Preskoči na glavnu sadržaj
Certyneo

Certifikacija ISO za elektronički potpis: vodič za 2026.

ISO 27001, eIDAS, ETSI… certifikacije davatelja usluga elektroničkog potpisa postale su neizbežan kriterij izbora. Saznajte kako ih učinkovito uspoređivati.

Équipe éditoriale Certyneo12 min čitanja

Équipe éditoriale Certyneo

Urednik — Certyneo · O Certyneu

Elektronički potpis etablirao se kao standard u upravljanju dokumentima francuskih i evropskih poduzeća. Ali iza prividne jednostavnosti klikanja na validaciju krije se tehnički i regulatorni ekosistem velike kompleksnosti. 2026. godine, pitanje nije više "trebam li usvojiti elektronički potpis?" već "koji davatelj pruža dovoljne garancije sigurnosti i usklađenosti za moj poslovni kontekst?". ISO certifikacije — posebno ISO 27001 — predstavljaju jedan od najpouzdanijih odgovora na ovo pitanje. Ovaj članak vas vodi kroz glavne certifikacije primjenjive na davatelje usluga elektroničkog potpisa, njihov stvarni doseg i kriterije koje treba koristiti za rigoroznu usporedbu.

Zašto su ISO certifikacije presudne za elektronički potpis

Elektronički potpis nije samo aplikacijska funkcionalnost. Angažuje pravnu odgovornost poduzeća koje potpisuje, povjerljivost obrađenih podataka i dugoročni integritet arhiviranih dokumenata. Zato certifikacije koje dobija davatelj nisu samo marketinške oznake: potvrđuju razinu sigurnosne zrelosti revidirane od strane nezavisne treće strane.

ISO 27001: neobhodan temelj sigurnosti informacija

ISO/IEC 27001 je međunarodna referentna norma za sustave upravljanja sigurnosti informacija (SMSI). Pokriva povjerljivost, integritet i dostupnost podataka. Za davatelja usluga elektroničkog potpisa, ova certifikacija znači da su svi njegovi procesi — od kreiranja računa potpisnika do arhiviranja potpisanog dokumenta — podložni dokumentiranim kontrolama, redovito revidiranima od strane akreditovane organizacije (tip LSTI, Bureau Veritas, BSI, itd.).

U praksi, ISO 27001 nameće davatelju:

  • Iscrpan inventar informatičkih sredstava i povezanih rizika
  • Stroge politike kontrole pristupa (jaka autentifikacija, upravljanje pravima)
  • Postupke upravljanja incidentima i kontinuiteta poslovanja
  • Redovne interne revizije i godišnji pregled menadžmenta
  • Kontinuirani nadzor ranjivosti

Verzija na snazi od 2022. (ISO/IEC 27001:2022) integrira 93 sigurnosne mjere grupirane u četiri teme: organizacijske, ljudske, fizičke i tehnološke. Davatelj certifikovan na ovoj verziji pokazuje sigurnosni pristup suvremenim pretnjama, uključujući napade ransomwareom i kompromise u lancu opskrbe.

ISO 27017 i ISO 27018: neophodni cloud proširenja

Gotovo sve SaaS rješenja za elektronički potpis temelje se na cloud infrastrukturi. U tom kontekstu, dva proširenja porodice ISO 27000 zaslužuju posebnu pozornost:

ISO/IEC 27017 pruža specifične smjernice za cloud usluge, pokrivajući posebno deljenu odgovornost između davatelja i njegovih podizvodjača (hosting pružatelji, treće strane od povjerenja). Za B2B kupca, provjera da davatelj ima ovu certifikaciju ili je poštuje omogućava validirajući da su podaci pohranjeni u cloudu podložni istim sigurnosnim zahtjevima kao i on-premise okruženja.

ISO/IEC 27018 specifično se bavi zaštitom osobnih podataka u cloudu. Dopunjava GDPR definirajući operativne prakse: zabrana korištenja podataka u reklamne svrhe bez eksplicitne suglasnosti, transparentnost o podizvodjačima, pravo na prenosivost. Za DPO i rukovoditelje usklađenosti, ova certifikacija predstavlja dodatnu garanciju ozbiljnosti u rukovanju podatcima potpisnika.

Za detaljnije razumijevanje pravne vrijednosti koju daju ovi standardi u vezi s europskim pravom, pogledajte naš vodič o pravnoj vrijednosti elektroničkog potpisa.

Certifikacija eIDAS i norme ETSI: što znači biti "kvalificiran"

Izvan ISO normi, europski regulatorni okvir nameće svoje zahtjeve usklađenosti za pružatelje usluga povjerenja (PSC). Uredba eIDAS br. 910/2014, čija se revizija eIDAS 2.0 provodi, razlikuje tri razine elektroničkog potpisa: jednostavnu, naprednu i kvalificianu.

Status kvalificiranog pružatelja usluga povjerenja (PSCO)

Da bi izdao kvalificirane elektroničke potpise — jedina razina pravno ekvivalentna ručnom potpisu u svim članicama EU — davatelj mora biti upisan na listi povjerenja njegove članice (u Francuskoj, lista koju upravlja ANSSI). Ova kvalifikacija temelji se na inicijalnoj reviziji koju provodi akreditirana organizacija za ocjenu usklađenosti (CAB), zatim na redovnim revizijama nadzora.

Osnovne tehničke norme uglavnom objavljuje ETSI (Europski institut za telekomunikacijske standarde):

  • ETSI EN 319 401: opći zahtjevi za PSC
  • ETSI EN 319 411: politika i praksa certifikacije za autoritete za certifikaciju
  • ETSI EN 319 132: profili XAdES za napredni XML potpis
  • ETSI EN 319 122: profili CAdES za napredni CMS potpis
  • ETSI EN 319 162: usluga registriranog elektroničkog isporuke

Davatelj certifikovan prema tim ETSI normama osigurava tehničku međuoperabilnost svojih potpisa sa svim rješenjima priznatim u evropskom prostoru, što je važno za poduzeća koja djeluju u više zemalja. Naš sveobuhvatni vodič o uredbi eIDAS detaljizira obveze povezane s svakom razinom kvalifikacije.

SOC 2 Type II: sjevernoamerički dodatak koji treba pratiti

Iako manje čest u europskom prostoru, izvještaj SOC 2 Type II (Service Organization Control) izdан prema AICPA standardima često traže velika poduzeća, osobito ona s podružnicama u SAD-u ili partnerima iz Amerike. Za razliku od ISO 27001 (certifikacija), SOC 2 je revizijsko izvješće koje potvrđuje pridržavanje kriterija usluga povjerenja (sigurnost, dostupnost, integritet obrade, povjerljivost, privatnost) tijekom promatranog razdoblja obično od šest do dvanaest mjeseci. Za iscrpnu usporedbu, provjera ima li davatelj nedavno SOC 2 Type II (manje od dvanaest mjeseci) predstavlja snažan signal operacijske zrelosti.

Usporedba certifikacija davatelja: metoda i kriteriji

Pred pluralitetu dostupnih certifikacija, B2B kupci trebaju usvojiti strukturiranu analitičku mrežu umjesto da se oslanjaju samo na marketinške tvrdnje. Naša usporedba rješenja za elektronički potpis navodi glavne dostupne platforme u Francuskoj; evo kako evaluirati njihovu razinu certifikacije.

Četiri pitanja koja treba sistematski postaviti

1. Koji je točan datum i doseg certifikacije? ISO 27001 certifikacija dobivena prije tri godine i nepobnovljena ne nudi iste garancije kao trenutno validan certifikat. Sistematski traži službeni certifikat i provjeri doseg revidirane domene: neki davatelji certificiraju samo svoju sjedišnicu, isključujući datacentre ili offshore razvojne timove.

2. Tko je proveo reviziju certifikacije? Organizacija certificiranja sama mora biti akreditirana od člana IAF (Međunarodnog foruma za akreditaciju). U Francuskoj, COFRAC (Francuski odbor za akreditaciju) je nadležna organizacija. Certifikat izdан od strane neakreditovane organizacije nema nikakvu ugovornu ili regulatornu vrijednost.

3. Publicirajući li davatelj svoj godišnji izvještaj o testiranju penetracije? ISO 27001 certifikacija zahtijeva redovne procjene ranjivosti, ali ne propisuje standardni format za penetracijske testove. Zreo davatelj publicirajući izvršni sažetak svojeg godišnjeg pentesta koji je provela treća strana. ANSSI preporučuje pozivanje kvalificiranih PASSI davatelja (Davatelja revizije sigurnosti informacijskih sustava) za takve vježbe.

4. Koje su podizvodnje i povezane certifikacije? Davatelj elektroničkog potpisa obično se oslanja na cloud hosting (AWS, Azure, OVHcloud, itd.) i ponekad na treće autoritete za certifikaciju. Provjeri da ti podizvodjači sami imaju ekvivalentne certifikacije (ISO 27001, HDS za zdravstvene podatke, SecNumCloud za osjetljive podatke). Lanac povjerenja valjda je samo ako je svaka njegova karika revidiirana.

Poseban slučaj HDS referentnog okvira za zdravstvene podatke

Za zdravstvene ustanove, EHPAD, zajednice ili osiguratelje koji upravljaju medicinskim podacima, HDS certifikacija (Hosting zdravstvenih podataka) dodaje se ISO zahtjevima. Od 26. siječnja 2018., svaki hosting zdravstvenih podataka osobne prirode mora biti HDS certificiran od strane akreditovane organizacije. Za davatelja elektroničkog potpisa korištenog u medicinskom kontekstu — suglasnost tretmanu, elektronski recept, izvještaj o hospitalizaciji — ova certifikacija je sine qua non uvjet. Saznajte specifičnosti elektroničkog potpisa u zdravstvenoj industriji za procjenu svojih obveza.

Utjecaj certifikacija na pregovaranje ugovora i provjeru dužne pažnje

Certifikacije koje dobija davatelj nisu samo komercialni argumenti: strukturiraju ugovorni odnos i podjelu odgovornosti između strana.

Ugovorne klauzule za sistematsku integraciju

Tijekom pregovaranja ugovora s davateljem elektroničkog potpisa, nekoliko klauzula izravno povezanih s certifikacijama zaslužuje posebnu pozornost:

  • Klauzula održavanja certifikacije: davatelj se obvezuje održavati svoje certifikacije tijekom cijelog ugovornog razdoblja i odmah obavijestiti o bilo kojem povlačenju ili suspenziji.
  • Klauzula revizije: klijent zadržava pravo provesti ili naručiti sigurnosnu reviziju kod davatelja, pod utvrđenim uvjetima (obavijest, doseg, povjerljivost rezultata).
  • Klauzula podizvodnje: bilo koja promjena u lancu podizvodnje mora biti prethodno obavljena, s mogućnošću otkazivanja ako novi podizvodjač ne zadovoljava utvrđene certifikacijske zahtjeve.
  • SLA dostupnosti: za davatelje certificirane ISO 27001, obaveza dostupnosti (SLA) od najmanje 99,9% na mjesečnoj osnovi je razumno očekivanje, sa financijskim kaznama u slučaju premašenja praga nedostupnosti.

Ti ugovortni aspekti dio su većeg pristupa upravljanju elektroničkog potpisa u poduzeću, koje detaljiziramo u našem specijaliziranom vodiču.

Doprinos certifikacija u kontekstu GDPR ili NIS2 revizije

Od stupanja na snagu direktive NIS2 (prenesena u francusko zakonodavstvo zakonom od 15. travnja 2025.), bitni subjekti i važni subjekti moraju dokazati da njihovi kritični pružatelji — uključujući davatelje elektroničkog potpisa — zadovoljavaju minimalne zahtjeve sajbernetske sigurnosti. ISO 27001 certifikacija davatelja predstavlja dokumentirane dokaze upotrebljive tijekom NIS2 revizije ili inspekcije CNIL. Posebno pokazuje primjenu članka 32 GDPR, koji zahtijeva primjerene tehničke i organizacijske mjere za osiguranje sigurnosti prilagođene riziku.

Za poduzeća koja žele migrirati s manje certificirane rješenja na platformu koja nudi više garantije usklađenosti, naš vodič migracije na Certyneo detaljizira korake i opreznosti koje treba poštovati.

Pravni okvir primjenjiv na certifikacije davatelja elektroničkog potpisa

Pravna valjanost elektroničkog potpisa temelji se na naplavanju europskih i nacionalnih normatnih tekstova, čija je vlada neophodno potrebna da se pravilno procijene certifikacije davatelja.

Građanski zakonik, članci 1366 i 1367: Ti članci čine temelj francuskog prava elektroničkog potpisa. Članak 1366 kaže da je "elektronički dokument ima istu dokaznu vrijednost kao dokument na papirnom nosaču, pod uvjetom da se osoba iz koje dolazi može pravilno identificirati i da je uspostavljen i čuvan na način da garantira njegov integritet". Članak 1367 pojašnjava da je "potpis potreban za savršenost pravnog akta identificira njegovog autora" i da je, kada je elektronički, "sastoji se od korištenja pouzdanog postupka identificiranja koji garantira njegovu vezu s aktom kojem se pripisuje". ISO 27001 certifikacije i eIDAS kvalifikacije izravno doprinose uspostavi ove presume pouzdanosti.

Uredba eIDAS br. 910/2014: Ova europska uredba, izravno primjenjljiva u svim članicama, definira tri razine elektroničkog potpisa (jednostavna, napredna, kvalificirana) i nameće pružateljima usluga povjerenja da se podvrgnu provjerama usklađenosti prema ETSI normama. Njezin članak 24 pojašnjava zahtjeve primjenjive na kvalificirane pružatelje, uključujući obvezu zapošljavanja kvalificiranog osoblja i održavanja dovoljnih financijskih resursa. Revizija eIDAS 2.0 (Uredba UE 2024/1183, na snazi od 20. svibnja 2024.) ojačava te zahtjeve uvođenjem EU portfelja digitalnog identiteta (EUDIW) i proširujući doseg priznatih usluga povjerenja.

GDPR br. 2016/679: Članci 28 (obrada podataka), 32 (sigurnost obrade) i 35 (procjena utjecaja) izravno su relevantni kada davatelj elektroničkog potpisa obrađuje osobne podatke u ime odgovornog. Članak 32 zahtijeva posebno pseudonimizaciju i šifriranje osobnih podataka, sposobnost osiguranja povjerljivosti, integriteta i otpornosti sustava. ISO 27001 certifikacija koja pokriva te aspekte omogućava djelomično zadovoljit tu obvezu demonstracije.

Direktiva NIS2 (UE 2022/2555, prenjena francuskim zakonom od 15. travnja 2025.): Nameće bitnim subjektima i važnim subjektima da upravljaju rizicima vezanim uz njihov lanac nabave informacija, uključujući svoje davatelje elektroničkog potpisa. Članak 21 NIS2 navodi minimalne mjere sajbernetske sigurnosti od kojih se nekoliko izravno preklapa sa zahtjevima ISO 27001.

Norme ETSI: Norme EN 319 401, EN 319 411-1, EN 319 411-2, EN 319 132 (XAdES), EN 319 122 (CAdES) i EN 319 162 definiraju tehničke zahtjeve za kvalificirane pružatelje usluga povjerenja. Njihova je usklađenost revidiirana od strane akreditovanih organizacija prije bilo kakvog upisivanja na nacionalne liste povjerenja.

Odgovornost u slučaju nedostatka certifikacije: Necertificirani davatelj koji pretrpi povredu podataka koja rezultira kompromitacijom elektroničkih potpisa angažuje svoju ugovornu i deliktnu odgovornost. Za klijenta, nedostatak prethodne provjere certifikacija može biti zadržan kao greška u upravljanju kibernetičkim rizicima, sposoban utjecati na pokrivenost cyber osiguranja.

Scenariji korištenja: ISO certifikacije u praksi

ISO certifikacije nisu teoretske apstrakcije. Evo tri konkretna scenarija koja ilustriraju njihov operativni utjecaj u raznolikim poslovnim kontekstima.

Scenarij 1: Poslovna odvjetnika praksa biranja svoga davatelja elektroničkog potpisa

Poslovna odvjetnika praksa od dvadeset suradnika godišnje obrađuje nekoliko stotina osjetljivih dokumenata: cesije dionica, pakti udruženja, sporazume o povjerljivosti. Rukovoditelj informatike mora opravdati izbor davatelja među partnerima i klijentima grandes compte koji ugovorno zahtijevaju da su korišteni digitalni alati certificirani ISO 27001.

Oslanjajući se na ISO 27001:2022 certifikaciju izabranog davatelja, praksa može proizvesti dokaz usklađenosti tijekom due diligence klijenta. Godišnja revizija obnavljanja predstavlja i argument tijekom javnih poziva, gdje je sigurnost podataka sistematski ocjenjivana. Rezultat primjećen u ovoj vrsti strukture: smanjenje od 60 do 70% vremena posvećenog pitanjima sigurnosti tijekom komercijalnih pregovora, i eliminacija dva incidenta povezana s neusklađenim potpisima tijekom razdoblja od osamnaest mjeseci.

Scenarij 2: KME industrijska upravljanja ugovorima s dobavljačima međunarodno

KME industrijska od oko 150 zaposlenih upravljajući blizu 300 ugovora s dobavljačima godišnje, od čega značajan udio s partnerima iz Njemačke i Nizozemske, mora osigurati da su njezini elektronički potpisi prepoznati u tim zemljama. eIDAS certifikacija njezina davatelja — upisan na listi povjerenja Francuske i nudeći napredne potpise sukladne ETSI EN 319 132 — garantira pravnu međuoperabilnost u europskom prostoru.

Paralelno, ISO 27001 certifikacija davatelja zahtijeva se od odjela nabave nekoliko njezinih klijentskih velikih računa tijekom godišnjih revizija dobavljača. Poduzeće procjenjuje da je izbjegla dva prequalificiranja ugovora (prelazak na ručni potpis zbog neusklađenosti) predstavljajući izbjegnutu vrijednost od oko 15 000 do 20 000 eura u rokove i logističke naknade, tijekom dvanaest mjeseci.

Scenarij 3: Bolnička skupina koja integrira elektronički potpis u HR i medicinske procese

Bolnička skupina od oko 600 kreveta želi dematljalizirati i svoje radne ugovore (medicinski osoblje, privremeni medicinski radnici) i svoje digitalne suglasnosti za liječenje. Dvije obitelji certifikacija pokazuju se neobhodno: ISO 27001 za ukupnu sigurnost davatelja, i HDS certifikacija (Hosting zdravstvenih podataka) za dio obrade medicinskih podataka.

Grupa odabira davatelja koji posjeduje obje certifikacije, što joj omogućava pokriti sve svoje slučajeve korištenja u jednom ugovoru istovremeno zadovoljavajući zahtjeve Agencije za digitalnost u zdravstvu (ANS). Dobit produktivnosti mjerena na HR procesima (ugovori s privremenim medicinskim radnicima potpisani za manje od dva sata naspram dva do tri dana u verziji papira) predstavlja uštedu procijenjenu na 40% na troškovinama upravljanja administrativnom povezanošću, što je godišnja vrijednost od oko 80 000 do 120 000 eura za volumen od 1 200 potpisanih ugovora godišnje.

Zaključak

ISO 27001, ISO 27017, ISO 27018 certifikacije i eIDAS kvalifikacije nisu samo značke prikazane na marketinškoj stranici: predstavljaju temelj revidianih garancija, redovito provjerene, koje angažuju odgovornost davatelja i pravno štite poduzeće klijenta. 2026. godine, pred sofisticiranošću rastućih cyber prijetnji i ojačanjem europskog regulatornog okvira (NIS2, eIDAS 2.0), odabir certificiranog davatelja elektroničkog potpisa više nije opcija nego zahtjev upravljanja.

Da pravilno usporedite davatelje dostupne na francuskom tržištu, oslanjajte se na četiri ključna kriterija identificirane u ovom članku: točan doseg certifikacije, akreditacija organizacije revizora, transparentnost o lancu podizvodnje i ugovorne klauzule održavanja. Certyneo zadovoljava sve te zahtjeve i prati vas u vašoj usklađenosti. Kontaktirajte naš tim da biste dobili reviziju vaše trenutne situacije i saznali kako prijeći na elektronički potpis potpuno certificiran.

Isprobajte Certyneo besplatno

Pošaljite vašu prvu omotnicu potpisa za manje od 5 minuta. 5 besplatnih omotnica mjesečno, bez kreditne kartice.

Dublje razumijevanje teme

Naši sveobuhvatni vodiči za savladavanje elektroničkog potpisivanja.

Zajednica Certyneo

Pitanje o elektroničkom potpisu?

Pridružite se zajednici Certyneo: postavite svoja pitanja, podijelite odgovore i komunicirajte s tisućama korisnika i našim timom.