Elektronisk signatur och ISO 27001-standard: guide 2026

Elektronisk signatur har blivit ryggraden i B2B-avtalsprocesser, men dess juridiska och kommersiella värde vilar på en förutsättning som ofta underskattas: robustheten i det informationssystem som stöder den. Det är just här som ISO/IEC 27001-standarden spelar sin roll, ett internationellt ramverk för informationssäkerhetsledning. År 2026, då cyberattacker mot signeringsplattformar ökar och förordningen eIDAS 2.0 skärper kraven för betrodda tjänsteleverantörer, är frågan om ISO 27001-certifiering inte längre en lyxfråga för stora företag — det blir ett standardurvalskriterium för all distribution av elektronisk signatur i företag.

Denna artikel analyserar synergier mellan ISO 27001 och elektronisk signatur, de konkreta skyldigheter som den inducerar, riskerna med bristande efterlevnad och stegen för att få eller utvärdera en certifiering hos din SaaS-leverantör.

Vad är ISO 27001-standarden och varför är den central för elektronisk signatur?

Publicerad av International Organization for Standardization (ISO) och International Electrotechnical Commission (IEC), definierar ISO/IEC 27001:2022 (reviderad version oktober 2022) kraven för att etablera, implementera, upprätthålla och kontinuerligt förbättra ett informationssäkerhetsledningssystem (ISMS). Den omfattar 93 kontroller fördelade på fyra teman: organisatoriska kontroller, personkontroller, fysiska kontroller och tekniska kontroller.

För elektronisk signatur har denna standard särskild betydelse eftersom den direkt adresserar de tre pelarna i informationssäkerhet:

• Konfidentialitet: skydd av signerade dokument mot all obehörig åtkomst
• Integritet: garanti för att dokument inte ändras efter signering
• Tillgänglighet: tillgång till signaturbevis vid eventuell rättslig tvist

ISO 27001-kontroller som direkt tillämpas på elektronisk signatur

Bland de 93 kontrollerna i bilaga A till standarden gäller flera direkt för signaturarbetsflöden:

Kontroll 5.14 – Informationsöverföring: kräver formella regler för säker överföring av dokument för signering, bland annat via krypterade protokoll (TLS 1.3 minimum).

Kontroll 8.24 – Användning av kryptografi: föreskriver en dokumenterad krypteringspolicy som täcker algoritmer som används för generering och verifiering av elektroniska signaturer. I praktiken innebär detta användning av algoritmer som uppfyller rekommendationerna från ANSSI (RSA-3072 eller ECDSA-256 minimum 2026).

Kontroll 8.12 – Förebyggande av datautsläpp (DLP): skyddar personuppgifter i signerade dokument, i direktig överensstämmelse med GDPR-skyldigheter.

Kontroll 5.18 – Åtkomsträttigheter: garanterar att endast behöriga personer kan initialisera, signera eller konsultera ett dokument i plattformen.

ISO 27001 mot andra säkerhetscertifieringar: vilken komplementaritet?

ISO 27001 är inte den enda relevant standard, men den utgör grunden. Den kompletteras med:

• SOC 2 Type II (amerikansk standard, ofta krävd av NYSE-noterade företag)
• ISO/IEC 27017 och 27018: specifika tillägg för molnet och skydd av personuppgifter i molnet
• eIDAS-kvalificering utfärdad av ackrediterade organ (LSTI i Frankrike): obligatorisk för kvalificerade betrodda tjänsteleverantörer (QSTP)

En elektronisk signaturleverantör som är certifierad ISO 27001 OCH kvalificerad eIDAS erbjuder således en maximal garantinivå, anpassad till vad som framgår av den fullständiga guiden till förordningen eIDAS 2.0.

Specifika krav för SaaS-leverantörer av elektronisk signatur

Att välja en SaaS för elektronisk signatur certifierad enligt ISO 27001 betyder inte att din egen organisation är täckt — men det villkorar starkt nivån på återstående risk som du åtar dig.

Certifieringsomfattning: vad du måste verifiera

Vid utvärdering av en leverantör är tre frågor avgörande:

1. Täcker certifieringsomfattningen signeringstjänsten? En utgiver kan vara certifierad ISO 27001 för sin programvaruutveckling utan att signeringsplattformen är inom omfattningen. Kräv det officiella certifikatet och verifiera applicable statement (SoA).

1. Är certifieringen uppdaterad? ISO 27001 kräver årliga tillsynsrevisioner och en förnyelserevision vart tredje år. Ett utgånget certifikat gör alla garantier ogiltiga.

1. Vilken certifieringsorgan? I Frankrike utfärdar organ ackrediterade av COFRAC (Bureau Veritas, SGS, BSI Group, LRQA, etc.) erkända certifikationer. En självdeklaration om efterlevnad har inget juridiskt värde.

Incidenthantering och verksamhetskontinuitet

ISO 27001 kräver en dokumenterad och testad Affärskontinuitetsplan (BCP) och Återställningsplan (DRP). För en elektronisk signaturplattform innebär detta konkret:

• En RTO (Recovery Time Objective) under 4 timmar för produktionsmiljöer
• En RPO (Recovery Point Objective) under 1 timme, vilket undviker någon dataförlust för signaturer
• Testade återställningsprocedurer minst två gånger per år
• En procedur för anmälan av säkerhetincidenter i enlighet med artikel 33 i GDPR (högst 72 timmar)

Dessa krav anpassas till NIS2-direktivet, implementerat i fransk lag genom lag n°2024-449 från 21 maj 2024, som kräver att väsentliga och viktiga entiteter rapporterar incidenter och implementerar förstärkta cybersäkerhetsmåtgärder.

Hur ISO 27001-certifiering stärker bevisvärdet för elektronisk signatur

En ofta bortglömd punkt för jurister och köpare: styrkan i den juridiska soliditeten av en kvalificerad elektronisk signatur beror delvis på den tekniska förtroendekedjan som stöder den. Ett dokument signerat på en plattform vars säkerhet äventyrats kan få sitt bevisvärde ifrågasatt inför domstol.

Dataintegritet som juridisk grund

Artikel 1366 i den civila koden fastslår att elektronisk signatur har värde av handskrift "under förutsättning att dess upphovsman kan identifieras korrekt och att den etableras och bevaras under förhållanden som är lämpliga för att garantera dess integritet". Denna integritetsvillkor är just ISO 27001-standarden central för.

I fall av juridisk tvist kan en leverantör certifierad enligt ISO 27001 presentera:

• Oföränderliga granskningsloggar som bevisar åtkomsthistorik
• Revisionsrapporter från certifiering som vittnar om implementerade kontroller
• Kryptographisk nyckelhanteringspolicy i enlighet med bilaga A

Dessa element utgör ett bevisvärde som avsevärt stärker positionen för den part som invokerar signaturens giltighet. För att gå djupare in på bevisvärdet för olika signaturnivåer, se vår jämförelse av lösningar för elektronisk signatur.

Arkivering och bevarandeperiod

ISO 27001, kombinerad med standarden NF Z42-020 (digitalt kassaskåp) och rekommendationerna från ETSI EN 319 162 (kvalificerad elektronisk arkiveringstjänst), möjliggör en arkiveringspolicy som garanterar bevisvärdet för signaturer under långa perioder — upp till 30 år för vissa affärskontrakt.

Kontrollen 8.10 – Radering av information från ISO 27001 föreskriver dessutom dokumenterade procedurer för säker dataförstöring vid slutet av livscykeln, i enlighet med rätten till bortglömning under GDPR (artikel 17).

Hur du utvärderar och kräver ISO 27001-överensstämmelse från din signaturleverantör

Som en del av en inköpsprocess eller förnyelse av ett SaaS-kontrakt är här ett fyrastegsprotokoll för utvärdering.

Steg 1: Begär och verifiera det officiella certifikatet

Kräv certifikatet ISO/IEC 27001:2022 (inte version 2013, nu föråldrad sedan oktober 2025) tillsammans med den senaste tillsynsrevisionsrapporten. Verifiera giltigheten på certifieringsorganets register.

Steg 2: Analysera tillämplighetsdeklarationen (SoA)

Statement of Applicability listar de valda och uteslutna kontrollerna, med motivering. Alla uteslutna kontroller utan dokumenterad motivering representerar en kvarvarande risk att utvärdera i din leverantörsriskanalys.

Steg 3: Integrera kraven i kontraktet

Ditt kontrakt med leverantören måste innehålla:

• En klausul om certifieringsupprätthållande med anmälningsskyldighet vid suspension
• En revisionsrätt eller åtkomst till årliga revisionsrapporter från tredje part
• Säkerhets-SLA:er anpassade till leverantörens BCP/DRP
• En ansvarsskyldighetsklausul vid säkerhetshändelse som påverkar signaturintegriteten

Steg 4: Utför din egen riskanalys

Även en certifierad leverantör täcker inte dina interna risker. ISO 27001 kräver att din egen organisation genomför en riskanalys (punkt 6.1.2) som bland annat omfattar:

• Hantering av anställdas åtkomst till signeringsplattformen
• Medvetenhet om phishing-attacker riktade mot signaturarbetsflöden
• Policy för hantering av signeringsdelegationer

Denna process integreras naturligt i en övergripande policy för hantering av elektronisk signatur för HR- och juridiska team, där dokumentvolymerna exponerar för betydande operativa risker.

Tillämpligt juridiskt ramverk för elektronisk signatur och ISO 27001

Efterlevnaden av ett elektroniskt signatursystem vilar på ett normativt system som alla B2B-företag måste förstå.

Civilkodex, artiklar 1366 och 1367: Artikel 1366 fastslår ekvivalensen mellan elektronisk signatur och handskriven under förutsättning av identifiering av upphovsmannen och integritetgaranti. Artikel 1367 definierar elektronisk signatur som "användningen av en tillförlitlig identifieringsprocedur som garanterar dess koppling till det dokument det är kopplat till".

Förordning eIDAS n°910/2014 och eIDAS 2.0 (EU-förordning 2024/1183): Tillämplig i alla EU-medlemsstater, den gör åtskillnad mellan tre signaturnivåer (enkel, avancerad, kvalificerad) och kräver att kvalificerade betrodda tjänsteleverantörer (QSTP) genomgår revisioner av ackrediterade organ. Den reviderade eIDAS 2.0, som tillämpas progressivt sedan maj 2024, skärper övervakningen och introducerar den europeiska digitala identitetsplånboken (EUDIW).

GDPR-förordning n°2016/679: Personuppgifter i signerade dokument (signatärens identitet, IP-adress, tidsstämpel) utgör personuppgifter. Den ansvarige för behandlingen måste säkerställa deras skydd (artikel 5), anmäla överträdelser inom 72 timmar (artikel 33) och implementera skydd genom design (artikel 25). ISO 27001 tillhandahåller det tekniska ramverk för regelefterlevnad.

NIS2-direktiv (EU-direktiv 2022/2555), implementerat i fransk lag genom lag n°2024-449 från 21 maj 2024: Väsentliga och viktiga entiteter — inklusive många B2B-aktörer — måste implementera proportionerliga cybersäkerhetsmåtgärder inklusive hantering av leverantörsrelaterade risker (artikel 21). En signeringleverantör som inte är certifierad enligt ISO 27001 kan utgöra en tredjepartsrisk enligt NIS2.

ETSI-standarder: ETSI EN 319 100-serien definierar tekniska krav för kvalificerade elektroniska signaturer (EN 319 132 för XAdES, EN 319 122 för CAdES, EN 319 142 för PAdES). Dessa tekniska standarder förutsätter en säkerhetsmässig infrastruktur som överensstämmer med ISO 27001-standarden.

ANSSI-ramverk: I Frankrike publicerar Agence nationale de la sécurité des systèmes d'information rekommendationer om kryptografiska algoritmer (RGS-ramverk — Référentiel Général de Sécurité) vars implementering underlättas av ett SMSI certifierat enligt ISO 27001. Kvalificeringen av franska leverantörer enligt eIDAS handhas av ANSSI som nationell tillsynsmyndighet.

Avsaknaden av ISO 27001-certifiering hos en signaturleverantör exponerar kundfördenen för risker för att signatursignens bevisvärde ifrågasätts, för GDPR-sanktioner (upp till 4 % av den globala årsomfattningen eller 20 milj. €) och för att dess NIS2-överensstämmelse ifrågasätts.

Användningsscenarier: ISO 27001 och elektronisk signatur i praktiken

Scenario 1 — En affärsjuridisk firma med 25 medarbetare

En specialiserad firm inom M&A-transaktioner hanterar årligen över 600 dokument som kräver avancerad eller kvalificerad elektronisk signatur (NDA:er, avtalsprotokoll, överlåtelsekonventioner). Efter en intern revision som avslöjar luckor i åtkomstövervakning till signeringsplattformen beslutar firmans att endast acceptera leverantörer certifierade enligt ISO/IEC 27001:2022 med en omfattning som uttryckligt täcker signeringstjänsten.

Resultat: Efter migrering till en certifierad plattform märker firmans en minskning på 40 % av tiden som användes för säkerhetsmässiga due diligence-åtgärder vid kundbudgivningar, och kan presentera revisionsrapporter från certifiering inom 48 timmar vid förfrågningar från stora kundkonti. Den genomsnittliga kontraktsvalideringstiden minskar från 3,2 dagar till 1,4 dag.

Scenario 2 — Ett industriföretag som hanterar 1 500 leverantörskontrakt per år

En liten industriell underleverantör Tier-1 till en biltillverkare måste visa för sin beställare att hela hennes elektroniska signaturkedja (inköpsorder, ramkontrakt, ändringar) uppfyller ISO 27001-kraven som föreskrivs av gruppens inköpsramverk. KMU:n genomför en kartläggning av leverantörsrisker enligt punkt 6.1.2 i standarden och identifierar att hennes tidigare SaaS-leverantör inte innehar giltiga certifieringar.

Efter migrering till en certifierad lösning och implementering av ett internt SMSI får KMU:n den nödvändiga leverantörkvalificering och säkrar ett ramkontrakt på 4 år. Kostnaden för certifiering (cirka 15 000 till 25 000 € för en KMU av denna storlek enligt specialiserade konsultbyråer) är helt återvunnen på mindre än sex månader med hänsyn till den säkrade kontraktvolymen.

Scenario 3 — En sjukhusgrupp med omkring 1 200 sängar

I sjukvårdssektorn är vårdgivare föremål för skärpta krav: behandling av hälsouppgifter (särskild kategori enligt artikel 9 i GDPR), HDS-certifiering (sjukvårdsdatavärd) och nu NIS2-kvalificering som väsentlig entitet. Sjukhusgruppen implementerar elektronisk signatur för sina anställningskontrakt, kliniska forskningskonventioner och offentliga upphandlingar (cirka 900 dokument/månad).

Genom att välja en leverantör som kombinerar ISO 27001-certifiering, HDS-certifiering och QSTP eIDAS-kvalificering minskar inrättningen sin exponering för GDPR-bristande överensstämmelse med 60 % enligt hennes dataskyddsamanuens, och drar nytta av arkivering med garanterat bevisvärde i 30 år för juridiska medicinska dokument. Signeringstiden för kliniska forskningskontrakt sjunker från 12 dagar till i genomsnitt 3,5 dagar, vilket frigör betydande resurser för administrativa team.

Slutsats

År 2026 är certifiering enligt ISO/IEC 27001:2022 inte längre bara ett marknadsföringsargument för elektroniska signaturleverantörer: det utgör en oumbärlig teknisk och juridisk grund för att garantera integriteten hos signerade dokument, GDPR- och NIS2-överensstämmelse och bevisvärdet för avtalsåtaganden. För B2B-företag har det blivit en skyldighet att kräva denna certifiering från sin SaaS-leverantör, på samma sätt som verifiering av eIDAS-kvalificering.

Certyneo är certifierad enligt ISO/IEC 27001:2022 med omfattning som täcker hela sin plattform för elektronisk signatur. Våra team kan assistera dig med utvärdering av din aktuella överensstämmelse och implementering av ett säkert signaturarbetsflöde anpassat till dina volymer och sektor. Begär en gratis demonstration på Certyneo eller utforska våra priser för att hitta formeln som passar din organisation.