Elektronický podpis a norma ISO 27001: sprievodca rokom 2026

Elektronický podpis sa stal chrbtovou kosťou procesov B2B zmlúv, ale jeho právna a obchodná hodnota závisí od predpokladu, ktorý je často podceňovaný: robustnosti informačného systému, ktorý ho podporuje. Práve tu vstupuje norma ISO/IEC 27001, medzinárodný referenčný rámec pre riadenie bezpečnosti informácií. V roku 2026, keď sa kyberútoky zamerané na platformy podpisu množia a nariadenie eIDAS 2.0 sprisňuje požiadavky poskytovateľov dôvery, otázka certifikácie ISO 27001 už nie je luxus vyhradený pre veľké účty: stáva sa štandardným kritériom výberu pre každé nasadenie elektronického podpisu v podnikaní.

Tento článok analyzuje synergie medzi ISO 27001 a elektronickým podpisom, konkrétne povinnosti, ktoré vyplývajú, riziká nedodržania a kroky na získanie alebo vyhodnotenie certifikácie u vášho poskytovateľa SaaS.

Čo je norma ISO 27001 a prečo je centrálna pre elektronický podpis?

Publikovaná Medzinárodnou organizáciou pre normalizáciu (ISO) a Medzinárodnou elektrotechnickou komisiou (IEC), norma ISO/IEC 27001:2022 (verzia revidovaná v októbri 2022) stanovuje požiadavky na zavedenie, implementáciu, udržiavanie a nepretržité zlepšovanie Systému riadenia bezpečnosti informácií (SMSI). Pokrýva 93 kontrol rozdelených do štyroch tém: organizačné kontroly, kontroly osôb, fyzické kontroly a technologické kontroly.

Pre elektronický podpis má táto norma osobitný význam, pretože priamo rieši tri piliere bezpečnosti informácií:

• Dôvernosť: ochrana podpísaných dokumentov pred akýmkoľvek neoprávneným prístupom
• Integritu: záruka, že dokumenty sa nezmenia po podpise
• Dostupnosť: prístupnosť dôkazov podpisu pri možnom spore

Kontroly ISO 27001 priamo aplikovateľné na elektronický podpis

Spomedzi 93 kontrol v prílohe A normy sa niekoľko vzťahuje priamo na pracovné postupy podpisu:

Kontrola 5.14 – Prenos informácií: stanovuje formálne pravidlá bezpečného prenosu dokumentov na podpis, najmä prostredníctvom šifrovaných protokolov (TLS 1.3 minimum).

Kontrola 8.24 – Použitie kryptografie: vyžaduje zdokumentovanú politiku šifrovania pokrývajúcu algoritmy používané na generovanie a overovanie elektronických podpisov. V praxi to znamená použitie algoritmov v súlade s odporúčaniami ANSSI (RSA-3072 alebo ECDSA-256 minimum v roku 2026).

Kontrola 8.12 – Prevenciu únikov údajov (DLP): chráni osobné údaje obsiahnuté v podpísaných dokumentoch v priamej zhode s povinnosťami GDPR.

Kontrola 5.18 – Prístupové práva: zaručuje, že iba oprávnené osoby môžu iniciovať, podpisovať alebo prezerať dokument v platforme.

ISO 27001 verzus ostatné certifikácie bezpečnosti: aká je komplementaritu?

ISO 27001 nie je jedinou relevantnou normou, ale tvorí základ. Dopĺňa sa s:

• SOC 2 Type II (americká norma, často vyžadovaná spoločnosťami kotovanými na NYSE)
• ISO/IEC 27017 a 27018: špecifické rozšírenia pre cloud a ochranu osobných údajov v cloude
• Kvalifikácia eIDAS vydávaná akreditovanými subjektami (LSTI vo Francúzsku): povinná pre Kvalifikovaných poskytovateľov služieb dôvery (QSTP)

Poskytovateľ elektronického podpisu certifikovaný ISO 27001 A zároveň kvalifikovaný eIDAS tak poskytuje maximálnu úroveň záruky, v súlade s tým, čo podrobne popisuje komplexný sprievodca nariadením eIDAS 2.0.

Špecifické požiadavky pre poskytovateľov SaaS elektronického podpisu

Výber SaaS elektronického podpisu certifikovaného ISO 27001 neznamená, že vaša vlastná organizácia je pokrytá – ale výrazne ovplyvňuje úroveň zvyšného rizika, ktoré si preberáte.

Rozsah certifikácie: čo je potrebné skontrolovať

Pri hodnotení dodávateľa sú rozhodujúce tri otázky:

1. Pokrýva rozsah certifikácie službu podpisu? Editor môže byť certifikovaný ISO 27001 za svoju činnosť v oblasti vývoja softvéru bez toho, aby bola platforma podpisu v rozsahu. Vyžadujte oficiálny certifikát a overte prehlásenie o použiteľnosti (Statement of Applicability).

1. Je certifikácia aktuálna? ISO 27001 vyžaduje ročné audity dozoru a audit obnovy každé tri roky. Expirovaný certifikát zneplatňuje akúkoľvek záruku.

1. Aký je organ certifikácie? Vo Francúzsku subjekty akreditované COFRAC (Bureau Veritas, SGS, BSI Group, LRQA…) vydávajú uznávané certifikácie. Samoadhláskovenej deklarácie zhody nemá žiadnu právnu hodnotu.

Správa incidentov a kontinuita služby

ISO 27001 vyžaduje zdokumentovaný a testovaný Plán kontinuity činnosti (PCA) a Plán obnovy činnosti (PRA). Pre platformu elektronického podpisu sa to prakticky premietna do:

• RTO (Recovery Time Objective) nižšej ako 4 hodiny pre produkčné prostredia
• RPO (Recovery Point Objective) nižšej ako 1 hodina, aby sa zabránilo strate údajov podpisu
• Testov obnovy zdokumentovaných najmenej šesťmesačne
• Postupu oznámenia bezpečnostných incidentov v súlade s článkom 33 GDPR (maximálne 72 hodín)

Tieto požiadavky korešpondujú s požiadavkami smernice NIS2, transponovanej do francúzskeho práva zákonom č. 2024-449 z 21. mája 2024, ktorý ukladá podstatným a dôležitým subjektom povinnosti hlásenia incidentov a posilnené opatrenia kybernetickej bezpečnosti.

Ako certifikácia ISO 27001 posilňuje dôkaznú hodnotu elektronického podpisu

Bod, ktorý právnici a kupujúci často nepoznajú: právna pevnosť kvalifikovaného elektronického podpisu závisí čiastočne od technického reťazca dôvery, ktorý ho podporuje. Dokument podpísaný na platforme, ktorej bezpečnosť je kompromitovaná, môže mať svoju dôkaznú hodnotu spochybnú pred súdom.

Integritu údajov ako právny základ

Článok 1366 Občianskeho zákonníka stanovuje, že elektronický podpis má hodnotu podpisu ručného „za podmienky, že jej autor môže byť náležite identifikovaný a že bol vytvorený a zachovaný tak, aby bola zaručená jeho integritu". Táto podmienka integrity je presne ústredným objektom ISO 27001.

V prípade sporu môže poskytovateľ certifikovaný ISO 27001 predložiť:

• Nemenné audit logy preukázavajúce históriu prístupov
• Správy certifikačného auditu potvrdzujúce zavedené kontroly
• Politiku správy kryptografických kľúčov v súlade s prílohou A

Tieto prvky tvoria súbor dôkazov, ktorý výrazne posilňuje postavenie strany, ktorá uplatňuje platnosť podpisu. Ak chcete vedieť viac o právnej hodnote rôznych úrovní podpisu, pozrite si náš prehľad riešení elektronického podpisu.

Dôkaznú archivizáciu a dobu uchovania

ISO 27001 kombinovaná s normou NF Z42-020 (digitálny bezpečný trezor) a odporúčaniami ETSI EN 319 162 (kvalifikovaná služba elektronickej archivizácie) umožňuje definovať politiku archivizácie, ktorá zaručuje dôkaznú hodnotu podpisov na dlhé obdobia – až 30 rokov pre určité obchodné zmluvy.

Kontrola 8.10 – Vymazávanie informácií normy ISO 27001 navyše ukladá zdokumentované postupy na bezpečné vymazanie údajov na konci životného cyklu, v súlade s právom na vymazanie podľa GDPR (článok 17).

Ako vyhodnotiť a vyžadovať zhodu s ISO 27001 od svojho poskytovateľa podpisu

V rámci procesu nákupu alebo obnovy zmluvy SaaS je tu protokol hodnotenia v štyroch krokoch.

Krok 1: Požiadajte a overte oficiálny certifikát

Vyžadujte certifikát ISO/IEC 27001:2022 (a nie verziu 2013, ktorá je zastaraná od októbra 2025) spolu s najnovšou správou o audite dozoru. Overte dátum platnosti v registri orgánu certifikácie.

Krok 2: Analyzujte prehlásenie o použiteľnosti (SoA)

Statement of Applicability uvádza vybrané a vylúčené kontroly s zdôvodnením. Akákoľvek kontrola vylúčená bez zdokumentovaného zdôvodnenia predstavuje zvyšné riziko, ktoré treba vyhodnotiť v analýze rizika poskytovateľa.

Krok 3: Zaraďte požiadavky do zmluvy

Vaša zmluva s poskytovateľom musí obsahovať:

• Doložku o udržiavaní certifikácie s povinnosťou oznámenia v prípade pozastavenia
• Právo na audit alebo prístup k ročným správam tretieho auditu
• Úrovne SLA bezpečnosti v súlade s PCA/PRA poskytovateľa
• Doložku o zodpovednosti v prípade bezpečnostného incidentu ovplyvňujúceho integritu podpisov

Krok 4: Vykonajte vlastnú analýzu rizika

Aj certifikovaný poskytovateľ nepokrýva vaše interné riziká. ISO 27001 vám ukladá analýzu rizika (klauzula 6.1.2) pokrývajúcu najmä:

• Riadenie prístupu zamestnancov na platformu podpisu
• Povedomie o útokoch phishingu zameraných na pracovné postupy podpisu
• Politiku riadenia delegovania podpisu

Tento prístup sa prirodzene integruje do globálnej politiky riadenia elektronického podpisu pre tímy HR a právnych, kde objemy spracúvaných dokumentov predstavujú významné operačné riziká.

Právny rámec vzťahujúci sa na elektronický podpis a ISO 27001

Zhoda systému elektronického podpisu závisí od vrstvenia noriem, ktoré musí každá B2B spoločnosť ovládať.

Občiansky zákonník, články 1366 a 1367: Článok 1366 stanovuje rovnosť medzi elektronickým podpisom a ručným podpisom za podmienky identifikácie autora a záruky integrity. Článok 1367 definuje elektronický podpis ako „použitie spoľahlivého postupu identifikácie zaručujúceho jeho súvislosť s aktom, ku ktorému sa viaže".

Nariadenie eIDAS č. 910/2014 a eIDAS 2.0 (Nariadenie EÚ 2024/1183): Aplikovateľné vo všetkých členských štátoch EÚ, rozlišuje tri úrovne podpisu (jednoduchý, pokročilý, kvalifikovaný) a ukladá Kvalifikovaným poskytovateľom služieb dôvery (QSTP) audity zhody prostredníctvom akreditovaných subjektov. Revízia eIDAS 2.0, ktorá postupne vstúpila v platnosť od mája 2024, sprisňuje požiadavky dohľadu a zavádza európsky digitálny portfólio identít (EUDIW).

Nariadenie GDPR č. 2016/679: Osobné údaje obsiahnuté v podpísaných dokumentoch (identita podpisujúceho, IP adresa, časová pečiatka) tvoria osobné údaje. Správca spracúvania musí zabezpečiť ich ochranu (článok 5), oznámiť porušenia do 72 hodín (článok 33) a implementovať ochranu od návrhu (článok 25). ISO 27001 poskytuje technický rámec na dosiahnutie zhody.

Smernica NIS2 (Smernica EÚ 2022/2555), transponovaná do francúzskeho práva zákonom č. 2024-449 z 21. mája 2024: Podstatné a dôležité subjekty – vrátane mnohých hráčov B2B – musia implementovať primeraných opatrení kybernetickej bezpečnosti vrátane riadenia rizík súvisiacich s dodávateľmi (článok 21). Poskytovateľ podpisu bez certifikácie ISO 27001 môže predstavovať riziko tretej strany v zmysle NIS2.

Normy ETSI: Séria ETSI EN 319 100 stanovuje technické požiadavky na kvalifikované elektronické podpisy (EN 319 132 pre XAdES, EN 319 122 pre CAdES, EN 319 142 pre PAdES). Tieto technické normy predpokladajú infraštruktúru bezpečnosti v súlade s normami ISO 27001.

Referenčný nástroj ANSSI: Vo Francúzsku Národná agentúra bezpečnosti informačných systémov publikuje odporúčania týkajúce sa kryptografických algoritmov (referenčný nástroj RGS – Referenčný všeobecný bezpečnostný nástroj), ktorých implementácia sa ľahšie dosahuje pomocou SMSI certifikovaného ISO 27001. Kvalifikácia eIDAS francúzskych poskytovateľov sa rieši ANSSI ako národný orgán dohľadu.

Absence certifikácie ISO 27001 u poskytovateľa podpisu vystavuje klientsku spoločnosť riziku spochybňovania dôkaznej hodnoty podpísaných dokumentov, sankciám GDPR (až 4 % celosworldtového obratu alebo 20 milión €) a spochybňovaniu jej zhody s NIS2.

Scenáre použitia: ISO 27001 a elektronický podpis v praxi

Scenár 1 – Právna kancelária so zameraním na transakčné právo s 25 pracovníkmi

Kancelária špecializovaná na spájania a akvizície spracúva ročne viac ako 600 aktov vyžadujúcich pokročilý alebo kvalifikovaný elektronický podpis (NDA, protokoly dohody, zmluvy o prevode). Nasledujúc interný audit, ktorý odhalil nedostatky v sledovateľnosti prístupov k platforme podpisu, sa kancelária rozhoduje prijímať iba poskytovateľov certifikovaných ISO/IEC 27001:2022 s rozsahom výslovne pokrývajúcim službu podpisu.

Výsledok: Po migrácii na certifikovanú platformu si kancelária všimne 40 % zníženie času venovaného bezpečnostným due diligence pri verejných obstarávaních klientov a môže poskytnúť správy certifikačného auditu do 48 hodín na požiadanie veľkých klientov. Priemerná doba validácie zmluvy sa skracuje z 3,2 dní na 1,4 dňa.

Scenár 2 – Priemyselná spoločnosť spravujúca 1 500 zmlúv s dodávateľmi ročne

Malá a stredná priemyselná spoločnosť zamestnávajúca prvej úrovne dodávateľa automobilového výrobcu musí preukázať svojmu zadávateľovi, že jej celý reťazec elektronického podpisu (nákupné objednávky, rámcové zmluvy, dodatky) spĺňa požiadavky ISO 27001 vynútené referenčným rámcom nákupu skupiny. Malá a stredná podnikateľ realizuje mapovanie rizík dodávateľa podľa klauzuly 6.1.2 normy a identifikuje, že jej starý poskytovateľ SaaS nemá certifikáciu v platnosti.

Po migrácii na certifikované riešenie a zavedení interného SMSI spoločnosť získa požadovanú kvalifikáciu dodávateľa a zabezpečí zmluvu na dobu 4 rokov. Náklady na certifikáciu (približne 15 000 až 25 000 € pre malú a strednú podnikateľku tejto veľkosti podľa špecializovaných konzultačných firiem) sa zúčtujú za menej ako šesť mesiacov s ohľadom na bezpečený objem zmlúv.

Scenár 3 – Skupiny nemocníc s približne 1 200 lôžkami

V zdravotníctve sú zdravotnícke zariadenia vystavené posilneným požiadavkám: spracovanie údajov o zdraví (osobitná kategória podľa článku 9 GDPR), certifikácia HDS (Host of Health Data) a teraz kvalifikácia NIS2 ako podstatný subjekt. Skupiny nemocníc nasadzuje elektronický podpis pre svoje pracovné zmluvy, dohody o klinickej výskume a verejné obstarávania (približne 900 dokumentov/mesiac).

Výberom poskytovateľa kumulujúceho certifikáciu ISO 27001, certifikáciu HDS a kvalifikáciu QSTP eIDAS si zariadenie znižuje expozíciu voči rizikám nezarovnanosti GDPR o 60 % podľa svojho DPO a má prehľad archivizácie zaručenej 30 rokov pre právne zdravotnícke dokumenty. Priemerný čas podpisu klinických výskumných zmlúv sa skrátil z 12 dní na 3,5 dňa, čím sa uvoľnili výrazné prostriedky pre administratívne tímy.

Záver

V roku 2026 certifikácia ISO/IEC 27001:2022 už nie je len marketingovým argumentom pre poskytovateľov elektronického podpisu: predstavuje nevyhnutný technický a právny základ na zaručenie integrity podpísaných dokumentov, zhody GDPR a NIS2 a dôkaznej hodnoty zmluvných záväzkov. Pre B2B spoločnosti je vyžadovanie tejto certifikácie u svojho dodávateľa SaaS sa stalo povinnosťou starostlivej riadnosti, rovnako ako overenie kvalifikácie eIDAS.

Certyneo je certifikovaný ISO/IEC 27001:2022 s rozsahom pokrývajúcim celú platformu elektronického podpisu. Naši tímy vám môžu pomôcť pri hodnotení vašej súčasnej zhody a zavedení bezpečného pracovného postupu podpisu prispôsobeného vašim objemom a sektoru. Požiadajte bezplatnú demo na Certyneo alebo preskúmajte naše ceny na nájdenie vhodného balíka pre vašu organizáciu.