Die AEOS-Zertifizierung (Zugelassener Wirtschaftsbeteiligter für Sicherheit) beschränkt sich nicht nur auf die Grenzen Ihres Unternehmens. Jedes Glied der internationalen Lieferkette kann zu einem Schwachpunkt werden: ein IT-Dienstleister mit veralteten Systemen, ein Logistikpartner ohne angemessene Kontrollen oder ein unbekannter Subunternehmer. Der Zollkodex der Union macht Sie für die Sicherheit der gesamten Kette verantwortlich, auch wenn die Tätigkeiten ausgelagert sind.

Geteilte Verantwortung: Warum Ihre Partner zählen

Als Zugelassener Wirtschaftsbeteiligter (AEO) sind Sie für Ihr Segment in der Lieferkette verantwortlich. Die Sicherheit der Waren hängt jedoch auch von den Standards ab, die von denjenigen angewendet werden, die mit Ihnen zusammenarbeiten. Artikel 28 Absatz 1 Buchstabe d) der Durchführungsverordnung legt fest, dass Sie nachweisen müssen, wie Sie Geschäftspartner identifizieren und wie Sie die Sicherheit durch geeignete vertragliche Vereinbarungen gewährleisten.

Es ist nicht zwingend erforderlich, dass alle Ihre Lieferanten AEO-zertifiziert sind, aber Sie müssen sicherstellen, dass sie akzeptable Sicherheitsstandards einhalten. Dies gilt insbesondere für diejenigen, die kritische Dienste erbringen: IT-Anbieter, Logistikunternehmen, internationale Spediteure. Ein regelmäßiges Risk Assessment hilft Ihnen dabei, zu identifizieren, welche Partner ein hohes Risiko darstellen und strengere Kontrollen erfordern.

Vertragsklauseln: Absicherung der Lieferantenvereinbarungen

Schriftliche Vereinbarungen sind die erste Schutzebene. Fügen Sie für IT- oder Logistikdienstleister Klauseln ein, die Folgendes vorsehen:

• Verpflichtung zum Schutz der IT-Systeme vor unbefugten Manipulationen
• Verbot der Untervergabe von Dienstleistungen an unbekannte Dritte ohne Sicherheitsgarantien
• Schutz der in den Verträgen enthaltenen Unternehmens- und Zolldaten
• Verpflichtung zur unverzüglichen Meldung von Sicherheitsvorfällen

Wenn Ihr Unternehmen auch die NIS2-Richtlinie einhalten muss, bedenken Sie, dass sich die Anforderungen an das Lieferantenmanagement überschneiden: Beide Regelwerke erfordern Kontrollen der digitalen und physischen Lieferkette.

Audits und Überprüfungen: Vom Papier zur Realität

Vertragsklauseln allein reichen nicht aus. Sie müssen überprüfen, ob die Partner die eingegangenen Verpflichtungen auch tatsächlich einhalten. Implementieren Sie Überwachungsverfahren durch:

• Sicherheitsaudits, die direkt oder durch externe Experten an den Standorten der Partner durchgeführt werden
• Regelmäßige Besuche zur Überprüfung der Einhaltung physischer und IT-Sicherheitsnormen
• Anforderung von Sicherheitserklärungen oder internationalen Zertifizierungen wie ISO 27001

Ein IT-Dienstleister, der Ihre Zollsysteme verwaltet, sollte Prozesse für Datenschutz, sichere Backups und Zugriffsmanagement nachweisen. Ein Logistikunternehmen sollte physische Kontrollen in den Lagern, Videoüberwachung und kontrollierte Zugangsverfahren garantieren. Um die Sicherheit der von Partnern verwendeten Anwendungssysteme zu bewerten, sollten Sie Sicherheitstests für Anwendungen anfordern, die das Fehlen kritischer Schwachstellen überprüfen.

Häufig gestellte Fragen zur Sicherheit von Geschäftspartnern

• Ist es Pflicht, dass Lieferanten AEO-zertifiziert sind?
• Nein. Sie sind nicht verpflichtet, von Ihren Partnern eine AEO-Zertifizierung zu verlangen. Sie müssen jedoch sicherstellen, dass diese angemessene Sicherheitsstandards einhalten, um die Lieferkette zu schützen. Sie können nicht zertifizierte Lieferanten akzeptieren, wenn Sie nachweisen, dass diese gleichwertige Kontrollen anwenden.
• Wie überprüft man die Sicherheit eines IT-Dienstleisters?
• Die Überprüfung erfolgt durch die Analyse der Datenschutzprozesse, die Anforderung von ISO 27001-Zertifizierungen, das Versenden von Selbstbewertungsfragebögen oder die Durchführung technischer Audits und Inspektionen vor Ort. Sie können auch Berichte über Penetrationstests oder Schwachstellenanalysen anfordern, die von Dritten durchgeführt wurden.
• Welche Vertragsklauseln werden empfohlen?
• Empfohlen werden Klauseln zum Schutz der IT-Systeme, Meldepflichten bei Vorfällen, das Recht auf regelmäßige Audits und Beschränkungen bei der Untervergabe an nicht identifizierte Dritte. Fügen Sie auch Vertragsstrafen bei Verstößen gegen die vereinbarten Sicherheitsstandards hinzu.
• Bleibt der AEO-Betreiber bei einem Vorfall bei einem Lieferanten verantwortlich?
• Ja. Sie können technische Tätigkeiten auslagern, aber Sie können die Verantwortung für die Einhaltung der AEO-Kriterien gegenüber den Zollbehörden nicht auslagern. Wenn ein Lieferant einen Sicherheitsvorfall verursacht, fallen die Konsequenzen auch auf Sie zurück.
• Muss die Risikobewertung die digitale Lieferkette einbeziehen?
• Ja. Die Analyse der Risiken und Bedrohungen muss alle für die Zollaktivitäten relevanten Aspekte abdecken, einschließlich IT-Systeme, externe Dienstleister und die Sicherheit der mit Partnern ausgetauschten Informationen. Berücksichtigen Sie auch Risiken im Zusammenhang mit Cloud-Anbietern, Softwarehäusern und Systemintegratoren.

Der AEOS-Status erfordert eine ständige Überwachung der Geschäftspartner. Die Sicherheit der Lieferkette ist kein Dokument, das man unterschreibt, sondern ein kontinuierlicher Prozess der Überprüfung, des Audits und der Verbesserung. Nur so können Sie sicherstellen, dass jedes Glied der Kette die von der europäischen Gesetzgebung geforderten Standards einhält. Um eine effektive Kontrolle über die Schwachstellen der gesamten Kette zu behalten, implementieren Sie ein System zur kontinuierlichen Schwachstellenverwaltung, das auch die Systeme kritischer Partner abdeckt.

Weiterführende Informationen

• AEO-Zertifizierung und Cybersicherheit: Anforderungen und Standards
• Netzwerk-Penetrationstest für AEOS: Überprüfung der Perimetersicherheit
• AEO-Audit und Vulnerability Test: Vorbereitung und Konformität
• Governance der AEOS-Sicherheit: Richtlinien und Verfahren
• SOC-Überwachung und Incident Response für AEO-Betreiber
• Cyber-Schulung für AEO-Betreiber: Awareness und Kompetenzen