Rafræn undirritun og ISO 27001 staðall: handbók 2026

Rafræn undirritun hefur orðið meginstoð B2B samninga, en löglegt og viðskiptaverðmæti hennar byggist á forsenda sem oft er vanmetið: styrkur upplýsingakerfisins sem styður hana. Þess vegna kemur inn ISO/IEC 27001 staðallinn, alþjóðlegur viðmiðun um stjórnun upplýsingaöryggis. Árið 2026, þegar netárásir á undirritunarvettvangi fjölga sér og reglugerð eIDAS 2.0 herðir kröfur fyrir traustsveitu, spurning um ISO 27001 vottun er ekki lengur lúxus fyrir stór fyrirtæki: það verður staðlað valkvæmt afmörkun fyrir hverja útfærslu rafrænu undirritana í fyrirtæki.

Þessi grein greininir samvinnumöguleika milli ISO 27001 og rafræn undirritana, konkretar skuldbindingar sem hún hefur í för með sér, áhættu af vansamhæfingu og skref til að fá eða meta vottun hjá SaaS þjónustuveitu þinni.

Hvað er ISO 27001 staðallinn og hvers vegna er hann miðlæg fyrir rafræna undirritun?

Gefin út af Alþjóðlegu staðlasamtökum (ISO) og Alþjóðlegu orkakennslunefndinni (IEC), staðallinn ISO/IEC 27001:2022 (útgáfa endurskoðuð í október 2022) skilgreinir kröfur til að stofna, innleiða, viðhalda og stöðugt bæta Kerfi til að stjórna upplýsingaöryggis (SMSI). Hún tekur til 93 stjórnvaldsvirkja skipt í fjóra þætti: skipulagslegir eftirlitsaðilar, mannauðseftirlitsaðilar, efnislegir eftirlitsaðilar og tæknilegir eftirlitsaðilar.

Fyrir rafræna undirritun hefur þessi staðall sérstakt gildi vegna þess að hún fjallar beint um þrjá stoðir upplýsingaöryggis:

• Trúnaðarsamkeppni: vernd undirritaðra skjala gegn óheimilum aðgangi
• Heilleiki: trygging fyrir því að skjöl séu ekki breytt eftir undirritun
• Framboð: aðgengi að sönnunargögnum um undirritun ef hugsanleg deilur koma upp

ISO 27001 eftirlitsaðilar beint gildandi fyrir rafræna undirritun

Meðal 93 eftirlitsaðila í A-viðauka staðalsins gilda nokkrir beint fyrir undirritun verkflæði:

Eftirlitsaðili 5.14 – Flutningur upplýsinga: setur formlegar reglur um öruggan flutning skjala til undirritana, sérstaklega með dulkóðuðum samskiptum (TLS 1.3 eða betri).

Eftirlitsaðili 8.24 – Notkun dulkóðunar: krefst skriflegra dulkóðunarstefnu sem nær til reiknirita sem notaðir eru til að mynda og sannreyna rafrænar undirritanir. Í framkvæmd þýðir þetta notkun reiknirita sem eru í samræmi við ANSSI ráðleggingar (RSA-3072 eða ECDSA-256 lágmark árið 2026).

Eftirlitsaðili 8.12 – Forvarnir gegn gagnaflótti (DLP): verndar persónuupplýsingar sem eru í undirrituðum skjölum, í beinum samræmi við GDPR skyldur.

Eftirlitsaðili 5.18 – Aðgangsréttur: tryggir að aðeins heimilaðir aðilar geta hafið, undirritað eða skoðað skjal í vettvangi.

ISO 27001 vs aðrar öryggisvotunarmerki: hvaða viðbót?

ISO 27001 er ekki eina viðeigandi staðallinn, en hún myndar grunn. Hún viðbætist með:

• SOC 2 Type II (Bandarísk staðall, oft krafist af fyrirtækjum skráðum á NYSE)
• ISO/IEC 27017 og 27018: sérstakar framlenging fyrir skýjatölvu og vernd persónuupplýsinga í skýi
• eIDAS hæfi gefið út af viðurkenndum stofnunum (LSTI í Frakklandi): skylda fyrir Viðurkennda traustsveitu þjónustuveitur (PSCQ)

Undirritunarvettvangsveita vottuð ISO 27001 OG hæf eIDAS veitir þannig hámarks tryggingastig, í samræmi við það sem heild handbók um reglugerð eIDAS 2.0 lýsir.

Sérstakar kröfur fyrir SaaS undirritunarveitur

Að velja SaaS undirritunarvettvangs vottuðan með ISO 27001 þýðir ekki að þín eigin stofnun sé þaktuð — en það skilyrðir sterkum hlutum stigi eftirstandandi áhættu sem þú tekur að þér.

Vottunarsvið: það sem þú verður að athuga

Þegar þú metir birgja eru þrjár spurningar afgerandi:

1. Dregur vottunarsvið til undirritunarvettvangs? Útgefandi getur verið vottuð ISO 27001 fyrir ritvinnslu athafnir án þess að undirritunarvettvangi sé innan sviðs. Krefjast opinbers vottunarvotta og athugaðu yfirlýsingu um svið gildis (Statement of Applicability).

1. Er vottuningin nútímaleg? ISO 27001 krefst árlegra eftirlitsendurskoðana og endurnýjunarúttektar á þremur árum. Útrunninn vottunarbréf ógilda allar tryggingar.

1. Hvaða vottunaraðili? Í Frakklandi, aðilar viðurkenndir af COFRAC (Bureau Veritas, SGS, BSI Group, LRQA ...) gefa út viðurkenndar vottanir. Sjálfsvottun um samræmi hefur engu löglegt gildi.

Umsjón tilfalla og endurheimtarsamfelldni þjónustu

ISO 27001 krefst Fyrirtækjasamfellduáætlunar (PCA) og Starfsendurheimtaráætlunar (PRA) skjalfesta og prófaðar. Fyrir rafræna undirritunarvettvangi þýðir þetta í framkvæmd:

• RTO (Recovery Time Objective) innan við 4 klst fyrir framleiðsluumhverfi
• RPO (Recovery Point Objective) innan við 1 klst, sem koma þess til að forðast gagnataþ undirritana
• Endurheimtuarpróf skjalfest að minnsta kosti sex sinnum á ári
• Aðferð til að tilkynna öryggistilvik samkvæmt 33. kafla GDPR (hámark 72 klst)

Þessar kröfur samspila við þær sem tilheyra NIS2 tilskipuninni, innfærð í frönsku lög með lögum nr.2024-449 frá 21. maí 2024, sem felur gerendum skuldbindingu um tilkynningaskyldu um tilvik og auknar ráðstafanir um netöryggi.

Hvernig ISO 27001 vottuningin styrkir sönnunargetu rafrænu undirritana

Punktur sem er oft dimmur fyrir lögfræðinga og kaupendur: lagalegt traust rafræn undirritun hæð fer að hluta til eftir tæknilegum traustrekkju sem styður hana. Skjal undirritað á vettvangi sem öryggis er í bálkum getur séð sönnunarvaldi sitt andmælt fyrir dómstóli.

Heilleiki gagna sem lagalegur grundvöllur

1. grein 1366 borgaralegra laga segir að rafræn undirritun gildi „að því tilskildu að höfundur hennar geti verið almennilega auðkenndur og hún sé stofnuð og geymd við aðstæður sem tryggi heilleika hennar". Þessi heilleikaskilyrði er einmitt miðlægur hluti ISO 27001.

Ef deilur koma upp getur birgir vottuð ISO 27001 framleitt:

• Óbreytanlegar endurskoðunarannál þar sem fram kemur saga aðgangs
• Vottunarskýrslur sem sannreyna eftirlitsaðila á staðnum
• Cryptography lyklaáætlun samkvæmt viðauka A

Þessir þættir mynda sönnunarsöf sem styrkir verulega stöðu þess aðila sem rukkar gildi undirritana. Til að fara lengra um löglegt gildi mismunandi undirritunarstig, sjá okkar samanburð á rafrænum undirritunarlausnum.

Skjalavörsla fyrir sönnun og geymslusvið

ISO 27001, sameint NF Z42-020 staðli (stafrænu kassanum) og ráðleggingum ETSI EN 319 162 (hæfur stafræn arkívingarþjónusta), gerir kleift að skilgreina arkívaskrá sem tryggir sönnunargetu undirritana yfir langar tíðir — allt að 30 ár fyrir ákveðna viðskiptasamninga.

Stjórnun 8.10 – Eyðing upplýsinga á ISO 27001 leggur einnig fram skjalfesta verklagsreglur fyrir leynitöl eyðingu gagna við lokamun lífsferil, í samræmi við réttur til að eyða GDPR (21. grein).

Hvernig á að meta og krefjast ISO 27001 samhæfingar frá þinni undirritunarveiту

Innan ramma við kaupferli eða endurnýjun SaaS samnings, hér er fjögur skref metunarverk.

Skref 1: Krefjast og athugaðu opinbera vottun

Krefjum vottunarbréfi ISO/IEC 27001:2022 (ekki 2013 útgáfunni, sem óbærilegar frá október 2025) ásamt nýjustu eftirlitsendurskoðun skýrslu. Athugaðu gildistíma á skrá vottunaraðila.

Skref 2: Greini yfirlýsingu um gildissvið (SoA)

Statement of Applicability telur eftirlitsaðila sem teknir voru og útilokaðir, með réttlætingu. Allt eftirlitse útilokaðir án skjalfestra rökstuðnings táknar eftirstandandi áhættu til að meta í greiningu á birgjaáhættu þinni.

Skref 3: Sameina kröfur í samning

Þinn samningur við birgja skal innihalda:

• Ákvæði um viðhald vottunar með tilkynningaskyldu ef henging á stað
• Réttur til endurskoðunar eða aðgang að árlegum þriðju aðila endurskoðun skýrslum
• SLA um öryggi samræmt PCA/PRA birgja
• Ákvæði um ábyrgð ef öryggistilvik hefur áhrif á heilleika undirritana

Skref 4: Framkvæma þína eigin áhættugreiningu

Jafnvel vottuð birgir dregur ekki úr þínum innri áhættu. ISO 27001 felur þinni eigin stofnun áhættugreiningu (ákvæði 6.1.2) sem felur meðal annars:

• Stjórnun á aðgangi starfsmanna að undirritunarvettvangi
• Meðvitund um netárásir sem miða á undirritun verkflæði
• Stefna um stjórnun á undirritun umboðsmanna

Þessi nálgun samþætist náttúrulega í heildarskrá um stjórnun rafræn undirritana fyrir mannauðs- og lögfræðiteymi, þar sem magn skjala sem afgreidd eru gefur margt umfangs til að standa frammi fyrir verulegri rekstrarkosti.

Lögskyldur rammi gildandi fyrir rafræna undirritun og ISO 27001

Samhæfing rafræn undirritunarkerfis byggist á stofnskræfingu sem allt B2B fyrirtæki verður að kunna.

Borgaraleg lög, greinar 1366 og 1367: 21. grein 1366 fellur jafngildi milli rafræn undirritun og handskrifar undir skilyrðum um auðkenningu höfundar og heilleika. 21. grein 1367 skilgreinir rafræna undirritun sem „notkun á áreiðanlegri auðkenningu sem tryggi tengingu sína við gerninginn sem hún festir sig við".

Reglugerð eIDAS nr.910/2014 og eIDAS 2.0 (Reglugerð ESB 2024/1183): Gildandi fyrir alla aðildariðulög ESB, hún aðgreinir þrjú undirritun stig (einföld, háðleika, hæf) og felur Viðurkenndum traustsveitu þjónustuveitum (PSCQ) endurskoðun samhæfni af viðurkenndum aðilum. Endurskoðun eIDAS 2.0, sem hafin var stigvaxandi frá maí 2024, styrkir eftirlit kröfur og innleiðir evrópska stafræna auðkenna veðja (EUDIW).

Reglugerð GDPR nr.2016/679: Persónuupplýsingar sem eru í undirrituðum skjölum (auðkenni undirritara, IP heimilisfang, tímastimpill) mynda persónuupplýsinga. Ábyrg aðili fyrir meðhöndlun verður að tryggja vernd þeirra (21. grein), tilkynna brot innan 72 klst (21. grein) og innleiða vernd eftir hönnun (25. grein). ISO 27001 veitir tæknilegt rammi fyrir samhæfingu.

NIS2 tilskipun (Tilskipun ESB 2022/2555), innfærð í frönsku lög með lögum nr.2024-449 frá 21. maí 2024: Nauðsynlegir og mikilvægir aðilar — þar með margar B2B aðilar — verða að innleiða hlutfallslegar netöryggisaðgerðir þar með talið stjórnun áhættu sem tengist birgjum (21. grein). Undirritunarvettvangsveita án ISO 27001 vottunar getur verið þriðja aðila áhætta samkvæmt NIS2.

ETSI staðlar: ETSI EN 319 100 röð skilgreinir tæknilegar kröfur fyrir hæfar rafrænar undirritanir (EN 319 132 fyrir XAdES, EN 319 122 fyrir CAdES, EN 319 142 fyrir PAdES). Þessir tæknilegir staðlar forsenda öryggis innviðir samhæfð ISO 27001 gögn.

ANSSI viðmiðun: Í Frakklandi, Framkvæmdarstofnun fyrir öryggistölvu geymir út ráðlegginga um cryptographic reiknirit (viðmiðun RGS — Almenni gagnaöryggisviðmiðun) sem innleiðing auðvelt með SMSI vottuðri ISO 27001. Hæfni eIDAS frönsku birgja er leidd af ANSSI sem stjórn umsjón þjóðar.

Skortur á ISO 27001 vottuninni hjá undirritunarveiту gefur fyrirtækinu sem kaupanda áhættu vegna andmæla með sönnunargetu undirritaðra skjala, GDPR sektum (allt að 4% af heimsmæltu tekjum eða 20M€) og framkallandi á samhæfingu NIS2.

Notkunarseinir: ISO 27001 og rafræn undirritun í framkvæmd

Seinir 1 — Lögfræðistofuá um 25 samstarfsaðila

Stofua sérhæf í M&A afgreiðir á ári yfir 600 athafnir sem krefjast háðleika eða hæfrar rafræn undirritana (NDA, samkomulágs, samþykktir). Eftir innri endurskoðun sem leiddi í ljós galla í rakningu aðgangs að undirritunarvettvangi, ákveður stofan að þiggja aðeins birgja vottuðir ISO/IEC 27001:2022 með svið sem tekur til undirritunarvettvangi.

Niðurstaða: eftir flutning til vottuðum vettvangs athagar stofan 40% lækkun á tíma tileinkaðir öryggis vegna skuldabindingu meðan á tilboðum standa, og getur framleitt vottunarskýrslur innan 48 klukkustunda þegar stærri fyrirtæki biðja. Meðalstaðfesta framleiðslu á samningi minnkar úr 3,2 dögum í 1,4 degi.

Seinir 2 — Iðnaðarfyrirtæki stjórn 1.500 samningum birgja á ári

Lítil iðnaðarfyrirtæki undir-verktaka Tier-1 af bílsmíðaframleiðanda verður að sýna fram á að heilum undirritun raflína (innkaupapantanir, rammasamninga, leiðréttingu) uppfylla ISO 27001 kröfum sem settar eru með kaupviðmiðun flokks. Lítil fyrirtæki framkvæmir áhættusamsetning birgja eftir kafla 6.1.2 og skilgreinir að gömul SaaS birgja hafi ekki gilda vottun.

Eftir flutning til vottuðri lausnar og innleiðingu á innri SMSI, fær lítil fyrirtæki nauðsynlega birgjastaðfesting og tryggir fjögur ára samningsramma. Kostnaðir vottunar (um 15.000 til 25.000 € fyrir lítið fyrirtæki af þessari stærð samkvæmt spjallðri ráðgjöfarstuðum) er endurgreidd innan sex mánaða miðað við samningstölu tryggt.

Seinir 3 — Spítalissamtökin um 1.200 rúm

Í heilbrigðisstofnun eru spítali fallin þess skyld kröfum: meðferð heilsufarsgagna (sértegundir samkvæmt 9. grein GDPR), HDS vottuninnar (Heilsufarsgagna geymsluaðili) og nú NIS2 hæfni sem nauðsynlegir aðili. Spítalisflokki kemur fram undirritun fyrir sína samninga um vinnuafstöðu, rannsóknarsamninga og opinbera samkeppni (um 900 skjöl/mánuð).

Með því að velja birgja sem tóm ISO 27001 vottuninni, HDS vottun og PSCQ eIDAS hæfi, dregur stofnun úr sýnileika GDPR ósamhæfingar áhættu um 60% samkvæmt DPO, og njóta stafræn arkífun tryggt 30 ár fyrir lögleg heilsufarsskjöl. Meðalundirritun samninga rannsóknarinnar fer úr 12 dögum í 3,5 daga að meðaltali, og losaði veruleg verkefni fyrir stjórnsyslu teymi.

Ályktun

Árið 2026, ISO/IEC 27001:2022 vottuninni er ekki lengur einfal markaðsrök fyrir rafræn undirritunarvettvangsbirgja: hún myndar nauðsynlega tæknilega og lagalega grunn til að tryggja heilleika undirritaðra skjala, GDPR og NIS2 samhæfingu, og sönnunargetu samninga. Fyrir B2B fyrirtæki, krafning um vottun hjá SaaS birgja var orðinn skylduskyld kunnavöllunar, sama og athugaðu eIDAS hæfi.

Certyneo er vottuð ISO/IEC 27001:2022 með svið sem tekur til heilum undirritunarvettvangi. Okkar teymi geta aðstoðað þig við mat á núverandi samhæfingu og innleiðingu á öruggu undirritun verkflæði sem hentar magni þínu og geira. Biddu um óköstan sýningu á Certyneo eða kannaðu okkar verðlagningu til að finna formúlu hentugustu þinni stofnun.