Elektronisk signatur og ISO 27001-standard: guide 2026

Elektronisk signatur har blitt selve ryggraden i B2B-kontraktsprosesser, men dens juridiske og kommersielle verdi hviler på et premiss som ofte undervurderes: robustheten i informasjonssystemet som støtter den. Det er nettopp her ISO/IEC 27001-standarden kommer inn – internasjonal referanseramme for styring av informasjonssikkerhet. I 2026, når cyberangrepene rettet mot signaturplattformer multipliseres og forordningen eIDAS 2.0 strammes for kravene til tillitsyterne, er spørsmålet om ISO 27001-sertifisering ikke lenger en luksus forbeholdt større organisasjoner: det blir et standard utvelgelseskriterium for enhver implementering av elektronisk signatur i bedriften.

Denne artikkelen analyserer synergiene mellom ISO 27001 og elektronisk signatur, de konkrete forpliktelsene den påfører, risikoen ved manglende samsvar og trinnene for å oppnå eller evaluere en sertifisering hos din SaaS-leverandør.

Hva er ISO 27001-standarden og hvorfor er den sentral for elektronisk signatur?

Publisert av International Organization for Standardization (ISO) og International Electrotechnical Commission (IEC), definerer ISO/IEC 27001:2022-standarden (revidering fra oktober 2022) kravene for å etablere, implementere, opprettholde og kontinuerlig forbedre et Informasjonssikkerhetsstyrings System (ISMS). Den dekker 93 kontroller fordelt på fire temaer: organisatoriske kontroller, personnelkontroller, fysiske kontroller og teknologiske kontroller.

For elektronisk signatur har denne standarden særlig betydning fordi den direkte adresserer de tre pilarene i informasjonssikkerhet:

• Konfidensialitet: beskyttelse av signerte dokumenter mot uautorisert tilgang
• Integritet: garanti for at dokumenter ikke blir endret etter signering
• Tilgjengelighet: tilgang til signaturbeviser ved en eventuell tvist

ISO 27001-kontroller som direkte gjelder elektronisk signatur

Blant de 93 kontrollene i vedlegg A til standarden gjelder flere direkte for signaturworkflows:

Kontroll 5.14 – Informasjonsoverføring: pålegger formelle regler for sikker overføring av dokumenter som skal signeres, spesielt via krypterte protokoller (TLS 1.3 minimum).

Kontroll 8.24 – Bruk av kryptografi: krever en dokumentert krypteringspolicy som dekker algoritmene som brukes til generering og verifisering av elektroniske signaturer. I praksis betyr det bruk av algoritmer som er kompatible med ANSSI-anbefalinger (RSA-3072 eller ECDSA-256 minimum i 2026).

Kontroll 8.12 – Forebygging av datalekkasjer (DLP): beskytter personopplysninger i signerte dokumenter, i direkte samsvar med GDPR-forpliktelser.

Kontroll 5.18 – Tilgangsrettigheter: sikrer at bare autoriserte personer kan starte, signere eller se et dokument på plattformen.

ISO 27001 kontra andre sikkerhetssertifiseringer: hva er komplementariteten?

ISO 27001 er ikke den eneste relevante standarden, men den utgjør grunnlaget. Den suppleres med:

• SOC 2 Type II (amerikansk standard, ofte påkrevd av selskaper notert på NYSE)
• ISO/IEC 27017 og 27018: spesifikke utvidelser for sky og beskyttelse av personopplysninger i sky
• eIDAS-kvalifisering levert av akkrediterte organer (LSTI i Frankrike): obligatorisk for kvalifiserte tillitstenesteleverandører (PSCQ)

En elektronisk signaturleverandør sertifisert ISO 27001 OG eIDAS-kvalifisert tilbyr dermed maksimal garantinivå, tilpasset det som detaljer fullstendig guide til eIDAS 2.0-forordningen.

Spesifikke krav for SaaS-leverandører av elektronisk signatur

Å velge en SaaS-leverandør for elektronisk signatur sertifisert ISO 27001 betyr ikke at din organisasjon er dekket – men det påvirker sterkt nivået på gjenværende risiko du tar på deg.

Sertifiseringsomfanget: hva du må verifisere

Ved evaluering av en leverandør er tre spørsmål avgjørende:

1. Dekker sertifiseringsomfanget signaturstjenesten? En utgiver kan være sertifisert ISO 27001 for sine programvareutviklingsaktiviteter uten at signaturplattformen er innenfor omfanget. Krev det offisielle sertifikatet og verifiser erklæringen om anvendelighet (Statement of Applicability).

1. Er sertifiseringen oppdatert? ISO 27001 pålegger årlige overvåkingsrevisjoner og en fornyelsesrevisjon hvert tredje år. Et utløpt sertifikat ugyldiggjør enhver garanti.

1. Hvilket sertifiseringsorgan? I Frankrike leverer organer akkreditert av COFRAC (Bureau Veritas, SGS, BSI Group, LRQA...) anerkjente sertifiseringer. En selvdeklarasjon om samsvar har ingen juridisk verdi.

Hendelseshåndtering og kontinuitet i virksomheten

ISO 27001 krever en dokumentert og testet Forretningskontinuitetsplan (BCP) og Gjenopprettingsplan (DRP). For en elektronisk signaturplattform oversettes dette konkret til:

• En RTO (Recovery Time Objective) under 4 timer for produksjonsmiljøer
• En RPO (Recovery Point Objective) under 1 time, og unngår tap av signaturdata
• Dokumenterte gjennopprettingstester minst halvårlig
• En prosedyre for varsling om sikkerhetshendelser i samsvar med artikkel 33 i GDPR (maksimalt 72 timer)

Disse kravene er i tråd med NIS2-direktivet, gjennomført i fransk lovgivning ved lov nr. 2024-449 av 21. mai 2024, som pålegger essensielle og viktige enheter rapportering av hendelser og forsterket cybersikkerhet.

Hvordan ISO 27001-sertifisering styrker beviseverdien for elektronisk signatur

Et ofte oversett punkt blandt jurister og kjøpere: den juridiske soliditeten i en kvalifisert elektronisk signatur avhenger delvis av tillitskjeden teknisk som understøtter den. Et dokument signert på en plattform hvis sikkerhet er kompromittert kan få sin beviseverdi bestridt for retten.

Dataintegritet som juridisk grunnlag

Artikkel 1366 i den franske straffeloven fastslår at elektronisk signatur har verdi som håndskrift "forutsatt at sin forfatter kan være behørig identifisert og at den er etablert og bevart under forhold som er egnet til å garantere integriteten av det". Denne integritetsvoordet er nettopp det sentrale objektet for ISO 27001.

I tilfelle tvist kan en leverandør sertifisert ISO 27001 fremlegge:

• Uforanderlige revisjonslogger som beviser historikken for tilganger
• Sertifiseringsrevisjonrapporter som attesterer kontroller som er på plass
• En kryptografisk nøkkelhåndteringspolicy som er kompatibel med vedlegg A

Disse elementene utgjør en bevisrekke som sterkt styrker posisjonen til den som hevder gyldigheten av signaturen. For mer informasjon om den juridiske verdien av forskjellige signaturnivåer, se vår sammenlikning av elektroniske signaturer.

Bevisarkivering og oppbevaringstid

ISO 27001, kombinert med standarden NF Z42-020 (digitalt depot) og anbefalingene fra ETSI EN 319 162 (kvalifisert elektronisk arkiveringstjeneste), gjør det mulig å definere en arkiveringspolicy som garanterer beviseverdien av signaturer over lange perioder – inntil 30 år for visse forretningskontrakter.

Kontroll 8.10 – Sletting av informasjon i ISO 27001 pålegger også dokumenterte prosedyrer for sikker ødeleggelse av data ved slutten av livssyklusen, i samsvar med retten til sletting i GDPR (artikkel 17).

Hvordan evaluere og kreve ISO 27001-samsvar fra din signaturleverandør

I forbindelse med en SaaS-innkjøps- eller fornyelsesprosess, er her en evalueringsprotokoll i fire trinn.

Trinn 1: Be om og verifiser det offisielle sertifikatet

Krev ISO/IEC 27001:2022-sertifikatet (og ikke versjonen fra 2013, nå foreldet siden oktober 2025) sammen med den nyeste overvåkningsrevisjonrapporten. Verifiser gyldighetsperioden på sertifiseringsorganets register.

Trinn 2: Analyser erklæringen om anvendelighet (SoA)

Statement of Applicability oppfølger kontroller som er valgt og utelatt, med begrunnelse. Enhver kontroll som er utelatt uten dokumentert begrunnelse representerer en gjenværende risiko som skal evalueres i din leverandørrisiko-analyse.

Trinn 3: Integrer kravene i kontrakten

Din kontrakt med leverandøren må inneholde:

• En klausul om opprettholdelse av sertifisering med meldingsplikt ved suspensjon
• En revisjonsrett eller tilgang til årlige tredjeparts-revisjonrapporter
• Sikkerhet-SLA-er tilpasset leverandørens BCP/DRP
• En ansvarklausul i tilfelle sikkerhetshendelse som påvirker signatrintegriteten

Trinn 4: Gjennomfør din egen risikoanalyse

Selv en sertifisert leverandør dekker ikke dine interne risiker. ISO 27001 pålegger din organisasjon en risikoanalyse (klausul 6.1.2) som spesielt dekker:

• Styring av medarbeideres tilgang til signaturplattformen
• Bevissthet rundt phishing-angrep rettet mot signaturworkflows
• Policy for styring av signeringsdelegasjoner

Denne tilnærmingen integreres naturlig i en global policy for styring av elektronisk signatur for HR- og juridiske team, hvor volumet av dokumenter som behandles avslører betydelige operasjonelle risiko.

Gjeldende juridisk rammeverk for elektronisk signatur og ISO 27001

Samsvaret av et elektronisk signatursystem er avhengig av en normativ oppstabling som enhver B2B-bedrift må mestre.

Straffeloven, artikler 1366 og 1367: Artikkel 1366 setter likhet mellom elektronisk og håndskrift under betingelse om identifikasjon av forfatteren og integritetgaranti. Artikkel 1367 definerer elektronisk signatur som "bruk av en pålitelig identifikasjonsprosess som garanterer dens forbindelse med akten den blir knyttet til".

Forordning eIDAS nr. 910/2014 og eIDAS 2.0 (EU-forordning 2024/1183): Gjelder i alle EU-medlemsstater, skiller mellom tre signaturtyper (enkel, avansert, kvalifisert) og pålegger kvalifiserte tillitstenesteleverandører (PSCQ) samsvarrevisjoner av akkrediterte organer. Revisjonen eIDAS 2.0, som trer i kraft gradvis siden mai 2024, forsterker tilsynskravene og introduserer det europeiske digitale identitetsportaliø (EUDIW).

GDPR-forordning nr. 2016/679: Personopplysninger i signerte dokumenter (signatarens identitet, IP-adresse, tidsstempel) utgjør personopplysninger. Databehandlingsansvarlig må sikre deres beskyttelse (artikkel 5), melde brudd innen 72 timer (artikkel 33) og implementere beskyttelse ved design (artikkel 25). ISO 27001 gir den tekniske rammen for oppfyllelse.

NIS2-direktiv (EU-direktiv 2022/2555), gjennomført i fransk lovgivning ved lov nr. 2024-449 av 21. mai 2024: Essensielle og viktige enheter – inkludert mange B2B-aktører – må implementere proporsjonale cybersikkerhetstiltak, inkludert styring av leverandørrelaterte risiki (artikkel 21). En signaturleverandør uten ISO 27001-sertifisering kan utgjøre en tredjeparts risiko under NIS2.

ETSI-standarder: ETSI EN 319 100-serien definerer tekniske krav for kvalifiserte elektroniske signaturer (EN 319 132 for XAdES, EN 319 122 for CAdES, EN 319 142 for PAdES). Disse tekniske standardene forutsetter en sikkerheitsinfrastruktur som er kompatibel med ISO 27001-standarder.

ANSSI-referanserammen: I Frankrike publiserer National Agency for Information Systems Security anbefalinger om kryptografiske algoritmer (RGS-referanserammen – Referentiel Général de Sécurité) hvis implementering lettest ved et ISMS sertifisert ISO 27001. eIDAS-kvalifiseringen av franske leverandører instrueres av ANSSI som nasjonal tilsynsmyndighet.

Mangelen på ISO 27001-sertifisering hos en signaturleverandør utsetter klientbedriften for risiko for bestriding av beviseverdien av signerte dokumenter, GDPR-sanksjonering (inntil 4 % av verdensomfattende omsetning eller 20 M€) og påtalerisiko for NIS2-manglende samsvar.

Bruksscenarioer: ISO 27001 og elektronisk signatur i praksis

Scenario 1 – Et forretningsadvokatfirma med 25 medarbeidere

Et firma spesialisert i fusjoner og oppkjøp håndterer årlig over 600 instrumenter som krever avansert eller kvalifisert elektronisk signatur (NDA, avtaleprotokoller, avståelseskonvensjoner). Etter en interninternrevisjon som avslørte mangler i sporbarheten av tilgang til signaturplattformen, bestemmer firmaet seg for bare å akseptere leverandører sertifisert ISO/IEC 27001:2022 med et omfang som eksplisitt dekker signaturstjenesten.

Resultat: etter migrering til en sertifisert plattform merker firmaet en reduksjon på 40 % i tid brukt på sikkerhet due diligence når man søker fra store bedriftsklienter, og kan fremlegge sertifiseringsrevisjonrapporter innen 48 timer når klienter ber om det. Gjennomsnittlig varighet av kontraktvalidering minker fra 3,2 dager til 1,4 dag.

Scenario 2 – En industriell bedrift som håndterer 1 500 leverandørkontrakter årlig

En SMU-industribedrift som underleverandør Tier-1 til en bilprodusent må bevise overfor sitt kjøpefirma at hele sin elektroniske signaturs kjede (innkjøpsordrer, rammeavtaler, endringer) oppfyller ISO 27001-kravene i gruppens innkjøpsreferanseramme. SMU-en gjennomfører en risikokartering av sine leverandører etter klausul 6.1.2 i standarden og identifiserer at sin gamle SaaS-leverandør ikke har aktuell sertifisering.

Etter migrering til en sertifisert løsning og implementering av et internt ISMS oppnår SMU-en den nødvendige leverandørkvalifiseringen og sikrer en 4-årsleverandørramme. Kostnaden ved sertifisering (omtrent 15 000 til 25 000 € for en SMU av denne størrelsen etter spesialiserte konsulentfirmaer) amortiseres på under seks måneder gitt det kontraktmessige volumet som sikres.

Scenario 3 – Et sykehusgruppe på omtrent 1 200 senger

I helsesektoren er behandlingsinstitusjoner underlagt forsterket krav: behandling av helseopplysninger (spesiell kategori etter artikkel 9 i GDPR), HDS-sertifisering (helsedatahoster) og nå NIS2-kvalifisering som essensielle enheter. Sykehusgruppen implementerer elektronisk signatur for sine arbeidskontrakter, klinisk forsakskonvensjoner og offentlige anbud (omtrent 900 dokumenter/måned).

Ved å velge en leverandør som kombinerer ISO 27001-sertifisering, HDS-sertifisering og PSCQ eIDAS-kvalifisering reduserer enheten sin eksponering for GDPR-manglende samsvarsrisiko med 60 % etter sin DPO, og nyter godt av arkivering garantert 30 år for juridisk medisinske dokumenter. Tidsomfanget for signering av kliniske forskningskontrakter reduseres fra 12 dager til gjennomsnittlig 3,5 dager, og frigjør betydelige ressurser for administrative team.

Konklusjon

I 2026 er ISO/IEC 27001:2022-sertifisering ikke lenger et enkelt markedsargument for elektroniske signaturleverandører: det utgjør en uunnværlig teknisk og juridisk basis for å garantere integriteten av signerte dokumenter, GDPR- og NIS2-samsvar, og beviseverdien av kontraktsmessige forpliktelser. For B2B-bedrifter har kravet til denne sertifiseringen hos sin SaaS-leverandør blitt en forpliktelse til forsvarlig aktsomhet, på samme måte som verifisering av eIDAS-kvalifisering.

Certyneo er sertifisert ISO/IEC 27001:2022 med et omfang som dekker sin elektroniske signaturplattform i sin helhet. Våre team kan følge deg i evalueringen av din nåværende samsvar og implementering av et sikringstilpasset signaturworkflow for dine volumer og sektor. Be om gratis demonstrasjon på Certyneo eller utforsk våre priser for å finne formelen som passer din organisasjon.