Elektroninis parašas ir ISO 27001 standartas: 2026 m. vadovas

Elektroninis parašas tapo B2B sutarčių procesų pagrindine kolona, tačiau jo teisinė ir komercinė vertė remiasi dažnai nepakankamai įvertinta prielaida: informacijos sistemos, kuri jį palaiko, tvirtumu. Būtent čia įsigali ISO/IEC 27001 standartas, tarptautinis informacijos saugumo vadybos etalonas. 2026 m., kai kibernetiniai atakos prieš parašo platformas daugėja ir eIDAS 2.0 reguliavimas griežtina pasitikėjimo paslaugų teikėjų reikalavimus, ISO 27001 sertifikacijos klausimas jau nėra tik didelių verslo subjektų prabanga: tai tampa standartiniu parinkties kriterijumi bet kuriam elektroninio parašo diegimui įmonėje.

Šiame straipsnyje analizuojamos sinergijos tarp ISO 27001 ir elektroninio parašo, konkrečių jį sukeliančių pareigų, nesuderinimo rizika ir žingsniai sertifikatui gauti arba įvertinti pas jūsų SaaS paslaugų teikėją.

Kas yra ISO 27001 standartas ir kodėl jis yra svarbus elektroniniam parašui?

Tarptautinės normalizacijos organizacijos (ISO) ir Tarptautinės elektrotechnikos komisijos (IEC) publikuotas standartas ISO/IEC 27001:2022 (peržiūrėta versija iš 2022 m. spalio mėnesio) nustato reikalavimus Informacijos saugumo vadybos sistemos (ISVS) sukūrimui, įgyvendinimui, priežiūrai ir nuolatiniam tobulinimui. Jame aprašyti 93 kontroliniai procesai, suskirstyti į keturias temas: organizaciniai kontroliniai procesai, asmeniniai kontroliniai procesai, fiziniai kontroliniai procesai ir technologiniai kontroliniai procesai.

Elektroniniam parašui šis standartas turi ypatingą reikšmę, nes tiesiogiai apima tris informacijos saugumo ašis:

• Konfidencialumas: pasirašytų dokumentų apsauga nuo bet kokio neleistino prieigos
• Integralumas: garantija, kad dokumentai nėra keičiami po pasirašymo
• Pasiekiamumas: parašo įrodymų prieiga galimo ginčo atveju

ISO 27001 kontroliniai procesai, tiesiogiai taikomi elektroniniam parašui

Iš 93 standarto A priedo kontrolinių procesų, keletas tiesiogiai taikomi parašo darbo procesams:

5.14 kontrolinis procesas – Informacijos perdavimas: nustato formalias dokumentų, kurie turi būti pasirašyti, saugaus perdavimo taisykles, ypač per šifravimo protokolus (minimum TLS 1.3).

8.24 kontrolinis procesas – Kriptografijos naudojimas: reikalaus dokumentuotą šifravimo politiką, apimančią algoritmus, naudojamus elektroniniams parašams generuoti ir patikrinti. Praktiškai tai reiškia algoritmų naudojimą, atitinkantį ANSSI rekomendacijas (minimum RSA-3072 arba ECDSA-256 2026 m.).

8.12 kontrolinis procesas – Duomenų nutekėjimo prevencija (DLP): saugo asmeninę informaciją, esančią pasirašytuose dokumentuose, tiesiogiai susijusią su GDPR pareigomis.

5.18 kontrolinis procesas – Prieigos teisės: garantuoja, kad tik įgalioti asmenys gali pradėti, pasirašyti arba peržiūrėti dokumentą platformoje.

ISO 27001 vs kiti saugumo sertifikatai: kokia papildomybė?

ISO 27001 nėra vienintelė svarbi norma, bet ji yra pagrindas. Ją papildo:

• SOC 2 Type II (JAV standartas, dažnai reikalavimas vertybinių popierių biržoje kotiruojamoms įmonėms)
• ISO/IEC 27017 ir 27018: specifiniai debesų technologijų ir asmeninės informacijos apsaugos debesyje plėtiniai
• eIDAS kvalifikacija, kurią suteikia akredituoti organai (LSTI Prancūzijoje): privaloma Kvalifikuotiems pasitikėjimo paslaugų teikėjams (KPPT)

Paslaugų teikėjas, kurio elektroninio parašo sertifikacija yra ISO 27001 ir eIDAS kvalifikuota, siūlo maksimalų garantijų lygį, suderintą su tuo, ką išsamiai aprašo pilnas eIDAS 2.0 reguliavimo vadovas.

Specifiniai reikalavimai SaaS elektroninio parašo paslaugų teikėjams

Pasirinkti elektroninio parašo SaaS, sertifikuotą ISO 27001, nereiškia, kad jūsų pačios organizacijos jis yra apsaugotas – bet tai stipriai lemia likutinės rizikos, kurią perimote, lygį.

Sertifikacijos apimtis: ką reikia patikrinti

Įvertinant tiekėją, keturios klausimas yra svarbios:

1. Ar sertifikacijos apimtis apima parašo paslaugą? Redaktorius gali būti sertifikuotas ISO 27001 programinės įrangos kūrimo veiklai, neturint parašo platformos sertifikuoto. Reikalaukite oficialaus sertifikato ir patikrinkite pritaikymo deklaraciją (Statement of Applicability).

1. Ar sertifikacija yra aktuali? ISO 27001 reikalinga metinė priežiūros audito ir pakartotinės sertifikacijos audito kas tris metus. Pasibaigę sertifikatą panaikina bet kokią garantiją.

1. Kuris sertifikavimo organas? Prancūzijoje organai, akredituoti COFRAC (Bureau Veritas, SGS, BSI Group, LRQA...), suteikia pripažintus sertifikatus. Savideklaracija neatitikt nėra jokios teisinės vertės.

Incidentų valdymas ir paslaugų tęstinumas

ISO 27001 reikalinga dokumentuota ir testuota Verslo tęstinumo plana (VTP) ir Verslo atkūrimo plana (VAP). Elektroninio parašo platformai tai konkretiškai reiškia:

• RTO (Atkūrimo laiko tikslas) mažesnis nei 4 valandos gamybos aplinkoms
• RPO (Atkūrimo taško tikslas) mažesnis nei 1 valanda, išvengiant parašo duomenų praradimo
• Atkūrimo bandymus, dokumentuotus bent kartą per šešis mėnesius
• Saugumo incidento pranešimo procedūrą pagal GDPR 33 straipsnį (maksimaliai 72 valandos)

Šie reikalavimai sutampa su NIS2 direktyvos reikalavimais, perimtais Prancūzijos teisėje 2024 m. gegužės 21 d. įstatymu Nr. 2024-449, kuris esminėms ir svarbiomos subjektams nustato didesnių incidento pranešimo ir sustiprintų kibernetinio saugumo priemonių pareigas.

Kaip ISO 27001 sertifikacija sustiprina elektroninio parašo įrodymų vertę

Dažnai teisininkams ir pirkėjams žinoma problema: elektroninio parašo teisinė tvirtvmė priklauso iš dalies nuo techninio pasitikėjimo grandinės, kuri jį palaiko. Dokumentas, pasirašytas platformoje, kurios saugumas yra subylotas, gali matyti savo įrodymų vertę ginčytą teisme.

Duomenų integralumas kaip teisinė pagrindimas

Code civil straipsnis 1366 nustato, kad elektroninis parašas turi elektroninio parašo vertę „su sąlyga, kad jo autorius gali būti tinkamai identifikuotas ir jis yra pagamintas bei saugomas tokiomis sąlygomis, kurios garantuoja jo integralumą". Šis integralumo reikalavimas yra būtent ISO 27001 pagrindinė problema.

Ginče tiekėjas, sertifikuotas ISO 27001, galės pateikti:

• Nekintamus audito žurnalus, įrodančius prieigos istorijos registrą
• Sertifikacijos audito ataskaitas, liudijančias galiojančius kontrolinius procesus
• Kriptografinių raktų valdymo politiką, atitinkančią A priedą

Šie elementai sudaro įrodymų kompleksą, kuris labai sustiprina tos partijos padėtį, kuri tvirtina parašo galiojimą. Norint sužinoti daugiau apie skirtingų parašo lygių teisinę vertę, žr. mūsų elektroninio parašo sprendimų palyginimą.

Įrodymuose dėlimi archyvavimas ir saugojimo trukmė

ISO 27001, sujungus su standartu NF Z42-020 (skaitmeninė seifa) ir ETSI EN 319 162 rekomendacijomis (kvalifikuota elektroninio archyvavimo paslauga), leidžia apibrėžti archyvavimo politiką, kuri garantuoja parašų įrodymų vertę ilgiems laikotarpiams – iki 30 metų kai kuriems komerciniam sutartims.

ISO 27001 8.10 kontrolinis procesas – Informacijos ištrynimas be to nustato dokumentuotas procedūras saugiems duomenų sunaikinimui gyvenimo ciklo pabaigoje, suderintą su GDPR (17 straipsnis) teise būti pamirštam.

Kaip įvertinti ir reikalauti ISO 27001 atitikimo nuo jūsų elektroninio parašo paslaugų teikėjo

SaaS pirkimo arba sutarties atnaujinimo proceso metu, čia yra keturių žingsnių vertinimo protokolas.

Žingsnis 1: Paprašyti ir patikrinti oficialų sertifikatą

Reikalaukite ISO/IEC 27001:2022 sertifikato (o ne 2013 versijos, kuri pasibaigė 2025 m. spalio mėnesį), pagal paskutinį priežiūros audito ataskaitą. Patikrinkite galiojimo datą sertifikacijos organizacijos registre.

Žingsnis 2: Išanalizuoti taikymo pareiškimą (SoA)

Statement of Applicability nurodo parengtus ir išskirtus kontrolinius procesus su pagrindimais. Bet koks kontrolinis procesas, išskirtas be dokumentuoto pagrindimo, rodo likutinę riziką, kurią reikia įvertinti jūsų tiekėjo rizikos analizėje.

Žingsnis 3: Integruoti reikalavimus į sutartį

Jūsų sutartis su paslaugų teikėju turi apimti:

• Sertifikacijos išsaugojimo sąlygą su pranešimo pareiga, jei ji suspenduojama
• Audito ar metinių trečiųjų šalių audito ataskaitų prieigos teisę
• Saugumo SLA, svarbenybę ties VTP/VAP paslaugų teikėjo
• Atsakomybės sąlygą parašo integralumo saugumo incidento atveju

Žingsnis 4: Atlikti savo pačios rizikos analizę

Net sertifikuotas paslaugų teikėjas neapdengia jūsų vidinės rizikos. ISO 27001 pareigoja jūsų organizaciją atlikti rizikos analizę (6.1.2 sąlyga), apimančią ypač:

• Bendradarbių prieigos prie parašo platformos valdymą
• Informavimą apie fisingą atakas, nukreiptas į parašo darbo procesus
• Parašo delegavimo politiką

Šis procesas natūraliai integruojasi į bendrąją politiką dėl elektroninio parašo valdymo žmogiškųjų išteklių ir teisininkų komandom, kur apdorojamų dokumentų apimtys ekspozuoja reikšmingiems operaciniams rizikoms.

Tinkamas teisinis reguliavimas elektroniniam parašui ir ISO 27001

Elektroninio parašo sistemos atitiktis remiasi normatyvinių akto sluoksniu, kurį kiekvienas B2B verslo subjektas turi suprasti.

Code civil, straipsniai 1366 ir 1367: Straipsnis 1366 nustato ekvivalentiškumą tarp elektroninio parašo ir rankiniu parašo su sąlyga identifikuoti autorių ir garantuoti integralumą. Straipsnis 1367 nustato elektroninį parašą kaip „patikimo identifikavimo proceso naudojimą, garantuojantį jo susiejimą su aktu, prie kurio jis pridedamas".

eIDAS reguliavimas Nr. 910/2014 ir eIDAS 2.0 (ES Reguliavimas 2024/1183): Taikomas visose ES valstybėse, jis skiria tris parašo lygius (paprastą, pažangų, kvalifikuotą) ir nustato Kvalifikuotiems pasitikėjimo paslaugų teikėjams (KPPT) auditų pareigą akredituotų organų atliekamus. eIDAS 2.0 pakeitimas, pradėjęs galioti iš dalies nuo 2024 m. gegužės, sustiprina priežiūros reikalavimus ir sukuria Europos skaitmeninės tapatybės portfelį (EUDIW).

GDPR Reguliavimas Nr. 2016/679: Asmeninė informacija pasirašytuose dokumentuose (parašytojo tapatybė, IP adresas, laiko žymėjimas) yra asmeninis duomenis. Atsakingas asmuo duomenų apdorojimui turi užtikrinti jų apsaugą (5 straipsnis), pranešti apie pažeidimus per 72 valandas (33 straipsnis) ir įgyvendinti apsaugą koncepcija (25 straipsnis). ISO 27001 suteikia techninį atitikties įgyvendinimo pagrindą.

NIS2 direktyva (ES Direktyva 2022/2555), perimta Prancūzijos teisėje 2024 m. gegužės 21 d. įstatymu Nr. 2024-449: Esminės ir svarbios subjektos – į kurias patenka daugelis B2B veikėjų – turi įgyvendinti proporcingas kibernetinio saugumo priemones, įskaitant tiekėjo susijusios rizikos valdymą (21 straipsnis). Parašo paslaugų teikėjas, nesertifikuotas ISO 27001, gali sudaryti tiekėjo riziką pagal NIS2.

ETSI normos: ETSI EN 319 100 serija nustato techninius reikalavimus kvalifikuotiems elektroniniu parašams (EN 319 132 XAdES, EN 319 122 CAdES, EN 319 142 PAdES). Šios technines normos daro prielaida, kad infrastuktūra saugumo yra suderinta su ISO 27001 standartais.

ANSSI etalonas: Prancūzijoje Nacionalinė informacijos sistemų saugumo agentūra publikuoja rekomendacijas dėl kriptografinių algoritmų (RGS etalonas – Bendrasis saugumo etalonas), kurių įgyvendinimą palengvina ISO 27001 sertifikuota ISVS. Prancūzijos paslaugų teikėjo eIDAS kvalifikacija peržiūrima ANSSI kaip nacionalinis priežiūros organas.

Sertifikacijos ISO 27001 nebuvimas pas parašo paslaugų teikėją ekspozuoja kliento verslą pasirašyto dokumentų galiojimo „faisceau de preeuves" ginčymo rizikai, GDPR sankcijoms (iki 4 % pasaulio pajamų arba 20 M€) ir NIS2 atitikties iškėlimui.

Naudojimo scenarijai: ISO 27001 ir elektroninis parašas praktikoje

Scenarijus 1 – 25 bendradarbių verslo advokačių kontora

Kontora, specializuojasi fuzijos-akvizicijose, kasmet apdoroja daugiau nei 600 aktų, reikalingų papildytam ar kvalifikuotam elektroniniam parašui (NDA, susitarimų protokolai, cesijos konvencijos). Po vidinio audito, atskleisusio spragų parašo platformos prieigos sekoje, kontora nusprendžia priimti tik paslaugų teikėjus, sertifikuotus ISO/IEC 27001:2022 su apimtimi, kurie aiškiai apima parašo paslaugą.

Rezultatas: po persigrupavimu į sertifikuotą platformą, kontora gauna 40 % sumažėjimą laiko, skiriamo kliento saugumo due diligence, ir gali pateikti sertifikacijos audito ataskaitas per 48 valandas per kliento didžių verslo subjektų prašymus. Vidutinis sutarties tvirtinimo trukmė sumažėja nuo 3,2 dienos iki 1,4 dienos.

Scenarijus 2 – Pramonės įmonė, valdanti 1 500 tiekėjo sutarčių per metus

Mažo verslo automobilių konstruktoriaus pirmeigalis Tier-1 subrangovas turi parodyti savo tiekėjui, kad visa jo elektroninio parašo grandinė (pirkimo kvitai, pagrindinės sutartys, pakeitimas) atitinka ISO 27001 reikalavimus, kuriuos nustato grupės pirkimo standartai. Mažasis verslas atliekvietina savo tiekėjo rizikos žemėlapį pagal standarto 6.1.2 sąlygą ir nustato, kad jo buvęs SaaS paslaugų teikėjas neturi galiojančios sertifikacijos.

Po persigrupavimo į sertifikuotą sprendimą ir vidinio ISVS, mažasis verslas gauna reikalingą tiekėjo kvalifikaciją ir saugo 4 metų metinio sutarties. Sertifikacijos kaina (apie 15 000 iki 25 000 € šio dydžio mažam verslui pagal specializuotus konsultavimo kabinetus) yra amortizuota per mažiau nei šešis mėnesius atsižvelgiant į saugų sužybotų sutarties apimtį.

Scenarijus 3 – Ligoninių grupė, apie 1 200 lovų

Medicinos sektoriuje ligoninės turi sustiprintus reikalavimus: sveikatos duomenų apdorojimas (specialioji kategorija pagal GDPR 9 straipsnį), HDS sertifikacija (Sveikatos duomenų šeimininkas) ir dabar NIS2 kvalifikacija kaip esminė šalis. Ligoninių grupė diegma elektroninį parašą savo darbo sutartims, klininės tyrimų konvencijoms ir viešųjų pirkimų (maždaug 900 dokumentų/mėnesiui).

Pasirinkę paslaugų teikėją, sujungiantį ISO 27001 sertifikavimą, HDS sertifikavimą ir PSCQ eIDAS kvalifikavimą, įstaiga sumažina savo GDPR neatitikties riziką 60 % pagal savo DPO ir naudoja garantuotą 30 metų įrodymų archyvavimą klininės tyrimų teisinių dokumentams. Vidutinis klininės tyrimų sutarčių pasirašymo laikas sumažėja nuo 12 dienų iki 3,5 dienos, išlaisvindamas reikšmingus administracinių komandų išteklius.

Išvada

2026 m. ISO/IEC 27001:2022 sertifikacija nėra tiesiog rinkodarinis argumentas elektroninio parašo paslaugų teikėjams: ji sudaro esminį techninį ir teisinį pagrindą garantuoti pasirašytų dokumentų integralumą, GDPR ir NIS2 atitiktį bei sutarčių įsigijimo teisinę vertę. B2B įmonėms reikalauti šios sertifikacijos iš savo SaaS tiekėjo tapo pareiga atlikti pagrįstą duomenis, panašiai kaip patikrinti eIDAS kvalifikavimą.

Certyneo yra sertifikuota ISO/IEC 27001:2022 su apimtimi, dengiančia visą jos elektroninio parašo platformą. Mūsų komandos gali jus palydėti į jūsų dabartinės atitikties įvertinimo ir saugaus parašo darbo proceso, kuris atitinka jūsų apimtis ir sektorių, įgyvendinimo. Paprašykite nemokamos demonstracijos Certyneo arba naršykite mūsų kaininas, kad surastumėte jūsų organizacijai tinkamą formulę.