ISO-sertifisering for elektronisk signatur: veiledning 2026
ISO 27001, eIDAS, ETSI… sertifiseringene til leverandører av elektronisk signatur har blitt et uunnværlig utvelgelseskriterium. Oppdag hvordan du sammenligner dem effektivt.
Équipe éditoriale Certyneo
Redaktør — Certyneo · Om Certyneo

Elektronisk signatur har blitt en standard i dokumenthåndtering for franske og europeiske bedrifter. Men bak den tilsynelatende enkelheten ved et valideringsklikk skjuler det seg et teknisk og regulatorisk økosystem av stor kompleksitet. I 2026 er spørsmålet ikke lenger « bør vi ta i bruk elektronisk signatur? », men « hvilken leverandør tilbyr tilstrekkelige sikkerheits- og samsvargarantier for min forretningskontekst? ». ISO-sertifiseringer – særlig ISO 27001 – utgjør et av de mest pålitelige svarene på dette spørsmålet. Denne artikkelen veileder deg gjennom hovedsertifiseringene for leverandører av elektronisk signatur, deres reelle omfang og kriteriene for en grundig sammenligning.
Hvorfor ISO-sertifiseringer er avgjørende for elektronisk signatur
Elektronisk signatur reduserer seg ikke til en applikasjonsfunksjonalitet. Den engasjerer det juridiske ansvaret til det signerende selskapet, konfidensialiteten for behandlede data og langvarende integritet for arkiverte dokumenter. Dette er hvorfor sertifiseringene som oppnås av en leverandør ikke er bare markedsføringsetiketter: de attesterer et sikkerhetsmotningsgrad som blir revidert av en uavhengig tredjepart.
ISO 27001: det uunngåelige grunnlaget for informasjonssikkerhet
ISO/IEC 27001 er den internasjonale referansestandardenen for informasjonsstyringssystemer (SMSI). Den dekker konfidensialitet, integritet og tilgjengelighet av data. For en leverandør av elektronisk signatur betyr denne sertifiseringen at alle prosessene – fra opprettelse av signaturkonto til arkivering av det signerte dokumentet – er underlagt dokumenterte kontroller som regelmessig blir revidert av en akkreditert organisasjon (som LSTI, Bureau Veritas, BSI, osv.).
Konkret pålegger ISO 27001 leverandøren:
- En uttømmende inventar av informasjonsressurser og tilhørende risiker
- Streng tilgangskontrollpolitikk (sterk autentisering, privilegiumstyring)
- Prosedyrer for hendelseshåndtering og forretningskontinuitet
- Regelmessige interne revisjoner og årlig ledelsesgjennomgang
- Kontinuerlig overvåking av sikkerhetshull
Versjonen som har vært gjeldende siden 2022 (ISO/IEC 27001:2022) integrerer 93 sikkerhetstiltak gruppert i fire tema: organisatoriske, menneskelige, fysiske og teknologiske. En leverandør sertifisert på denne versjonen demonstrerer en oppdatert sikkerhetsposisjon mot samtidsulykter, særlig ransomware-angrep og kompromisser i forsyningskjeden.
ISO 27017 og ISO 27018: de uunnværlige cloud-utvidelsene
Nesten alle SaaS-løsninger for elektronisk signatur hviler på skyinfrastrukturer. I denne sammenheng fortjener to utvidelser av ISO 27000-familien særlig oppmerksomhet:
ISO/IEC 27017 gir spesifikke retningslinjer for skytjenester, og dekker særlig det delte ansvaret mellom leverandøren og dens underleverandører (vertsholdere, tillitsparter). For en B2B-kjøper tillater verifiseringen at leverandøren disponerer denne sertifiseringen eller samsvarer med den å validere at dataene som er lagret i skyen, er underlagt samme sikkerhetskrav som on-premise-miljøer.
ISO/IEC 27018 fokuserer spesielt på personvern i skyen. Den utfyller GDPR ved å definere operasjonelle praksis: forbud mot bruk av data for annonseformål uten eksplisitt samtykke, transparens om underleverandører, rett til bærbarhet. For DPOer og samsvarsleder representerer denne sertifiseringen ytterligere alvor i håndtering av signeringsdata.
For å utdype den juridiske verdien som disse standardene gir når det gjelder europeisk rett, konsulter vår veiledning om juridisk verdi av elektronisk signatur.
eIDAS-sertifisering og ETSI-normer: hva det betyr å være « kvalifisert »
Ut over ISO-normer pålegger det europeiske reguleringsrammeverket sine egne samsvarskrav for tilitsselskaper (PSCo). Forskriften eIDAS nr. 910/2014, hvis revisjon eIDAS 2.0 er under implementering, skiller mellom tre nivåer av elektronisk signatur: enkel, avansert og kvalifisert.
Status som kvalifisert tillitstjenestleverandør (PSCO)
For å levere kvalifiserte elektroniske signaturer – det eneste juridisk tilsvarende nivået til håndskriftsignatur i alle EU-medlemsstater – må en leverandør registreres på tillitslisten for sitt medlemsland (i Frankrike, listen administrert av ANSSI). Denne kvalifikasjonen hviler på en innledende revisjon utført av en akkreditert samsvarsevalueringsorgan (CAB), deretter på regelmessige overvåkingsrevisjoner.
De underliggende tekniske standardene publiseres hovedsakelig av ETSI (European Telecommunications Standards Institute):
- ETSI EN 319 401: generelle krav til PSCo
- ETSI EN 319 411: retningslinjer og praksis for sertifisering for sertifiseringsstyringsmyndigheter
- ETSI EN 319 132: XAdES-profiler for avansert XML-signatur
- ETSI EN 319 122: CAdES-profiler for avansert CMS-signatur
- ETSI EN 319 162: registrert elektronisk leveringstjeneste
En leverandør sertifisert i henhold til disse ETSI-standardene sikrer teknisk samhandlingsevne for signaturene sine med alle løsninger som er anerkjent i det europeiske området, noe som er avgjørende for bedrifter som opererer i flere land. Vår komplette veiledning om eIDAS-forordningen detaljerer forpliktelsene knyttet til hvert kvalifiseringsnivå.
SOC 2 Type II: det nord-amerikanske supplemenget å overvåke
Selv om det er mindre vanlig i det europeiske området, blir SOC 2 Type II-rapport (Service Organization Control) utstedt i henhold til AICPA-standarder ofte forespurt av store bedrifter, særlig de med amerikanske datterselskaper eller amerikanske partnere. I motsetning til ISO 27001 (sertifisering) er SOC 2 en revisjonsrapport som attesterer overholdelse av tillitserviceskriterier (sikkerhet, tilgjengelighet, integritet av behandling, konfidensialitet, personvern) over en observasjonsperiode vanligvis på seks til tolv måneder. For en uttømmende sammenligning er det å verifisere at leverandøren disponerer en nylig SOC 2 Type II (mindre enn tolv måneder gammel) et sterkt signal på operasjonell modenhet.
Sammenligne sertifiseringer fra leverandører: metode og kriterier
Gitt mangfoldet av tilgjengelige sertifiseringer, må B2B-kjøpere adoptere en strukturert analysegitter snarere enn å stole på bare markedsføringsuttalelser. Vår sammenligning av elektroniske signaturoløsninger oppregner hovedplattformene som er tilgjengelige i Frankrike; her er hvordan man evaluerer sertifiseringsnivået deres.
De fire spørsmålene å stille systematisk
1. Hva er nøyaktig dato og omfang for sertifiseringen? En ISO 27001-sertifisering oppnådd for tre år siden og ikke fornyet tilbyr ikke samme garantier som et sertifikat som er i kraft. Be systematisk om det offisielle sertifikatet og verifiser revisjonsomfanget: noen leverandører sertifiserer kun sitt hovedkontor, og ekskluderer datasentre eller offshore-utviklingsteam.
2. Hvem utførte sertifiseringsrevisjonen? Sertifiseringsorganet må selv være akkreditert av et medlem av IAF (International Accreditation Forum). I Frankrike er COFRAC (Comité Français d'Accréditation) det kompetente organet. Et sertifikat utstedt av en ikke-akkreditert organisasjon har ingen kontraktsmessig eller regulatorisk verdi.
3. Publiserer leverandøren sin årlige gjennomtestingsrapport? ISO 27001-sertifisering krever regelmessige sårbarhetsevalueringer, men foreskriver ikke et standardformat for penetrasjonstesting. En moden leverandør publiserer en utøvende oppsummering av sin årlige pentest utført av en tredjepart. ANSSI anbefaler å appellere til leverandører som er kvalifisert PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) for denne typen øvelse.
4. Hva er underleverandørene og tilhørende sertifiseringer? En elektronisk signaturleverandør hviler vanligvis på en skyvert (AWS, Azure, OVHcloud, osv.) og noen ganger på tredjepartssertifiseringsmyndigheter. Verifiser at disse underleverandørene selv disponerer tilsvarende sertifiseringer (ISO 27001, HDS for helsdata, SecNumCloud for sensitive data). Tillitskjeden er kun så god som hvert ledd som blir revidert.
Det særlige tilfellet med HDS-rammeverket for helsdata
For helsestiftelser, aldershjemmfor, gjensidige eller forsikringsselskaper som håndterer medisinske data, legger HDS-sertifisering (Hébergeur de Données de Santé) seg til ISO-kravene. Siden forordningen av 26. januar 2018 må alle vertsholdere av personlige helseopplysninger sertifiseres av HDS av et akkreditert organ. For en elektronisk signaturleverandør brukt i en medisinsk sammenheng – samtykke til behandling, digitalisert resept, hospitalsrapport – er denne sertifiseringen en vilkår sine qua non. Oppdag særegenhetene ved elektronisk signatur i helsetekjøren for å evaluere dine forpliktelser.
Innvirkning av sertifiseringer på kontraktforhandlinger og due diligence
Sertifiseringene som oppnås av en leverandør er ikke kun kommersielle argumenter: de strukturerer forholdet og ansvarsdelingen mellom partene.
Kontraktklauser som skal integreres systematisk
Under forhandling av en kontrakt med en elektronisk signaturleverandør, fortjener flere klauser direkte knyttet til sertifiseringer særlig oppmerksomhet:
- Sertifikatverholdelsesklausul: leverandøren forplikter seg til å opprettholde sine sertifiseringer under hele kontraktens varighet og skal umiddelbart varsle om eventuell tilbaketrekking eller suspensjon.
- Revisjonsklausul: kunden beholder retten til å utføre eller få utført en sikkerhetsrevisjon hos leverandøren, på definerte betingelser (varsel, omfang, konfidensialitet for resultater).
- Underleverandørklausul: enhver endring i underleverandørkjeden må varsles på forhånd, med oppsigelsesmulighet dersom den nye underleverandøren ikke oppfyller de definerte sertifiseringskravene.
- Tilgjengelighetspå: for leverandører sertifisert ISO 27001 er en tilgjengelighetsbinding (SLA) på minimum 99,9 % på månedlig basis en rimelig forventning, med økonomiske straffer ved overskridelse av utilgjengelighetsterskler.
Disse kontraktaspektene inngår i en bredere styringsprosedyre for elektronisk signatur i bedriften, som vi detaljerer i vår dedikerte veiledning.
Bidraget fra sertifiseringer innenfor rammeverket for en GDPR- eller NIS2-revisjon
Siden gjennomføringen av NIS2-direktivet (implementert i fransk rett ved lov av 15. april 2025), må sentrale og viktige entiteter demonstrere at deres kritiske leverandører – inkludert leverandører av elektronisk signatur – oppfyller minimumskrav for cybersikkerhet. ISO 27001-sertifiseringen av en leverandør utgjør en dokumentert bevis som kan benyttes under en NIS2-revisjon eller en CNIL-inspeksjon. Den demonstrerer særlig gjennomføring av artikkel 32 i GDPR, som krever passende tekniske og organisatoriske tiltak for å garantere et sikkerhetsnivå tilpasset risikoen.
For bedrifter som ønsker å migrere fra en mindre sertifisert løsning til en plattform som tilbyr overlegen samsvargaranti, detaljerer vår migrasjonsveiledning til Certyneo trinnene og forholdsreglene som skal respekteres.
Juridisk rammeverk som gjelder sertifiseringer av elektronisk signaturleverandører
Den juridiske validiteten til en elektronisk signatur hviler på et oppstilling av europeisk og nasjonale normtekster, hvis forståelse er uunnværlig for riktig evaluering av leverandørsertifiseringer.
Sivillov, artikler 1366 og 1367: Disse artiklene utgjør grunnlaget for fransk rett for elektronisk signatur. Artikkel 1366 fastsetter at « elektronisk skrift har samme bevisverdi som skrift på papirmedium, under forutsetning av at identiteten til personen som den stammer fra kan bli behørig identifisert og at den er etablert og bevart under forhold som er egnet til å garantere dens integritet ». Artikkel 1367 presiserer at « signaturen som er nødvendig for perfeksjonering av en rettslig handling identifiserer dens forfatter » og at når den er elektronisk « består den av bruken av en pålitelig identifiseringsmetode som garanterer dens forbindelse med handlingen den er knyttet til ». ISO 27001-sertifiseringer og eIDAS-kvalifikasjoner bidrar direkte til å etablere denne pålitelighetspresumpsjonen.
Forordning eIDAS nr. 910/2014: Denne europeiske forordningen, som gjelder direkte i alle medlemsstater, definerer de tre nivåene av elektronisk signatur (enkel, avansert, kvalifisert) og pålegger tilitsselskapleverandører å underkaste seg samsvarrevisjoner i henhold til ETSI-normer. Dens artikkel 24 presiserer kravene som gjelder for kvalifiserte leverandører, særlig forpliktelse til å ansette kvalifisert personell og opprettholde tilstrekkelige økonomiske ressurser. Revisjonen av eIDAS 2.0 (EU-forordning 2024/1183, som trådte i kraft 20. mai 2024) forsterker disse kravene ved å introdusere den europeiske porteføljen for digital identitet (EUDIW) og utvide omfanget av anerkjente tillitsservices.
GDPR nr. 2016/679: Artiklene 28 (databehandler), 32 (behandlingssikkerhet) og 35 (konsekvensvurdering) er direkte involvert når en elektronisk signaturleverandør behandler personopplysninger på vegne av en dataansvarlig. Artikkel 32 krever særlig pseudonymisering og kryptering av personopplysninger, evne til å garantere systemets konfidensialitet, integritet og motstandskraft. En ISO 27001-sertifisering som dekker disse aspektene tillater delvis oppfyllelse av denne demonstrasjonsforpliktelsen.
NIS2-direktiv (EU 2022/2555, implementert av fransk lov av 15. april 2025): Det pålegger sentrale og viktige entiteter å håndtere risiko knyttet til deres digitale forsyningskjede, inkludert leverandører av elektronisk signatur. Artikkel 21 av NIS2 oppregner minimumstiltak for cybersikkerhet der flere direkte overlapper med ISO 27001-kravene.
ETSI-normer: Standardene EN 319 401, EN 319 411-1, EN 319 411-2, EN 319 132 (XAdES), EN 319 122 (CAdES) og EN 319 162 definerer tekniske krav for kvalifiserte tillitsselskapleverandører. Deres overholdelse blir revidert av akkrediterte evalueringsorganer før enhver registrering på nasjonale tillitslister.
Ansvar ved manglende sertifisering: En ikke-sertifisert leverandør som utsettes for et databrudd som resulterer i kompromisering av elektroniske signaturer engasjerer sitt kontraktsmessige og erstatningsrettslige ansvar. For kunden kan mangelen på forutgående verifisering av sertifiseringer bli holdt mot seg som en feil i cybersikkerhetshåndtering, som potensielt kan påvirke cyberforsikringsdekningen.
Bruksscenarioer: ISO-sertifiseringer i praksis
ISO-sertifiseringer er ikke teoretiske abstraksjonener. Her er tre konkrete scenarioer som illustrerer deres operasjonelle innvirkning i variasjonerte forretningskontekster.
Scenario 1: Et advokatkantoor for forretninger som velger sin elektroniske signaturleverandør
Et advokatkantoor for forretninger med rundt tjue medarbeidere håndterer årlig flere hundre sensitive dokumenter: aksjeoverdrag, aksjepakter, fortrolighetserklæringer. IT-sjefen må rettferdiggjøre sitt valg av leverandør overfor partnerne og store kundekontoer som krever kontraktfestet at digitalverktøyene som benyttes skal være ISO 27001-sertifisert.
Ved å stole på ISO 27001:2022-sertifiseringen av den valgte leverandøren, kan kantoren produsere en samsvarserklæring under kundenes due diligence-prosesser. Den årlige fornyelsesrevisjonen utgjør også et argument under anbudsinnbydelser, hvor sikkerhet for data systematisk vurderes. Resultat observert i denne typen struktur: reduksjon på 60 til 70 % av tiden dedikert til sikkerhetsspørsmål under kommersielle forhandlinger, og eliminering av to hendelser knyttet til ikke-konforme signaturer over en periode på atten måneder.
Scenario 2: En liten industriell bedrift som håndterer leverandørkontrakter internasjonalt
En liten industriell bedrift med rundt 150 ansatte som håndterer nær 300 leverandørkontrakter per år, der en betydelig del er med tyske og nederlandske partnere, må sikre at elektroniske signaturer blir anerkjent i disse landene. eIDAS-sertifiseringen av leverandøren – registrert på den franske tillitslisten og som tilbyr avanserte signaturer i samsvar med ETSI EN 319 132 – garanterer juridisk samhandelingsevne i det europeiske området.
Parallelt blir ISO 27001-sertifiseringen av leverandøren krevd av kjøpsdepartementet til flere av dens store kundekontoer under årlige leverandørrevisjoner. Bedriften anslår å ha unngått to kontraktualle requalifiseringer (overgang til håndskrift for ikke-samsvar) som representerer en kostnadsbesparelse på omkring 15 000 til 20 000 euro i forsinkelser og logistikkkostnader, over tolv måneder.
Scenario 3: En sykehusgruppe som integrerer elektronisk signatur i HR- og medisinkprosesser
En sykehusgruppe med omkring 600 senger ønsker å digitalisere både arbeidskontrakter (helsepersonell, vikarpersonell) og digitale samtykker til behandling. To familier av sertifiseringer viser seg å være uunnværlige: ISO 27001 for leverandørens overordnede sikkerhet, og HDS-sertifisering (Hébergeur de Données de Santé) for delen som håndterer medisinske data.
Sykehusgruppen velger en leverandør som disponerer begge sertifiseringene, noe som tillater den å dekke alle brukstilfellene sine i en enkelt kontrakt samtidig som den oppfyller kravene fra Agence du Numérique en Santé (ANS). Produktivitetsgevesten målt på HR-prosesser (kontrakter for vikarmedisinstudenter signert på mindre enn to timer sammenlignet med to til tre dager i papirversjon) representerer en estimert besparelse på 40 % på kostnadene for administrasjon knyttet til administrativ håndtering, eller en årlig verdi på omkring 80 000 til 120 000 euro for et volum på 1 200 signaturer per år.
Konklusjon
ISO 27001-, ISO 27017-, ISO 27018-sertifiseringene og eIDAS-kvalifikasjoner er ikke bare merker som vises på en markedsføringsside: de utgjør et fundament av revisde garantier, regelmessig verifisert, som engasjerer leverandørens ansvar og juridisk beskytter kundeselskapet. I 2026, gitt den økende sofistiseringen av cybertrusler og forsterkningen av det europeiske reguleringsrammeverket (NIS2, eIDAS 2.0), er det å velge en sertifisert elektronisk signaturleverandør ikke lenger et valg men et styringskrav.
For å sammenligne leverandørene som er tilgjengelige på det franske markedet objektivt, baserer du deg på de fire nøkkelkriteriene som er identifisert i denne artikkelen: nøyaktig sertifiseringsomfang, akkreditering av revisjonsorganet, transparens om underleverandørkjeden og kontraktklauser for sertifikatverholdelse. Certyneo oppfyller alle disse kravene og ledsager deg i ditt samsvararbeid. Kontakt laget vårt for å få en revisjon av din nåværende situasjon og oppdage hvordan du kan gå over til en fullt sertifisert elektronisk signatur.
Prøv Certyneo gratis
Send din første signeringskonvolutt på under 5 minutter. 5 gratis konvolutter per måned, uten bankkort.
Gå dypere inn i emnet
Våre omfattende guider for å mestre elektronisk signatur.
Anbefalte artikler
Utdyp kunnskapen din med disse artiklene om emnet.

Comparatif Skribble vs Oodrive : quelle solution choisir en 2026
Skribble ou Oodrive ? Découvrez notre analyse experte des deux plateformes de signature électronique pour choisir la solution la plus conforme à vos besoins B2B en 2026.

Signatur elektronisk sky eller on-premise: hvilket valg i 2026?
Cloud SaaS eller on-premise-distribusjon: valget av vertsplassering for din løsning for elektronisk signatur bestemmer sikkerhet, kostnader og eIDAS-samsvar. Oppdag vår ekspertanalyse.

Signatur elektronisk: gratis eller betalt, hva skal du velge i 2026?
Mellom begrenset gratisalternativer og betalte løsninger som oppfyller eIDAS-krav, er valget ikke trivielt for en liten og mellomstore bedrift. Oppdag vår sammenligning for å ta informert beslutning.