Elektronski podpis in standard ISO 27001: vodnik za 2026

Elektronski podpis je postal hrbtenica poslovnih procesov B2B, vendar njegova pravna in komercialna vrednost temelji na pogosto podcenjenem predpogoju: trdnosti informacijskega sistema, ki ga podpira. Prav tu se pojavi standard ISO/IEC 27001, mednarodni referenčni dokument za vodenje varnosti informacij. Leta 2026, ko se spletni napadi na platforme za podpisovanje množijo in uredba eIDAS 2.0 zaostruje zahteve za posredovalce zaupanja, vprašanje certifikata ISO 27001 ni več luksuz, namenjen le velikim poslovnim subjektom: postaja standardni kriterij izbire za vsak vpoklic elektronskega podpisa v podjetju.

Ta članek analizira sinergije med ISO 27001 in elektronskim podpisom, konkretne obveznosti, ki jih povzroča, tveganja neuskladenosti in korake za pridobitev ali oceno certifikata pri vašem ponudniku SaaS.

Kaj je standard ISO 27001 in zakaj je ključen za elektronski podpis?

Standard ISO/IEC 27001:2022 (verzija, revidirana oktobra 2022), objavljen s strani Mednarodne organizacije za standardizacijo (ISO) in Mednarodne elektrotehniške komisije (IEC), določa zahteve za vzpostavitev, uvedbo, vzdrževanje in stalno izboljšanje Sistema za vodenje varnosti informacij (SMVI). Zajema 93 kontrol, razdeljenih v štiri teme: organizacijske kontrole, kontrole oseb, fizične kontrole in tehnološke kontrole.

Za elektronski podpis ima ta standard posebno pomembnost, ker neposredno obravnava tri stebre varnosti informacij:

• Zaupnost: zaščita podpisanih dokumentov pred vsakim nepooblaščenim dostopom
• Integriteta: zagotovilo, da dokumenti niso spremenjeni po podpisu
• Razpoložljivost: dostopnost dokazov o podpisu v primeru spora

Kontrole ISO 27001, neposredno uporabne za elektronski podpis

Med 93 kontrolami v Prilogi A standarda se več od njih neposredno nanaša na tokove podpisovanja:

Kontrola 5.14 – Prenos informacij: predpisuje formalna pravila za varno pošiljanje dokumentov za podpisovanje, zlasti preko šifriranih protokolov (najmanj TLS 1.3).

Kontrola 8.24 – Uporaba kriptografije: zahteva dokumentirano politiko šifriranja, ki zajema algoritme, uporabljene za ustvarjanje in preverjanje elektronskih podpisov. V praksi to pomeni uporabo algoritmov, skladnih s priporočili ANSSI (najmanj RSA-3072 ali ECDSA-256 do leta 2026).

Kontrola 8.12 – Preprečevanje puščanja podatkov (DLP): varuje osebne podatke v podpisanih dokumentih, v neposredni skladnosti z obveznostmi RGPD.

Kontrola 5.18 – Pravice dostopa: zagotavlja, da lahko samo pooblaščene osebe inicirajo, podpišejo ali pregledajo dokument na platformi.

ISO 27001 v primerjavi z drugimi certifikati varnosti: kakšna je komplementarnost?

ISO 27001 ni edini relevanten standard, vendar predstavlja temelje. Dopolnjuje ga:

• SOC 2 Type II (ameriški standard, pogosto zahtevan s strani podjetij, kotiranih na NYSE)
• ISO/IEC 27017 in 27018: specifične razširitve za oblak in varstvo osebnih podatkov v oblaku
• Kvalifikacija eIDAS, ki jo izdajajo pooblaščeni organi (LSTI v Franciji): obvezna za kvalificirane posrednike storitev zaupanja (QSTP)

Ponudnik elektronskega podpisa, certificiран ISO 27001 in hkrati kvalificiran eIDAS, tako nudi največjo raven zavarovanja, usklajeno s tem, kar podrobno opiše popoln vodnik uredbe eIDAS 2.0.

Posebne zahteve za ponudnike elektronskega podpisa SaaS

Izbira SaaS-a za elektronski podpis, certificinega ISO 27001, ne pomeni, da je vaša lastna organizacija pokrita – vendar to močno pogojuje raven preostale tveganja, ki ga jemljete nase.

Obseg certifikacije: kaj je treba preveriti

Pri oceni dobavitelja so tri vprašanja odločujoča:

1. Ali obseg certifikacije zajema storitev podpisovanja? Izdajatelj je lahko certificiран ISO 27001 za svoje dejavnosti razvoja programske opreme, ne da bi bila platforma za podpisovanje v obsegu. Zahtevajte uraden certifikat in preverite izjavo o obsegu (Statement of Applicability).

1. Ali je certifikat posodobljen? ISO 27001 zahteva letne revizije spremljanja in ponovno preverjanje certifikata vsakih tri leta. Potečeni certifikat razveljavi kateri koli jamstvi.

1. Kateri organ certifikacije? V Franciji organi, akreditirani pri COFRAC-u (Bureau Veritas, SGS, BSI Group, LRQA…), izdajajo priznane certifikate. Samoizjava skladnosti nima nobene pravne vrednosti.

Upravljanje incidentov in kontinuiteta poslovanja

ISO 27001 zahteva dokumentiran in testiran načrt nadaljevanja poslovanja (BCP) in načrt okrevanja poslovanja (DRP). Za platformo elektronskega podpisa se to konkretno prevede v:

• RTO (cilj časa okrevanja), nižji od 4 ur za produkcijska okolja
• RPO (cilj točke okrevanja), nižji od 1 ure, kar preprečuje izgubo podatkov o podpisu
• Preskušene postopke okrevanja, dokumentirane najmanj polletno
• Postopek obvestila o varnostnih incidentih v skladu s členom 33 RGPD (največ 72 ur)

Te zahteve se ujemajo s tistimi iz direktive NIS2, prenesene v француsko pravo z zakonom št. 2024-449 z dne 21. maja 2024, ki nalaga subjektom, ki so bistveni in pomembni, obveznosti poročanja o incidentih ter okrepljenih ukrepov za varnost podatkov.

Kako certifikat ISO 27001 okrepi dokazno vrednost elektronskega podpisa

Pogosto neopažena stvar med pravniki in kupci: pravna trdnost kvalificiranega elektronskega podpisa deloma依存する na tehnični verige zaupanja, ki ga podpira. Dokument, podpisan na platformi, katere varnost je ogrožena, lahko pred sodiščem pride v vprašaj.

Integriteta podatkov kot pravni temelj

Člen 1366 Civilnega zakonika določa, da ima elektronski podpis vrednost ročnega podpisa »ob pogoju, da je mogoče ustrezno identificirati njegovega avtorja in da je vzpostavljen ter obvarovan na način, ki zagotavlja njegovo integriteto«. Ta pogoj integritete je prav tisto, kar je v osrednju pozornost ISO 27001.

V primeru spora lahko dobavitelj, certificiран ISO 27001, predstavi:

• Nespremenljive revizijske dnevnike, ki dokazujejo zgodovino dostopov
• Revizijske poročila o certifikaciji, ki potrjujejo vzpostavljene kontrole
• Politiko upravljanja kriptografskih ključev, skladno s Prilogo A

Ti elementi predstavljajo snop dokazov, ki bistveno okrepi položaj stranke, ki trdi veljavnost podpisa. Za poglobljeno razumevanje vrednosti različnih ravni podpisov si oglejte naš primerjalni pregled rešitev elektronskega podpisa.

Dokazno arhiviranje in trajanje ohranjanja

ISO 27001, skupaj s standardom NF Z42-020 (digitalni varnostni trezor) in priporočili ETSI EN 319 162 (storitev kvalificiranega e-arhiviranja), omogoča opredelitev politike arhiviranja, ki zagotavlja dokazno vrednost podpisov za dolge periode – do 30 let za nekatere poslovne pogodbe.

Kontrola 8.10 – Izbris informacij standarda ISO 27001 poleg tega nalaga dokumentirane postopke za varno uničenje podatkov na koncu življenjskega cikla, v skladu s pravico do pozabe RGPD (člen 17).

Kako oceniti in zahtevati skladnost ISO 27001 vašega ponudnika podpisovanja

V okviru postopka nakupa ali obnove pogodbe SaaS, tukaj je protokol ocene v štirih korakih.

Korak 1: Zahtevajte in preverite uraden certifikat

Zahtevajte certifikat ISO/IEC 27001:2022 (in ne verzije 2013, ki je zastarela od oktobra 2025) skupaj z najbolj nedavnim poročilom revizije spremljanja. Preverite rok veljavnosti v registru certifikacijskega organa.

Korak 2: Analizirajte izjavo o uporabnosti (SoA)

Statement of Applicability navaja izbrane in izključene kontrole z utemeljitvijo. Vsaka kontrola, izključena brez dokumentirane utemeljitve, predstavlja preostalo tveganje za oceno v vaši analizi dobaviteljevega tveganja.

Korak 3: Vključite zahteve v pogodbo

Vaša pogodba s ponudnikom mora vsebovati:

• Klavzulo o vzdrževanju certifikacije z obveznostjo obvestila ob suspenziji
• Pravico do revizije ali dostopa do letnih poročil revizije tretjih oseb
• SLA-je varnosti, usklajene s PCA/PRA ponudnika
• Klavzulo odgovornosti v primeru varnostnega incidenta, ki vpliva na integriteto podpisov

Korak 4: Izvedite lastno analizo tveganja

Tudi certificiран ponudnik ne pokriva vaših lastnih tveganj. ISO 27001 nalaga vaši lastni organizaciji analizo tveganja (klavzula 6.1.2), ki zajema zlasti:

• Upravljanje dostopa sodelavcev do platforme za podpisovanje
• Ozaveščenost o napadih s phishingom, namenjenih tokovom podpisovanja
• Politika upravljanja delegacij podpisovanja

Ta pristop se naravno vključi v celovito politiko upravljanja elektronskega podpisa za HR in pravne ekipe, kjer količine obdelovanih dokumentov izpostavljajo precejšnja operativna tveganja.

Pravni okvir, ki se nanaša na elektronski podpis in ISO 27001

Skladnost sistema elektronskega podpisa temelji na naloženem normativnem sistemu, ki ga mora obvladati vsak B2B-podjetje.

Civilni zakonik, členi 1366 in 1367: Člen 1366 postavlja enakovrednost med elektronski in ročni podpis pod pogojem identifikacije avtorja in zagotovila integritete. Člen 1367 elektronski podpis opredeljuje kot »uporabo zanesljivega postopka identifikacije, ki zagotavlja njegovo povezavo z aktom, na katerega se nanaša«.

Uredba eIDAS št. 910/2014 in eIDAS 2.0 (Uredba EU 2024/1183): Uporabna je v vseh državah članicah EU in ločuje tri ravni podpisa (preprost, napredovan, kvalificiran) ter nalaga kvalificiranim posrednikom storitev zaupanja (QSTP) revizije skladnosti s strani pooblaščenih organov. Revizija eIDAS 2.0, ki je stopila v veljavo postopoma od maja 2024, zaostruje zahteve nadzora in predstavlja digitalni denarnico evropske identitete (EUDIW).

Uredba RGPD št. 2016/679: Osebni podatki v podpisanih dokumentih (identiteta podpisnika, IP naslov, časovni žig) predstavljajo osebne podatke. Odgovorni za obdelavo mora zagotoviti njihovo zaščito (člen 5), obvestiti o kršitvah v 72 urah (člen 33) ter izvajati varstvo z gradnjo (člen 25). ISO 27001 zagotavlja tehnični okvir za skladnost.

Direktiva NIS2 (Direktiva EU 2022/2555), prenesena v француsko pravo z zakonom št. 2024-449 z dne 21. maja 2024: Subjekti, ki so bistveni in pomembni – med njimi številni dejavniki B2B – morajo izvajati primerljive ukrepe za varnost podatkov, vključno z upravljanjem tveganj, povezanih s ponudniki (člen 21). Ponudnik podpisovanja, ki ni certificiран ISO 27001, lahko predstavlja tveganje tretjega reda v smislu NIS2.

Standardi ETSI: Serija ETSI EN 319 100 opredeljuje tehnične zahteve za kvalificirane elektronske podpise (EN 319 132 za XAdES, EN 319 122 za CAdES, EN 319 142 za PAdES). Ti tehnični standardi predpostavljajo infrastrukturo varnosti, skladno s standardi ISO 27001.

Referenčnik ANSSI: V Franciji Nacionalna agencija za varnost informacijskih sistemov objavlja priporočila o kriptografskih algoritmih (referenčnik RGS – Splošni varnostni referenčnik), katerega izvajanje olajša SMVI, certificiran ISO 27001. Kvalifikacija eIDAS француskih ponudnikov je obravnavana s strani ANSSI kot nacionalne nadzorne oblasti.

Absence certifikata ISO 27001 pri ponudniku podpisovanja izpostavlja client-podjetje tveganjem spopada glede dokazne vrednosti podpisanih dokumentov, kaznom RGPD (do 4 % svetovnega prometa ali 20 M€) in postavljanju v vprašaj skladnosti NIS2.

Scenariji uporabe: ISO 27001 in elektronski podpis v praksi

Scenarij 1 – Pisarna prava za poslovna sredstva z 25 sodelavci

Pisarna, specializirana za fuzije in akvizicije, letno obdela več kot 600 aktov, ki zahtevajo napredovan ali kvalificiran elektronski podpis (pogodbe o tajnosti, protokoli sporazuma, pogodbe o cesiji). Po notranji reviziji, ki je razkrila vrzeli v sledljivosti dostopa do platforme za podpisovanje, se pisarna odloči, da sprejme le ponudnike, certificirane ISO/IEC 27001:2022 z obsegom, ki eksplicitno zajema storitev podpisovanja.

Rezultat: Po selitvi na certificirano platformo pisarna opazi zmanjšanje 40 % časa, porabljenega za varnostne due diligence pri razpisu za stranke, in lahko v 48 urah predstavi revizijska poročila o certifikaciji na zahtevo svojih klientov – velikih računov. Povprečni čas validacije pogodbe se zmanjša s 3,2 dneva na 1,4 dneva.

Scenarij 2 – Industrijsko podjetje, upravljajoče 1.500 pogodb dobaviteljev letno

Malo podjetje – podizvajalec Tier-1 avtomobilskega proizvajalca – mora dokazati svojemu dajniku naročil, da celotna veriga njegovega elektronskega podpisa (naročilnice, okvirne pogodbe, spremembe) izpolnjuje zahteve ISO 27001, ki jih nalaga nabavni referenčnik velike skupine. Malo podjetje napravi kartografijo svojih dobaviteljevih tveganj glede na klavzulo 6.1.2 standarda in ugotovi, da njegov prejšnji ponudnik SaaS ne drži veljavnega certifikata.

Po selitvi na certificirano rešitev in vzpostavitvi lastnega SMVI je malo podjetje pridobi zahtevano kvalifikacijo dobavitelja in zavaruje pogodbo-okvir za 4 leta. Stroški certifikacije (približno 15.000 do 25.000 € za malo podjetje te velikosti glede na specializirane svetovalske pisarne) se amortizirajo v manj kot šestih mesecih glede na obseg zavarovanega pogodbenega volumna.

Scenarij 3 – Bolnišnična skupina z približno 1.200 posteljami

V zdravstvenem sektorju imajo zdravstveni zavodi okrepljene zahteve: obdelava zdravstvenih podatkov (posebna kategorija glede na člen 9 RGPD), certifikat HDS (Hôte de Données de Santé – Gostitelj zdravstvenih podatkov) in sedaj kvalifikacija NIS2 kot bistvena entiteta. Bolnišnična skupina uvede elektronski podpis za svoje pogodbe o zaposlitvi, konvencije o klinični raziskavi in javne razpise (približno 900 dokumentov/mesec).

Z izbiro ponudnika, ki ima certifikat ISO 27001, certifikat HDS in kvalifikacijo QSTP eIDAS, zavod zmanjša svojo izpostavljenost tveganjem neuskladenosti RGPD za 60 % glede na swojega DPO in koristi arhiviranje, zagotovljeno 30 let za medicinske pravne dokumente. Povprečni čas podpisovanja pogodb o klinični raziskavi se zmanjša s 12 dni na 3,5 dneva, kar sprosti precejšnje vire za upravne ekipe.

Zaključek

Leta 2026 certifikat ISO/IEC 27001:2022 ni več zgolj marketinški argument za ponudnike elektronskega podpisa: predstavlja nujni tehnični in pravni temelj za zagotovitev integritete podpisanih dokumentov, skladnosti RGPD in NIS2 ter dokazne vrednosti pogodbenih zavez. Za B2B-podjetja je zahtevanje tega certifikata pri svojem ponudniku SaaS postalo obveza sposobnosti razumnega skrbnika, enako kot preverjanje kvalifikacije eIDAS.

Certyneo je certificiран ISO/IEC 27001:2022 s popolnim obsegom svoje platforme elektronskega podpisa. Naše ekipe vas lahko vodijo pri oceni vaše sedanje skladnosti in izvajanju varnostnega toka podpisovanja, prilagojenega vašim volumnom in sektorju. Zahtevajte brezplačno demonstracijo na Certyneo ali preucite naše cene, da poiščete formulo, primerno za vašo organizacijo.