Електронний підпис і стандарт ISO 27001: посібник 2026

Електронний підпис став основою B2B контрактних процесів, але його юридична та комерційна вартість залежить від часто недооцінюваної передумови: надійності системи інформаційних технологій, яка його підтримує. Саме тут в гру вступає стандарт ISO/IEC 27001, міжнародний еталон управління безпекою інформації. У 2026 році, коли кібератаки на платформи підпису множаться і регламент eIDAS 2.0 посилює вимоги для провайдерів довіри, питання сертифікації ISO 27001 більше не є розкішшю для великих компаній: це стає стандартним критерієм вибору для будь-якого впровадження електронного підпису в компанії.

У цій статті проаналізовано синергію між ISO 27001 та електронним підписом, конкретні зобов'язання, які вона передбачає, ризики невідповідності та етапи отримання або оцінки сертифікації у вашого провайдера SaaS.

Що таке стандарт ISO 27001 і чому він є центральним для електронного підпису?

Опублікований Міжнародною організацією зі стандартизації (ISO) та Міжнародною електротехнічною комісією (IEC), стандарт ISO/IEC 27001:2022 (переглянута версія з жовтня 2022) визначає вимоги для встановлення, впровадження, підтримки та постійного поліпшення Системи управління безпекою інформації (СМБІ). Він охоплює 93 контролі, розподілені за чотирма темами: організаційні контролі, контролі персоналу, фізичні контролі та технологічні контролі.

Для електронного підпису цей стандарт має особливе значення, оскільки він прямо стосується трьох стовпів безпеки інформації:

• Конфіденційність: захист підписаних документів від будь-якого несанкціонованого доступу
• Цілісність: гарантія того, що документи не змінюються після підпису
• Доступність: можливість доступу до доказів підпису у разі потенційного судового спору

Контролі ISO 27001, які безпосередньо застосовуються до електронного підпису

Серед 93 контролів додатку A стандарту кілька застосовуються безпосередньо до робочих процесів підпису:

Контроль 5.14 – Передача інформації: встановлює формальні правила для безпечної передачі документів для підпису, зокрема через зашифровані протоколи (TLS 1.3 мінімум).

Контроль 8.24 – Використання криптографії: вимагає задокументовану політику шифрування, яка охоплює алгоритми, використовувані для генерування та перевірки електронних підписів. На практиці це передбачає використання алгоритмів, які відповідають рекомендаціям ANSSI (RSA-3072 або ECDSA-256 мінімум у 2026).

Контроль 8.12 – Попередження витоків даних (DLP): захищає персональні дані, які містяться в підписаних документах, у прямому збігу з обов'язками GDPR.

Контроль 5.18 – Права доступу: гарантує, що тільки уповноважені особи можуть ініціювати, підписувати або переглядати документ у платформі.

ISO 27001 і інші сертифікації безпеки: яка взаємодія?

ISO 27001 не є єдиною відповідною нормою, але вона становить основу. Вона доповнюється:

• SOC 2 Type II (американський стандарт, часто вимагається компаніями, котровані на NYSE)
• ISO/IEC 27017 і 27018: розширення, специфічні для хмари та захисту персональних даних у хмарі
• Кваліфікація eIDAS, видана акредитованими органами (LSTI у Франції): обов'язкова для Кваліфікованих постачальників послуг довіри (КППД)

Провайдер електронного підпису, сертифікований ISO 27001 І кваліфікований eIDAS, пропонує таким чином максимальний рівень гарантії, узгоджений з тим, що деталізує повний посібник регламенту eIDAS 2.0.

Специфічні вимоги для провайдерів SaaS електронного підпису

Вибір SaaS електронного підпису, сертифікованого ISO 27001, не означає, що ваша власна організація охоплена — але це значно впливає на рівень залишкового ризику, який ви приймаєте.

Сфера дії сертифікації: що слід перевірити

При оцінці постачальника три питання є визначальними:

1. Чи охоплює сфера сертифікації послугу підпису? Редактор може бути сертифікований ISO 27001 для своєї діяльності щодо розроблення програмного забезпечення без включення платформи підпису до сфери. Вимагайте офіційний сертифікат і перевірте декларацію про застосовність (Statement of Applicability).

1. Чи сертифікація актуальна? ISO 27001 вимагає щорічні аудити нагляду та переаудит кожні три роки. Термін дії сертифіката змінює всі гарантії.

1. Який орган сертифікації? У Франції органи, акредитовані COFRAC (Bureau Veritas, SGS, BSI Group, LRQA…), видають визнані сертифікати. Самозаява про відповідність не має юридичної вартості.

Управління інцидентами та безперервність діяльності

ISO 27001 вимагає задокументованого та перевіреного плану безперервності діяльності (ПБД) та плану відновлення діяльності (ПВД). Для платформи електронного підпису це практично перекладається на:

• RTO (мета часу відновлення) менше 4 годин для виробничих середовищ
• RPO (мета точки відновлення) менше 1 години, запобігаючи будь-якій втраті даних підпису
• Тести відновлення, задокументовані щонайменше раз на півроку
• Процедура повідомлення про інциденти безпеки відповідно до статті 33 GDPR (максимум 72 години)

Ці вимоги відповідають вимогам директиви NIS2, імплементованої у французьке право Законом n°2024-449 від 21 травня 2024 року, яка накладає на суттєві та важливі суб'єкти обов'язки щодо звітування про інциденти та посилені заходи кібербезпеки.

Як сертифікація ISO 27001 посилює доказову цінність електронного підпису

Важливий момент, часто невідомий юристам та покупцям: правова твердість електронного підпису залежить частково від ланцюга технічної довіри, який його підтримує. Документ, підписаний на платформі, безпека якої скомпрометована, може мати оскаржену доказову цінність в суді.

Цілісність даних як юридична основа

Стаття 1366 Цивільного кодексу говорить, що електронний підпис має цінність рукописного підпису «за умови, що його автора можна належним чином ідентифікувати і що він встановлений і збережений у таких умовах, які гарантують його цілісність». Ця умова цілісності є саме предметом ISO 27001.

У разі судового спору провайдер, сертифікований ISO 27001, може представити:

• Незмінні логи аудиту, що доводять історію доступу
• Звіти аудиту сертифікації, що підтверджують наявність контролей
• Політику управління криптографічними ключами, яка відповідає додатку A

Ці елементи становлять сукупність доказів, яка значно посилює позицію сторони, яка посилається на дійсність підпису. Для подальшої інформації про доказову цінність різних рівнів підпису, див. наш порівняння рішень електронного підпису.

Доказовий архів та період зберігання

ISO 27001, комбінована зі стандартом NF Z42-020 (цифровий сейф) та рекомендаціями ETSI EN 319 162 (кваліфікована послуга електронного архівування), дозволяє визначити політику архівування, яка гарантує доказову цінність підписів на довгих термінах — до 30 років для деяких комерційних контрактів.

Контроль 8.10 – Видалення інформації ISO 27001 крім того встановлює задокументовані процедури для безпечного знищення даних в кінці циклу їхнього життя, узгоджено з правом на забуття за GDPR (стаття 17).

Як оцінити та вимагати сумісність ISO 27001 від вашого провайдера підпису

В рамках процесу закупівлі або поновлення контракту SaaS, ось чотирирівневий протокол оцінки.

Етап 1: Вимагати та перевірити офіційний сертифікат

Вимагайте сертифікат ISO/IEC 27001:2022 (а не версію 2013, яка застаріла з жовтня 2025) разом із звітом про найостанніший аудит нагляду. Перевірте дату дійсності у реєстрі органу сертифікації.

Етап 2: Проаналізувати декларацію про застосовність (SoA)

Statement of Applicability перелічує вибрані та виключені контролі з обґрунтуванням. Будь-який контроль, виключений без задокументованого обґрунтування, представляє залишковий ризик для оцінки у вашому аналізі ризиків постачальника.

Етап 3: Включити вимоги в контракт

Ваш контракт з провайдером повинен містити:

• Пункт про збереження сертифікації з обов'язком повідомлення у разі призупинення
• Право на аудит або доступ до щорічних звітів аудиту третьої сторони
• SLA безпеки, узгоджені з ПБД/ПВД провайдера
• Пункт про відповідальність у разі інциденту безпеки, що впливає на цілісність підписів

Етап 4: Провести власний аналіз ризиків

Навіть сертифікований провайдер не охоплює ваші внутрішні ризики. ISO 27001 накладає на вашу організацію обов'язок проведення аналізу ризиків (пункт 6.1.2), який охоплює зокрема:

• Управління доступом співробітників до платформи підпису
• Обізнаність щодо фішингових атак, спрямованих на робочі процеси підпису
• Політику управління делегуванням підпису

Цей підхід природним чином інтегрується в загальну політику управління електронним підписом для команд HR та юридичних відділів, де обсяги оброблених документів викривають значні операційні ризики.

Застосовне правове середовище для електронного підпису та ISO 27001

Сумісність системи електронного підпису базується на нормативній ієрархії, яку кожна B2B компанія повинна розуміти.

Цивільний кодекс, статті 1366 та 1367: Стаття 1366 встановлює еквівалентність електронного та рукописного підпису за умови ідентифікації автора та гарантії цілісності. Стаття 1367 визначає електронний підпис як «використання надійного процесу ідентифікації, що гарантує його зв'язок з дією, до якої він присутній».

Регламент eIDAS n°910/2014 та eIDAS 2.0 (Регламент ЄС 2024/1183): Застосовується у всіх державах-членах ЄС, розрізняє три рівні підпису (простий, просунутий, кваліфікований) і накладає на КППД обов'язок аудитів відповідності органами, акредитованими спеціалізованими установами. Переглядання eIDAS 2.0, яке поступово входить в силу з травня 2024, посилює вимоги до нагляду та впроваджує портфель європейської цифрової ідентичності (EUDIW).

Регламент GDPR n°2016/679: Персональні дані, які містяться в підписаних документах (ідентичність підписувача, IP-адреса, часова мітка), становлять персональні дані. Контролер обробки повинен забезпечити їх захист (стаття 5), повідомити про порушення в течение 72 годин (стаття 33) та впровадити захист за дизайном (стаття 25). ISO 27001 надає технічну основу для забезпечення відповідності.

Директива NIS2 (Директива ЄС 2022/2555), імплементована у французьке право Законом n°2024-449 від 21 травня 2024: Суттєві та важливі суб'єкти — включно з багатьма B2B акторами — повинні впровадити пропорційні заходи кібербезпеки, включаючи управління ризиками, пов'язаними з постачальниками (стаття 21). Провайдер підпису без сертифікації ISO 27001 може становити ризик третьої сторони за NIS2.

Норми ETSI: Серія ETSI EN 319 100 визначає технічні вимоги для кваліфікованих електронних підписів (EN 319 132 для XAdES, EN 319 122 для CAdES, EN 319 142 для PAdES). Ці технічні норми передбачають інфраструктуру безпеки, яка відповідає стандартам ISO 27001.

Еталонний документ ANSSI: У Франції Національне агентство з безпеки інформаційних систем видає рекомендації щодо криптографічних алгоритмів (RGS — Загальний еталон безпеки), реалізація яких полегшується системою управління безпекою, сертифікованою ISO 27001. Кваліфікація eIDAS французьких провайдерів розглядається ANSSI у якості органу національного нагляду.

Відсутність сертифікації ISO 27001 у провайдера підпису піддає компанію-клієнта ризикам оскарження доказової цінності підписаних документів, санкціям за GDPR (до 4 % світового обороту або 20 млн€) та поставленню під сумнів її відповідності NIS2.

Сценарії використання: ISO 27001 та електронний підпис на практиці

Сценарій 1 — Комерційна юридична компанія з 25 співробітниками

Компанія, спеціалізована на злиттях та придбаннях, щорічно обробляє понад 600 документів, які потребують просунутої або кваліфікованої електронної підпису (NDA, протоколи угод, угоди про передачу). Після внутрішнього аудиту, який виявив недоліки в відстеженні доступу до платформи підпису, компанія вирішує приймати тільки провайдерів, сертифікованих ISO/IEC 27001:2022, з сферою, яка явно охоплює послугу підпису.

Результат: після перехідля на сертифіковану платформу, компанія спостерігає зменшення на 40 % часу, витраченого на аудити безпеки під час конкурсних заяв клієнтів, і може надати звіти аудиту сертифікації протягом 48 годин при запитах великих клієнтів. Середній час валідації контракту зменшується з 3,2 днів до 1,4 дня.

Сценарій 2 — Промислова компанія, яка управляє 1 500 контрактами постачальників на рік

PME промислова субпідрядник Tier-1 автомобільного виробника повинна продемонструвати своєму замовнику, що вся система електронного підпису (замовлення, основні контракти, додатки) відповідає вимогам ISO 27001, накладеним еталоном закупівель групи. PME проводить картування ризиків постачальників згідно з пунктом 6.1.2 норми та визначає, що її колишній провайдер SaaS не має актуальної сертифікації.

Після переходу на сертифіковане рішення та запровадження внутрішньої системи управління безпекою, PME отримує необхідну кваліфікацію постачальника та гарантує контракт на 4 роки. Вартість сертифікації (близько 15 000 до 25 000 € для PME цього розміру за даними спеціалізованих консультаційних фірм) амортизується менш ніж за шість місяців з урахуванням обсягу гарантованого контракту.

Сценарій 3 — Лікарняна група приблизно 1 200 ліжок

У секторі охорони здоров'я установи захисту піддаються посиленим вимогам: обробка даних про здоров'я (спеціальна категорія за статтею 9 GDPR), сертифікація HDS (Керуюча органами даних про здоров'я) та нині кваліфікація NIS2 як суттєвого суб'єкта. Група розгортає електронний підпис для своїх трудових договорів, конвенцій клінічних досліджень та державних контрактів (близько 900 документів/місяць).

Вибравши постачальника, який комбінує сертифікацію ISO 27001, сертифікацію HDS та кваліфікацію КППД eIDAS, установа зменшує виставлення на ризик невідповідності GDPR на 60 % за словами свого DPO, і отримує архівування з гарантією 30 років для юридичних медичних документів. Час підпису контрактів клінічних досліджень зменшується з 12 днів до середніх 3,5 днів, звільняючи значні ресурси для адміністративних команд.

Висновок

У 2026 році сертифікація ISO/IEC 27001:2022 більше не є просто маркетинговим аргументом для провайдерів електронного підпису: вона становить незамінну технічну та юридичну основу для гарантування цілісності підписаних документів, відповідності GDPR та NIS2, та доказової цінності контрактних зобов'язань. Для B2B компаній вимога цієї сертифікації у їхнього SaaS провайдера стала обов'язком належної обережності, як і перевірка кваліфікації eIDAS.

Certyneo є сертифікованою за ISO/IEC 27001:2022 з сферою, яка охоплює всю платформу електронного підпису. Наші команди можуть допомогти вам оцінити вашу поточну відповідність та впровадити безпечний робочий процес підпису, адаптований до ваших обсягів та сектора. Запитайте безплатну демонстрацію на Certyneo або дослідіть наші ціни, щоб знайти формулу, адаптовану до вашої організації.