinä. Sairaalaklusteriin kuuluvat organisaatiot ottavat käyttöön sähköisen allekirjoituksen sopimuksille, kliinisille tutkintasopimuksille ja julkisille hankinnoille (noin 900 asiakirjaa/kuukausi).

Valitsemalla palveluntarjoajan, jolla on ISO 27001 -sertifiointi, HDS-sertifiointi ja QTSP eIDAS -pätevyys, laitos vähentää GDPR-vaatimustenmukaisuusriskin altistusta 60 %:lla sen tietosuojavaltuutetun mukaan ja hyötyy 30 vuoden takaamoituun todistusvoimaiseen arkistointiin lääketieteellisistä oikeudellisista asiakirjoista. Kliinisten tutkintasopimuksien allekirjoitusaika vähenee keskimäärin 12 päivästä 3,5 päivään, jolloin hallinnolliset tiimit vapautuvat merkittävästi.

Johtopäätös

Vuonna 2026 ISO/IEC 27001:2022 -sertifiointi ei enää ole vain markkinointiargumentti sähköisen allekirjoituksen palveluntarjoajille: se muodostaa olennaiset tekniset ja oikeudelliset perusteet allekirjoitetuissa asiakirjoissa olevan eheyttä, GDPR- ja NIS2-vaatimustenmukaisuutta sekä sopimusvelvoitteiden todistusvoimaa varten. B2B-yrityksille on SaaS-toimittajalta vaatimuksia vastaava diligenssi, samoin kuin eIDAS-pätevyyden tarkistaminen.

Certyneo on sertifioitu ISO/IEC 27001:2022 -standardin mukaisesti, ja sertifiointityöalue kattaa koko sähköisen allekirjoituspalustamme. Tiimimme voivat tukea sinua nykyisen vaatimustenmukaisuutesi arvioinnissa ja turvallisen allekirjoitustyönkulun käyttöönotoissa, joka on sopeutettu määriesi ja toimialalasi tarpeisiin. Pyydä ilmainen esittely Certyneolla tai tutustu hinnoitteluumme löytääksesi organisaatiollesi sopivan ratkaisun.