Pojdite na glavno vsebino
Certyneo

Certifikacija ISO za elektronski podpis: vodnik 2026

ISO 27001, eIDAS, ETSI… certifikacije ponudnikov elektronskega podpisa so postale nepogrešljiv kriterij izbire. Odkrijte, kako jih učinkovito primerjati.

Équipe éditoriale Certyneo12 min branja

Équipe éditoriale Certyneo

Pisec — Certyneo · O Certyneju

Elektronski podpis je postal standard v upravljanju dokumentov v podjetjih v Franciji in Evropi. Toda za navidezno preprostostjo kljuka za potrditev se skriva tehnični in zakonodajni ekosistem velike kompleksnosti. Leta 2026 vprašanje ni več »ali sprejeti elektronski podpis?« ampak »kateri ponudnik nudi zadostne garancije varnosti in skladnosti za moj poslovni kontekst?«. Certifikacije ISO — posebej ISO 27001 — predstavljajo enega najbolj zanesljivih odgovorov na to vprašanje. Ta članek vas vodi skozi glavne certifikacije, ki se uporabljajo pri ponudnikih elektronskega podpisa, njihov pravi obseg in merila za natančno primerjavo.

Zakaj so certifikacije ISO odločilne za elektronski podpis

Elektronski podpis se ne zmanjša na funkcionalnost aplikacije. Vključuje pravno odgovornost podpisanega podjetja, zaupnost obdelanih podatkov in dolgoročno celovitost arhiviranih dokumentov. Zato certifikacije, ki jih pridobi ponudnik, niso samo tržni znački: dokazujejo raven varnostne zrelosti, katere revizijo je izvedla neodvisna tretja oseba.

ISO 27001: neizbežen temelj varnosti informacij

ISO/IEC 27001 je mednarodni standard za sisteme upravljanja varnosti informacij (SMSI). Pokriva zaupnost, celovitost in razpoložljivost podatkov. Za ponudnika elektronskega podpisa ta certifikacija pomeni, da je celoten njegov postopek — od ustvarjanja računa podpisnika do arhiviranja podpisanega dokumenta — predmet dokumentiranih kontrol, ki jih redko revidiram neodvisni akreditirani organ (kot LSTI, Bureau Veritas, BSI itd.).

Konkretno ISO 27001 nalagabpostavlju:

  • Izčrpen inventar informacijskih sredstev in njihovih povezanih tveganj
  • Stroga politika nadzora dostopa (močna avtentifikacija, upravljanje pravic)
  • Postopke za upravljanje incidentov in kontinuiteto poslovanja
  • Redne notranje revizije in letni pregled vodstva
  • Stalno spremljanje ranljivosti

Verzija v veljavi od 2022 (ISO/IEC 27001:2022) vključuje 93 varnostnih ukrepov, razvrščenih v štiri teme: organizacijske, človeške, fizične in tehnološke. Ponudnik, certificiran na tej verziji, dokazuje stav varnosti, ki je ažuran glede na sodobne grožnje, zlasti napade z ransomware in kompromise v verigi dobav.

ISO 27017 in ISO 27018: nepogrešljive razširitve v oblaku

Skoraj vse rešitve SaaS za elektronski podpis temeljijo na infrastrukturah v oblaku. V tem kontekstu si zaslužita posebno pozornost dve razširitvi družine ISO 27000:

ISO/IEC 27017 zagotavlja specifične usmeritve za storitve v oblaku, zlasti odgovornost, deljeno med ponudnikom in njegovimi podizvajalci (gostitelji, tretje osebe zaupanja). Za B2B kupca preverjanje, da ponudnik razpolaga s to certifikacijo ali se je drži, omogoči validacijo, da so podatki, shranjeni v oblaku, predmet enakih varnostnih zahtev kot lokalna okolja.

ISO/IEC 27018 se posebej nanaša na varstvo osebnih podatkov v oblaku. Dopolnjuje GDPR z opredelitvijo operativnih praks: prepoved uporabe podatkov v oglaševalske namene brez izrecnega soglasja, transparentnost o podizvajalcih, pravica do prenosljivosti. Za DPO in odgovorne za skladnost ta certifikacija predstavlja dodatno zagotovilo resnosti pri obdelavi podatkov podpisnikov.

Za poglabljanje pravne vrednosti, ki jo dajejo ti standardi v povezavi z evropskim pravom, si oglejte naš vodnik o pravni vrednosti elektronskega podpisa.

Certifikacija eIDAS in standardi ETSI: kaj pomeni biti »kvalificiran«

Preko norm ISO evropski zakonodajni okvir nalaga svoje zahteve skladnosti za ponudnike storitev zaupanja (PSCo). Uredba eIDAS št. 910/2014, katere revizija eIDAS 2.0 je v toku transponiranja, razlikuje tri ravni elektronskega podpisa: preprost, napredoavan in kvalificiran.

Status kvalificiranega ponudnika storitev zaupanja (PSCO)

Za izdajanje kvalificiranih elektronskih podpisov — edina raven, ki je pravno enakovredna rokapisanem podpisu v vseh državah članicah EU — mora biti ponudnik vpisan na seznamu zaupanja svoje države članice (v Franciji seznam, ki ga upravlja ANSSI). Ta kvalifikacija temelji na začetni reviziji, ki jo izvede akreditiran organ za oceno skladnosti (CAB), nato pa na rednih revizijah nadzora.

Osnovni tehnični standardi so predvsem objavljeni s strani ETSI (Evropski inštitut za telekomunikacijske standarde):

  • ETSI EN 319 401: splošne zahteve za PSCo
  • ETSI EN 319 411: politika in praksa certifikacije za organe za certifikacijo
  • ETSI EN 319 132: profili XAdES za napredoavan XML podpis
  • ETSI EN 319 122: profili CAdES za napredoavan CMS podpis
  • ETSI EN 319 162: storitev registrirane elektronske dostave

Ponudnik, certificiran glede na te standarde ETSI, zagotavlja tehnično interoperabilnost svojih podpisov z vsemi priznanimi rešitvami v evropskem prostoru, kar je ključno za podjetja, ki delujejo v več državah. Naš celovit vodnik o uredbi eIDAS podrobno opisuje obveznosti, povezane z vsako ravnjo kvalifikacije.

SOC 2 Type II: severnoameriški priključek za spremljanje

Čeprav je v evropskem prostoru manj pogost, je poročilo SOC 2 Type II (Service Organization Control), izdano v skladu s standardi AICPA, pogosto zahtevano s strani velikih podjetij, zlasti tistih z ameriškimi filialami ali ameriškimi partnerji. Za razliko od ISO 27001 (certifikacija) je SOC 2 poročilo o reviziji, ki dokazuje skladnost s merili trust services (varnost, razpoložljivost, celovitost obdelave, zaupnost, zasebnost) v obdobju opazovanja, navadno od šestih do dvanajstih mesecev. Za izčrpno primerjavo je preverjanje, ali ima ponudnik nedavno poročilo SOC 2 Type II (starejše od dvanajstih mesecev), odličen signal operacijske zrelosti.

Primerjava certifikacij ponudnikov: metoda in merila

Glede na raznolikost razpoložljivih certifikacij morajo B2B kupci sprejeti strukturiran analitski okvir namesto da se zanašajo na same tržne izjave. Naš primerjava rešitev elektronskega podpisa našteva glavne platforme, ki so na voljo v Franciji; tukaj je prikazano, kako oceniti njihovo raven certifikacije.

Štiri vprašanja, ki jih je treba sistematično postaviti

1. Kateri je točen datum in obseg certifikacije? Certifikacija ISO 27001, pridobljena pred tremi leti in neprenovljena, ne nudi enakih jamstev kot trenutno veljaven certifikat. Sistematično zahtevajte uradni certifikat in preverite obseg pregledanega območja: nekateri ponudniki certificirajo samo svoje sedež, izključujući podatkovne centre ali ekipe za razvoj v tujini.

2. Kdo je izvedel revizijo certifikacije? Organ certificiranja mora biti sam akreditiran s strani člana IAF (International Accreditation Forum). V Franciji je COFRAC (Francoski odbor za akreditacijo) pristojni organ. Certifikat, izdan s strani neakreditiranega organa, nima nobene pogodbene ali zakonodajne vrednosti.

3. Ali ponudnik objavi svoje letno poročilo o testu penetracije? Certifikacija ISO 27001 zahteva redne ocene ranljivosti, vendar ne predpisuje standardnega formata za teste penetracije. Zrel ponudnik objavi povzetek glavne točke svojega letnega pentesta, ki ga izvede tretja oseba. ANSSI priporoča obrnitev na ponudnike, kvalificirane PASSI (Ponudnik Revizije Varnosti Informacijskih Sistemov) za tovrstno vajo.

4. Katere so podizvajalske storitve in povezane certifikacije? Ponudnik elektronskega podpisa običajno temelji na gostitelju v oblaku (AWS, Azure, OVHcloud itd.) in včasih na tretjih osebah za certifikacijo. Preverite, da imajo ti podizvajalci sami enakovredne certifikacije (ISO 27001, HDS za zdravstvene podatke, SecNumCloud za občutljive podatke). Veriga zaupanja je vredna samo, če je vsak njen člen revidiiran.

Posebna situacija referencialne HDS za zdravstvene podatke

Za zdravstvene ustanove, EHPAD, vzajemne društva ali zavarovalnice, ki upravljajo medicinske podatke, se certifikacija HDS (Gostitelj Zdravstvenih Podatkov) doda zahtevam ISO. Od decembra 26. januarja 2018 mora biti vsak gostitelj zdravstvenih podatkov osebnega značaja certificiran s strani HDS s strani akreditiranega organa. Za ponudnika elektronskega podpisa, uporabljenega v medicinski situaciji — soglasje za zdravljenje, elektronski recept, bolnišnično poročilo — je ta certifikacija obvezni pogoj. Odkrijte posebnosti elektronskega podpisa v zdravstvenem sektorju za oceno svojih obveznosti.

Vpliv certifikacij na pogodbenikogotovost in dve diligentce

Certifikacije, pridobljene s strani ponudnika, niso samo trgovinski argumenti: strukturirajo pogodben odnos in razdelitev odgovornosti med stranmi.

Pogodbbene klavzule za sistematično vključitev

Pri pogajanju pogodbe s ponudnikom elektronskega podpisa si zasluži posebno pozornost več klavzul, ki so neposredno povezane s certifikacijami:

  • Klavzula o vzdržnji certifikacije: ponudnik se zavezuje, da bo ohranjal svoje certifikacije med celotno trajanjem pogodbe in takoj obvestil o katerem koli umiku ali suspenziji.
  • Klavzula o reviziji: odjemalec ima pravico, da izvede ali poveča revizijo varnosti pri ponudniku v določenih pogojih (opozorilo, obseg, zaupnost rezultatov).
  • Klavzula o podizvajalskih storitvah: vsaka sprememba verige podizvajalstva mora biti predhodno obveščena s pravico do odpovedi, če novi podizvajalec ne izpolnjuje zahtevanih certifikacijskih zahtev.
  • SLA razpoložljivosti: za ponudnike, certificirane po ISO 27001, je pričakovanje dostopnosti (SLA) najmanj 99,9 % na mesečni ravni razumno, s finančnimi kaznimi v primeru prekoračitve pragov nedostopnosti.

Ti pogodbbeni vidiki se vpisujejo v širšo strategijo upravljanja elektronskega podpisa v podjetju, ki jo podrobno opisujemo v našem namenskem vodniku.

Prispevek certifikacij v okviru revizije GDPR ali NIS2

Od vstopa veljave direktive NIS2 (transpozirane v francoski pravo z zakonom z dne 15. aprila 2025) morajo bistveni in pomembni subjekti dokazati, da njihovi kritični ponudniki — vključno s ponudniki elektronskega podpisa — izpolnjujejo minimalne zahteve kibernetske varnosti. Certifikacija ISO 27001 ponudnika predstavlja dokumentirano dokaz, ki ga je mogoče uporabiti med revizijo NIS2 ali inšpekcijo CNIL. Dokazuje zlasti izvajanje člena 32 GDPR, ki zahteva primerne tehnične in organizacijske ukrepe za zagotovitev ravni varnosti, primerne tveganju.

Za podjetja, ki želijo migrirati iz manj certificirane rešitve na platformo, ki nudi boljše garancije skladnosti, naš vodnik migracije na Certyneo podrobno opisuje korake in previdnosti, ki jih je treba spoštovati.

Zakonodajni okvir, ki se uporablja za certifikacije ponudnikov elektronskega podpisa

Pravna veljavnost elektronskega podpisa temelji na nalaganju evropskih in nacionalnih normativnih besedil, katere obvladanje je nujno za pravilno oceno certifikacij ponudnika.

Gradbeni zakonik, členi 1366 in 1367: Ti členi predstavljajo temelj francoske pravice elektronskega podpisa. Člen 1366 določa, da »elektronski dokument ima isto probantno vrednost kot dokument na papirnatih nosilcih, pod pogojem, da je mogoče pravilno identificirati osebo, od katere izhaja, in da je vzpostavljen in ohranjen v pogojih, ki zagotavljajo njegovo celovitost«. Člen 1367 pojasnjuje, da »podpis, potreben za dokončanje pravnega dejanja, identificira njegovega avtorja« in da, kadar je elektronski, »sestoji iz uporabe zanesljivega sredstva identifikacije, ki zagotavlja njegovo povezavo z dejanjem, na katero se nanaša«. Certifikacije ISO 27001 in kvalifikacije eIDAS neposredno prispevajo k vzpostavitvi te domneve zanesljivosti.

Uredba eIDAS št. 910/2014: Ta evropska uredba, neposredno uporabna v vseh državah članicah, opredeljuje tri ravni elektronskega podpisa (preprost, napredoavan, kvalificiran) in nalaga ponudnikom storitev zaupanja, da se podredijo revizijam skladnosti v skladu s standardi ETSI. Njen člen 24 pojasnjuje zahteve za kvalificirane ponudnike, zlasti obveznost, da zaposlijo usposobljeno osebje in vzdržujejo zadostne finančne vire. Revizija eIDAS 2.0 (Uredba EU 2024/1183, ki je začela veljati 20. maja 2024) poostruje te zahteve z uvedbo evropske digitalne identitetne portfelje (EUDIW) in razširitvijo obsega priznanih storitev zaupanja.

GDPR št. 2016/679: Členi 28 (processor), 32 (varnost obdelave) in 35 (vpliv analiza) so neposredno zadevni, kadar ponudnik elektronskega podpisa obdeluje osebne podatke v imenu upravljavca. Člen 32 zahteva zlasti psevdonimizacijo in šifriranje osebnih podatkov, sposobnost zagotavljanja zaupnosti, celovitosti in odpornosti sistemov. Certifikacija ISO 27001, ki pokriva te vidike, omogoča delno izpolnitev te obveznosti dokazovanja.

Direktiva NIS2 (EU 2022/2555, transponirana s francoskim zakonom z dne 15. aprila 2025): Nalaga bistvenim in pomembnim subjektom upravljati tveganja, povezana z njihovo digitalno verigo dobav, vključno s svojimi ponudniki elektronskega podpisa. Člen 21 NIS2 navaja minimalne ukrepe kibernetske varnosti, od katerih se nekateri neposredno prekrivajo z zahtevami ISO 27001.

Standardi ETSI: Standardi EN 319 401, EN 319 411-1, EN 319 411-2, EN 319 132 (XAdES), EN 319 122 (CAdES) in EN 319 162 opredeljujejo tehnične zahteve za ponudnike storitev zaupanja. Njihovo skladnost revidiirajo akreditirani organi pred vpisom na nacionalne sezname zaupanja.

Odgovornost v primeru pomanjkanja certifikacije: Necertificirani ponudnik, ki prestane kršitev podatkov, ki vodi do kompromisa elektronskih podpisov, prevzema svojo pogodbeno in deliktno odgovornost. Za odjemalca je odsotnost preverke certifikacij lahko razumljena kot napaka pri upravljanju kibernetskih tveganj, ki lahko vpliva na pokritost zavarovanja cyber.

Scenariji uporabe: certifikacije ISO v praksi

Certifikacije ISO niso teoretske abstrakcije. Tukaj so trije praktični scenariji, ki ponazarjajo njihov operativni vpliv v različnih poslovnih kontekstih.

Scenarij 1: Odvetniški pisarni, ki izbira svojega ponudnika elektronskega podpisa

Odvetniška pisarna, ki jo imata približno dvajset sodelavcev, ročno obdeluje stotine letno občutljivih dejanj: prodaje delnic, pakte socij, sporazume o zaupnosti. Odgovoren za informatiko mora upravičiti svojo izbiro ponudnika pred partnerji in veliki komitenti, ki pogodno zahtevajo, da so digitalna orodja, ki se uporabljajo, certificirana ISO 27001.

Z zagotovitvijo certifikacije ISO 27001:2022 izbrane ponudnika lahko pisarna proizvede atestacijo skladnosti med revizijo komitentov. Letna revizija za pospešitev preslabe služi tudi kot argument v javnih naročilih, kjer se varnost podatkov sistematično ocenjuje. Opažen rezultat v tej vrsti strukture: zmanjšanje 60 do 70 % časa, namenjenega varnostnim vprašanjem v trgovskih pogajanjih, in odprava dveh incidentov, povezanih s podpisi, ki niso skladni, v obdobju osemnajstih mesecev.

Scenarij 2: Malo proizvodno podjetje, ki upravlja pogodbe dobaviteljev na mednarodno

Malo proizvodno podjetje z približno 150 zaposlenimi, ki upravlja blizu 300 pogodb dobaviteljev letno, od katerih je pomemben delež z nemškimi in nederladskimi partnerji, mora zagotoviti, da so njegovi elektronski podpisi priznani v teh državah. Certifikacija eIDAS njegovega ponudnika — vpisana na francoski seznam zaupanja in ki ponuja napredovane podpise v skladu s ETSI EN 319 132 — zagotavlja pravno interoperabilnost v evropskem prostoru.

Hkrati je certifikacija ISO 27001 ponudnika zahtevana s strani oddelka nabave več njegovih komitentov, ki so veliki kupci pri letnih revizijah dobaviteljev. Podjetje ocenjuje, da je izognilo dvema prekvlifikacijama pogodb (prehod na ročni podpis za neizpolnjevanje), kar predstavlja izognjen strošek približno 15 000 do 20 000 evrov v zamudi in logističnih stroških, v dvanajstih mesecih.

Scenarij 3: Bolnišnični konzorcij, ki vključuje elektronski podpis v svoje HR in medicinske procese

Bolnišnični konzorcij z približno 600 ležišči želi demateririzirati tako svoje pogodbe o zaposlitvi (zdravstveni osebje, interimaristne medicino) kot svoje soglasje k digitalni zdravljenju. Dve družini certifikacij sta nujni: ISO 27001 za splošno varnost ponudnika in certifikacija HDS (Gostitelj Zdravstvenih Podatkov) za obdelavo medicinskih podatkov.

Konzorcij izbere ponudnika, ki ima obe certifikaciji, kar mu omogoči pokritje vseh svojih primerov uporabe v enkratni pogodbi, hkrati pa izpolni zahteve Agencije za digitalizacijo zdravstva (ANS). Izmerjeni dobiček v produktivnosti v HR procesih (pogodbe interimaristov medicino podpisane v manj kot dveh urah nasproti dvema do trem dnem v papirni verziji) predstavlja ekonomijo, ocenjeno na 40 % stroškov upravljanja administracije, povezane, torej letna vrednost око 80 000 do 120 000 evrov za obseg 1 200 pogodb, podpisanih na leto.

Zaključek

Certifikacije ISO 27001, ISO 27017, ISO 27018 in kvalifikacije eIDAS niso zgolj znački, prikazani na tržni strani: predstavljajo temelj revidiiranih jamstev, redko preverjenih, ki vključujejo odgovornost ponudnika in pravno zaščitijo povečanja podjetja. Leta 2026, v luči rastočega sofisticiranja kibernetskih groženj in okrepitve evropskega zakonodajnega okvirja (NIS2, eIDAS 2.0), je izbira certificiranega ponudnika elektronskega podpisa ni več možnost, ampak zahtevek za upravljanje.

Če želite objektivno primerjati ponudnike, dostopne na francoskem trgu, se oprite na štiri ključna merila, navedena v tem članku: točen obseg certifikacije, akreditacija revizijskega organa, transparentnost verige podizvajalstva in pogodbbene klavzule za ohranjanje. Certyneo izpolnjuje vse te zahteve in vas spremlja pri vaši uskladitvi. Pokličite našo ekipo, da dobite revizijo vaše trenutne situacije in odkrijete, kako preiti na v celoti certificiran elektronski podpis.

Preizkusite Certyneo brezplačno

Pošljite svoj prvi kuvert s podpisom v manj kot 5 minutah. 5 brezplačnih kuvertov mesečno, brez kreditne kartice.

Poglobite temo

Naši obsežni vodniki za obvladovanje elektronskega podpisa.

Skupnost Certyneo

Imate vprašanje o elektronskem podpisovanju?

Pridružite se skupnosti Certyneo: postavite svoja vprašanja, delite odgovore in se pogovarjajte s tisočimi uporabnikov in našo ekipo.