Preskočite na glavni sadržaj
Certyneo

Sertifikacija ISO za elektronski potpis: vodič 2026

ISO 27001, eIDAS, ETSI… sertifikacije pružalaca usluga elektronskog potpisa postale su neophodni kriterijum za izbor. Saznajte kako ih efikasno porediti.

Équipe éditoriale Certyneo12 min čitanja

Équipe éditoriale Certyneo

Urednik — Certyneo · O Certyneo-u

A glass object with a blue background

Elektronski potpis nametnuo se kao standard u upravljanju dokumentima francuskih i evropskih preduzeća. Ali iza očigledne jednostavnosti klika za validaciju krije se tehnički i regulatorni ekosistem velike kompleksnosti. U 2026. godini, pitanje nije više „da li da usvojim elektronski potpis?" već „koji pružalac nudi dovoljne garancije bezbednosti i usklađenosti za moj poslovni kontekst?". Sertifikacije ISO — naročito ISO 27001 — predstavljaju jedan od najpouzdanijih odgovora na ovo pitanje. Ovaj članak vas vodi kroz glavne sertifikacije primenjive na pružaoce elektronskog potpisa, njihov pravi obim i kriterijume za strogo poređenje.

Zašto su sertifikacije ISO odlučujuće za elektronski potpis

Elektronski potpis se ne svodi samo na aplikativnu funkcionalnost. On angažuje pravnu odgovornost preduzeća koja potpisuje, poverljivost obrađenih podataka i dugoročni integritet arhiviranih dokumenata. Zato sertifikacije koje dobija pružalac nisu samo marketing labele: one potvrđuju nivo bezbednosne zrelosti auditan od strane nezavisnog trećeg lica.

ISO 27001: neophodno temelje bezbednosti informacija

ISO/IEC 27001 je međunarodni referentni standard za sisteme upravljanja bezbednosti informacija (SMSI). Pokriva poverljivost, integritet i dostupnost podataka. Za pružaoca elektronskog potpisa, ova sertifikacija znači da je ceo njegov proces — od kreiranja računa potpisnika do arhiviranja potpisanog dokumenta — podvrgnut dokumentovanim kontrolama, redovno auditiran od strane akreditovane organizacije (tip LSTI, Bureau Veritas, BSI, itd.).

Konkretno, ISO 27001 nameće pružaocu:

  • Detaljnu inventuru informacionih sredstava i povezanih rizika
  • Stroge politike kontrole pristupa (jaka autentifikacija, upravljanje privilegijama)
  • Procedure za upravljanje incidentima i kontinuitet poslovanja
  • Redovne unutrašnje revizije i godišnji pregled rukovodstva
  • Kontinuirani nadzor ranjivosti

Verzija na snazi od 2022. godine (ISO/IEC 27001:2022) integriše 93 mere bezbednosti grupisane u četiri teme: organizacione, ljudske, fizičke i tehnološke. Pružalac certifikovan na ovoj verziji pokazuje ažurnu poziciju bezbednosti pred savremenima pretnjama, posebno napadima ransomvera i kompromitovanjem lanca snabdevanja.

ISO 27017 i ISO 27018: neophodni cloud ekstenziji

Gotovo sve SaaS rešenja za elektronski potpis oslanjaju se na cloud infrastrukturu. U tom kontekstu, dva proširenja familije ISO 27000 zaslužuju posebnu pažnju:

ISO/IEC 27017 daje specifične smernice za cloud usluge, pokrivajući naročito deljenu odgovornost između pružaoca i njegovih podugovaraća (hostinga, pouzdanih trećih lica). Za B2B kupca, provera da li pružalac ima ovu sertifikaciju ili je u skladu sa njom omogućava validaciju da su podaci uskladišteni u cloud-u podvrgnuti istim zahtevima bezbednosti kao on-premise okruženja.

ISO/IEC 27018 se posebno bavi zaštitom ličnih podataka u cloud-u. Dopunjava GDPR-om definirajući operativne prakse: zabrana korišćenja podataka u reklamne svrhe bez eksplicitne saglasnosti, transparentnost o podugovaračima, pravo na prenosivost. Za DPO-je i odgovorne za usklađenost, ova sertifikacija predstavlja dodatnu garanciju ozbiljnosti u tretmanu podataka potpisnika.

Za detaljnije razumevanje vrednosti koju ti standardi donose u sprezi sa evropskim pravom, pogledajte naš vodič o pravnoj vrednosti elektronskog potpisa.

Sertifikacija eIDAS i ETSI standardi: šta znači biti „kvalifikovan"

Pored ISO standarda, evropski regulatorni okvir nameće svoje zahteve usklađenosti za pružaoce usluga poverenja (PSCo). Uredba eIDAS br. 910/2014, čija je revizija eIDAS 2.0 u toku transponovanja, razlikuje tri nivoa elektronskog potpisa: jednostavan, napredak i kvalifikovan.

Status Kvalifikovanog pružaoca usluge poverenja (PSCO)

Da bi dostavio elektronske potpise kvalifikovane — jedini nivo pravno ekvivalentan ručnom potpisu u svim državama članicama EU — pružalac mora biti upisan na listu poverenja svoje države članice (u Francuskoj, lista koju upravlja ANSSI). Ova kvalifikacija počiva na početnoj reviziji koju vrši akreditovana tela za ocenu usklađenosti (CAB), zatim redovnom nadzoru revizija.

Osnovni tehnički standardi uglavnom su objavljeni od strane ETSI-ja (Evropski institut za telekomunikacijske standarde):

  • ETSI EN 319 401: opšti zahtevi za PSCo
  • ETSI EN 319 411: politika i praksa certifikovanja za ustanove za certifikovanje
  • ETSI EN 319 132: profili XAdES za napredni XML potpis
  • ETSI EN 319 122: profili CAdES za napredni CMS potpis
  • ETSI EN 319 162: služba zabeležene elektronske dostave

Pružalac certifikovan prema ovim ETSI standardima osigurava tehničku interoperabilnost svojih potpisa sa svim rešenjima priznataim u evropskom prostoru, što je ključno za preduzeća koja posluju u nekoliko država. Naš detaljni vodič o uredbi eIDAS objašnjava obaveze povezane sa svakim nivojem kvalifikovanja.

SOC 2 Type II: komplemenatan sjevernoamerički standard koji treba pratiti

Iako manje čest u evropskom prostoru, izveštaj SOC 2 Type II (Service Organization Control) izdan prema AICPA standardima često traže velika preduzeća, posebno ona sa filијалама u SAD-u ili partnerima iz Amerike. Za razliku od ISO 27001 (sertifikacije), SOC 2 je izveštaj o reviziji koji potvrđuje poštovanje kriterijuma trust services (bezbednost, dostupnost, integritet obrade, poverljivost, privatnost) tokom perioda posmatranja obično od šest do dvanaest meseci. Za sveobuhvatno poređenje, provera da li pružalac ima recent SOC 2 Type II (manje od dvanaest meseci) predstavlja jak signal operativne zrelosti.

Poređenje sertifikacija pružalaca: metodologija i kriterijumi

Suočeni sa različitošću dostupnih sertifikacija, B2B kupci moraju da usvoje strukturiranu mrežu analitike umesto da se oslanjaju samo na marketing tvrdnje. Naš pregled rešenja za elektronski potpis nabrojava glavne dostupne platforme u Francuskoj; evo kako proceniti nivo njihove sertifikacije.

Četiri pitanja koja treba sistematski postaviti

1. Koji je točan datum i obim sertifikacije? ISO 27001 sertifikacija dobijena pre tri godine bez obnove ne nudi iste garancije kao trenutno važeći sertifikat. Sistematski tražite zvanični sertifikat i proverite obim auditnog perimetra: neki pružaoci certifikuju samo svoj glavnu kancelariju, isključujući podatkovne centre ili offshore razvojne timove.

2. Ko je izvršio audit sertifikacije? Organizacija za sertifikovanje sama mora biti akreditovana od strane člana IAF-a (Međunarodni forum akreditovanja). U Francuskoj, COFRAC (Francouzski komitet za akreditovanje) je kompetentna organizacija. Sertifikat izdan od organizacije bez akreditovanja nema nikakvu ugovornu ili regulatornu vrednost.

3. Da li pružalac objavljuje svoj godišnji izveštaj o testu penetracije? ISO 27001 sertifikacija zahteva redovne ocene ranjivosti, ali ne propisuje standardni format za testove penetracije. Zreo pružalac objavljuje izvršni sažetak svojeg godišnjeg pentest-a koji je izvršio treće lice. ANSSI preporučuje pristup sa kvalifikovanim PASSI pružaocima (Pružalac revizije sigurnosti sistema informacija) za ovaj tip vežbe.

4. Koje su podgovaraču i pripadajuće sertifikacije? Pružalac elektronskog potpisa obično se oslanja na cloud hosting (AWS, Azure, OVHcloud, itd.) i ponekad na trećestrane institucije za certifikovanje. Proverite da li ti podugovaraču sami imaju ekvivalentne sertifikacije (ISO 27001, HDS za zdravstvene podatke, SecNumCloud za osjetljive podatke). Lanac poverenja vredi samo ako je svaki njegov čvor auditiran.

Poseban slučaj HDS framework-a za zdravstvene podatke

Za zdravstvene ustanove, domove za starije, uzajamnu pomoć ili osiguravajuće kuće koje upravljaju medicinskim podacima, HDS sertifikacija (Hosting zdravstvenih podataka) se dodaje zahtevima ISO. Od decembra 26, 2018, svaki hosting zdravstvenih podataka lične prirode mora biti sertifikovan HDS od akreditovane organizacije. Za pružaoca elektronskog potpisa korišćenog u medicinskom kontekstu — saglasnost za tretman, elektronski recept, izveštaj o hospitalizaciji — ova sertifikacija je neophodan uslov. Otkrijte specifičnosti elektronskog potpisa u zdravstveном sektoru da biste procenili svoje obaveze.

Uticaj sertifikacija na ugovornu pregovaranje i due diligence

Sertifikacije koje je dobio pružalac nisu samo komercijalni argumenti: oni strukturiraju ugovorni odnos i deljenje odgovornosti između strana.

Ugovorne klauzule koje treba sistematski uključiti

Pri pregovaranju ugovora sa pružaocem elektronskog potpisa, nekoliko klauzula direktno povezane sa sertifikacijama zaslužuje posebnu pažnju:

  • Klauzula o održavanju sertifikacije: pružalac se obavezuje da održava svoje sertifikacije tokom celog trajanja ugovora i odmah obaveštava o bilo kom povlačenju ili suspenziji.
  • Klauzula o auditu: klijent zadržava pravo da provede ili naruči bezbednosni audit kod pružaoca, pod definisanim uslovima (prethodna obaveština, perimetar, poverljivost rezultata).
  • Klauzula o podugovaranju: svaka promena lanca podugovaranja mora biti prethodno obaveštena, sa mogućnošću raskida ako novi podugovaraču ne zadovoljava definirane zahteve sertifikacije.
  • SLA dostupnosti: za pružaoce sertificirane ISO 27001, obaveza dostupnosti (SLA) od najmanje 99,9% na mesečnoj osnovi je razumna očekivanja, sa finansijskim kazinama u slučaju prekoračenja praga nedostupnosti.

Ovi ugovorni aspekti deo su šire iniciijative upravljanja elektronskim potpisom u preduzeću, koju detaljnije objašnjavamo u našem posvećenom vodiču.

Doprinos sertifikacija u okviru GDPR ili NIS2 audita

Od stupanja na snagu direktive NIS2 (transponovane u francusko pravo zakonom od 15. aprila 2025), esencijalni i važni subjekti moraju pokazati da njihovi kritični pružaoci — uključujući pružaoce elektronskog potpisa — zadovoljavaju minimalne zahteve cybersecurity-ja. ISO 27001 sertifikacija pružaoca predstavlja dokumentovanu dokaznu upotrebljivu pri NIS2 auditu ili CNIL inspeksiji. Ona naročito pokazuje primenu člana 32 GDPR-a, koji zahteva tehniske i organizacione mere pogodne da osiguraju bezbednost nivoa prilagođenog riziku.

Za preduzeća koja žele da se migriraju sa manje sertificiranog rešenja na platformu sa superiornijim garancijama usklađenosti, naš vodič za migraciju prema Certyneo detaljira korake i prelude koje treba poštovati.

Primenjivo zakonsko okvir sertifikacijama pružalaca elektronskog potpisa

Pravna validnost elektronskog potpisa počiva na gomilanju evropskih i nacionalnih normativnih tekstova, čije opažanje je neophodno za korektnu ocenu sertifikacija pružaoca.

Građanski zakonik, članski 1366 i 1367: Ovi članski predstavljaju temelj francuskog prava elektronskog potpisa. Član 1366 nalaže da „elektronski dokument ima istu dokaznu snagu kao dokument na papiru, pod uslovom da se osoba od koje potiče može pravilno identifikovati i da je uspostavljen i sačuvan u uslovima koji garantuju njegov integritet". Član 1367 pojašnjava da „potpis neophodan za savršenost pravnog čina identifikuje njegovog autora" i da, kada je elektronski, „se sastoji od korišćenja pouzdanog postupka identifikovanja garantujućeg njegovu vezu sa činom kojem se nadovezuje". ISO 27001 sertifikacije i eIDAS kvalifikacije direktno doprinose uspostavljanju ove pretpostavke pouzdanosti.

Uredba eIDAS br. 910/2014: Ova evropska uredba, direktno primenljiva u svim državama članicama, definiše tri nivoa elektronskog potpisa (jednostavan, napredak, kvalifikovan) i nameće pružaocima usluga poverenja da se podvrgnu reviziji usklađenosti prema ETSI standardima. Njen član 24 pojašnjava zahteve primenjive na kvalificirane pružaoce, uključujući obavezu da zapošljava kvalifikovani osoblje i da održava dovoljne finansijske resurse. Revizija eIDAS 2.0 (Uredba EU 2024/1183, stupila na snagu 20. maja 2024) pojačava te zahteve uvodenjem evropskog portfelja digitalnog identiteta (EUDIW) i proširenjem perimetra priznanih usluga poverenja.

GDPR br. 2016/679: Članski 28 (obrađivač), 32 (bezbednost obrade) i 35 (procena uticaja) direktno se tiču kada pružalac elektronskog potpisa obrađuje lične podatke u ime kontrolora obrade. Član 32 naročito zahteva pseudonimizaciju i šifrovanje ličnih podataka, sposobnost da se garantuje poverljivost, integritet i otpornost sistema. ISO 27001 sertifikacija pokrivajući te aspekte omogućava delimično ispunjavanje ove obaveze demonstracije.

Direktiva NIS2 (EU 2022/2555, transponovana francuskim zakonom od 15. aprila 2025): Ona nameće esencijalnim i važnim subjektima da upravljaju rizicima povezanim sa njihovim digitalnim lancem snabdevanja, uključujući svoje pružaoce elektronskog potpisa. Član 21 NIS2 liste mera minimalne cybersecurity koje nekoliko recehopada direktno sa zahtevima ISO 27001.

ETSI standardi: Standardi EN 319 401, EN 319 411-1, EN 319 411-2, EN 319 132 (XAdES), EN 319 122 (CAdES) i EN 319 162 definiše tehnike zahteve za pružaoce usluga poverenja. Njihovo poštovanje auditan je od strane akreditovanih tela pre bilo kakve registracije na nacionalnim listama poverenja.

Odgovornost u slučaju nedostatka sertifikacije: Pružalac bez sertifikacije koji pretrpi povredu podataka što dovodi do kompromitovanja elektronskih potpisa angažuje svoju ugovornu i deliktnu odgovornost. Za klijenta, nedostatak prethodne provere sertifikacija može biti zadržan kao propust u upravljanju cyber rizicima, sposoban da utiče na cyber osiguranja.

Scenariji upotrebe: ISO sertifikacije u praksi

ISO sertifikacije nisu teorijske apstrakcije. Evo tri konkretna scenarija koji ilustruju njihov operativan uticaj u raznovrsnim poslovnim kontekstima.

Scenario 1: Preduzeće za poslovne slučajeve koje bira svog pružaoca elektronskog potpisa

Preduzeće za poslovne slučajeve od dvadesetak saradnika godišnje obradi nekoliko stotina osetljivih činova: transpozicije udela, pakti asocijatora, sporazumi o poverljivosti. IT rukovodilac mora da opravda izbor pružaoca pred partnerima i klijentima velikih kompanija, koji ugovorno zahtevaju da digitalni alati korišćeni budu sertifikovani ISO 27001.

Oslanjajući se na ISO 27001:2022 sertifikaciju odabranog pružaoca, preduzeće može proizvesti potvrdu o usklađenosti tokom klijentske due diligence. Godišnja revizija obnove takođe predstavlja argument tokom javnih poziva, gde se bezbednost podataka sistematski ocenjuje. Rezultat viđen u ovom tipu strukture: smanjenje 60 do 70% vremena posvećenog bezbednosnim pitanjima pri komercijalnim pregovaranjima, i eliminacija dva incidenta povezana sa neusklađenim potpisima tokom perioda od osamnaest meseci.

Scenario 2: Mala industrijska preduzeća koja upravljaju dobavljačkim ugovorima međunarodno

Mala industrijska preduzeća oko 150 zaposlenih upravljajući blizu 300 dobavljačkih ugovora godišnje, od kojih značajan deo sa njemačkim i holandskim partnerima, mora osigurati da su njeni elektronski potpisi priznati u tim zemljama. eIDAS sertifikacija njegovog pružaoca — upisana na francuski list poverenja i nude napredne potpise u skladu sa ETSI EN 319 132 — garantuje pravnu interoperabilnost u evropskom prostoru.

Paralelno, ISO 27001 sertifikacija pružaoca tražena je od strane odelenja nabavke nekoliko njegovih klijenta velikih kompanija pri godišnjim dobavljačkim auditima. Preduzeće procenjuje da je izbeglo dva redefinisanja ugovora (prelazak na ručne potpise zbog neusklađenosti) predstavljajući izbegnut trošak oko 15.000 do 20.000 evra u rokovima i logističkim troškovima, tokom dvanaest meseci.

Scenario 3: Bolnička grupa koja integruje elektronski potpis u svoje HR i medicinske procese

Bolnička grupa od oko 600 kreveta želi da dematerijalizuje i svoje radne ugovore (medicinski osoblje, privremeni lekarи) i sve svoje digitalne saglasnosti za tretman. Dve familije sertifikacija dokazuju neophodne: ISO 27001 za globalnu bezbednost pružaoca, i HDS sertifikacija (Hosting zdravstvenih podataka) za deo tretmana medicinskih podataka.

Grupa bira pružaoca sa obe sertifikacije, što joj omogućava da pokrije sve svoje slučajeve korišćenja u jednom ugovoru, zadovoljavajući zahteve Agencije za digitalno zdravstvo (ANS). Dobitak produktivnosti meren na HR procesima (ugovori sa privremenim lekарима potpisani za manje od dva sata naspram dva do tri dana u verziji papira) predstavlja procenjenu ekonomiju od 40% u troškovima upravljanja administrativnom asocijativnostom, sa godišnjom vrednošću redosled 80.000 do 120.000 evra za volumen od 1.200 potpisanih ugovora godišnje.

Zaključak

ISO 27001, ISO 27017, ISO 27018 sertifikacije i eIDAS kvalifikacije nisu samo znakovi koji se prikazuju na marketing stranama: one predstavljaju temelj auditovanih garancija, redovno proverenih, koje angažuju odgovornost pružaoca i pravno štite klijentsku preduzeće. U 2026. godini, suočene sa rastućom sofisticiranostima cyber pretnji i pojačanom evropskim regulatornim okvirom (NIS2, eIDAS 2.0), izbor pružaoca elektronskog potpisa koji je certifikovan nije više opcija već zahtev upravljanja.

Da biste objektivno poredili dostupne pružaoce na francuskom tržištu, oslanjajte se na četiri ključna kriterijuma identifikovana u ovom članku: točan perimetar sertifikacije, akreditovanje auditnog organa, transparentnost lanca podugovaranja i ugovorne klauzule održavanja. Certyneo zadovoljava sve te zahteve i prati vas u vašoj usklađenosti. Kontaktirajte naš tim da dobijete audit vaše trenutne situacije i saznajte kako preći na elektronski potpis koji je potpuno sertifikovan.

Isprobajte Certyneo besplatno

Pošaljite vašu prvu kovertu za potpisivanje za manje od 5 minuta. 5 besplatnih koverti mesečno, bez kartice.

Saznajte više

Naši kompletan vodiči za savladavanje elektronskog potpisivanja.

Zajednica Certyneo

Imate pitanje o elektronskom potpisu?

Pridružite se zajednici Certyneo: postavite svoja pitanja, delite odgovore i razmenite iskustva sa hiljadama korisnika i našim timom.