Der Erhalt der AEOS-Zertifizierung (Authorized Economic Operator – Security) erfordert mehr als nur technische Maßnahmen: Es bedarf einer strukturierten Sicherheits-Governance, die von einer kompetenten und von den Zollbehörden anerkannten Person geleitet wird. Viele Unternehmen sind auf diese Anforderung unvorbereitet, da ihnen intern die notwendigen Kompetenzen fehlen, um Risikoanalysen, operative Verfahren und die Einhaltung gesetzlicher Vorschriften zu koordinieren.

Der Unionszollkodex (UZK) definiert präzise, wer für die Sicherheit verantwortlich ist und welche Pflichten übernommen werden müssen. Das Verständnis dieser Verpflichtungen und die Wahl der am besten geeigneten organisatorischen Lösung können den Unterschied zwischen einer schnell erteilten Genehmigung und einem langen, komplexen Prozess ausmachen.

Wer muss sich gemäß Zollkodex um die Sicherheit kümmern?

Artikel 28 Absatz 1 Buchstabe h) der Durchführungsverordnung (DVO) legt fest, dass jeder Antragsteller für eine AEOS-Zulassung eine kompetente Kontaktperson für Fragen der Sicherheit der Lieferkette benennen muss. Diese Person fungiert als offizielle Schnittstelle zwischen dem Unternehmen und den Zollbehörden.

Es ist wichtig zu klären, dass sich diese Rolle ausschließlich auf die Zoll- und IT-Sicherheit bezieht und nicht mit dem Sicherheitsbeauftragten für den Arbeitsschutz (gemäß D.Lgs. 81/08 in Italien oder entsprechenden nationalen Arbeitsschutzgesetzen) identisch ist, da dieser in einem völlig anderen regulatorischen Rahmen tätig ist.

Die Gesetzgebung lässt Flexibilität zu: Der Sicherheitsverantwortliche kann ein interner Mitarbeiter oder ein formell beauftragter externer Fachmann sein, sofern er umfassende Kenntnisse der Unternehmensabläufe und eine angemessene technische Kompetenz nachweist.

Was der Selbstbewertungsfragebogen (QAV) erfordert

Abschnitt 6 des Selbstbewertungsfragebogens (QAV), der den Sicherheitsanforderungen gewidmet ist, verlangt eine Dokumentation darüber, wer die Unternehmenssysteme schützt und wie die Verteidigungsmaßnahmen koordiniert werden. Die Zollbehörden prüfen, ob diese Person in der Lage ist:

• Risikobewertungen durchzuführen und zu aktualisieren: Erstellung einer dokumentierten Bewertung spezifischer Bedrohungen für die Lieferkette und die IT-Systeme.
• Sicherheitsverfahren zu definieren und zu überwachen: Verwaltung der physischen und logischen Zugangskontrollen, des Datenschutzes und der Sicherheit sensibler Bereiche.
• Sicherheitsvorfälle zu verwalten: Koordination von Untersuchungen, Kommunikation und Korrekturmaßnahmen bei Verstößen oder Eindringversuchen unter Befolgung strukturierter Verfahren für Monitoring und Incident Response.
• Geschäftspartner zu überprüfen: Sicherstellung, dass Lieferanten und Subunternehmer die von AEOS geforderten Sicherheitsstandards einhalten.

Diese Verantwortlichkeiten erfordern Kompetenzen, die über die gewöhnliche IT-Verwaltung hinausgehen: Es sind Kenntnisse in Risk Assessment, regulatorischer Compliance und Sicherheitsmanagement gemäß internationalen Standards wie der ISO/IEC 27001 erforderlich.

Der Virtual CISO als Lösung für die AEOS-Governance

Für viele Unternehmen stellt die Einstellung eines Chief Information Security Officer in Vollzeit eine Investition dar, die in keinem Verhältnis zur Größe oder organisatorischen Komplexität steht. Das Modell des Virtual CISO bietet eine strategische Alternative, die die regulatorischen Anforderungen voll erfüllt:

• Zertifizierte Kompetenz: Der Virtual CISO bringt fundierte Erfahrung in Risikomanagement, Compliance und Sicherheitsmanagement mit und erfüllt damit die von den Zollbehörden geforderte Kompetenzanforderung.
• Standortübergreifende Koordination: Bei mehreren Standorten oder Niederlassungen sorgt er für Konsistenz bei den Sicherheitsmaßnahmen und vereinfacht den Prozess der Zollprüfung.
• Wirtschaftliche Effizienz: Er bietet Governance auf hohem Niveau ohne die Kosten einer internen Führungskraft, während die volle operative Kontrolle beim Unternehmen verbleibt.
• Operative Flexibilität: Er greift mit der erforderlichen Häufigkeit ein und passt sich den spezifischen Anforderungen des Zertifizierungsprozesses und der Aufrechterhaltung der Zulassung an.

Der Virtual CISO kann die gesamte im QAV geforderte Dokumentation vorbereiten, die Implementierung der Sicherheitsmaßnahmen koordinieren und während der Inspektionsbesuche der Zollbehörden als technischer Ansprechpartner fungieren. Darüber hinaus kann er spezialisierte technische Aktivitäten wie Penetrationstests der Netzwerkinfrastruktur überwachen, die zum Nachweis der Resilienz kritischer Systeme erforderlich sind.

Häufig gestellte Fragen zur AEOS-Sicherheits-Governance

• Ist die Ernennung eines Sicherheitsverantwortlichen für den Erhalt der AEOS zwingend erforderlich?
• Ja. Artikel 28 Absatz 1 Buchstabe h) der Durchführungsverordnung verlangt ausdrücklich die Benennung einer kompetenten Kontaktperson für die Sicherheit, die als Schnittstelle zur Zollverwaltung fungiert.
• Muss der Sicherheitsverantwortliche zwingend ein interner Mitarbeiter sein?
• Nein. Die Gesetzgebung erlaubt es, dass diese Funktion von einer externen Person ausgeübt wird, sofern diese formell beauftragt ist und umfassende Kenntnisse der Sicherheitsverfahren des Unternehmens nachweist. Diese Flexibilität ermöglicht den Einsatz eines Virtual CISO.
• Wie kann ein Virtual CISO die AEOS-Anforderungen konkret unterstützen?
• Der Virtual CISO definiert den Sicherheitsrahmen, koordiniert die Risikoanalyse, bereitet die für den Selbstbewertungsfragebogen (Abschnitt 6) erforderliche Dokumentation vor und fungiert als technischer Ansprechpartner bei Inspektionsbesuchen der Zollbehörden.
• Welche Dokumente muss der Sicherheitsverantwortliche erstellen oder überwachen?
• Der Verantwortliche muss die Erstellung der dokumentierten Risikobewertung, der Sicherheitspläne für jeden Standort, der Zugangsverwaltungsverfahren, der Vorfallprotokolle und der Sicherheitsschulungspläne für das Personal überwachen.
• Entbindet die Auslagerung der Sicherheit das Unternehmen von der Verantwortung gegenüber dem Zoll?
• Nein. Auch bei der Übertragung der technischen Tätigkeit an einen Virtual CISO oder externe Berater bleibt der Wirtschaftsbeteiligte gegenüber den Zollbehörden immer für die Einhaltung der AEOS-Kriterien verantwortlich. Die Auslagerung betrifft die Ausführung, nicht die endgültige Verantwortung.
• Welche technischen Kompetenzen muss der AEOS-Sicherheitsverantwortliche besitzen?
• Er muss Methoden zur Risikobewertung, zum IT- und physischen Sicherheitsmanagement, Zollvorschriften und internationale Standards wie ISO/IEC 27001 beherrschen. Zudem muss er in der Lage sein, externe Dienstleister zu koordinieren und die Kommunikation mit den Behörden zu steuern.

Die Sicherheits-Governance stellt eine grundlegende Säule für den Erhalt und die Aufrechterhaltung der AEOS-Zertifizierung dar. Das Virtual-CISO-Modell bietet fachliche Kompetenz und operative Flexibilität, doch die endgültige Verantwortung für die Einhaltung der Kriterien verbleibt immer beim Wirtschaftsbeteiligten, der die Zulassung beantragt.

Weiterführende Informationen

• AEO-Zertifizierung und Cybersicherheit: Anforderungen und Compliance-Weg
• Systemsicherheit und Anwendungen für die AEOS-Zertifizierung
• Schwachstellenmanagement für die AEOS-Zertifizierung
• AEOS und Sicherheit der Geschäftspartner in der Lieferkette
• Cybersicherheitsschulung für zugelassene Wirtschaftsbeteiligte