Hvordan fungerer elektronisk signatur i 2026

Introduksjon

Elektronisk signatur er i dag hjørnesteinen i bedrifters digitale transformasjon: i 2025 har mer enn 70 % av store europeiske organisasjoner integrert det i minst én kontraktprosess (kilde: Gartner, Digital Process Automation Survey 2025). Likevel er det få beslutningstakere som forstår nøyaktig hvilke mekanismer som gjør den juridisk gyldig og teknisk forfalskningSikker. Å forstå hvordan elektronisk signatur fungerer teknisk — kryptografi, PKI, sertifikater — gjør det mulig å velge riktig løsning, redusere juridiske risiko og akselerere intern adopsjon. Denne artikkelen veileder deg, steg for steg, gjennom den tekniske arkitekturen og standardene som regulerer elektronisk signatur i 2026.

---

De kryptografiske grunnlagene for elektronisk signatur

Elektronisk signatur bygger på veldokumenterte kryptografiske primitiver. Å forstå mekanismene betyr å forstå hvorfor den er mer pålitelig enn en skannet håndskrift.

Asymmetrisk kryptering: offentlig nøkkel og privat nøkkel

Det fundamentale prinsippet er asymmetrisk kryptografi, oppfunnet på 1970-tallet og standardisert av algoritmer som RSA (Rivest–Shamir–Adleman) eller elliptiske kurver (ECDSA). Hver underskriver har to matematisk relaterte nøkler:

• Den private nøkkelen: holdt hemmelig av underskriveren, på en sikker enhet (smartkort, HSM-token eller beskyttet programvaremodul). Den brukes til å lage signaturen.
• Den offentlige nøkkelen: distribuert fritt, inkludert i et digitalt sertifikat. Den brukes til å bekrefte signaturen.

Sikkerhetsprinsippet hviler på en beregningsmessig asymmetri: det er matematisk trivielt å bekrefte en signatur med den offentlige nøkkelen, men praktisk umulig å rekonstruere den private nøkkelen fra den offentlige nøkkelen (diskret logaritme-problem eller faktorisering av store heltall).

Hash-funksjoner: det digitale fingeravtrykket på dokumentet

Før signering beregner systemet et kryptografisk fingeravtrykk av dokumentet ved hjelp av en hash-funksjon (SHA-256 eller SHA-3 i 2026). Dette fingeravtrykket, kalt hash eller digest, er en tegnstreng med fast lengde (256 biter for SHA-256) som representerer dokumentets innhold på en unik måte.

Essensielle egenskaper: endring av et enkelt tegn i dokumentet produserer et radikalt annet hash. Dette garanterer integriteten til det signerte dokumentet: enhver endring etter signering er umiddelbar oppdagbar.

Selve den elektroniske signaturen er derfor krypteringen av dette hashen med underskriverens private nøkkel. Under bekreftelse gjør mottakeren:

1. Dekrypterer signaturen med den offentlige nøkkelen for å finne originalt hash;
2. Beregner selv hashen på det mottatte dokumentet;
3. Sammenligner de to: hvis identiske, er signaturen gyldig.

---

Infrastruktur for offentlige nøkler (PKI): tillitskjeden

Kryptografi alene er ikke nok: det må også bevises at den offentlige nøkkelen virkelig tilhører personen som påstår å være eieren. Dette er rollen til PKI (Public Key Infrastructure).

Sertifikatmyndigheter (CA)

En sertifikatmyndighet (CA) er en akkreditert tillitspart som utsteder digitale sertifikater. Et digitalt sertifikat er en standardisert fil (X.509-format) som inneholder:

• Innehaverens identitet (navn, organisasjon, e-post);
• Hans eller hennes offentlige nøkkel;
• Gyldighetsperiode;
• Sertifikatmyndighetens egen digitale signatur.

I Europa er kvalifiserte CA-er oppført i Trusted Lists publisert av hver EU-medlemsstat i samsvar med eIDAS-forordningen. I Frankrike publiserer ANSSI og opprettholder denne listen. Kvalifiserte tillitsservicetilbydere (QTSP) — som CertSign, Certigna eller Universign — er underlagt regelmessig revisjon i henhold til standarden ETSI EN 319 401.

Sertifikatskjeden og tilbakekalling

PKI fungerer på en hierarkisk modell:

• En rotmyndighet (Root CA) som er selvunderskrevet, holdt offline under maksimale fysiske sikkerhetsbetingelser;
• Mellomliggende CA-er som utsteder sertifikater for sluttbrukere.

Tilbakekalling av sertifikater er en kritisk mekanisme: hvis en privat nøkkel er kompromittert, publiserer CA-en invaliditeten via en CRL (Certificate Revocation List) eller via OCSP (Online Certificate Status Protocol) protokollen, som muliggjør sanntidsbekreftelse.

For kvalifisert elektronisk signatur etter eIDAS-standarden må den private nøkkelen genereres og oppbevares i en QSCD (Qualified Signature Creation Device) — sertifisert maskinvare CC EAL4+ eller høyere, for eksempel et smartkort eller HSM (Hardware Security Module).

---

De tre signaturnivoene etter eIDAS

Den europeiske forordningen eIDAS nr. 910/2014 (og dens utvikling eIDAS 2.0 under distribusjon) definerer tre signaturnivåer, hver med økende tekniske garantier. For å utdype dette regulatoriske rammeverket, se vår komplette guide om eIDAS-forordningen.

Enkel elektronisk signatur (SES)

Den enkle signaturen er den minst krevende formen teknisk. Den kan være så enkel som en avmerkingsboks, en OTP-kode (One-Time Password) sendt via SMS, eller et bilde av håndskrift. Den krever ikke nødvendigvis et kvalifisert sertifikat.

Typisk bruk: godkjenning av tilbud, markedsføringskonsenter, kontrakter med lav risiko.

Risiko: begrenset bevisverdi ved rettslig tvist. Bevissbyrden faller på den som påberoper signaturen.

Avansert elektronisk signatur (AdES)

Den avanserte signaturen oppfyller fire presise tekniske krav (artikkel 26 eIDAS):

1. Den er entydig knyttet til underskriveren;
2. Den gjør det mulig å identifisere underskriveren;
3. Den opprettes ved hjelp av data under underskriverens eksklusiv kontroll;
4. Den tillater påvisning av enhver senere endring av dokumentet.

Konkret krever dette bruk av personligt digitalt sertifikat og mekanisme for sterk autentisering. Standard-formatene er definert av ETSI: PAdES (for PDF), XAdES (XML), CAdES (binære data) og JAdES (JSON), alle standardisert i serien ETSI EN 319 100.

Kvalifisert elektronisk signatur (QES)

Den kvalifiserte signaturen er det høyeste nivået. Den krever:

• Et kvalifisert sertifikat utstedt av en akkreditert QTSP etter eIDAS;
• En QSCD for signaturopprettelse.

Den nyter godt av en juridisk antagelse om pålitelighet og juridisk likevekt med håndskrift i hele Den europeiske union (artikkel 25 eIDAS). Det er nivået som kreves for elektroniske notarkrefter, visse notarialakter eller følsomme offentlige anbud.

Vår sammenligning av elektroniske signaturløsninger analyserer de praktiske forskjellene mellom disse nivoene for å hjelpe deg med å velge.

---

Den komplette prosessen for en elektronisk signatur steg for steg

Slik forløper en elektronisk signaturtransaksjon konkret på en SaaS-plattform som Certyneo:

Trinn 1: forberedelse og sending av dokumentet

Initiativtakeren til signaturen laster opp dokumentet (kontrakt, tillegg, innkjøpsordre) på plattformen. Systemet genererer umiddelbart en SHA-256 hash av originalfilen, tidsstemplet og bevart på uforanderlig måte. Dette fingeravtrykket vil tjene som referanse for all fremtidig verifisering.

Trinn 2: autentisering av underskriveren

Avhengig av valgt signaturnivå varierer autentiseringen:

• SES: e-post + signaturlenke;
• AdES: sterk autentisering (OTP SMS, FIDO2-mobilapp);
• QES: forutgående identitetsverifisering (ansikt-til-ansikt eller video-IDV), utstedelse av et kvalifisert sertifikat til engangs- eller vedvarende bruk.

Trinn 3: opprettelse av kryptografisk signatur

Underskriveren utløser signeringshandlingen. Plattformen (eller QSCD):

1. Beregner dokumentets hash;
2. Krypterer denne hashen med underskriverens private nøkkel;
3. Integrerer signaturen og sertifikatet i dokumentet (PDF signert i PAdES-LTV-format for langtidsbevaring).

Trinn 4: kvalifisert tidsstempel

En kvalifisert tidsstempeltjeneste (TSA) som oppfyller RFC 3161-standarden legger på et kryptografisk tidsstempel, som beviser at signaturen eksisterte på et presist tidspunkt. Dette beskytter mot datoforfalskning og garanterer bevisverdi over tid — selv om underskriverens sertifikat utløper senere.

Trinn 5: bevisbasert arkivering

Det signerte dokumentet arkiveres med dets komplette revisjonsspor: underskriverens identitet, IP-adresse, tidsstempel, dokumentets hash, brukte sertifikater. Denne bevissporen (audit trail) er essensiell ved rettslig tvist. Løsninger som oppfyller eIDAS opprettholder disse bevisene i PAdES-LTV (Long-Term Validation) format som integrerer valideringsdata for å muliggjøre verifisering år etter signering.

For å forstå hvordan man integrerer denne prosessen i dine HR-arbeidsflyter, oppdag vår løsning for elektronisk signatur for HR og våre kontraktmaler til nedlasting.

Rettslig rammeverk som gjelder for elektronisk signatur

Elektronisk signatur utgjør en lagdelt normativ ramme som artikulerer nasjonalt sivilrett og harmonisert europeisk rett.

Fransk sivil kode

Artikkel 1366 i den franske sivile koden slår fast det grunnleggende prinsippet: « Den elektroniske avskriften har samme bevisverdi som avskriften på papirbærer, under forutsætning av at personen den kommer fra, kan identifiseres på behørig måte og at den er etablert og bevart under forhold som garanterer integriteten. » Artikkel 1367 presiserer at elektronisk signatur « består i bruken av en pålitelig identifikasjonsprosess som garanterer dets forhold til handlingen som den er knyttet til ».

Dekret nr. 2017-1416 fra 28. september 2017 definerer antagelsen om pålitelighet for kvalifiserte og avanserte signaturer i samsvar med eIDAS.

eIDAS-forordning nr. 910/2014

Hjørnesteinen i europeisk digital tillitsrett, eIDAS-forordningen (electronic IDentification, Authentication and trust Services) etablerer et enhetlig rettsrammeverk for elektroniske signaturer, elektroniske segl, kvalifisert tidsestempel, anbefalt sendingstjeneste og nettstedauthentiseringssertifikater. Dens artikkel 25, avsnitt 2, gir den kvalifiserte signaturen en juridisk antagelse om likevekt med håndskrift i hele EU.

Forordningen eIDAS 2.0 (under transposisjon til 1. kvartal 2026) styrker disse bestemmelsene med den europeiske digitale identitetsplommeboken (EUDIW) og utvider forpliktelsene til markeder for finansielle tjenester og helsevesen.

ETSI-standarder

Signaturformater er standardisert av ETSI:

• ETSI EN 319 132 (XAdES), EN 319 122 (CAdES), EN 319 102 (PAdES) definerer tekniske profiler for avanserte og kvalifiserte signaturer;
• ETSI EN 319 421 regulerer retningslinjer for kvalifiserte tidsestempeltjenester.

GDPR og databeskyttelse

Behandlingen av identitetsdata i forbindelse med elektronisk signatur (navn, e-post, biometri for identitetsverifisering) er underlagt GDPR nr. 2016/679. Ansvarshavende for behandling må: ha et rettslig grunnlag (berettiget interesse eller avtalegjennomføring), anvende minimiseringsgrunnsetningen og garantere sikkerhet gjennom passende tekniske tiltak (kryptering, pseudonymisering).

NIS2-direktiv

NIS2-direktivet (2022/2555/EU), transponert til fransk rett siden oktober 2024, pålegger operatører av essensielle tjenester og leverandører av digitale tjenester (inkludert elektronisk signaturleverandører) styrket cybersikkerhet, risikostyringsplikt og meldeplikt for hendelser innen 24 timer. Manglende etterlevelse eksponerer for bøter som kan nå 10 millioner euro eller 2 % av verdensomspennende omsetning.

Konkrete bruksscenarioer for elektronisk signatur

Scenario 1: et større advokatkontor automatiserer signering av mandater

Et større advokatkontor med rundt tolv samarbeidspartnere behandlet i gjennomsnitt 120 fullmaktsavtaler per måned. Papirutgangspunktet innebar utskrift, postaling eller håndlevering, deretter skanering av returnerte dokumenter — noe som forårsaket en gjennomsnittlig forsinkelse på 4,5 virkedager per sak og en estimert dokumenttapshastighet på 8 %.

Ved å implementere avansert elektronisk signatur (AdES) med OTP-autentisering reduserte kontoriet gjennomsnittlig signeringsforsinkelse til mindre enn 4 timer, reduserte dokumentanomalihastigheten til mindre enn 1 %, og sparte ca. 2 200 € årlig i post- og utskriftskostnader. Revisjonssporet som ble generert automatisk, forenklet også to mandattvistkeprosedyrer ved å levere ubestridelig tidsstemplet bevis. Oppdag vår løsning dedikert til juridiske kontor.

Scenario 2: en SMB-industribedrift digitaliserer leverandørkontrakter

En SMB-industribedrift som administrerte omtrent 200 leverandørkontrakter årlig (innkjøpsbetingelser, pristillegg, NDA) opplevde signeringsforsinkelser som kunne overstige tre uker for transnasjonale kontrakter med partnere i Tyskland og Spania. Ulikheter i rettssystemer og mangel på gjensidig anerkjennelse forsinket forhandlinger.

Ved å ta i bruk kvalifisert signatur (QES) utstedt av en akkreditert QTSP etter eIDAS, anerkjent i hele EU, hadde SMB-en fordel av automatisk juridisk anerkjennelse i de tre landene uten ytterligere legalisering. Gjennomsnittlig transnasjonalt signeringsforsinkelse gikk fra 18 dager til 2,5 dager. Elektronisk signatur i virksomheten detaljerer disse fordelene for innkjøpsteam.

Scenario 3: et sykehussamfunn sikrer informert pasientsamtykke

Et sykehussamfunn på omtrent 800 senger måtte samle informert samtykke fra pasienter for kliniske forskningsprotokoller. Papiradministrasjon skapte GDPR-overettelserisiko (dårlig arkiverte dokumenter, ikke-sporede datoer) og mobiliserte medisinsk personale for administrative oppgaver.

Ved å integrere enkel elektronisk signatur med identifikasjon via SMS-kode — tilstrekkelig for handlinger som ikke krever kvalifisert standard — automatiserte sykehussamfunnet innsamling, arkivering og sporbarhetslogger for samtykker. Administrativ tid per pasient gikk fra 12 minutter til mindre enn 2 minutter, og frigjorde ca. 800 medisinske timer årlig. Alle dokumenter arkiveres med kvalifisert tidsstempel, hvilket fullt oppfyller CNIL-kravene. Utforsk vår signatuurløsning for helsevesen.

Konklusjon

Å forstå hvordan elektronisk signatur fungerer teknisk — fra asymmetrisk kryptografi til PKI, fra kvalifiserte sertifikater til bevisbasert tidsestempel — er uunnværlig for å gjøre opplyste valg angående samsvar og operasjonell effektivitet. De tre eIDAS-nivoene (enkel, avansert, kvalifisert) svar på ulike behov, og valget bør alltid veiledes av analyse av juridisk risiko og forventet bevisverdi.

Certyneo ledsager deg i denne overgangen med en eIDAS-kompatibel SaaS-plattform, akkrediterte QTSP-er og forenklet integrasjon i dine eksisterende prosesser. Estimer mulige gevinster for organisasjonen din takket være vårt ROI-kalkulator for elektronisk signatur, eller start direkte ved å konsultere våre tilbud og prising. Samsvar og ytelse er ikke lenger kompromisser.