ISO-certifiering för elektronisk signatur: guide 2026
ISO 27001, eIDAS, ETSI… certifieringarna för leverantörer av elektronisk signatur har blivit ett oumbärligt urvalskriterium. Upptäck hur du jämför dem effektivt.
Équipe éditoriale Certyneo
Skribent — Certyneo · Om Certyneo
Elektronisk signatur har etablerat sig som en standard i dokumenthanteringen för franska och europeiska företag. Men bakom den tillsynes enkla valideringen genom ett klick döljer sig ett tekniskt och regelverksmässigt ekosystem av stor komplexitet. År 2026 är frågan inte längre "bör vi anta elektronisk signatur?" utan "vilken leverantör erbjuder tillräcklig säkerhet och överensstämmelse för min affärskontext?". ISO-certifieringar — särskilt ISO 27001 — utgör ett av de mest pålitliga svaren på denna fråga. Den här artikeln vägleder dig genom de viktigaste certifieringarna som är tillämpbara på leverantörer av elektronisk signatur, deras verkliga omfattning och de kriterier du bör använda för en grundlig jämförelse.
Varför ISO-certifieringar är avgörande för elektronisk signatur
Elektronisk signatur är inte bara en applikationsfunktion. Den engagerar det undertecknande företagets juridiska ansvar, konfidentialiteten för bearbetade data och det långsiktiga integriteten för arkiverade dokument. Därför är certifieringar som erhållits av en leverantör inte bara marknadsföringsetiketter: de vittnar om en säkerhetsmognivå som granskas av en oberoende tredje part.
ISO 27001: det oumbärliga grundlaget för informationssäkerhet
ISO/IEC 27001 är den internationella referensnormen för ledningssystem för informationssäkerhet (ISMS). Den täcker konfidentialitet, integritet och tillgänglighet för data. För en leverantör av elektronisk signatur betyder denna certifiering att alla dess processer — från skapandet av ett undertecknarskonto till arkiveringen av det signerade dokumentet — omfattas av dokumenterade kontroller som regelbundet granskas av en ackrediterad organisation (typ LSTI, Bureau Veritas, BSI, etc.).
I praktiken ställer ISO 27001 följande krav på leverantören:
- En fullständig inventering av informationstillgångar och deras associerade risker
- Strikta åtkomstkontrollpolicyer (stark autentisering, behörighetshantering)
- Procedurer för incidenthantering och affärskontinuitet
- Regelbundna interna revisioner och årlig ledningsöversyn
- Kontinuerlig övervakning av säkerhetsproblem
Den version som gäller sedan 2022 (ISO/IEC 27001:2022) innehåller 93 säkerhetsmått grupperade under fyra teman: organisatoriska, personliga, fysiska och tekniska. En leverantör som är certifierad enligt denna version visar en aktuell säkerhetshållning inför samtida hot, särskilt ransomware-attacker och komprometteringar av leverantörskedjan.
ISO 27017 och ISO 27018: de oumbärliga molnutvidgningarna
Nästan all SaaS-lösningar för elektronisk signatur bygger på molninfrastrukturer. I detta sammanhang förtjänar två tillägg från ISO 27000-familjen särskild uppmärksamhet:
ISO/IEC 27017 ger specifika riktlinjer för molntjänster, särskilt täckning av det delade ansvaret mellan leverantören och dess underentreprenörer (värdtjänster, tredje parts förtroendeenheter). För en B2B-köpare gör verifiering av att leverantören har denna certifiering eller följer den det möjligt att bekräfta att data lagrad i molnet omfattas av samma säkerhetskrav som lokala miljöer.
ISO/IEC 27018 fokuserar specifikt på skyddet av personuppgifter i molnet. Den kompletterar GDPR genom att definiera operativa metoder: förbjuden användning av data för reklamändamål utan uttryckligt samtycke, transparens om underentreprenörer, rätt till portabilitet. För dataskyddschefer och efterlevnadsansvariga utgör denna certifiering ett ytterligare förtroendebidrag för allvar i hanteringen av undertecknares data.
För att fördjupa dig i det juridiska värde som dessa standarder ger i samband med europeisk rätt, se vår guide om den juridiska värden av elektronisk signatur.
eIDAS-certifieringen och ETSI-normerna: vad det betyder att vara "kvalificerad"
Bortom ISO-normerna tillämpar den europeiska regelramen sina egna överensstämmelsekrav för leverantörer av förtroendetjänster (PSCo). Förordningen eIDAS nr 910/2014, vars revision eIDAS 2.0 håller på att implementeras, skiljer mellan tre nivåer av elektronisk signatur: enkel, avancerad och kvalificerad.
Status som kvalificerad leverantör av förtroendetjänst (PSCO)
För att kunna leverera kvalificerade elektroniska signaturer — den enda nivå som juridiskt motsvarar en handskriven signatur i alla EU-medlemsstater — måste en leverantör registreras på förtroendestatlistan för sin medlemsstat (i Frankrike, listan hanterad av ANSSI). Denna kvalificering baseras på en initialgranskning genomförd av en ackrediterad överensstämmelsegranskningsorgan (CAB), följt av regelbundna övervakningsrevisioner.
De underliggande tekniska normerna publiceras huvudsakligen av ETSI (European Telecommunications Standards Institute):
- ETSI EN 319 401: allmänna krav för PSCo
- ETSI EN 319 411: policy och praktiker för certifiering för certifikatmyndigheter
- ETSI EN 319 132: profiler för XAdES för avancerad XML-signatur
- ETSI EN 319 122: profiler för CAdES för avancerad CMS-signatur
- ETSI EN 319 162: tjänst för registrerad elektronisk leverans
En leverantör certifierad enligt dessa ETSI-normer säkerställer teknisk interoperabilitet för sina signaturer med alla erkända lösningar i det europeiska området, vilket är avgörande för företag som verkar i flera länder. Vår kompletta guide om eIDAS-förordningen beskriver de skyldigheter som är förknippade med varje kvalificeringsnivå.
SOC 2 Type II: det nordamerikanska komplement att övervaka
Även om det är mindre vanligt i det europeiska området krävs SOC 2 Type II-rapport (Service Organization Control) utfärdad enligt AICPA-standarder ofta av stora företag, särskilt de med dotterbolag i USA eller amerikanska partners. Till skillnad från ISO 27001 (certifiering) är SOC 2 en revisionsrapport som bevisar överensstämmelse med trust services-kriterierna (säkerhet, tillgänglighet, integritet för bearbetning, konfidentialitet, sekretess) under en observationsperiod på vanligtvis sex till tolv månader. För en omfattande jämförelse utgör verifiering av att leverantören har en nyligen utfärdad SOC 2 Type II-rapport (mindre än tolv månader gamla) en stark signal om operativ mognad.
Jämför leverantörernas certifieringar: metod och kriterier
Inför mångfalden av tillgängliga certifieringar måste B2B-köpare anta en strukturerad analysram snarare än att förlita sig på enbart marknadsföringsuttalanden. Vår jämförelse av lösningar för elektronisk signatur listar de viktigaste plattformarna tillgängliga i Frankrike; här är hur du utvärderar deras certifieringsnivå.
De fyra frågorna att ställa systematiskt
1. Vilket är det exakta datumet och omfattningen för certifieringen? En ISO 27001-certifiering som erhölls för tre år sedan och inte förnyad erbjuder inte samma garantier som ett giltigt certifikat. Begär alltid det officiella certifikatet och kontrollera omfattningen av det reviderade området: vissa leverantörer certifierar endast sitt huvudkontor och utesluter datacenter eller offshore-utvecklingsteam.
2. Vem genomförde revisionen för certifieringen? Certifieringsorganet måste själv vara ackrediterat av en medlem av IAF (International Accreditation Forum). I Frankrike är COFRAC (Comité Français d'Accréditation) den behörig organisationen. Ett certifikat utfärdat av en icke-ackrediterad organisation har ingen kontraktsuell eller myndighetsmässig värde.
3. Publicerar leverantören sin årliga rapport över intrångstester? ISO 27001-certifieringen kräver regelbundna sårbarhetsgranskningar, men föreskriver ingen standardformat för intrångstester. En mogen leverantör publicerar ett sammanfattat sammanfattning av sin årliga pentest genomförd av tredje part. ANSSI rekommenderar att man använder leverantörer som är kvalificerade enligt PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) för denna typ av övning.
4. Vilka är underentreprenörer och tillhörande certifieringar? En leverantör av elektronisk signatur stöds vanligtvis av en molnvärd (AWS, Azure, OVHcloud, etc.) och ibland av tredjepartsförtroendeenheter för certifiering. Kontrollera att dessa underentreprenörer själva har motsvarande certifieringar (ISO 27001, HDS för hälsodata, SecNumCloud för känslig data). Förtroendekedjan är bara värd något om var och en av dess länkar är reviderad.
Det särskilda fallet HDS-ramverk för hälsodata
För sjukhus, äldreboenden, ömsesidiga försäkringar eller försäkringsgivare som hanterar medicinska data är HDS-certifieringen (Hébergeur de Données de Santé) ett tillägg till ISO-kraven. Sedan förordningen den 26 januari 2018 måste varje värd för medicinska personuppgifter vara certifierad HDS av en ackrediterad organisation. För en leverantör av elektronisk signatur som används i medicinsk sammanhang — samtycke till behandling, receptförskrivning, sjukhusrapport — är denna certifiering ett villkor utan vilket. Upptäck specifika aspekter för elektronisk signatur inom hälsovården för att bedöma dina skyldigheter.
Certifieringarnas inverkan på avtalsnegotiering och due diligence
Certifieringarna som erhålls av en leverantör är inte endast försäljningsargument: de strukturerar förhållandet mellan parterna och fördelningen av ansvar.
Avtalsklausuler att systematiskt inkludera
Vid förhandlingar om ett avtal med en leverantör av elektronisk signatur förtjänar flera klausuler direkt relaterade till certifieringar särskild uppmärksamhet:
- Certifieringsupprätthållande klausul: leverantören åtar sig att upprätthålla sina certifieringar under hela avtalets löptid och att omedelbar meddela varje tillbakadragning eller suspension.
- Granskningsklausul: kunden behåller rätten att genomföra eller få genomförd en säkerhetsgranskning hos leverantören under definierade villkor (föranmälan, omfattning, resultatens konfidentialitet).
- Underentreprenörklausul: varje ändringar av underentreprenörkedjan måste vara föremål för föregående underrättelse, med möjlighet till uppsägning om den nya underentreprenören inte uppfyller de definierade certifieringskraven.
- SLA för tillgänglighet: för leverantörer certifierade enligt ISO 27001 är ett åtagande om tillgänglighet (SLA) på minst 99,9 % på månadsbasis en rimlig förväntan, med ekonomiska påföljder om otillgänglighetsgränserna överskrids.
Dessa avtalsaspekter ingår i ett bredare tillvagagåendesamband för elektronisk signatur i företaget, som vi beskriver i vår dedikerade guide.
Certifieringarnas bidrag i samband med GDPR- eller NIS2-granskning
Sedan NIS2-direktivet (implementerat i fransk rätt genom lagen den 15 april 2025) trädde i kraft måste väsentliga och viktiga enheter demonstrera att deras kritiska leverantörer — inklusive leverantörer av elektronisk signatur — uppfyller minimala cybersäkerhetskrav. Certifieringen ISO 27001 hos en leverantör utgör ett dokumenterat bevis som kan användas vid en NIS2-granskning eller en inspektion av CNIL. Det visar särskilt implementeringen av artikel 32 i GDPR, som kräver lämpliga tekniska och organisatoriska åtgärder för att garantera en säkerhetsnivå som motsvarar risken.
För företag som önskar migrera från en mindre certifierad lösning till en plattform som erbjuder högre överensstämmelsemekanismer beskriver vår guide för migration till Certyneo stegen och försiktighetsåtgärderna att respektera.
Rättsligt ramverk tillämpligt på certifieringar av leverantörer av elektronisk signatur
Den juridiska giltigheten för en elektronisk signatur bygger på ett lager av europeiska och nationella normer vars kunskap är väsentlig för att korrekt bedöma en leverantörs certifieringar.
Civilkod, artiklar 1366 och 1367: Dessa artiklar utgör grunden för fransk rätt om elektronisk signatur. Artikel 1366 stadgar att "elektronisk handling har samma bevisverkan som handling på papper, under förutsättning att personer från vilken den härrör kan behöriga identifieras och att den är upprättad och bevarad på ett sätt som är lämpligt att garantera dess integritet". Artikel 1367 förtydligar att "signatur som är nödvändig för att fullborda en juridisk handling identifierar dess författare" och att när den är elektronisk "består den av användningen av en tillförlitlig identifieringsmetod som garanterar dess länkning till den handling till vilken den är knuten". ISO 27001-certifieringar och eIDAS-kvalifikationer bidrar direkt till att etablera denna tillförlitlighetspreferens.
Förordning eIDAS nr 910/2014: Denna europeiska förordning, som är direkt tillämplig i alla medlemsstater, definierar de tre nivåerna av elektronisk signatur (enkel, avancerad, kvalificerad) och förpliktar leverantörer av förtroendetjänster att underkasta sig överensstämmelserevisioner enligt ETSI-normerna. Dess artikel 24 specificerar de krav som gäller för kvalificerade leverantörer, särskilt skyldigheten att anställa kvalificerad personal och upprätthålla tillräckliga finansiella resurser. Revisionen eIDAS 2.0 (EU-förordning 2024/1183, som trädde i kraft den 20 maj 2024) skärper dessa krav genom att införa den europeiska portföljen för digital identitet (EUDIW) och utöka omfattningen av erkända förtroendetjänster.
GDPR nr 2016/679: Artiklarna 28 (personuppgiftsbiträde), 32 (säkerhet för behandlingen) och 35 (konsekvensbedömning) är direkt relevanta när en leverantör av elektronisk signatur behandlar personuppgifter för en datakontrollants räkning. Artikel 32 kräver särskilt pseudonymisering och kryptering av personuppgifter, förmåga att garantera sekretess, integritet och motståndskraft hos systemen. En ISO 27001-certifiering som täcker dessa aspekter gör det möjligt att delvis uppfylla denna demonstrationsskyldighetå.
NIS2-direktiv (EU 2022/2555, implementerat genom fransk lag den 15 april 2025): Det förpliktar väsentliga och viktiga enheter att hantera risker relaterade till deras digitala leverantörskedja, inklusive sina leverantörer av elektronisk signatur. Artikel 21 i NIS2 listar minimala cybersäkerhetsmått varav flera överlappar direkt ISO 27001-kraven.
ETSI-normer: Normerna EN 319 401, EN 319 411-1, EN 319 411-2, EN 319 132 (XAdES), EN 319 122 (CAdES) och EN 319 162 definierar de tekniska kraven för kvalificerade leverantörer av förtroendetjänster. Deras efterlevnad granskas av ackrediterade organisationer innan registrering på nationella förtroendelistor.
Ansvar vid certifieringsbrist: En icke-certifierad leverantör som genomgår en datakränkning som leder till kompromiss av elektroniska signaturer engagerar sitt kontraktuella och skadeståndsansvar. För kunden kan frånvaron av föregående verifiering av certifieringar betraktas som fel i hanteringen av cyberrisker, som kan påverka cyberförsäkringsskyddet.
Användningsscenarier: ISO-certifieringar i praktiken
ISO-certifieringar är inte teoretiska abstraktioner. Här är tre konkreta scenarier som illustrerar deras operativa inverkan i varierande affärssammanhang.
Scenario 1: Ett affärsadvokatbyrå väljer sin leverantör för elektronisk signatur
Ett affärsadvokatbyrå med omkring tjugo medarbetare hanterar årligen flera hundra känsliga handlingar: avyttringar av andelar, associerade avtal, sekretessavtal. IT-ansvarig måste motivera sitt leverantörsval inför associerade och storkunder som avtalsmässigt kräver att digitala verktyg som används ska vara ISO 27001-certifierade.
Genom att förlita sig på den valda leverantörens ISO 27001:2022-certifiering kan byrån presentera ett överstämmelseattest vid kunders due diligence. Den årliga förnyelserevisionen utgör också ett argument vid upphandlingar, där datasäkerhet systematiskt utvärderas. Observerat resultat i denna typ av struktur: 60 till 70 procents minskning av tid tillägnad säkerhetsfrågor under affärsförhandlingar, och eliminering av två incidenter relaterade till icke-överensstämmande signaturer under en aderttonmånadersperiod.
Scenario 2: En tillverknings-SMF som hanterar leverantörskontrakt internationellt
En tillverknings-SMF på omkring 150 anställda som hanterar nära 300 leverantörskontrakt årligen, med en betydande del med tyska och nederländska partners, måste säkerställa att dess elektroniska signaturer erkänns i dessa länder. Dess leverantörs eIDAS-certifiering — registrerad på den franska förtroendelistan och erbjuder avancerade signaturer som är överensstämmande med ETSI EN 319 132 — garanterar juridisk interoperabilitet i det europeiska området.
Parallellt kräver inköpsdepartementet hos flera av dess storkunder att leverantörens ISO 27001-certifiering under årliga leverantörsrevisioner. Företaget uppskattar ha undvikit två avtalsomkvalifikationer (övergång till handskriven signatur för icke-överensstämmelse) som representerar en undviken kostnad på omkring 15 000 till 20 000 euro i förseningar och logistikkostnader, under tolv månader.
Scenario 3: En sjukhusklinik integrerar elektronisk signatur i sina HR- och medicinska processer
En sjukhusklinik med omkring 600 bäddar önskar digitalisera både sina arbetarkontrakt (sjukvård, läkarövergång) och sina digitala samtyckessamtal. Två familjer av certifieringar är oumbärliga: ISO 27001 för leverantörens övergripande säkerhet, och HDS-certifiering (Hébergeur de Données de Santé) för delen behandling av medicinska data.
Kliniken väljer en leverantör med båda certifieringarna, vilket gör att den kan täcka alla sina användningsfall i ett enda avtal samtidigt som den uppfyller kraven från Agence du Numérique en Santé (ANS). Produktivitetsvinsten uppmätt på HR-processer (läkarövergångskontrakt signerade på mindre än två timmar jämfört med två till tre dagar i pappersversion) representerar en uppskattat 40 procents sparande på administrativa hanteringskostnader, motsvarande ett årligt värde på omkring 80 000 till 120 000 euro för en volym på 1 200 kontrakt signerade per år.
Slutsats
ISO 27001-, ISO 27017-, ISO 27018-certifieringar och eIDAS-kvalifikationer är inte bara märken som visas på en marknadsföringssida: de utgör ett ramverk av revisionsgranskade garantier som regelbundet verifieras och som engagerar leverantörens ansvar och skyddar det kundföretaget juridiskt. År 2026, ansikte mot den växande sofistikering av cyberbrotten och det hårdnande europeiska regelramverket (NIS2, eIDAS 2.0), är valet av en certifierad leverantör av elektronisk signatur inte längre ett alternativ utan en styrningskrav.
För att objektivt jämföra de leverantörer som finns på den franska marknaden, förlita dig på de fyra nyckelkriterierna som identifierats i denna artikel: certifieringens exakta omfattning, revisionsorganets ackreditering, transparens om underentreprenörkedjan och avtalsklausuler för certifieringsupprätthållande. Certyneo uppfyller alla dessa krav och stödjer dig i din efterlevnadsöversättning. Kontakta vårt team för att få en granskning av din nuvarande situation och upptäck hur du går över till en fullt certifierad elektronisk signatur.
Prova Certyneo gratis
Skicka ditt första signeringskuvert på mindre än 5 minuter. 5 gratis kuvert per månad, utan kreditkort.
Fördjupa dig i ämnet
Våra kompletta guider för att behärska elektronisk signatur.
Rekommenderade artiklar
Fördjupa dina kunskaper med dessa artiklar som är kopplade till ämnet.
Skribble vs Oodrive : comparatif complet des solutions de signature électronique en 2026
Skribble eller Oodrive? Utforska vår expertanalys av två elektroniska signeringsplattformar för att välja den lösning som är mest förenlig med dina B2B-behov 2026.
Signatur elektronisk molnet eller lokal: vilket val år 2026?
Cloud SaaS eller lokal distribution: valet av värdserver för din lösning för elektronisk signatur påverkar säkerhet, kostnader och eIDAS-överensstämmelse. Upptäck vår expertanalys.
Elektronisk signatur: gratis eller betalad, vad väljer man 2026?
Mellan begränsade gratisalternativ och betalda lösningar som uppfyller eIDAS, är valet inte enkelt för ett litet företag. Upptäck vår jämförelse för att fatta ett välgrundat beslut.