Przejdź do zawartości głównej
Certyneo

Certyfikacja ISO dla podpisu elektronicznego: przewodnik 2026

ISO 27001, eIDAS, ETSI… certyfikacje dostawców podpisu elektronicznego stały się niezbędnym kryterium wyboru. Odkryj, jak je skutecznie porównywać.

Équipe éditoriale Certyneo12 min czytania

Équipe éditoriale Certyneo

Redaktor — Certyneo · O Certyneo

A glass object with a blue background

Podpis elektroniczny stał się standardem w zarządzaniu dokumentami przedsiębiorstw francuskich i europejskich. Jednak za pozorną prostotą kliknięcia walidacji kryje się ekosystem techniczny i regulacyjny o dużej złożoności. W 2026 roku pytanie nie brzmi już „czy przyjąć podpis elektroniczny?", ale „którzy dostawcy oferują wystarczające gwarancje bezpieczeństwa i zgodności dla mojego kontekstu biznesowego?". Certyfikacje ISO — w szczególności ISO 27001 — stanowią jedną z najbardziej niezawodnych odpowiedzi na to pytanie. Niniejszy artykuł poprowadzi Cię przez główne certyfikacje mające zastosowanie do dostawców podpisu elektronicznego, ich rzeczywisty zakres oraz kryteria do przeprowadzenia ścisłego porównania.

Dlaczego certyfikacje ISO są decydujące dla podpisu elektronicznego

Podpis elektroniczny nie ogranicza się do funkcjonalności aplikacyjnej. Angażuje odpowiedzialność prawną podpisującej się firmy, poufność przetwarzanych danych i długoterminową integralność archiwizowanych dokumentów. Dlatego certyfikacje uzyskane przez dostawcę nie są zwykłymi etykietami marketingowymi: potwierdzają poziom dojrzałości bezpieczeństwa audytowany przez niezależną stronę trzecią.

ISO 27001: niezbędna podstawa bezpieczeństwa informacji

ISO/IEC 27001 to międzynarodowy standard odniesienia dla systemów zarządzania bezpieczeństwem informacji (SMSI). Obejmuje on poufność, integralność i dostępność danych. Dla dostawcy podpisu elektronicznego certyfikacja ta oznacza, że wszystkie jego procesy — od utworzenia konta podpisującego do archiwizacji podpisanego dokumentu — podlegają udokumentowanym kontrolom, regularnie audytowanym przez akredytowaną organizację (takie jak LSTI, Bureau Veritas, BSI itp.).

W praktyce ISO 27001 nakłada na dostawcę:

  • Wyczerpujący wykaz zasobów informacyjnych i powiązanych z nimi ryzyk
  • Ścisłe polityki kontroli dostępu (uwierzytelnianie wieloetapowe, zarządzanie uprawnieniami)
  • Procedury zarządzania incydentami i ciągłością działalności
  • Regularne audyty wewnętrzne i roczny przegląd kierownictwa
  • Ciągłe monitorowanie podatności na zagrożenia

Wersja obowiązująca od 2022 roku (ISO/IEC 27001:2022) zawiera 93 miary bezpieczeństwa pogrupowane w cztery tematy: organizacyjne, ludzkie, fizyczne i technologiczne. Dostawca certyfikowany na tej wersji wykazuje postawę bezpieczeństwa aktualną wobec współczesnych zagrożeń, w szczególności ataków ransomware i kompromitacji łańcucha dostaw.

ISO 27017 i ISO 27018: niezbędne rozszerzenia chmury

Praktycznie wszystkie rozwiązania SaaS podpisu elektronicznego opierają się na infrastrukturach chmurowych. W tym kontekście dwa rozszerzenia rodziny ISO 27000 zasługują na szczególną uwagę:

ISO/IEC 27017 zawiera wytyczne specyficzne dla usług chmurowych, obejmujące w szczególności odpowiedzialność dzieloną między dostawcą a jego podwykonawcami (hosterami, stronami trzecimi). Dla nabywcy B2B weryfikacja, że dostawca dysponuje tą certyfikacją lub się jej zgodnie, pozwala potwierdzić, że dane przechowywane w chmurze podlegają tym samym wymaganiom bezpieczeństwa co środowiska on-premise.

ISO/IEC 27018 dotyczy konkretnie ochrony danych osobowych w chmurze. Uzupełnia RODO, definiując praktyki operacyjne: zakaz korzystania z danych w celach reklamowych bez wyraźnej zgody, przejrzystość dotycząca podwykonawców, prawo do przenoszalności. Dla DPO i osób odpowiedzialnych za zgodność certyfikacja ta stanowi dodatkową gwarancję poważnego podejścia do przetwarzania danych podpisujących.

Aby pogłębić wartość prawną przyznawanych przez te standardy w powiązaniu z prawem europejskim, zapoznaj się z przewodnikiem dotyczącym wartości prawnej podpisu elektronicznego.

Certyfikacja eIDAS i normy ETSI: co oznacza bycie „kwalifikowanym"

Poza normami ISO, europejski ramy regulacyjne narzucają własne wymogi zgodności dla dostawców usług zaufania (PSCo). Rozporządzenie eIDAS nr 910/2014, którego nowelizacja eIDAS 2.0 jest w trakcie transpozycji, rozróżnia trzy poziomy podpisu elektronicznego: prosty, zaawansowany i kwalifikowany.

Status Kwalifikowanego Dostawcy Usług Zaufania (PSCO)

Aby dostarczać podpisy elektroniczne kwalifikowane — jedyną poziom prawnie równoważny podpisowi ręczno pisanemu we wszystkich państwach członkowskich UE — dostawca musi być wpisany na listę zaufania swojego państwa członkowskiego (we Francji lista zarządzana przez ANSSI). Ta kwalifikacja opiera się na audycie wstępnym przeprowadzonym przez akredytowaną organizację oceniającą zgodność (CAB), a następnie regularnych audytach nadzoru.

Normy techniczne podstawowe publikowane są głównie przez ETSI (Europejski Instytut Norm Telekomunikacyjnych):

  • ETSI EN 319 401: ogólne wymogi dla PSCo
  • ETSI EN 319 411: polityka i praktyki certyfikacji dla organów certyfikacyjnych
  • ETSI EN 319 132: profile XAdES dla zaawansowanego podpisu XML
  • ETSI EN 319 122: profile CAdES dla zaawansowanego podpisu CMS
  • ETSI EN 319 162: usługa zarejestrowanej dostarczania elektronicznego

Dostawca certyfikowany zgodnie z tymi normami ETSI zapewnia interoperacyjność techniczną swoich podpisów ze wszystkimi rozwiązaniami uznanymi w przestrzeni europejskiej, co jest kluczowe dla przedsiębiorstw działających w kilku krajach. Nasz kompleksowy przewodnik dotyczący rozporządzenia eIDAS szczegółowo opisuje zobowiązania związane z każdym poziomem kwalifikacji.

SOC 2 Type II: północnoamerykańskie uzupełnienie do monitorowania

Choć mniej powszechne w przestrzeni europejskiej, raport SOC 2 Type II (Service Organization Control) wystawiony zgodnie ze standardami AICPA jest często wymagany przez duże przedsiębiorstwa, szczególnie te posiadające oddziały w Stanach Zjednoczonych lub partnerów amerykańskich. W przeciwieństwie do ISO 27001 (certyfikacja), SOC 2 to raport audytowy potwierdzający zgodność z kryteriami trust services (bezpieczeństwo, dostępność, integralność przetwarzania, poufność, prywatność) w okresie obserwacji zwykle od sześciu do dwunastu miesięcy. Aby przeprowadzić wyczerpujące porównanie, weryfikacja, czy dostawca dysponuje ostatnim raportem SOC 2 Type II (poniżej dwunastu miesięcy) stanowi silny sygnał operacyjnej dojrzałości.

Porównywanie certyfikacji dostawców: metodologia i kryteria

Wobec pluralizmu dostępnych certyfikacji nabywcy B2B muszą przyjąć ustrukturyzowaną siatkę analityczną zamiast polegać na samych twierdzeniach marketingowych. Nasz porównanie rozwiązań podpisu elektronicznego zawiera wykaz głównych dostępnych platform we Francji; oto jak ocenić ich poziom certyfikacji.

Cztery pytania do zadania systematycznie

1. Jaka jest dokładna data i zakres certyfikacji? Certyfikacja ISO 27001 uzyskana trzy lata temu i nie odnowiona nie oferuje takich samych gwarancji co aktualny certyfikat. Systematycznie żądaj oficjalnego certyfikatu i weryfikuj zakres audytowanego perimetru: niektórzy dostawcy certyfikują wyłącznie swoją siedzibę główną, wykluczając datacentra lub zespoły rozwojowe offshore.

2. Kto przeprowadził audit certyfikacyjny? Organizacja certyfikacyjna sama musi być akredytowana przez członka IAF (Międzynarodowego Forum Akredytacji). We Francji COFRAC (Francuski Komitet Akredytacji) jest właściwą organizacją. Certyfikat wystawiony przez organizację nieakredytowaną nie ma żadnej wartości umownej ani regulacyjnej.

3. Czy dostawca publikuje roczny raport z testu penetracji? Certyfikacja ISO 27001 wymaga regularnych ocen podatności na zagrożenia, ale nie nakazuje standardowego formatu dla testów penetracji. Dojrzały dostawca publikuje streszczenie wykonawcze swojego rocznego pentestu przeprowadzonego przez stronę trzecią. ANSSI rekomenduje zwrócenie się do dostawców kwalifikowanych PASSI (Dostawca Audytu Bezpieczeństwa Systemów Informacyjnych) do tego rodzaju ćwiczeń.

4. Jakie są podwykonawstwa i powiązane certyfikacje? Dostawca podpisu elektronicznego zwykle opiera się na hosterze chmurowym (AWS, Azure, OVHcloud itp.) i czasami na zewnętrznych organach certyfikacyjnych. Weryfikuj, że ci podwykonawcy dysponują sami równoważnymi certyfikacjami (ISO 27001, HDS dla danych zdrowotnych, SecNumCloud dla danych wrażliwych). Łańcuch zaufania wartościuje tylko tyle, ile każde jego ogniwo jest audytowane.

Szczególny przypadek systemu odniesienia HDS dla danych zdrowotnych

Dla placówek opieki zdrowotnej, domów opieki, kas chorych lub ubezpieczycieli zarządzających danymi medycznymi certyfikacja HDS (Hoster Danych Zdrowotnych) uzupełnia wymagania ISO. Od grudnia 26 stycznia 2018 każdy hoster danych zdrowotnych zawierających dane osobowe musi być certyfikowany HDS przez akredytowaną organizację. Dla dostawcy podpisu elektronicznego używanego w kontekście medycznym — zgoda na leczenie, recepta zdemateriazowana, raport ze szpitala — certyfikacja ta jest warunkiem sine qua non. Odkryj specyfikę podpisu elektronicznego w sektorze zdrowotności aby ocenić swoje zobowiązania.

Wpływ certyfikacji na negocjacje umowne i due diligence

Certyfikacje uzyskane przez dostawcę to nie tylko argumenty handlowe: strukturyzują relację umowną i podział odpowiedzialności między stronami.

Klauzule umowne do systematycznego włączenia

Podczas negocjowania umowy z dostawcą podpisu elektronicznego kilka klauzul bezpośrednio związanych z certyfikacjami zasługuje na szczególną uwagę:

  • Klauzula utrzymania certyfikacji: dostawca zobowiązuje się do utrzymania swoich certyfikacji przez cały okres umowy i natychmiast powiadamia o każdym wycofaniu lub zawieszeniu.
  • Klauzula audytu: klient zachowuje prawo do przeprowadzenia lub zlecenia audytu bezpieczeństwa u dostawcy, w określonych warunkach (przedterminowe zawiadomienie, zakres, poufność wyników).
  • Klauzula podwykonawstwa: jakakolwiek zmiana łańcucha podwykonawstwa musi być przedmiotem wcześniejszej informacji, z możliwością wypowiedzenia jeśli nowy podwykonawca nie spełnia określonych wymagań certyfikacyjnych.
  • SLA dostępności: dla dostawców certyfikowanych ISO 27001 zobowiązanie do dostępności (SLA) minimum 99,9% na bazie miesięcznej jest rozsądnym oczekiwaniem, z karami finansowymi w przypadku przekroczenia progów niedostępności.

Te aspekty umowne wpisują się w szerszą strategię zarządzania podpisem elektronicznym w przedsiębiorstwie, którą szczegółowo opisujemy w naszym dedykowanym przewodniku.

Wkład certyfikacji w ramy audytu RODO lub NIS2

Od wejścia w życie dyrektywy NIS2 (transponowanej do prawa francuskiego ustawą z 15 kwietnia 2025) podmioty istotne i ważne muszą wykazać, że ich krytyczni dostawcy — w tym dostawcy podpisu elektronicznego — spełniają minimalne wymagania cyberbezpieczeństwa. Certyfikacja ISO 27001 dostawcy stanowi udokumentowany dowód stosowany podczas audytu NIS2 lub inspekcji CNIL. Wykazuje w szczególności wdrożenie artykułu 32 RODO, który wymaga odpowiednich środków technicznych i organizacyjnych w celu zagwarantowania poziomu bezpieczeństwa dostosowanego do ryzyka.

Dla przedsiębiorstw, które pragną przeprowadzić migrację z mniej certyfikowanego rozwiązania na platformę oferującą wyższe gwarancje zgodności, nasz przewodnik migracji do Certyneo szczegółowo opisuje etapy i środki ostrożności do zachowania.

Ramy prawne mające zastosowanie do certyfikacji dostawców podpisu elektronicznego

Ważność prawna podpisu elektronicznego opiera się na warstwowym nawarstwieniu tekstów normatywnych europejskich i krajowych, których opanowanie jest niezbędne do prawidłowej oceny certyfikacji dostawcy.

Kodeks cywilny, artykuły 1366 i 1367: Te artykuły stanowią fundament prawa francuskiego podpisu elektronicznego. Artykuł 1366 stanowi, że „pisma elektroniczne ma taką samą moc dowodową co pismo na nośniku papierowym, pod warunkiem że można należycie zidentyfikować osobę, od której się pochodzi, i że jest ono sporządzone i przechowywane w warunkach mogących zagwarantować jego integralność". Artykuł 1367 precyzuje, że „podpis niezbędny do doskonałości aktu prawnego identyfikuje jego autora" i że, gdy jest elektroniczny, „polega na użyciu procedury identyfikacji niezawodnej gwarantującej jej powiązanie z aktem, do którego się odnosi". Certyfikacje ISO 27001 i kwalifikacje eIDAS bezpośrednio przyczyniają się do ustalenia tej domniemania niezawodności.

Rozporządzenie eIDAS nr 910/2014: To europejskie rozporządzenie, bezpośrednio obowiązujące we wszystkich państwach członkowskich, definiuje trzy poziomy podpisu elektronicznego (prosty, zaawansowany, kwalifikowany) i zobowiązuje dostawców usług zaufania kwalifikowanych do poddania się audytom zgodności zgodnie z normami ETSI. Jego artykuł 24 precyzuje wymogi mające zastosowanie do dostawców kwalifikowanych, w szczególności obowiązek zatrudniania wykwalifikowanego personelu i utrzymywania wystarczających zasobów finansowych. Nowelizacja eIDAS 2.0 (Rozporządzenie UE 2024/1183, weszło w życie 20 maja 2024) wzmacnia te wymogi, wprowadzając europejski portfel tożsamości cyfrowej (EUDIW) i rozszerzając zakres uznawanych usług zaufania.

RODO nr 2016/679: Artykuły 28 (przetwarzający), 32 (bezpieczeństwo przetwarzania) i 35 (ocena skutków) są bezpośrednio zainteresowane, gdy dostawca podpisu elektronicznego przetwarza dane osobowe na zlecenie administratora przetwarzania. Artykuł 32 wymaga w szczególności pseudonimizacji i szyfrowania danych osobowych, zdolności do zagwarantowania poufności, integralności i odporności systemów. Certyfikacja ISO 27001 obejmująca te aspekty pozwala częściowo spełnić to zobowiązanie demonstracyjne.

Dyrektywa NIS2 (UE 2022/2555, transponowana przez francuską ustawę z 15 kwietnia 2025): Zobowiązuje ona podmioty istotne i ważne do zarządzania zagrożeniami związanymi z ich cyfrowym łańcuchem dostaw, w tym dostawcami podpisu elektronicznego. Artykuł 21 NIS2 zawiera listę minimalnych środków cyberbezpieczeństwa, z których kilka bezpośrednio pokrywa się z wymogami ISO 27001.

Normy ETSI: Normy EN 319 401, EN 319 411-1, EN 319 411-2, EN 319 132 (XAdES), EN 319 122 (CAdES) i EN 319 162 definiują wymogi techniczne dla dostawców usług zaufania kwalifikowanych. Ich zgodność jest audytowana przez akredytowane organizacje oceniające przed jakąkolwiek rejestracją na krajowych listach zaufania.

Odpowiedzialność w przypadku braku certyfikacji: Niecertyfikowany dostawca, który przechodzi naruszenie danych skutkujące kompromitacją podpisów elektronicznych, angażuje swoją odpowiedzialność umowną i deliktową. Dla klienta brak wcześniejszej weryfikacji certyfikacji może być uzasadniony jako zaniedbanie w zarządzaniu zagrożeniami cyber, mogący wpłynąć na pokrycie ubezpieczeniowe cyber.

Scenariusze użytkowania: certyfikacje ISO w praktyce

Certyfikacje ISO to nie abstrakcje teoretyczne. Oto trzy konkretne scenariusze ilustrujące ich wpływ operacyjny w różnych kontekstach biznesowych.

Scenariusz 1: Kancelaria prawnicza specjalizująca się w sprawach biznesowych wybierająca swojego dostawcę podpisu

Kancelaria prawnicza specjalizująca się w sprawach biznesowych liczująca około dwudziestu pracowników przetwarzających rocznie kilkaset wrażliwych aktów: cesji udziałów, paktów wspólników, umów poufności. Kierownik informatyki musi uzasadnić swój wybór dostawcy wobec wspólników i dużych klientów będących stroną umowy wymagającej, aby narzędzia numeryczne były certyfikowane ISO 27001.

Opierając się na certyfikacji ISO 27001:2022 wybranego dostawcy, kancelaria może wydać poświadczenie zgodności podczas due diligence klientów. Roczny audit odnowienia stanowi również argument w przetargach, gdzie bezpieczeństwo danych jest systematycznie oceniane. Wynik zaobserwowany w tego typu strukturach: zmniejszenie o 60 do 70% czasu poświęcanego na kwestie bezpieczeństwa podczas negocjacji handlowych oraz eliminacja dwóch incydentów związanych z podpisami niezgodnymi w okresie osiemnastu miesięcy.

Scenariusz 2: Mała i średnia przedsiębiorstwo przemysłowe zarządzające umowami dostawców na arenie międzynarodowej

Mała i średnia przedsiębiorstwo przemysłowe liczące około 150 pracowników zarządzające blisko 300 umowami dostawców rocznie, z których znaczna część z partnerami niemieckimi i holenderskimi, musi zapewnić, że jej podpisy elektroniczne są uznawane w tych krajach. Certyfikacja eIDAS dostawcy — zarejestrowana na liście zaufania francuskiej i oferująca zaawansowane podpisy zgodne z ETSI EN 319 132 — gwarantuje interoperacyjność prawną w przestrzeni europejskiej.

Równolegle certyfikacja ISO 27001 dostawcy jest wymagana przez dział zakupów kilku klientów będących stronami umowy podczas rocznych audytów dostawców. Firma szacuje, że uniknęła dwóch requalifikacji umownych (przejście na podpis ręczno pisany z powodu niezgodności) reprezentujących warte uniknięcie koszty około 15 000 do 20 000 euro w opóźnieniach i opłatach logistycznych w ciągu dwunastu miesięcy.

Scenariusz 3: Grupowanie szpitalne integrujące podpis elektroniczny w swoich procesach HR i medycznych

Grupowanie szpitalne liczące około 600 łóżek pragnie zdemateriazować zarówno swoje umowy pracy (personel pielęgnacyjny, tymczasowi lekarze) jak i zgody na opiekę numeryczną. Dwie rodziny certyfikacji okazują się niezbędne: ISO 27001 dla ogólnego bezpieczeństwa dostawcy oraz certyfikacja HDS (Hoster Danych Zdrowotnych) dla części przetwarzania danych medycznych.

Grupowanie wybiera dostawcę dysponującego obydwiema certyfikacjami, co pozwala mu pokryć wszystkie jego przypadki użytkownika w jednej umowie przy jednoczesnym spełnieniu wymagań Agencji Cyfryzacji Zdrowia (ANS). Zysk produktywności zmierzony w procesach HR (umowy tymczasowych lekarzy podpisane w poniżej dwóch godzin wobec dwóch do trzech dni w wersji papierowej) reprezentuje oszacowaną oszczędność 40% na kosztach zarządzania administracyjnego powiązanych, czyli wartość roczną rzędu 80 000 do 120 000 euro dla wolumenu 1 200 umów podpisanych rocznie.

Podsumowanie

Certyfikacje ISO 27001, ISO 27017, ISO 27018 i kwalifikacje eIDAS to nie tylko odznaki wyświetlane na stronie marketingowej: stanowią stelę audytowanych gwarancji, regularnie weryfikowanych, które angażują odpowiedzialność dostawcy i chronią prawnie firmę klienta. W 2026 roku, wobec rosnącej zaawansowania cyberataków i zaostrzenia ram regulacyjnych europejskich (NIS2, eIDAS 2.0), wybór dostawcy podpisu elektronicznego certyfikowanego to już nie opcja, ale wymóg ładu korporacyjnego.

Aby obiektywnie porównać dostępnych dostawców na rynku francuskim, opieraj się na czterech kluczowych kryteriach zidentyfikowanych w tym artykule: dokładny zakres certyfikacji, akredytacja organizacji audytowej, przejrzystość dotycząca łańcucha podwykonawstwa i klauzule umowne utrzymania. Certyneo spełnia wszystkie te wymogi i towarzyszy Ci w Twojej procedurze zgodności. Skontaktuj się z naszym zespołem aby uzyskać audit Twojej aktualnej sytuacji i odkryć, jak przejść do w pełni certyfikowanego podpisu elektronicznego.

Wypróbuj Certyneo bezpłatnie

Wyślij pierwszą kopertę do podpisu w mniej niż 5 minut. 5 bezpłatnych kopert miesięcznie, bez karty kredytowej.

Pogłębić temat

Nasze kompletne przewodniki do opanowania podpisu elektronicznego.

Społeczność Certyneo

Pytanie dotyczące podpisu elektronicznego?

Dołącz do społeczności Certyneo: zadawaj pytania, udostępniaj odpowiedzi i wymieniaj się doświadczeniami z tysiącami użytkowników i naszym zespołem.