Gå till huvudinnehål
Certyneo

Signatur elektronisk molnet eller lokal: vilket val år 2026?

Cloud SaaS eller lokal distribution: valet av värdserver för din lösning för elektronisk signatur påverkar säkerhet, kostnader och eIDAS-överensstämmelse. Upptäck vår expertanalys.

Équipe éditoriale Certyneo11 min lästid

Équipe éditoriale Certyneo

Skribent — Certyneo · Om Certyneo

Introduktion

Att välja mellan en elektronisk signatur i molnet och lokal värdserver är ett av de mest strukturerande strategiska besluten för en IT-chef eller juridisk direktör 2026. Även om SaaS i stor utsträckning lockat små och medelstora företag med sin enkla implementering, ifrågasätter stora företag och organisationer som är föremål för sektoriella regelkrav fortfarande relevansen av internaliserad värdserver. Denna omfattande jämförelse analyserar de två modellerna enligt fem nyckelaxlar: datasuvränitet, teknisk säkerhet, eIDAS-överensstämmelse, total ägandekostnad och affärsmässig smidighet. I slutet av denna artikel kommer du att ha ett operativt beslutsramverk för att välja den arkitektur som passar din situation.

Förstå de två värdservermodellerna

Elektronisk signatur i molnet (SaaS)

I en molnmodell driver utgivaren hela infrastrukturen: servrar, uppdateringar, tillgänglighet, säkerhetskopiering och datasäkerhet. Klientföretaget får åtkomst till lösningen via ett API eller webbgränssnitt utan någon lokal installation. Aktörer på den europeiska marknaden — inklusive Certyneo — förlitar sig vanligtvis på datacenter certifierade enligt ISO 27001 lokaliserade inom Europeiska unionen (Frankrike, Tyskland, Nederländerna), vilket garanterar GDPR-överensstämmelse utan ytterligare ansträngningar från klienten.

Fördelarna är välkända: distribution på några timmar, omedelbar skalbarhet, automatiska uppdateringar som innehåller regelverksförändringar (eIDAS 2.0, DSP3, NIS2), och en användarbaserad ekonomisk modell (OPEX). Enligt Markess by Exaegis-rapporten från 2025 föredrar nu 78 % av franska företag med färre än 500 anställda SaaS för sina avpaperiserings­verktyg.

Lokal distribution

Lokal distribution innebär att installera elektronisk signaturplattformen direkt på företagets servrar eller i ett privat datacenter som det kontrollerar. Denna modell erbjuder fullständig kontroll över data, flöden och säkerhetsprinciper. Den antas historiskt av banker, försäkringsbolag, sjukhus eller offentliga förvaltningar som hanterar känslig data omfattad av specifika ramverk (HDS, SecNumCloud, PGSSI-S).

Motsvarelsen är en betydande operativ belastning: IT-teamet måste hantera uppdateringar, certifikat för kvalificerad signering, HSM-moduler (Hardware Security Modules), hög tillgänglighet och regelverksövervakning. Den initiala kostnaden (CAPEX) är hög, med licenser som kan överstiga 80 000 € för en företaginstallation, varpå kommer årliga infrastrukturkostnader.

Datasuvränitet och regelöverensstämmelse

GDPR och datalokaliseringu

eIDAS-förordningen och dess konsekvenser för dina kvalificerade signaturer kräver att leverantörer av förtroendetjänster (PSCo) granskas och listas på nationella betrodda listor. Oavsett om du väljer molnet eller lokal distribution måste din lösning absolut bygga på en kvalificerad PSCo. Den verkliga GDPR-frågan gäller överföringar utanför EU: ett moln värd­erat hos en amerikansk hyperscaler (AWS, Azure, GCP) utan giltiga standardavtalsklausuler (SCC) utsätter företaget för sanktioner som kan nå 4 % av den årliga globala omsättningen.

Europeiska molnlösningar som Certyneo uppfyller detta krav nativt, med servrar placerade uteslutande i Frankrike och ett DPA (Data Processing Agreement) i enlighet med GDPR-artikel 28 tillhandahållet vid prenumerationen.

SecNumCloud och reglerade sektorer

För operatörer av vital betydelse (OIV) och organisationer som är föremål för DINUM:s molndoktrin krävs ANSSI:s SecNumCloud-kvalificering allt mer. År 2026 har endast några få franska molnaktörer erhållit denna kvalificering (OVHcloud, Outscale). Berörda organisationer måste därför antingen välja ett molnalternativ kvalificerat enligt SecNumCloud, eller upprätthålla en lokal distribution i överensstämmelse med ANSSI RGS v2-ramen.

Notera att NIS2, genomförd i fransk lag genom lagen av den 26 januari 2025, utökar cybersäkerhetskraven till mer än 15 000 väsentliga och viktiga enheter, vilket skapar nytt normativt tryck på arkitekturvalet.

Total ägandekostnad: jämförande analys

TCO-analys (Total Cost of Ownership) över 5 år avslöjar systematiskt en molnfördel för volymer under 50 000 signaturer per år. Därefter kan lokal distribution bli konkurrenskraftig om infrastrukturen redan finns. Certyneo:s ROI-kalkylator gör det möjligt att exakt beräkna denna vändpunkt enligt din volym och sektor.

En typisk lokal distribution för ett företag med 1 000 anställda representerar:

  • Initial licens: 60 000 till 120 000 €
  • HSM-infrastruktur och dedikerade servrar: 30 000 till 50 000 €
  • Årligt underhåll (20 % av licensen): 12 000 till 24 000 €/år
  • Interna IT-resurser: 0,5 till 1 dedikerad heltidsanställd

Jämfört med detta kostar en motsvarande molnlösning SaaS vanligtvis 18 000 till 40 000 €/år allt inklusive, med noll CAPEX.

Teknisk säkerhet: fördelar och begränsningar för varje modell

Säkerhet i molnmiljö

Till skillnad från en utbredd fördom erbjuder molnet från en specialiserad utgivare ofta en högre säkerhetsnivå än en typisk företagsintern lokal infrastruktur. Orsakerna är strukturella: utgivare investerar massivt i dedikerade team (24/7 SOC, kvartalsvis penetrationstestning, ISO 27001- och SOC 2 Type II-certifieringar), vilket ligger långt bortom de flesta interna IT-chefernas räckvidd.

Bästa praxis inkluderar AES-256-kryptering i vila och TLS 1.3 under överföring, obligatorisk flerfaktorsautentisering, oföränderlig loggning av signaturhändelser och geograﺅdundanta säkerhetskopior. Den juridiska värdet av elektronisk signatur bygger just på denna obeslöjbar spårbarhet.

Risker specifika för lokal distribution

Lokal distribution genererar vissa risker som ofta är underskattade:

  • Versionsdrift: utan dedikerat team försenkas kryptografiska uppdateringar (certifikatspärr, övergång till SHA-3), vilket exponerar företaget för tekniskt ogiltiga signaturer.
  • HSM-hantering: en felkonfigurerad Hardware Security Module eller vars firmware inte uppdateras årligen upphäver garantierna för non-repudiation.
  • Resumé för verksamhetskontinuitet: tillgängligheten (SLA) för en intern lokal distribution överskrider sällan 99,5 %, jämfört med 99,95 % för en strukturerad molnlösning SaaS.

För organisationer som önskar kombinera suverünitet och operativ delegering utgör privat molnmodellen (dedikerat Private Cloud i ett tredjepartsdatacenter certifierat HDS eller SecNumCloud) en relevant mellanväg.

Integrering, smidighet och skalbarhet

API och interoperabilitet

De två modellerna exponerar nu dokumenterade REST API:er. Tuttterminerad uppdateringshastighetenn är strukturellt olika: en molnutgivare distribuerar nya funktioner (biometrisk signering, AI för identifiering av dokumentfalsifiering, stöd för eIDAS 2.0 Wallet) inom några veckor, medan lokal distribution innebär en intern kvalificeringscykel på 3 till 6 månader per huvudversion.

För att integrera elektronisk signatur i ett ERP (SAP, Oracle), ett HRIS eller ett DMS (OpenText, Alfresco) erbjuder molnet förkonstruerade anslutningar som underhålls av utgivaren. Den fullständiga jämförelsen av elektroniska signerarlösningar detaljer integrationsmöjligheter för huvudaktörer på marknaden.

Skalbarhet och volym

I molnet är skalbarhet nästan omedelbar: en kampanj med 10 000 samtidiga signaturer (aktieägarstämmor, massiv HR-distribution) absorberas utan förkonfiguration. Lokal distribution måste förutse toppar genom översizing av infrastrukturen, vilket genererar oproduktiva kostnader.

Organisationer i snabb tillväxt eller med säsongsvarierade cykler (fastigheter, försäkringar) drar särskilt nytta av molnets elasticitet. Elektronisk signatur i fastigheter erfar till exempel volymtoppar kopplade till marknadscykler som skulle göra en permanent överberäknad lokal distribution ineffektiv.

Beslutskriterier: vilken modell för vilken profil?

Företag och små till medelstora företag utan specifika sektoriella villkor

För ett SMF på 10 till 500 anställda utan specifika sektoriella regelkrav står molnlösningen SaaS klart och tydligt: snabb distribution, kontrollerad kostnad, eIDAS och GDPR-överensstämmelse garanterad av utgivaren. Integrationen med befintliga HR-verktyg underlättas av inbyggda anslutningar — som illustrerat av användningen av elektronisk signatur för HR-team som täcker lönebesked, kontrakt och överenskomna avtalsbrott utan dedikerad infrastruktur.

Stora företag och reglerade sektorer

Företag som hanterar hälsodata (obligatorisk HDS), kritiska finansiella data eller klassificerad information måste allvarligt överväga lokal distribution eller kvalificerad privat moln. Frågan är inte teknisk utan regelstyrande: tillåter det tillämpliga ramverket en publik moln?

En hybridarkitektur — moln för vanliga signaturer, lokal distribution för de mest känsliga kvalificerade akterna — har antagits av flera stora franska grupper sedan 2024. Denna modell kräver rigorös orkestrering och solida API-gränser.

Offentliga organisationer och förvaltningar

Sedan DINUM-cirkulär 2023-1 uppmanas statliga förvaltningar att prioritera molnerbjudanden kvalificerade enligt SecNumCloud. Lokal distribution förblir tillåten för känsliga informationssystem (SIS) men måste uppfylla RGS v2 och PGSSI-S för hälsodata. Elektronisk signatur för advokatbyråer illustrerar hur entiteter med höga spårbarhetskrav hittar sin balans mellan dessa två modeller.

Tillämpligt juridiskt ramverk för värdserver av din elektroniska signaturrösning

Valet mellan moln och lokal distribution är inte juridiskt neutralt. Flera normativa corpus reglerar direkt den tekniska arkitekturen för dina signerarlösningar.

Civillagen, artiklarna 1366 och 1367: Dessa bestämmelser definierar elektronisk signatur som ett pålitligt förfarande för identifiering som garanterar dess koppling till det dokument det är fäst vid. Förfarandets tillförlitlighet förmodas till motsatsen bevisad när en kvalificerad elektronisk signatur används. Denna förmodan gäller oberoende av värdservermodell, förutsatt att leverantören av förtroendetjänsten (PSCo) är kvalificerad.

eIDAS-förordning nr 910/2014 och eIDAS 2.0 (EU-förordning 2024/1183): eIDAS-förordningen skiljer mellan tre signeringsnivåer (enkel, avancerad, kvalificerad). Kvalificerad signering kräver obligatoriskt inblandning av en PSCo registrerad på den nationella betrodda listan (ANSSI:s förtroendelista för Frankrike). Oavsett om din lösning är moln eller lokal distribution måste den gränssnitt med en kvalificerad PSCo för att emittera kvalificerade signaturer. eIDAS 2.0, tillämpligt sedan maj 2024, introducerar den europeiska digitala identitetsplånboken (EUDIW) och skärper kraven på certifikatshantering för kvalificerad signering.

GDPR-förordning nr 2016/679: Artikel 28 föreskriver ingåendet av ett DPA (dataskyddsöverenskommelse) med alla molnleverantörer som behandlar personuppgifter för din räkning. Artikel 44 förbjuder dataöverföringar utanför EU utan adekvata garantier (standardavtalsklausuler eller bindande företagsregler). För intern lokal distribution försvinner denna skyldighet men företaget blir personuppgiftsansvarig på egen hand och måste dokumentera sina tekniska och organisatoriska åtgärder (MTO) i enlighet med artikel 32.

NIS2-direktiv (EU-direktiv 2022/2555), genomfört i Frankrike genom lagen av den 26 januari 2025: Väsentliga och viktiga enheter (sektorer för energi, hälsa, finans, vatten, digital, transport, offentlig förvaltning) måste genomföra proportionerade cybersäkerhetsåtgärder, inklusive hantering av risker relaterade till digitala leverantörskedjor. En molnleverantör av elektronisk signatur utgör en kritisk tredjepartsleverantör enligt NIS2: obligatorisk due diligence, specifika avtalsklausuler och granskningsrätt.

ETSI-normer EN 319 132 och ETSI EN 319 122: Dessa normer definierar filformaten för avancerad elektronisk signatur (XAdES, PAdES, CAdES) som accepteras på europeiska offentliga upphandlingar och B2B-utbyten. Överensstämmelsen med dessa format måste verifieras oavsett vald arkitektur.

Allmänt säkerhetreferensdokument (RGS v2) och HDS: För förvaltningar och lagringsleverantörer för hälsodata är ANSSI:s RGS v2 respektive HDS-certifiering (lagringsleverantör av hälsodata, förordning av den 11 juni 2018) tillämplig. Ett molnalternativ som inte är HDS-certifierat är juridiskt diskvalificerat för lagring av hälsodata med personkaraktär, även temporärt under signering av ett patientsamtycke.

Juridiska risker att förutse: En signatur utfärdad från ett icke-överensstämmande system kan bestridast i domstol, särskilt om dokumentets integritet eller signerarens identitet inte kan bevisas på ett obestridligt sätt. Bevisbördan vilar på den som åberopar signaturen. En överensstämmelsegranskning före distribution, moln eller lokal, rekommenderas starkt.

Användningsfall: moln eller lokal enligt affärssammanhang

Scenario 1 — En mellanstor industrigrupp som hanterar 15 000 kontrakt årligen

Ett mellanstort industriföretag (cirka 1 200 anställda, 3 produktionsplatser i Frankrike) måste avpaperisera alla sina leverantörs-, klient- och underleverantörskontrakt. Det hanterar i genomsnitt 15 000 signaturer per år, med toppar i januari (förnyelse av ramkontrakt) och i september (inköpskampanjer). Dess industridata är känslig men inte klassificerad.

Efter TCO-analys över 5 år drar den finansiella ledningen slutsatsen att en europeisk molnlösning SaaS certifierad enligt ISO 27001 är 40 % billigare än en motsvarande lokal distribution (utgivarens ekonomiska skala kontra 0,7 heltidsanställd IT-resurs internt). IT-chefen väljer en molnlösning värderad i Frankrike med SLA 99,95 % och dokumenterat REST API, integrerat direkt i sitt ERP. Säsongsvariationer absorberas utan extra kostnad. Resultat efter 12 månader: 65 % minskning av genomsnittlig tid för kontraktsignering från leverantörer (från 8,3 dagar till 2,9 dagar), och beräknad årlig besparing på 120 000 € på pappersbehandlings- och påminnelsekostnader.

Scenario 2 — En sjukhusenhet med 1 200 sängar underkastad HDS-certifiering

En offentlig sjukhusenhet vill avpaperisera patientsamtycken, kontrakt med privat praktiserande läkare och offentlig upphandling. Behandlade data omfattar personuppgifter om hälsa, föremål för HDS-certifiering (lagringsleverantör för hälsodata) och PGSSI-S.

Helt lokal distribution förkastas på grund av komplexiteten vid HSM-underhåll och frånvaro av kryptografisk kompetens internt. Sjukhusen väljer ett privat moln värderat hos en leverantör certifierad enligt HDS och kvalificerad enligt SecNumCloud. Signaturlösningen distribueras i detta dedikerade moln, med strikt nätverksavskildning och granskningsloggar som exporteras till den interna SIEM:n. Kostnaden är 25 % högre än ett standardmolnsamlat alternativ, men 35 % lägre än en komplett lokal distribution. Operativ nytta: de 800 månadliga samtyckena behandlas på mindre än 24 timmar jämfört med 5 dagar i pappersformat, med fullständig spårbarhet i enlighet med HAS-kraven.

Scenario 3 — En advokatbyrå med 25 anställda som integrerar signering i sitt dagliga arbetsflöde

En parisby advokatbyrå hanterar dagligen avyttringsakter, avtalsprotokoll och fullmakter som kräver avancerad eller kvalificerad elektronisk signering. Konfidentialitet för klientdata är högsta prioritet, men byrån har ingen egen IT-infrastruktur.

Lokal distribution utesluts omedelbar för resursskäl. Byrån väljer en europeisk molnlösning SaaS med end-to-end-kryptering, krypteringsnycklar kontrollerade av klienten (BYOK — Bring Your Own Key), och avtalsgaranti för att utgivaren inte får åtkomst till data. Denna så kallade "zero knowledge"-arkitektur uppfyller både etiska krav från advokatsamfundet och GDPR-skyldigheter. Integreringen med dossier­hanterings­programvaran (via API) reducerar förberedelsestiden för en undertecknadsakt från 45 minuter till 8 minuter i genomsnitt, vilket motsvarar en produktivitetsökning på 82 % för denna uppgift.

Slutsats

Moln eller lokal: det finns ingen universell lösning, men ett strukturerat beslutsramverk. För den stora majoriteten av franska företag — SMF, mellanstora företag utan kritiska sektoriella begränsningar — erbjuder europeisk molnlösning SaaS överensstämmande med eIDAS och GDPR den bästa balansen mellan säkerhet, överensstämmelse och total ägandekostnad. Lokal distribution eller kvalificerat privat moln förblir relevant för reglerade sektorer (hälsa, försvar, OIV) där tvingande ramverk (HDS, SecNumCloud, RGS v2) påtvingar fullständig infrastrukturkontroll.

År 2026 är den verkliga frågan inte längre "moln eller lokal" utan "vilken nivå av suverünitet för vilka data, med vilken kvalificerad PSCo?" Certyneo uppfyller dessa krav med en molnarkitektur värderad uteslutande i Frankrike, certifierad enligt ISO 27001, överensstämmande med eIDAS 2.0 och GDPR. Upptäck våra erbjudanden och priser på Certyneo eller kontakta vårt team för en kostnadsfri granskning av ditt elektroniska signatursbehov.

Prova Certyneo gratis

Skicka ditt första signeringskuvert på mindre än 5 minuter. 5 gratis kuvert per månad, utan kreditkort.

Fördjupa dig i ämnet

Våra kompletta guider för att behärska elektronisk signatur.

Certyneo Community

En fråga om elektronisk signering?

Gå med i Certyneo-communityn: ställ dina frågor, dela dina svar och utbyta med tusentals användare och vårt team.