Elektronski potpis i norma ISO 27001: vodič 2026

Elektronski potpis je postao suština B2B ugovornih procesa, ali njegova pravna i komercijalna vrednost zavisi od preduslov koji se često podcenjuje: robusnost sistema informacija koji ga podržava. Upravo tu ulazi norma ISO/IEC 27001, međunarodni referentni okvir za upravljanje bezbednoscu informacija. U 2026. godini, kada se napadai usmereni na platforme za potpisivanje umnožavaju i kada regulativa eIDAS 2.0 pojačava zahteve za davatelje poverenja, pitanje ISO 27001 sertifikacije više nije luksuz rezervisan za velike klijente: postaje standardni kriterijum izbora za svaki raspored elektronskog potpisa u preduzeću.

Ovaj članak analizira sinerije između ISO 27001 i elektronskog potpisa, konkretne obaveze koje namećete, rizike neusklađenosti i korake za dobijanje ili procenu sertifikacije kod vašeg SaaS davatelja usluga.

Šta je norma ISO 27001 i zašto je ona centralna za elektronski potpis?

Objavljena od strane Međunarodne organizacije za normalizaciju (ISO) i Međunarodne elektrotehničke komisije (IEC), norma ISO/IEC 27001:2022 (verzija revidirana u oktobru 2022) definiše zahteve za uspostavljanje, primenu, održavanje i kontinualno poboljšanje Sistema za upravljanje bezbednoscu informacija (SMSI). Pokriva 93 kontrole podeljene u četiri teme: organizacione kontrole, kontrole osoba, fizičke kontrole i tehnološke kontrole.

Za elektronski potpis, ova norma ima posebnu važnost jer direktno rešava tri stuba bezbednosti informacija:

• Poverljivost: zaštita potpisanih dokumenata od neovlašćenog pristupa
• Integritet: garantija da dokumenti nisu izmenljivi nakon potpisivanja
• Dostupnost: pristupačnost dokazima o potpisu u slučaju mogućeg spora

ISO 27001 kontrole direktno primenjive na elektronski potpis

Među 93 kontrole u prilogu A norme, nekoliko se direktno primenjuje na tokove potpisivanja:

Kontrola 5.14 – Prenos informacija: nameće formalna pravila za bezbednu prenosu dokumenata na potpisivanje, posebno preko šifrenih protokola (minimum TLS 1.3).

Kontrola 8.24 – Korišćenje kriptografije: zahteva dokumentovanu politiku šifrovanja koja pokriva algoritme korišćene za generisanje i verifikaciju elektronskih potpisa. U praksi, to implicira korišćenje algoritama usklađenih sa preporukama ANSSI-ja (minimum RSA-3072 ili ECDSA-256 u 2026).

Kontrola 8.12 – Sprečavanje curenja podataka (DLP): štiti lične podatke sadržane u potpisanim dokumentima, u direktnoj usklađenosti sa obavezama GDPR-a.

Kontrola 5.18 – Prava pristupa: garantuje da samo ovlašćena lica mogu inicijati, potpisati ili konsultovati dokument na platformi.

ISO 27001 vs druge bezbednosne sertifikacije: koja je komplementarnost?

ISO 27001 nije jedina relevantna norma, ali čini osnovu. Ona se dopunjuje sa:

• SOC 2 Type II (američka norma, često zahtevana od strane preduzeća kotiranih na NYSE)
• ISO/IEC 27017 i 27018: specifične ekstenzije za cloud i zaštitu ličnih podataka u cloud-u
• Kvalifikacija eIDAS dostavljena od strane akreditovanih tela (LSTI u Francuskoj): obavezna za Kvalifikovane davatelje usluga poverenja (PSCQ)

Davatelj usluga elektronskog potpisa sertifikovan ISO 27001 I kvalifikovan eIDAS-om nudi tako maksimalan nivo garancija, usklađen sa onim što je detaljno u kompletan vodič regulacije eIDAS 2.0.

Specifični zahtevi za davatelje elektronskog potpisa SaaS

Izbor SaaS-a elektronskog potpisa sertifikovanog ISO 27001 ne znači da je vaša vlastita organizacija pokrivena, ali snažno uslovljava nivo preostale rizika koji preuzimate.

Opseg sertifikacije: šta treba proveriti

Tokom evaluacije dobavljača, tri pitanja su odlučujuća:

1. Da li opseg sertifikacije pokriva uslugu potpisivanja? Izdavač može biti sertifikovan ISO 27001 za svoje aktivnosti razvoja softvera bez da je platforma za potpisivanje u opsegu. Zahtevajte zvanični sertifikat i proverite deklaraciju opsega (Statement of Applicability).

1. Da li je sertifikacija ažurna? ISO 27001 nameće godišnje nadzorne revizije i preporodni audit svake tri godine. Istekao sertifikat poništava bilo kakvu garanciju.

1. Koje telo sertifikacije? U Francuskoj, tela akreditovana od COFRAC-a (Bureau Veritas, SGS, BSI Group, LRQA…) izdaju priznate sertifikate. Samodeklaracija usklađenosti nema nikakvu pravnu vrednost.

Upravljanje inženjima i kontinuitet poslovanja

ISO 27001 zahteva dokumentovan i testiran Plan kontinuiteta poslovanja (PCA) i Plan oporavka poslovanja (PRA). Za platformu elektronskog potpisa, to se konkretno prevodi u:

• RTO (Recovery Time Objective) manji od 4 sata za proizvodne okoline
• RPO (Recovery Point Objective) manji od 1 sata, izbegavajući bilo kakav gubitak podataka o potpisima
• Testirane procedure oporavka najmanje polugodišnje
• Procedura obaveštavanja o bezbednosnim inženjima u skladu sa članom 33 GDPR-a (maksimalno 72 sata)

Ovi zahtevi se nadovezuju sa onima iz direktive NIS2, prenete u francusko pravo zakonom br. 2024-449 od 21. maja 2024, koji nameće osnovnim i važnim subjektima obaveze izveštavanja o inženjima i pojačane mere sajber bezbednosti.

Kako sertifikacija ISO 27001 pojačava dokaznu vrednost elektronskog potpisa

Često nepoznat pravnicima i kupcima: pravna čvrstina kvalifikovanog elektronskog potpisa delimično zavisi od tehnike lanca poverenja koja ga podržava. Dokument potisан na platformi čija je bezbednost ugrožena može videti svoju dokaznu vrednost osporeanu pred sudom.

Integritet podataka kao pravni temelj

Član 1366 Građanskog zakonika kaže da elektronski potpis ima vrednost rukom pisanog potpisa "pod uslovom da se autor može dužno identifikovati i da se uspostavi i čuva pod uslovima koji gde garantuju njegov integritet". Ovaj uslov integriteta je upravo centralni predmet ISO 27001.

U slučaju spora, davatelj sertifikovan ISO 27001 može proizvesti:

• Nepromenjive dnevnike revizije koji dokazuju istoriju pristupa
• Izveštaje revizije sertifikacije koji potvrđuju kontrole na mestu
• Politiku upravljanja kriptografskim ključevima u skladu sa prilogom A

Ovi elementi čine snop dokaza koji značajno pojačava poziciju strane koja poziva valjanost potpisa. Za više informacija o dokaznoj vrednosti različitih nivoa potpisivanja, konzultujte naš poredak rešenja elektronskog potpisivanja.

Dokazna arhivacija i rok čuvanja

ISO 27001, u kombinaciji sa normom NF Z42-020 (digitalni seif) i preporukama ETSI EN 319 162 (kvalifikovana usluga elektronske arhivacije), omogućava definisanje politike arhiviranja koja garantuje dokaznu vrednost potpisa tokom dugih perioda — do 30 godina za određene trgovačke ugovore.

Kontrola 8.10 – Brisanje informacija ISO 27001 moreover nameće dokumentovane procedure za bezbedno uništavanje podataka na kraju životnog ciklusa, u skladu sa pravom na brisanje GDPR-a (član 17).

Kako proceniti i zahtevati ISO 27001 usklađenost vašeg davatelja potpisa

U kontekstu procesa kupovine ili obnavljanja SaaS ugovora, evo protokola evaluacije u četiri koraka.

Korak 1: Zahtevajte i proverite zvanični sertifikat

Zahtevajte sertifikat ISO/IEC 27001:2022 (a ne verziju 2013, sada zastarelu od oktobra 2025) propraćen najnovijim izveštajem nadzorne revizije. Proverite datum validnosti na registru tela sertifikacije.

Korak 2: Analizirajte deklaraciju primenjivosti (SoA)

Statement of Applicability navodi odabrane i isključene kontrole, sa obrazloženjem. Bilo koja isključena kontrola bez dokumentovanog obrazloženja predstavlja preostalu rizik da evaluirate u vašoj analizi dobavljačkog rizika.

Korak 3: Integrirajte zahteve u ugovor

Vaš ugovor sa davateljem mora sadržavati:

• Klauzulu održavanja sertifikacije sa obavezom obaveštavanja u slučaju suspenzije
• Pravo revizije ili pristup godišnjim izveštajima revizije trećih strana
• SLA bezbednosti poravnate sa PCA/PRA davatelja
• Klauzulu odgovornosti u slučaju bezbednosnog inženja koji utiče na integritet potpisa

Korak 4: Obavite vlastitu analizu rizika

Čak i sertifikovani davatelj ne pokriva vaše unutrašnje rizike. ISO 27001 nameće vašoj vlastito organizaciji analizu rizika (klauzula 6.1.2) koja pokriva posebno:

• Upravljanje pristupom saradnika platformi elektronskog potpisivanja
• Svest o napadima phishinga usmerenim na tokove potpisivanja
• Politika upravljanja delegacijama potpisivanja

Ovaj pristup se prirodno integrira u globalnu politiku upravljanja elektronskim potpisom za HR i pravne timove, gde količine obrađenih dokumenata izlažu značajnim operativnim rizicima.

Primenjivi pravni okvir na elektronski potpis i ISO 27001

Usklađenost sistema elektronskog potpisa počiva na slojevitoj normativnoj strukturi koju svako B2B preduzeće mora razumeti.

Građanski zakonik, članovi 1366 i 1367: Član 1366 postavlja ekvivalenciju između elektronskog i rukom pisanog potpisa pod uslovom identifikacije autora i garancije integriteta. Član 1367 definiše elektronski potpis kao "korišćenje pouzdanog procesa identifikacije koji gde garantuje njegovu vezu sa aktom kojem se nadovezuje".

Regulativa eIDAS br. 910/2014 i eIDAS 2.0 (Regulativa EU 2024/1183): Primenjiva u svim državama članicama EU, razlikuje tri nivoa potpisivanja (jednostavni, napredni, kvalifikovani) i nameće Kvalifikovanim davateljima usluga poverenja (PSCQ) revizije usklađenosti od strane akreditovanih tela. Revizija eIDAS 2.0, stupila na snagu postepeno od maja 2024, pojačava zahteve nadzora i uvodi Evropski digitalni novčanik identiteta (EUDIW).

Regulativa GDPR br. 2016/679: Lični podaci sadržani u potpisanim dokumentima (identitet potpisnika, IP adresa, vremenska oznaka) čine podatke o ličnosti. Odgovoran za obradu mora osigurati njihovu zaštitu (član 5), prijaviti kršenja u roku od 72 sata (član 33) i primenjivati zaštitu od dizajna (član 25). ISO 27001 daje tehnički okvir za usklađenost.

Direktiva NIS2 (Direktiva EU 2022/2555), preneta u francusko pravo zakonom br. 2024-449 od 21. maja 2024: Bitni i važni subjekti — među kojima mnogi B2B akteri — moraju primenjivati mere sajber bezbednosti proporcionalne uključujući upravljanje rizicima vezanim uz dobavljače (član 21). Davatelj potpisa nesertifikovan ISO 27001 može predstavljati rizik trećeg lica u smislu NIS2.

ETSI norme: Serija ETSI EN 319 100 definiše tehničke zahteve za kvalifikovane elektronske potpise (EN 319 132 za XAdES, EN 319 122 za CAdES, EN 319 142 za PAdES). Ove tehničke norme predpostavljaju infrastrukturu bezbednosti usklađenu sa ISO 27001 standardima.

ANSSI referentni okvir: U Francuskoj, Agencija za nacionalnu bezbednost informacionih sistema objavljuje preporuke o kriptografskim algoritmima (referentni okvir RGS — Referentni opšti okvir bezbednosti) čija primena je olakšana sertifikovanim SMSI-om ISO 27001. Kvalifikacija eIDAS francuskih davatelja je obrađena od strane ANSSI kao nacionalnog tela nadzora.

Odsustvo ISO 27001 sertifikacije kod davatelja potpisa izlaže klijentsko preduzeće rizicima osporavanja dokazne vrednosti potpisanih dokumenata, GDPR sankcijama (do 4% svetskog prometa ili 20 M€) i postavljanju pitanja njegove NIS2 usklađenosti.

Scenariji korišćenja: ISO 27001 i elektronski potpis u praksi

Scenario 1 — Kancelarija za poslovne sporove sa 25 saradnika

Kancelarija specijalizovana za fuzije i akvizicije godišnje obradi preko 600 akata koji zahtevaju napredni ili kvalifikovani elektronski potpis (NDA, protokoli sporazuma, sporazumi o cesiji). Nakon unutrašnje revizije koja je otkrila nedostatke u praćenju pristupa platformi za potpisivanje, kancelarija odlučuje prihvatiti samo davatelje sertifikovane ISO/IEC 27001:2022 sa opsegom koji eksplicitno pokriva uslugu potpisivanja.

Rezultat: Nakon migracije na sertifikovanu platformu, kancelarija primećuje smanjenje od 40% vremena posvećenog revizijama bezbednosti tokom poziva za ponude klijenta, i može proizvesti izveštaje revizije sertifikacije u roku od 48 sati na zahteve velikih klijenta. Prosečno vreme validacije ugovora pada sa 3,2 dana na 1,4 dan.

Scenario 2 — Industrijska kompanija sa upravljanjem 1 500 dobavljačkih ugovora godišnje

Mala industrijska kompanija kot Tier-1 poddobavljač proizvođača automobila mora dokazati svom naručiocu da je celi njen lanac elektronskog potpisivanja (nalozi, okvirni ugovori, avensi) u skladu sa ISO 27001 zahtevima nametnuti od strane referentnog okvira nabavki grupe. Mala kompanija izvršava kartiranje rizika dobavljača prema klauzuli 6.1.2 norme i identifikuje da njen bivši SaaS davatelj ne poseduje važeću sertifikaciju.

Nakon migracije na sertifikovano rešenje i primene unutrašnjeg SMSI, mala kompanija dobija traženu kvalifikaciju dobavljača i osigurava četvorogodišnji okvirni ugovor. Cena sertifikacije (približno 15 000 do 25 000 € za malu kompaniju te veličine prema specijalizovanim konsultantskim kancelarijama) se amortizuje za manje od šest meseci s obzirom na obezbeđeni ugovorni volumen.

Scenario 3 — Hospitalni kompleks sa oko 1 200 kreveta

U zdravstvu, zdravstvene ustanove podleže pojačanim zahtevima: obrada medicinskih podataka (posebna kategorija prema članom 9 GDPR), sertifikacija HDS (Host zdravstvenih podataka) i sada NIS2 kvalifikacija kao bitnog subjekta. Hospitalni kompleks primenjuje elektronski potpis za svoje radne ugovore, konvencije kliničkog istraživanja i javne nabavke (oko 900 dokumenata/mesečno).

Izborom davatelja koji kombinuje ISO 27001 sertifikaciju, HDS sertifikaciju i PSCQ eIDAS kvalifikaciju, ustanova smanjuje svoju izloženost GDPR rizicima neusklađenosti za 60% prema svom DPO-u, i koristi dokaznu arhivaciju garantovanu 30 godina za pravno medicinske dokumente. Vreme potpisivanja kliničkih istraživačkih ugovora pada sa 12 dana na prosečno 3,5 dana, oslobađajući značajne resurse za administrativne timove.

Zaključak

U 2026. godini, sertifikacija ISO/IEC 27001:2022 više nije jednostavno marketinški argument za davatelje elektronskog potpisa: predstavlja neophodnu tehniku i pravnu osnovu za garantovanje integriteta potpisanih dokumenata, GDPR i NIS2 usklađenosti, i dokazne vrednosti ugovornih obaveza. Za B2B preduzeća, zahtevanje ove sertifikacije od svog SaaS dobavljača postalo je obaveza razumne brige, jednako kao i verifikacija eIDAS kvalifikacije.

Certyneo je sertifikovan ISO/IEC 27001:2022 sa opsegom koji pokriva celu svoju platformu elektronskog potpisivanja. Naši timovi mogu vas pratiti u evaluaciji vaše trenutne usklađenosti i primeni bezbednog tokova potpisivanja prilagođenog vašim volumima i industriji. Zahtevajte besplatnu demonstraciju na Certyneo ili istražite naše cene da pronađete formulu prilagođenu vašoj organizaciji.