Elektronikus aláírás és ISO 27001 szabvány: 2026-os útmutató

Az elektronikus aláírás a B2B szerződéses folyamatok gerincévé vált, de jogi és kereskedelmi értéke egy gyakran alulbecsült előfeltételre alapul: annak az információs rendszernek a robusztussága, amely azt támogatja. Pontosan itt lép be az ISO/IEC 27001 szabvány, az információbiztonság-menedzsment nemzetközi referenciadokumentuma. 2026-ban, amikor az elektronikus aláírási platformokat célzó kibertámadások szaporodnak, és az eIDAS 2.0 rendelet szigorítja a megbízható szolgáltatók követelményeit, az ISO 27001 tanúsítvány kérdése már nem luxus, amely nagy ügyfélkörre korlátozódik: ez elektronikus aláírás vállalati bevezetésének standard kiválasztási kritériumává válik.

Ez a cikk az ISO 27001 és az elektronikus aláírás közötti szinergiákat, a konkrét kötelezettségeket, a nem-megfelelőség kockázatait, valamint a tanúsítvány beszerzésének vagy a SaaS-szolgáltató tanúsítványának értékelésének lépéseit elemzi.

Mit jelent az ISO 27001 szabvány, és miért központi az elektronikus aláírás számára?

Az Nemzetközi Szabványügyi Szervezet (ISO) és a Nemzetközi Elektrotechnikai Bizottság (IEC) által kiadott ISO/IEC 27001:2022 szabvány (2022. október végi felülvizsgált verzió) meghatározza az Információbiztonság-menedzsment rendszer (ISMS) létrehozásához, megvalósításához, fenntartásához és folyamatos javításához szükséges követelményeket. 93 kontrollot foglal magában, amelyek négy téma között oszlanak meg: szervezeti kontrollok, személyzeti kontrollok, fizikai kontrollok és technológiai kontrollok.

Az elektronikus aláírás számára ez a szabvány különösen fontos, mivel közvetlenül az információbiztonság három pillérét kezeli:

• Bizalmasság : az aláírt dokumentumok védelme bármilyen jogosulatlan hozzáféréstől
• Integritás : garancia, hogy a dokumentumok aláírás után nem módosulnak
• Rendelkezésre állás : az aláírás bizonyítékainak hozzáférhetősége egy lehetséges vita esetén

Az ISO 27001 kontrollok közvetlenül az elektronikus aláírásra alkalmazhatók

A szabvány A mellékletében szereplő 93 kontroll közül több közvetlenül az aláírási munkafolyamatokra vonatkozik:

5.14 kontroll – Információ átvitele : formális szabályokat ír elő az aláírásra szánt dokumentumok biztonságos átviteléhez, különösen titkosított protokollokon keresztül (minimálisan TLS 1.3).

8.24 kontroll – Kriptográfia használata : dokumentált titkosítási politikát igényel, amely az elektronikus aláírások generálásához és ellenőrzéséhez használt algoritmusokat lefedi. A gyakorlatban ez az ANSSI ajánlásainak megfelelő algoritmusok (minimálisan RSA-3072 vagy ECDSA-256 2026-ban) használatát jelenti.

8.12 kontroll – Adatszivárgás megelőzése (DLP) : az aláírt dokumentumokban szereplő személyes adatokat védi, közvetlenül összhangban a GDPR-kötelezettségekkel.

5.18 kontroll – Hozzáférési jogok : garantálja, hogy csak az erre jogosult személyek kezdeményezhetnek, írhatnak alá vagy tekinthetnek meg dokumentumot a platformon.

ISO 27001 vs. más biztonsági tanúsítványok: milyen kiegészítés?

Az ISO 27001 nem az egyetlen releváns szabvány, de alapot képez. A következőkkel egészül ki:

• SOC 2 Type II (amerikai szabvány, gyakran a NYSE-en jegyzett vállalatok követelménye)
• ISO/IEC 27017 és 27018 : a felhő és a személyes adatok felhőbeli védelme specifikus kiterjesztések
• eIDAS minősítés akkreditált szervezetek által kibocsátva (LSTI Franciaországban) : kötelező a Minősített Megbízható Szolgáltatások Nyújtói (PSCQ) számára

Az eIDAS 2.0 rendelet teljes útmutatóját részletezi az eIDAS 2.0 szabályozás átfogó útmutatójában ISO 27001 tanúsítvánnyal és eIDAS minősítéssel rendelkező aláírási szolgáltató.

Specifikus követelmények az elektronikus aláírási SaaS-szolgáltatók számára

Az ISO 27001 tanúsítvánnyal rendelkező elektronikus aláírási SaaS kiválasztása nem azt jelenti, hogy saját szervezete fedett – de erősen befolyásolja az általad feltételezett maradék kockázat szintjét.

Tanúsítási terület: mit kell ellenőrizni

A szállító értékelésekor három kérdés a meghatározó:

1. A tanúsítási terület magában foglalja az aláírási szolgáltatást? Egy szerkesztő tanúsítható az ISO 27001-re a szoftverfejlesztési tevékenységei tekintetében, anélkül, hogy az aláírási platform a terület része lenne. Kérje meg a hivatalos tanúsítványt és ellenőrizze az alkalmazhatóság nyilatkozatát (Statement of Applicability).

1. Naprakész-e a tanúsítvány? Az ISO 27001 éves felügyeleti auditokat és háromévenkénti megújítási auditot ír elő. A lejárt tanúsítvány bármilyen garanciát érvénytelenít.

1. Melyik tanúsító szervezet? Franciaországban a COFRAC által akkreditált szervezetek (Bureau Veritas, SGS, BSI Group, LRQA…) jogi értékkel bíró tanúsítványokat adnak ki. Az öndeklaráció nincs jogi értéke.

Incidenskezelés és üzletmenet-folytonosság

Az ISO 27001 dokumentált és tesztelt Üzletfolytonossági Terv (BCP) és Visszaállítási Terv (DRP) szükséges. Az elektronikus aláírási platformhoz konkrétan ez azt jelenti:

• RTO (Helyreállítási Időcél) kevesebb, mint 4 óra az üzemi környezetekhez
• RPO (Helyreállítási Pont Objektív) kevesebb, mint 1 óra, elkerülve az aláírási adatok elvesztését
• A helyreállítási tesztek dokumentálva legalább félévenként
• A biztonsági incidensek értesítésének eljárása a GDPR 33. cikke szerint (legfeljebb 72 óra)

Ezek a követelmények a NIS2 irányelvé egyeznek, amelyet a 2024. május 21-i 2024-449. sz. francia törvény átültetett, amely az alapvető és fontos entitások számára megerősített incidensbejelentési és kiberbiztonsági intézkedési kötelezettségeket ír elő.

Hogyan erősíti az ISO 27001 tanúsítvány az elektronikus aláírás bizonyító erejét

Gyakran figyelmen kívül hagyott pont a jogászok és a vásárlók részéről: az elektronikus aláírás jogi stabilitása részben a műszaki megbízhatósági lánctól függ, amely támogatja. Az olyan platformon aláírt dokumentum, amelynek biztonsága sérült, a bíróság előtt megtámadható lehet.

Az adatintegritás, mint jogi alapja

A Polgári Törvénykönyv 1366. cikkelye előírja, hogy az elektronikus aláírás „annak szerzője megfelelően azonosítható, és olyan körülmények között hozták létre és tartják meg, amely garantálja az integritást" azonos értékű a kézzel írott aláírással. Ez az integrációs feltétel pontosan az ISO 27001 központi tárgya.

Vita esetén az ISO 27001 tanúsítvánnyal rendelkező szállító a következőket tudja bemutatni:

• A hozzáféréstörténetet igazoló módosíthatatlan auditnaplók
• A tanúsítási auditjelentések, amelyek az érvényes kontrollokat tanúsítják
• A kriptográfiai kulcskezelési politika az A melléklettel összhangban

Ezek az elemek bizonyítékgyűjtést alkotnak, amely erősen erősíti annak a félnek a helyzetét, aki az aláírás érvényességét hivatkozza. Az aláírás különböző szintjeinek jogi értékéről további információkért nézze meg az elektronikus aláírási megoldások összehasonlítását.

Tanúsítható archiválás és megőrzési időtartam

Az ISO 27001, kombinálva az NF Z42-020 (digitális széf) és az ETSI EN 319 162 (minősített elektronikus archiválási szolgáltatás) ajánlásaival, lehetővé teszi egy archiválási politika meghatározását, amely garantálja az aláírások bizonyító erejét hosszú ideig – akár 30 évig bizonyos kereskedelmi szerződésekhez.

Az ISO 27001 8.10 – Információ törlése kontroll továbbá az adatok biztonságos megsemmisítésének dokumentált eljárásait írja elő az életciklus vége felé, összhangban a GDPR jogi törléshez való jogával (17. cikk).

Hogyan lehet az ISO 27001 megfelelőséget az elektronikus aláírási szolgáltató részéről értékelni és követelni

SaaS vásárlási vagy szerződés-megújítási folyamat keretében itt egy négy lépéses értékelési protokoll.

1. lépés: Kérje meg és ellenőrizze a hivatalos tanúsítványt

Kérje meg az ISO/IEC 27001:2022 tanúsítványt (nem a 2013-as verzió, amely 2025. október óta elavult) a legújabb felügyeleti auditjelentés kíséretében. Ellenőrizze az érvényességi dátumot a tanúsító szervezet nyilvántartásában.

2. lépés: Az alkalmazhatóság nyilatkozatának elemzése (SoA)

Az Alkalmazhatóság Nyilatkozata felsorolja a kiválasztott és kizárt kontrollákat, indoklással. Bármilyen dokumentáció nélkül kizárt kontroll maradék kockázatot jelent, amelyet szállítói kockázatelemzésben kell értékelni.

3. lépés: A követelmények integrálása a szerződésbe

A szállítóval kötött szerződésed tartalmaznia kell:

• A tanúsítvány fenntartásának záradékát, ha szüneteltetés esetén értesítéshez kötött
• Az auditjelentések hozzáféréséhez vagy évenkénti harmadik fél auditjelentésekhez való jogot
• Biztonsági SLA-kat a szállító BCP/DRP-vel összehangban
• Szállító felelősségi záradékot az aláírások integritásait érintő biztonsági incidensek esetére

4. lépés: Végezze el saját kockázatanalízisét

Még tanúsított szállító sem takarja az belső kockázatokat. Az ISO 27001 obrigáció az kockázatelemzésére (6.1.2 pont) kiterjed, különösen:

• Az aláírási platform alkalmazottai hozzáférésének kezelése
• Az aláírási munkafolyamatokra irányuló phishing támadások elleni felvilágosítás
• Az aláírás-delegálás politikája

Ez a megközelítés természetes módon integrálható a HR és jogi csapatok elektronikus aláírás kezelésének átfogó politikájába, ahol a feldolgozott dokumentumok mennyisége jelentős működési kockázatoknak tesz kitéve.

Az elektronikus aláírásra és az ISO 27001-re vonatkozó alkalmazandó jogi keret

Az elektronikus aláírási rendszer megfelelősége egy normatív rétegzésre épül, amelyet minden B2B vállalatnak meg kell ismernie.

Polgári Törvénykönyv, 1366. és 1367. cikkely : Az 1366. cikk az elektronikus és kézzel írott aláírás egyenértékűségét az szerző azonosítása és az integritás garantálása feltételével állítja. Az 1367. cikk az elektronikus aláírást úgy definiálja, mint „az olyan megbízható eljárásnak a használata, amely garantálja a hozzákapcsolódást az aktához".

eIDAS rendelet n°910/2014 és eIDAS 2.0 (EU rendelet 2024/1183) : Az EU összes tagállamában alkalmazható, három aláírási szintet különböztet meg (egyszerű, fejlett, minősített) és a Minősített Megbízható Szolgáltatások Nyújtóit (PSCQ) akkreditált szervezetek által végzett megfelelőségi auditokra kötelezi. Az eIDAS 2.0 felülvizsgálat, amely 2024 májusa óta fokozatosan hatályba lépett, szigorítja a felügyeleti követelményeket és bevezeti az uniós digitális identitási tárcát (EUDIW).

GDPR rendelet n°2016/679 : Az aláírt dokumentumokban szereplő személyes adatok (az aláíró személye, IP-cím, időbélyeg) személyes adatnak minősülnek. Az adatkezelőnek biztosítania kell védelmet (5. cikk), értesítenie kell a megsértéseket 72 órán belül (33. cikk) és megvalósítania kell a privacy by design-t (25. cikk). Az ISO 27001 a műszaki megfelelőség keretét biztosítja.

NIS2 irányelv (2022/2555 EU irányelv), amely a 2024. május 21-i 2024-449. sz. francia törvénnyel átültetett : Az alapvető és fontos entitások – köztük sok B2B szereplő – arányos kiberbiztonsági intézkedéseket kell megvalósítaniuk, beleértve a szállítóhoz kapcsolódó kockázatok kezelését (21. cikk). Az ISO 27001-tanúsítvánnyal nem rendelkező aláírási szolgáltató NIS2 keretében harmadik fél kockázatot jelent.

ETSI szabványok : Az ETSI EN 319 100 sorozat az elektronikus minősített aláírások technikai követelményeit határozza meg (EN 319 132 XAdES-hez, EN 319 122 CAdES-hez, EN 319 142 PAdES-hez). Ezek a műszaki szabványok az ISO 27001 szabványoknak megfelelő biztonsági infrastruktúrát feltételeznek.

ANSSI hivatkozás : Franciaországban az Agence Nationale de la Sécurité des Systèmes d'Information kriptográfiai algoritmusokra vonatkozó ajánlásokat tesz közzé (GRS hivatkozás – Általános Biztonsági Hivatkozás), amelyek megvalósítását egy ISO 27001 tanúsított ISMS megkönnyíti. A francia szolgáltatók eIDAS minősítésé az ANSSI-ot, mint nemzeti felügyeleti hatóság vizsgálja.

Az ISO 27001 tanúsítvánnyal nem rendelkező aláírási szolgáltató nélküli cég kitéteti magát az aláírt dokumentumok bizonyító erejének megtámadásának kockázatának, a GDPR szankciójának (legfeljebb az éves globális forgalom 4%-a vagy 20 millió €) és a NIS2 megfelelőség veszélyeztetésének.

Használati forgatókönyvek: ISO 27001 és elektronikus aláírás a gyakorlatban

Forgatókönyv 1 – 25 munkavállaló üzleti jogásziroda

Egy M&A-ban szakosodott iroda évente több mint 600 aktust kezel elektronikus fejlett vagy minősített aláírást igénylő (NDA, megállapodási protokollok, engedményezési szerződések). Egy belső audit után, amely az aláírási platform hozzáféréseinek nyomkövetésének hiányait tárja fel, az iroda azt határozza meg, hogy csak az ISO/IEC 27001:2022 tanúsítvánnyal rendelkező szolgáltatókat fogadja el az aláírási szolgáltatást kifejezetten felölelő périméterekkell.

Eredmény: az új tanúsított platformra való áttelepülés után az iroda 40%-os csökkenést tapasztal az ügyfél nagyvállalatok biztonsági felülvizsgálataihoz szükséges időben, és 48 órán belül tudja nyújtani az auditjelentéseket az ügyfelek megkeresésére. Az átlagos szerződésos validálási idő 3,2 napról 1,4 napra csökken.

Forgatókönyv 2 – 1500 szállítói szerződést évente kezelő ipari vállalat

Egy autóipari alapvetően beszerzető Tier-1 alvállalkozó ezután be kell bizonyítania az megrendelőjének, hogy az elektronikus aláírási lánc teljes (beszerzési megrendelések, keretszerződések, módosítások) az ISO 27001 követelményeinek felel meg a csoport beszerzési hivatkozáskeretében. A KKV szállító kockázati térképe szerint a 6.1.2 pont, és azonosítja, hogy régi SaaS szállítójának nincsen érvényes tanúsítványa.

Az új tanúsított megoldásra való áttelepítés után és egy belső ISMS megvalósítása után a KKV megkapja a szükséges szállító minősítést és biztosít egy 4 éves keretszerződést. A tanúsítvány költsége (körülbelül 15 000 – 25 000 € egy ezen méretű KKV számára a szakterület tanácsadó irodái szerint) hat hónapon belül megtérül az éves szerződéses szerkezet tekintetében.

Forgatókönyv 3 – Körülbelül 1200 ágyas kórházcsoport

Az egészségügyi szektorban az ellátók szigorúbb követelményeknek vannak kitéve: egészségügyi adatok feldolgozása (GDPR 9. cikk szerinti különleges kategória), HDS tanúsítványa (Egészségügyi Adatok Tárhelye) és az NIS2 keretében való alapvető entitás-minősítés. A kórházcsoport az elektronikus aláírást alkalmazottakkal kötött szerződésekre, klinikai kutatási megállapodásokra és közbeszerzésekre (körülbelül 900 dokumentum/hó) telepíti.

Az ISO 27001 tanúsítvánnyal, HDS tanúsítványval és PSCQ eIDAS minősítéssel rendelkező szállító kiválasztásával az intézmény csökkenti a GDPR nem-megfelelőség kitettségét 60%-kal annak DPO szerint, és előnyözheti 30 éves jogi dokumentumok garantált archívumait. Az átlagos klinikai kutatási szerződések aláírási ideje 12 napról átlagosan 3,5 napra csökken, ami felszabadít jelentős erőforrásokat az adminisztratív csapatok számára.

Konklúzió

2026-ban az ISO/IEC 27001:2022 tanúsítvány már nem csupán marketing érvet az elektronikus aláírási szolgáltatók számára: ez az aláírt dokumentumok integritásának garantálásához, a GDPR és NIS2 megfelelőséghez, valamint a szerződéses kötelezettségek bizonyító erejéhez nélkülözhetetlen műszaki és jogi alapot képez. A B2B vállalatok számára az ISO/IEC 27001:2022 tanúsítvány követelése szállítójukon az eIDAS minősítés ellenőrzésével azonos diligenciavagyonnyá vált.

A Certyneo az ISO/IEC 27001:2022 tanúsítvánnyal rendelkezik, a teljes elektronikus aláírási platformját felölelő périméterre. Csapatunk segítségével megállapítható a jelenlegi megfelelőség és bevezethető egy biztosított elektronikus aláírási munkafolyamat a szakterületed és a szervezet mennyisége alapján. Kérjen ingyenes bemutatót a Certyneón vagy fedezzen fel tarifáinkat a szervezetedhez megfelelő csomag kereséshez.