Certifikácia ISO pre elektronický podpis: sprievodca 2026
ISO 27001, eIDAS, ETSI… certifikácie poskytovateľov služieb elektronického podpisu sa stali nevyhnutným kritériom výberu. Objavte, ako ich efektívne porovnávať.
Équipe éditoriale Certyneo
Redaktor — Certyneo · O spoločnosti Certyneo

Elektronický podpis sa stal štandardom v správe dokumentov francúzskych a európskych spoločností. Avšak za zdanlivou jednoduchosťou kliknutia na potvrdenie sa skrýva technický a regulačný ekosystém veľkej zložitosti. V roku 2026 už nejde o otázku „Mal by som prijať elektronický podpis?" ale „Ktorý poskytovateľ ponúka dostatočné záruky bezpečnosti a zhody s kódexom pre môj obchodný kontext?". Certifikácie ISO — najmä ISO 27001 — predstavujú jednu z najspoľahlivejších odpovedí na túto otázku. Tento článok vás prevedie hlavnými certifikáciami platnými pre poskytovateľov služieb elektronického podpisu, ich skutočným rozsahom a kritériami na dôkladné porovnanie.
Prečo sú certifikácie ISO rozhodujúce pre elektronický podpis
Elektronický podpis sa neobmedzuje na funkčnosť aplikácie. Zasiahuje právnu zodpovednosť podpisujúcej spoločnosti, dôvernosť spracovávaných údajov a dlhodobú integritu archivovaných dokumentov. Preto certifikácie získané poskytovateľom nie sú pouhými marketingovými značkami: potvrdzujú úroveň bezpečnosti zrelosti auditovanú nezávislou treťou stranou.
ISO 27001: nenahraditeľný základ bezpečnosti informácií
ISO/IEC 27001 je medzinárodný referenčný štandard pre systémy riadenia bezpečnosti informácií (ISMS). Pokrýva dôvernosť, integritu a dostupnosť údajov. Pre poskytovateľa služieb elektronického podpisu táto certifikácia znamená, že všetky jeho procesy — od vytvorenia účtu podpísané po archivovanie podpísaného dokumentu — sú predmetom zdokumentovaných kontrol, ktoré sú pravidelne auditované akreditovanou organizáciou (ako LSTI, Bureau Veritas, BSI atď.).
Konkrétne ISO 27001 stanovuje poskytovateľovi:
- Vyčerpávajúcu inventúru informačných aktív a ich súvisiacich rizík
- Prísne politiky riadenia prístupu (silná autentifikácia, správa oprávnení)
- Postupy riadenia incidentov a kontinuity činnosti
- Pravidelné interné audity a ročný prehľad vedenia
- Neustály dohľad nad zraniteľnosťami
Verzia platná od roku 2022 (ISO/IEC 27001:2022) obsahuje 93 bezpečnostných opatrení zoskupených do štyroch tém: organizačné, ľudské, fyzické a technologické. Poskytovateľ certifikovaný v tejto verzii demonštruje postoj bezpečnosti aktuálny vzhľadom na súčasné hrozby, najmä útoky ransomvéru a kompromisy reťazca dodávok.
ISO 27017 a ISO 27018: nezbytné cloudové rozšírenia
Takmer všetky riešenia SaaS elektronického podpisu sú založené na cloudových infraštruktúrach. V tejto súvislosti si zaslúžia pozornosť dve rozšírenia rodiny ISO 27000:
ISO/IEC 27017 poskytuje špecifické pokyny pre cloudové služby, pokrývajúce najmä zdieľanú zodpovednosť medzi poskytovateľom a jeho subdodávateľmi (operátorov hostingu, tretích strán dôvery). Pre nákupcu B2B overenie, že poskytovateľ má túto certifikáciu alebo ju dodržiava, umožňuje overiť, že údaje uložené v cloude sú predmetom rovnakých bezpečnostných požiadaviek ako on-premise prostredia.
ISO/IEC 27018 sa špecificky zaoberá ochranou osobných údajov v cloude. Dopĺňa GDPR definovaním prevádzkových praktík: zákaz používania údajov na reklamné účely bez výslovného súhlasu, transparentnosť subdodávateľov, právo na prenositeľnosť. Pre DPO a zodpovedných za dodržiavanie predpisov predstavuje táto certifikácia dodatočnú záruku vážnosti pri spracovaní údajov podpísavateľov.
Ak chcete zacíliť právnu hodnotu konferenčných v súvislosti s európskym právom, prečítajte si náš sprievodca právnou hodnotou elektronického podpisu.
Certifikácia eIDAS a normy ETSI: čo znamená byť "kvalifikovaný"
Nad rámec noriem ISO ukladá európsky regulačný rámec svoje vlastné požiadavky na dodržiavanie predpisov pre poskytovateľov služieb dôvery (PSCo). Nariadenie eIDAS č. 910/2014, ktorého revidovaný eIDAS 2.0 je v procese transpozície, rozlišuje tri úrovne elektronického podpisu: jednoduchý, pokročilý a kvalifikovaný.
Stav poskytovateľa kvalifikovanej služby dôvery (PSCO)
Na poskytovanie kvalifikovaných elektronických podpisov — jedinej úrovne právne ekvivalentnej rukou napísaným podpisom vo všetkých členských štátoch EÚ — musí byť poskytovateľ zapísaný na zozname dôvery svojho členského štátu (v Španielsku, zoznam spravovaný ANSSI). Táto kvalifikácia je založená na počiatočnom audite realizovanom akreditovaným organizmom na hodnotenie zhody (CAB), nasledovaným pravidelnými audítmi na dohľad.
Podkladové technické normy sú primárne vydávané ETSI (Európskym inštitútom telekomunikačných noriem):
- ETSI EN 319 401: všeobecné požiadavky na PSCo
- ETSI EN 319 411: politika a postupy certifikácie pre certifikačné autority
- ETSI EN 319 132: profily XAdES pre pokročilý podpis XML
- ETSI EN 319 122: profily CAdES pre pokročilý podpis CMS
- ETSI EN 319 162: služba zaregistrovaného elektronického doručovania
Poskytovateľ certifikovaný podľa týchto noriem ETSI zaručuje technickú interoperabilitu svojich podpisov so všetkými riešeniami uznanými v európskom priestore, čo je rozhodujúce pre spoločnosti pôsobiace v niekoľkých krajinách. Náš komplexný sprievodca nariadením eIDAS podrobne opisuje záväzky spojené s každou úrovňou kvalifikácie.
SOC 2 Type II: severoamerické doplnenie na sledovanie
Hoci je v európskom priestore menej bežné, správa SOC 2 Type II (Service Organization Control) vydaná podľa noriem AICPA sa často požaduje od veľkých spoločností, najmä tých, ktoré majú pobočky v Spojených štátoch alebo partnerov z Ameriky. Na rozdiel od ISO 27001 (certifikácia) je SOC 2 správou o audite, ktorá potvrdzuje dodržiavanie kritérií služieb dôvery (bezpečnosť, dostupnosť, integritu spracovania, dôvernosť, súkromie) počas obdobia pozorovania zvyčajne šiestich až dvanástich mesiacov. Na vyčerpávajúce porovnanie overenie, či má poskytovateľ nedávnu správu SOC 2 Type II (menej ako dvanásť mesiacov), predstavuje silný signál prevádzkovej zrelosti.
Porovnanie certifikácií poskytovateľov: metóda a kritériá
Pri rozmanitosti dostupných certifikácií musia nákupcovia B2B prijať štruktúrovanú analytickú mriežku namiesto spoliehania sa len na marketingové tvrdenia. Náš porovnávač riešení elektronického podpisu uvádza hlavné dostupné platformy vo Francúzsku; tu je návod, ako správne vyhodnotiť ich úroveň certifikácie.
Štyri otázky, ktoré si musíte systematicky položiť
1. Aký je presný dátum a rozsah certifikácie? Certifikácia ISO 27001 získaná pred tromi rokmi a neobnovená neponúka rovnaké záruky ako aktuálne platný certifikát. Systematicky si vyžiadajte oficiálny certifikát a overte rozsah auditovaného perimetra: niektorí poskytovatelia certifikujú iba svoju sídlo, s vylúčením dátových centier alebo tímov vývoja offshore.
2. Kto realizoval audit certifikácie? Certifikačný orgán musí byť sám akreditovaný členom IAF (Medzinárodného fóra na akreditáciu). Vo Francúzsku je COFRAC (Francúzsky výbor na akreditáciu) príslušným organizmom. Certifikát vydaný neakreditovanou organizáciou nemá žiadnu zmluvnú alebo regulačnú hodnotu.
3. Zverejňuje poskytovateľ svoju ročnú správu o teste vniknutia? ISO 27001 vyžaduje pravidelné hodnotenia zraniteľností, ale nepredpisuje štandardný formát pre penetračné testy. Zrelý poskytovateľ zverejňuje stručný prehľad svojho ročného penttestu realizovaného treťou stranou. ANSSI odporúča oslovovať poskytovateľov kvalifikovaných PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) na tento typ cvičenia.
4. Aké sú subdodávky a súvisiace certifikácie? Poskytovateľ služieb elektronického podpisu sa zvyčajne spolieha na poskytovateľa cloudových služieb (AWS, Azure, OVHcloud atď.) a niekedy na tretie certifikačné autority. Overte, že títo subdodávatelia sami majú ekvivalentné certifikácie (ISO 27001, HDS na zdravotnícke údaje, SecNumCloud na citlivé údaje). Reťazec dôvery je platný iba vtedy, ak je každý jeho článok auditovaný.
Zvláštny prípad referenčného rámca HDS na zdravotnícke údaje
Pre zdravotnícke zariadenia, zariadenia EHPAD, poisťovne alebo poisťovne spravujúce zdravotnícke údaje sa certifikácia HDS (Hébergeur de Données de Santé) pripočítava k požiadavkám ISO. Od vyhlášky z 26. januára 2018 musí každý operátor zdravotníckych údajov byť certifikovaný HDS akreditovanou organizáciou. Pre poskytovateľa služieb elektronického podpisu používaného v zdravotníckom kontexte — súhlas s liečbou, elektronický recept, správa zo hospitalizácie — je táto certifikácia nevyhnutnou podmienkou. Objavte špecifiká elektronického podpisu v zdravotníctve na vyhodnotenie svojich povinností.
Vplyv certifikácií na zmluvné vyjednávanie a prešetrenie zhody (Due Diligence)
Certifikácie získané poskytovateľom nie sú iba obchodnými argumentmi: štruktúrujú vzťah medzi zmluvnými stranami a rozdelenie zodpovednosti.
Zmluvné doložky, ktoré sa majú systematicky zahrnúť
Pri rokovaní zmluvy s poskytovateľom služieb elektronického podpisu si zaslúži pozornosť niekoľko doložiek priamo súvisiacich so certifikáciami:
- Doložka o údržbe certifikácie: poskytovateľ sa zaväzuje udržiavať svoje certifikácie počas celej doby trvania zmluvy a bez meškania oznámiť akékoľvek stiahnutie alebo pozastavenie.
- Doložka auditú: klient si zachováva právo realizovať alebo nechať realizovať bezpečnostný audit u poskytovateľa, v podmienkach, ktoré sú definované (upozornenie, rozsah, dôvernosť výsledkov).
- Doložka subdodávky: akákoľvek zmena v reťazci subdodávok musí byť predmetom predchádzajúceho oznámenia, s možnosťou vypovedania, ak nový subdodávateľ nespĺňa požiadavky na certifikáciu definované.
- SLA dostupnosti: pre poskytovateľov certifikovaných ISO 27001 je záväzok dostupnosti (SLA) minimálne 99,9 % na mesiacoch základ rozumným očakávaním, s finančnými sankciómi v prípade prekročenia prahov nedostupnosti.
Tieto zmluvné aspekty sú súčasťou širšej stratégie riadenia elektronického podpisu v podniku, ktorú podrobne opisujeme v našej vyhradnej príručke.
Príspevok certifikácií v kontexte auditu GDPR alebo NIS2
Od vstupu do platnosti smernice NIS2 (transponovanej do francúzskeho práva zákonom z 15. apríla 2025) musia základné a dôležité subjekty preukázať, že ich kritickí poskytovatelia — vrátane poskytovateľov služieb elektronického podpisu — spĺňajú minimálne požiadavky na kybernetickú bezpečnosť. Certifikácia ISO 27001 poskytovateľa predstavuje zdokumentovaný dôkaz použiteľný počas auditu NIS2 alebo inšpekcie CNIL. Demonštruje najmä implementáciu článku 32 GDPR, ktorý vyžaduje vhodné technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej riziku.
Pre spoločnosti, ktoré chcú migrovať z menej certifikovaného riešenia na platformu s vyššími zárukami zhody, náš sprievodca migráciou na Certyneo podrobne opisuje kroky a opatrenia, ktoré je potrebné dodržať.
Právny rámec platnný pre certifikácie poskytovateľov služieb elektronického podpisu
Právna platnosť elektronického podpisu sa opiera o hromadenie európskych a národných normatívnych textov, ktorých zvládnutie je nevyhnutné na správne vyhodnotenie certifikácií poskytovateľa.
Občianský zákonník, články 1366 a 1367: Tieto články tvoria základ francúzskeho práva na elektronický podpis. Článok 1366 stanovuje, že „elektronický záznam má rovnakú dôkaznú silu ako záznam na papierovej podstave, za predpokladu, že možno behom identifikovať osobu, z ktorej pochádza, a je vytvárený a uchovávané spôsobom, ktorý zaručuje jeho integritu ". Článok 1367 spresňuje, že „podpis potrebný na dokonalenie právneho konania identifikuje jeho autora" a že, keď je elektronický, „pozostáva z používania spoľahlivého postupu identifikácie, ktorý zaručuje jeho spojenie s aktom, ku ktorému sa vzťahuje ". Certifikácie ISO 27001 a kválifiky eIDAS priamo prispievajú k tejto presumpcie spoľahlivosti.
Nariadenie eIDAS č. 910/2014: Toto európske nariadenie, priamo platné vo všetkých členských štátoch, určuje tri úrovne elektronického podpisu (jednoduchý, pokročilý, kvalifikovaný) a zavlastuje poskytovateľov služieb dôvery na povinnosť podrobiť sa audítom zhody podľa noriem ETSI. Jeho článok 24 špecifikuje požiadavky na kvalifikovaných poskytovateľov, najmä povinnosť zamestnávať kvalifikovaný personál a udržiavať dostatočné finančné zdroje. Revidovaná eIDAS 2.0 (Nariadenie EÚ 2024/1183, ktoré nadobúda účinnosť 20. mája 2024) sprísnuje tieto požiadavky zavedením európskej peňaženky digitálnej identity (EUDIW) a rozširuje rozsah uznávaných služieb dôvery.
GDPR č. 2016/679: Články 28 (spracovateľ), 32 (bezpečnosť spracovania) a 35 (hodnotenie vplyvu) sú priamo dotknuté, keď poskytovateľ služieb elektronického podpisu spracováva osobné údaje v mene správcu údajov. Článok 32 najmä vyžaduje pseudonymizáciu a šifrovanie osobných údajov, schopnosť zaručiť dôvernosť, integritu a odolnosť systémov. Certifikácia ISO 27001 pokrývajúca tieto aspekty umožňuje čiastočne splniť túto povinnosť preukázania.
Smernica NIS2 (EÚ 2022/2555, transponovaná francúzskym zákonom z 15. apríla 2025): Ukladá základným a dôležitým subjektom riadiť riziká spojené s ich digitálnym reťazcom dodávok, vrátane poskytovateľov služieb elektronického podpisu. Článok 21 NIS2 uvádza minimálne opatrenia kybernetickej bezpečnosti, z ktorých viaceré sa priamo prekrývajú s požiadavkami ISO 27001.
Normy ETSI: Normy EN 319 401, EN 319 411-1, EN 319 411-2, EN 319 132 (XAdES), EN 319 122 (CAdES) a EN 319 162 určujú technické požiadavky na poskytovateľov kvalifikovaných služieb dôvery. Ich dodržiavanie je auditované akreditovanými organizmami pred akýmkoľvek zápisom do národných zoznamov dôvery.
Zodpovednosť v prípade chýbajúcej certifikácie: Nekertifikovaný poskytovateľ, ktorý utrpí porušenie údajov vedúce k ohrození elektronických podpisov, zaväzuje svoju zmluvnú a deliktnú zodpovednosť. Pre klienta absencia predchádzajúceho overenia certifikácií môže byť považovaná za chybu v riadení kybernetických rizík, ktorá môže ovplyvniť krytie kyber poistením.
Scenáre použitia: certifikácie ISO v praxi
Certifikácie ISO nie sú teoretické abstrakcie. Tu sú tri konkrétne scenáre ilustrujúce ich operačný vplyv v rôznych obchodných kontextoch.
Scenár 1: Kancelária právnikov v oblasti spoločnosťmčizáhajúca svoj výber poskytovateľa podpisov
Kancelária právnikov v oblasti spoločnosti s dvadsiatimi kolegami ročne spracúva niekoľko stoviek citlivých aktov: predaje podielov, pakty spoločníkov, dohody o dôvernosti. Vedúci IT musí opodstatniť svoj výber poskytovateľa pred partnermi a klientmi veľkých spoločností, ktorí zmluvne vyžadujú, aby digitálne nástroje používané boli certifikované ISO 27001.
Spoliehajúc sa na certifikáciu ISO 27001:2022 vybraného poskytovateľa, môže kancelária predložiť vyhlásenie o zhode počas audítov klientskej DDS. Ročný audit obnovy predstavuje tiež argument počas verejného obstarávania, kde je bezpečnosť údajov systematicky hodnotená. Pozorovaný výsledok v tomto type štruktúry: zníženie času venovaného bezpečnostným otázkam počas komerčných rokovaní o 60 až 70 % a eliminácia dvoch incidentov spojených s podpismi nezhody počas osemnásť mesiacov.
Scenár 2: Priemyselný malý a stredný podnik spravujúci zmluvných dodávateľov na medzinárodnej úrovni
Priemyselný podnik s približne 150 zamestnancami spravujúci blízko 300 zmlúv dodávateľov ročne, s významným podielom partnerov z Nemecka a Holandska, musí zabezpečiť, aby jeho elektronické podpisy boli uznávané v týchto krajinách. Certifikácia eIDAS jeho poskytovateľa — zapísaného na francúzskych zoznamoch dôvery a ponúka pokročilé podpisy v súlade s ETSI EN 319 132 — zaručuje právnu interoperabilitu v európskom priestore.
Súčasne sa certifikácia ISO 27001 poskytovateľa vyžaduje oddelením nákupu niekoľkých jeho klientov veľkých spoločností počas ročných auditov dodávateľov. Spoločnosť sa domnievala, že sa vyhnula dvom rekvalizáciám zmlúv (prechod na rukou napísaný podpis pre nezávislosť), čo predstavuje vyhnuté náklady približne 15 000 až 20 000 eur v zmeškaniach a logistických nákladoch počas dvanástich mesiacov.
Scenár 3: Skupinatým zástupcov integrácia elektronického podpisu do svoje procesov v oblasti ľudských zdrojov a medicíny
Skupinatím zdravotníckeho zaradenia aproximov 600 postieľ pranie demateriailizovať svoju pracovnú zmluvy (zdravotnícky personál, dočasní lekári) a jej súhlasy so starostlivosťou númerickej. Dve rodiny certifikácií sa ukazujú ako nevyhnutné: ISO 27001 na globálnu bezpečnosť poskytovateľa a certifikácia HDS (Hébergeur de Données de Santé) na spracovanie zdravotníckych údajov.
Skupinatýodboru vyberie poskytovateľa, ktorý má obe certifikácie, čo mu umožní pokryť všetky jeho prípady použitia v jedinej zmluve pri splnení požiadaviek Agentúry pre digitálnu ľudskú dopravu (ANS). Nárast produktivity meraný v procesoch ľudských zdrojov (zmluvy dočasných lekárov podpísané za menej ako dve hodiny oproti dvom až trom dňom v papierovej verzii) predstavuje úsporu približne 40 % na nákladoch na správu spojenú s administratívou, čo predstavuje ročnú hodnotu približne 80 000 až 120 000 eur za objem približne 1 200 podpísaných zmlúv ročne.
Záver
Certifikácie ISO 27001, ISO 27017, ISO 27018 a kválifiky eIDAS nie sú pouhými emblémami zobrazovanými na marketingovej stránke: tvoria základ auditovaných záruk, ktoré sú pravidelne overované a ktoré zaväzujú poskytovateľa a právne chránia klientskú spoločnosť. V roku 2026, v podmienkach rastúcej sofistikovanosti kybernetických hrozieb a sprísnenia európskeho regulačného rámca (NIS2, eIDAS 2.0), voľba poskytovateľa certifikovaného elektronického podpisu už nie je možnosťou, ale požiadavkou riadenia.
Ak chcete objektívne porovnať poskytovateľov dostupných na francúzskom trhu, spoliehajte sa na štyri kľúčové kritériá identifikované v tomto článku: presný rozsah certifikácie, akreditácia auditného orgánu, transparentnosť pri subdodávkach a zmluvné doložky o udržiavaní. Certyneo spĺňa všetky tieto požiadavky a sprevádzavá vás pri vašej zhode s predpismi. Kontaktujte náš tím a získajte audit vašej súčasnej situácie a objavte, ako prejsť na plne certifikovaný elektronický podpis.
Vyskúšajte Certyneo zadarmo
Odošlite svoju prvú podpisovú obálku za menej ako 5 minút. 5 obálok zadarmo mesačne, bez platobnej karty.
Prehĺbiť sa v téme
Naše komplexné sprievodcovia na zvládnutie elektronického podpisu.
Odporúčané články
Prehĺbte si znalosti týmito článkami súvisiacimi s témou.

Skribble vs Oodrive: Porovnanie riešení pre elektronické podpisovanie v roku 2026
Skribble alebo Oodrive? Objavte našu odbornú analýzu oboch platforiem elektronického podpisovania a vyberte si riešenie, ktoré najlepšie vyhovuje vašim potrebám B2B v roku 2026.

Elektronický podpis cloud alebo on-premise: akú voľbu zvoliť v roku 2026?
Cloud SaaS alebo lokálne nasadenie: voľba infraštruktúry vašeho riešenia elektronického podpisu ovplyvňuje bezpečnosť, náklady a zhodu s normou eIDAS. Objavte našu odborní analýzu.

Elektronický podpis: bezplatný alebo platený, čo zvoliť v roku 2026?
Medzi obmedzenými bezplatnými ponukami a platnými riešeniami zhodujúcimi sa s eIDAS nie je výber jednoduchý pre malé a stredné podniky. Objavte náš porovnávací test, aby ste sa rozhodli s vedomím veci.