Elektronički potpis i norma ISO 27001: Vodiči za 2026

Elektronički potpis nametnuo se kao „kičma" ugovornih procesa B2B, ali njegova pravna i komercijalna vrijednost počiva na preduvjetu koji se često podcjenjuje: čvrstoći informacijskog sustava koji ga podržava. Baš tu dolazi do izražaja norma ISO/IEC 27001, međunarodni referentni standard za upravljanje sigurnosti informacija. U 2026. godini, s porastom napada na platforme potpisivanja i povećanim zahtjevima Uredbe eIDAS 2.0 za pružatelje povjerenja, pitanje ISO 27001 certificiranja više nije luksuz rezerviran za velike klijente: postaje standardni kriterij za izbor za svaki primjena elektroničkog potpisa u poduzeću.

Ovaj članak analizira sinergiju između ISO 27001 i elektroničkog potpisa, konkretne obveze koje ona prouzrokuje, rizike od nesukladnosti i korake za dobivanje ili ocjenu certificiranja kod vašeg SaaS pružatelja.

Što je norma ISO 27001 i zašto je centralna za elektronički potpis?

Objavljena od strane Međunarodne organizacije za normizaciju (ISO) i Međunarodne elektrotehničke komisije (IEC), norma ISO/IEC 27001:2022 (verzija revidirana u listopadu 2022.) definira zahtjeve za uspostavljanje, primjenu, održavanje i kontinuirano poboljšanje Sustava upravljanja sigurnosti informacija (SMSI). Pokriva 93 kontrole razdiobe u četiri teme: organizacijske kontrole, kontrole ljudi, fizičke kontrole i tehnološke kontrole.

Za elektronički potpis, ova norma ima posebnu važnost jer izravno rješava tri stupa sigurnosti informacija:

• Povjerljivost: zaštita potpisanih dokumenata od bilo kakvog neovlaštenog pristupa
• Integritet: jamstvo da dokumenti nisu promijenjeni nakon potpisivanja
• Dostupnost: pristupačnost dokaza o potpisu tijekom mogućeg spora

ISO 27001 kontrole koje se izravno primjenjuju na elektronički potpis

Među 93 kontrole u Prilogu A norme, nekoliko se primjenjuje izravno na radne tokove potpisivanja:

Kontrola 5.14 – Prijenos informacija: nalaže formalna pravila za sigurnu prijenos dokumenata za potpisivanje, posebno preko šifriranih protokola (TLS 1.3 minimum).

Kontrola 8.24 – Korištenje kriptografije: zahtijeva dokumentiranu politiku šifriranja koja pokriva algoritme koji se koriste za generiranje i provjeru elektroničkih potpisa. U praksi, to podrazumijeva korištenje algoritama koji su u skladu s preporukama ANSSI-ja (RSA-3072 ili ECDSA-256 minimum u 2026.).

Kontrola 8.12 – Prevencija curenja podataka (DLP): štiti osobne podatke sadržane u potpisanim dokumentima, u izravnoj sukladnosti s obvezama GDPR-a.

Kontrola 5.18 – Pristupna prava: osigurava da samo ovlaštene osobe mogu pokrenuti, potpisati ili pregledati dokument na platformi.

ISO 27001 naspram ostalih sigurnosnih certificiranja: koja komplementarnost?

ISO 27001 nije jedina relevantna norma, ali čini temelj. Dopunjava se s:

• SOC 2 Type II (američka norma, često zahtijevana od kotirane kompanije na NYSE-u)
• ISO/IEC 27017 i 27018: specifična proširenja za oblak i zaštitu osobnih podataka u oblaku
• Kualifikacija eIDAS izdana od strane akreditovanih tijela (LSTI u Francuskoj): obavezna za Kvalificirane pružatelje usluga povjerenja (PSCQ)

Pružatelj elektroničkog potpisa certificiran ISO 27001 I kvalificiran eIDAS-om pruža tako maksimalnu razinu jamstva, usklađenu s onim što detaljno objašnjava cjeloviti vodiči kroz Uredbu eIDAS 2.0.

Specifični zahtjevi za SaaS pružatelje elektroničkog potpisa

Odabir SaaS-a za elektronički potpis certificiranog ISO 27001 ne znači da je vaša vlastita organizacija pokrivena — ali snažno uvjetuje razinu rezidualnog rizika koji prihvaćate.

Opseg certificiranja: što trebate provjeriti

Pri ocjenjivanju davatelja, tri pitanja su odlučna:

1. Pokriva li opseg certificiranja uslugu potpisivanja? Izdavač može biti certificiran ISO 27001 za svoje aktivnosti razvoja softvera bez da je platforma potpisivanja u opsegu. Zahtijevajte službeni certifikat i provjerite izjavu o primjenjivosti (Statement of Applicability).

1. Je li certificiranje ažurirano? ISO 27001 nameće godišnje revizije nadzora i reviziju obnove svakih tri godine. Istekao certifikat poništava sve jamstvo.

1. Koji je organizam certificiranja? U Francuskoj, tijela akreditirana od COFRAC-a (Bureau Veritas, SGS, BSI Group, LRQA…) izdaju priznata certificiranja. Samo-deklaracija sukladnosti nema nikakvu pravnu vrijednost.

Upravljanje incidentima i kontinuitet poslovanja

ISO 27001 zahtijeva dokumentirane i testirane Plan kontinuiteta poslovanja (PCA) i Plan oporavka od katastrofe (PRA). Za platformu elektroničkog potpisa, to se konkretno prevodi u:

• RTO (Recovery Time Objective) manji od 4 sata za produkcijske okoline
• RPO (Recovery Point Objective) manji od 1 sata, izbjegavajući bilo kakvu gubitak podataka o potpisu
• Testirane procedure oporavka dokumentirane najmanje semestralno
• Procedura obavijesti o sigurnosnim incidentima u skladu s člankom 33. GDPR-a (maksimalno 72 sata)

Ovi zahtjevi poklapaju se s onima iz Direktive NIS2, transpozirane u francuski zakona putem zakona br.2024-449 od 21. svibnja 2024., koja nameće bitnim i važnim subjektima obaveze izvještavanja o incidentima i pojačane mjere sigurnosti.

Kako ISO 27001 certificiranje jača dokaznu vrijednost elektroničkog potpisa

Često nepoznata točka za pravnike i kupce: čvrstoća elektroničkog potpisa kvalificirane signatule ovisi dijelom o lancu tehničke povjerenja koji je podržava. Dokument potpisano na platformi čija je sigurnost ugrožena može vidjeti svoju dokaznu vrijednost osporenavanu pred sudom.

Integritet podataka kao pravna osnova

Članak 1366. Građanskog zakonika kaže da elektronički potpis ima vrijednost ručnog potpisa „pod uvjetom da se njegov autor može dužno identificirati i da je uspostavljen i čuvan u uvjetima kako bi se osigurala njegova integritet". Ovaj uvjet integriteta je baš središnja tema ISO 27001.

U slučaju spora, pružatelj certificiran ISO 27001 može biti u mogućnosti predložiti:

• Nepromjenjive revizijske zapise koji dokazuju povijest pristupa
• Revizijske izvještaje certificiranja koji potvrđuju kontrole na mjestu
• Politiku upravljanja kriptografskim ključevima u skladu s Prilozom A

Ovi elementi čine snop dokaza koji značajno ojačava poziciju strane koja poziva valjanost potpisa. Kako biste saznali više o dokaznoj vrijednosti različitih razina potpisa, pogledajte našu usporedbu rješenja za elektronički potpis.

Pohrana za dokaze i duracija čuvanja

ISO 27001, kombiniran s normom NF Z42-020 (digitalni trezor) i preporukama ETSI EN 319 162 (kvalificirana usluga elektroničke pohrane), omogućuje definiranje politike pohrane koja osigurava dokaznu vrijednost potpisa tijekom dugih razdoblja — do 30 godina za određene trgovačke ugovore.

Kontrola 8.10 – Brisanje informacija ISO 27001 nadalje nameće dokumentirane procedure za sigurno uništavanje podataka na kraju životnog ciklusa, u skladu s pravom na zaborav GDPR-a (članak 17).

Kako procijeniti i zahtijevati sukladnost ISO 27001 vašeg pružatelja potpisa

U okviru procesa nabave ili obnove SaaS ugovora, evo protokola vrednovanja u četiri koraka.

Korak 1: Zahtijevanje i provjera službenog certifikata

Zahtijevajte certifikat ISO/IEC 27001:2022 (a ne verziju 2013., sada zastarjelu od listopada 2025.) zajedno s najnovijom revizijom nadzora. Provjerite datum valjanosti u registru organizma certificiranja.

Korak 2: Analiza izjave o primjenjivosti (SoA)

Statement of Applicability navodi odabrane i isključene kontrole, s opravdanjem. Bilo koja kontrola isključena bez dokumentiranog opravdanja predstavlja rezidualnu rizik za procjenu u vašoj analizi rizika davatelja.

Korak 3: Integrirajte zahtjeve u ugovor

Vaš ugovor s pružateljem mora sadržavati:

• Klauzulu održavanja certificiranja s obvezom notifikacije u slučaju suspenzije
• Pravo revizije ili pristupa godišnjim revizijskim izvještajima trećih strana
• SLA-e sigurnosti usklađene s PCA/PRA pružatelja
• Klauzulu odgovornosti u slučaju sigurnosnog incidenta koji utječe na integritet potpisa

Korak 4: Izvršite vlastitu analizu rizika

Čak i certificiran pružatelj ne pokriva vaše vlastite rizike. ISO 27001 nameće vašoj vlastoj organizaciji analizu rizika (klauzula 6.1.2) pokrivajući posebno:

• Upravljanje pristupom suradnika platformi za potpis
• Svjesnost o napadima phishinga usmjerenim na radne tokove potpisa
• Politika upravljanja delegacijama potpisa

Ovaj pristup prirodno se integrira u globalnu politiku upravljanja elektroničkim potpisom za HR i pravne timove, gdje količina obrađenih dokumenata izlaže značajnim operativnim rizicima.

Primjenjivi pravni okvir za elektronički potpis i ISO 27001

Sukladnost sustava elektroničkog potpisa temelji se na nizu normi koje svako B2B poduzeće mora svladati.

Građanski zakonik, članci 1366. i 1367.: Članak 1366. postavlja ekvivalentnost između elektroničkog i ručnog potpisa pod uvjetom identificiranja autora i jamstva integriteta. Članak 1367. definira elektronički potpis kao „korištenje pouzdanog postupka identifikacije koji jamči njegovu povezanost s činom kojem je priložen".

Uredba eIDAS br.910/2014 i eIDAS 2.0 (Uredba EU 2024/1183): Primjenjiva u svim državama članicama EU-a, razlikuje tri razine potpisa (jednostavna, napredna, kvalificirana) i nameće kvalificiranim pružateljima usluga povjerenja (PSCQ) revizije sukladnosti od strane akreditovanih tijela. Revizija eIDAS 2.0, stupila na snagu postupno od svibnja 2024., pojačava zahtjeve nadzora i uvodi portfolio europskog digitalnog identiteta (EUDIW).

Uredba GDPR br.2016/679: Osobni podaci sadržani u potpisanim dokumentima (identitet potpisnika, IP adresa, vremenska oznaka) predstavljaju osobne podatke. Odgovorna osoba za obradu mora osigurati njihovu zaštitu (članak 5), obavijestiti o povredama u roku od 72 sata (članak 33) i provesti zaštitu po dizajnu (članak 25). ISO 27001 pruža tehnički okvir za usklađenje.

Direktiva NIS2 (Direktiva EU 2022/2555), transponira u francuski zakon zakonom br.2024-449 od 21. svibnja 2024.: Bitni i važni subjekti — od kojih su mnogi B2B akteri — moraju provesti mjere sigurnosti proporcionalne riziku uključujući upravljanje rizicima vezanim uz davatelje (članak 21). Pružatelj potpisa necerticiran ISO 27001 može predstavljati rizik trećih strana prema NIS2.

Norme ETSI: Serija ETSI EN 319 100 definira tehničke zahtjeve za kvalificirane elektroničke potpise (EN 319 132 za XAdES, EN 319 122 za CAdES, EN 319 142 za PAdES). Ove tehničke norme pretpostavljaju infrastrukturu sigurnosti u skladu s ISO 27001 standardima.

Referentni okvir ANSSI: U Francuskoj, Nacionalna agencija za sigurnost informacijskih sustava objavljuje preporuke o kriptografskim algoritmima (RGS referentni okvir — Referentiel Général de Sécurité) čija se primjena olakšava SMSI-om certificiranim ISO 27001. Kvalifikacija eIDAS francuskih pružatelja razmatraju se od strane ANSSI-ja kao tijela nacionalnog nadzora.

Nedostatak ISO 27001 certificiranja kod pružatelja potpisa izlaže klijentsku tvrtku rizicima od osporavanja dokazne vrijednosti potpisanih dokumenata, sankcija GDPR-a (do 4% svjetskog godišnjeg prometa ili 20 M€) i dovođenja u pitanje sukladnosti NIS2.

Scenariji korištenja: ISO 27001 i elektronički potpis u praksi

Scenarij 1 — Kancelarija za poslovnu pravo s 25 suradnika

Kancelarija specijalizirana za spajanja i akvizicije godišnje obradi više od 600 dokumenata koji zahtijevaju naprednuli ili kvalificirani elektronički potpis (NDA, sporazumi principa, konvencije o odstupu). Ponovno unutarnoj reviziji koja je otkrila nedostatke u praćenju pristupa platformi potpisa, kancelarija odluči prihvatiti samo pružatelje certificirane ISO/IEC 27001:2022 s opsegom koji izričito pokriva uslugu potpisa.

Rezultat: nakon migracije na certificiranu platformu, kancelarija primjećuje smanjenje od 40% vremena posvećenog sigurnosnim procjenama tijekom natječaja s klijentima, i može pružiti revizijske izvještaje o certificiranju u 48 sati tijekom zahtjeva njihovih velikih klijentskih računa. Prosječna trajanja validacije ugovora smanjuje se s 3,2 dana na 1,4 dana.

Scenarij 2 — Industrijska tvrtka koja upravlja 1 500 dobavljačkih ugovora godišnje

PME industrijski podugovarač Tier-1 konstruktora automobila mora dokazati svojem naručitelju da je cijeli niz njezinog elektroničkog potpisa (narudžbeni obrasci, okviri ugovora, avenani) u skladu s zahtjevima ISO 27001 koje nameće referentni okvir nabave grupe. PME izradi mapiranje rizika davatelja prema klauzuli 6.1.2 norme i identificira da njegov stari SaaS pružatelj nema certificiranja u tijeku valjanosti.

Nakon migracije na certificiranu rješenja i implementacije unutarnjeg SMSI-ja, PME dobije potrebnu kvalifikaciju davatelja i osigurava 4-godišnji okvir ugovora. Trošak certificiranja (otprilike 15.000 do 25.000 € za PME te veličine prema specijaliziranim savjetnicima) amortizira se u manje od šest mjeseci s obzirom na osigurani volumen ugovara.

Scenarij 3 — Bolnička grupa s oko 1 200 kreveta

U zdravstvenom sektoru, zdravstvene ustanove podliježu pojačanim zahtjevima: obrada zdravstvenih podataka (posebna kategorija prema članku 9. GDPR-a), HDS certificiranje (Hébergeur de Données de Santé) i sada NIS2 kvalifikacija kao bitna mjesta. Bolnička grupa primjeni elektronički potpis za svoje radne ugovore, dogovore o klinističkom istraživanju i javne nabave (oko 900 dokumenata/mjesec).

Odabirom pružatelja koji kumulira ISO 27001 certificiranje, HDS certificiranje i PSCQ eIDAS kvalifikaciju, zdravstvena ustanova smanjuje izloženost riziku nesukladnosti GDPR-u za 60% prema svojem DPO-u, i koristi se arhivskom pohranom dokazne vrijednosti zajamčenom 30 godina za medicinske pravne dokumente. Prosječno vrijeme potpisivanja ugovora o klinističkom istraživanju pada s 12 dana na 3,5 dana, oslobađajući značajne resurse za administrativne timove.

Zaključak

U 2026. godini, ISO/IEC 27001:2022 certificiranje više nije samo marketinški argument za pružatelje elektroničkog potpisa: čini temeljni tehnički i pravni temelj za osiguranje integriteta potpisanih dokumenata, GDPR i NIS2 sukladnosti, te dokazne vrijednosti ugovornih obaveza. Za B2B tvrtke, zahtijevanje ovog certificiranja od njihova SaaS davatelja postalo je obveza razumne pažnje, kao i provjera eIDAS kvalifikacije.

Certyneo je certificiran ISO/IEC 27001:2022 s opsegom koji pokriva čitavost platforme elektroničkog potpisa. Naše timove mogu vas pratiti u procjeni vaše trenutne sukladnosti i implementaciji osigurane radnog toka potpisa prilagođenog vašim volumenima i sektoru. Zahtijevajte besplatnu demonstraciju na Certyneo ili istražite naše cijene kako biste pronašli formulu prilagođenu vašoj organizaciji.