Governance sicurezza AEOS con Virtual CISO e ruoli obbligatori

Governance sicurezza AEOS con Virtual CISO e ruoli obbligatori

Ottenere lo status di AEOS (Sicurezza) richiede una gestione strutturata dei rischi informatici, guidata da una figura esperta e autorevole. Secondo il Codice Doganale dell’Unione (CDU), la governance della cyber security rappresenta un requisito normativo che coinvolge la definizione di ruoli, responsabilità e processi specifici per garantire la conformità alle normative doganali.

Obblighi normativi per la figura responsabile della sicurezza AEOS

L’articolo 28, paragrafo 1, lettera h) del Regolamento di Esecuzione (RE) stabilisce che ogni richiedente l’autorizzazione AEOS deve designare una persona di contatto competente per le questioni legate alla sicurezza. Questa persona funge da interfaccia ufficiale tra l’azienda e le autorità doganali, occupandosi specificamente dei rischi della supply chain. Il ruolo è limitato esclusivamente alla sicurezza doganale e non coincide con quello del responsabile della sicurezza sul lavoro (D.Lgs. 81/08), ambito regolato da normative differenti.

Competenze e responsabilità richieste dal QAV

La Sezione 6 del Questionario di Autovalutazione (QAV), riservata ai requisiti di sicurezza, richiede di dimostrare l’identità del responsabile della protezione dei sistemi e la modalità di coordinamento delle misure di difesa. Le responsabilità attribuite a questa figura includono:

  • Valutazione dei rischi: Preparazione e aggiornamento di una valutazione documentata delle minacce e dei rischi (Risk Assessment).
  • Gestione delle procedure: Definizione di processi per il monitoraggio degli accessi, la protezione dei dati informatici e la sicurezza fisica dei locali.
  • Risposta agli incidenti: Supervisione delle indagini e della comunicazione in caso di violazioni della sicurezza o intrusioni.
  • Gestione dei partner: Verifica della conformità da parte di partner commerciali e fornitori ai requisiti di sicurezza AEOS.

Virtual CISO come soluzione per la governance AEO

La normativa consente che il responsabile della sicurezza sia un dipendente interno o un soggetto esterno formalmente incaricato. Il Virtual Chief Information Security Officer (vCISO) può rappresentare una scelta strategica per aziende prive di competenze cyber avanzate:

  • Competenza specialistica: Il vCISO garantisce il requisito di competenza richiesto dalle Dogane tramite esperienza consolidata in Risk Management e compliance.
  • Armonizzazione tra sedi: In caso di più sedi aziendali, assicura coerenza nelle misure di sicurezza e semplifica il processo di audit doganale.
  • Flessibilità ed efficienza: Offre governance senza i costi di un dirigente a tempo pieno, mantenendo il controllo da parte dell’operatore AEO.

FAQ – Il Virtual CISO e la Governance AEO

  1. È obbligatorio nominare un responsabile della sicurezza per l’AEOS? Sì. Secondo l’art. 28, par. 1, lett. h) del RE, deve essere designata una persona di contatto competente per la sicurezza che interloquisca con l’amministrazione doganale.
  2. Il responsabile della sicurezza deve essere un dipendente interno? No. La funzione può essere svolta da un dipendente interno o da un soggetto esterno, purché sia formalmente incaricato e pienamente a conoscenza delle specifiche procedure di sicurezza dell’impresa.
  3. Come può un Virtual CISO supportare i requisiti AEO (Sezione 6 e governance)? Il Virtual CISO può definire il framework di sicurezza, coordinare l’analisi dei rischi, predisporre la documentazione necessaria per il QAV e fungere da referente tecnico durante le visite in loco delle autorità.
  4. Quali sono i compiti principali della figura responsabile della sicurezza? La figura responsabile della sicurezza si occupa di valutazione documentata dei rischi, attuazione e monitoraggio delle misure di sicurezza, gestione dei contratti con fornitori esterni e segnalazione di incidenti di sicurezza.
  5. L’esternalizzazione dei servizi di sicurezza solleva l’azienda da responsabilità? No. Anche se l’attività tecnica viene esternalizzata (ad esempio a un Virtual CISO), l’operatore economico rimane responsabile del rispetto dei criteri AEO di fronte alle Dogane.
  6. Quale documentazione deve produrre o supervisionare il responsabile della sicurezza? Il responsabile deve supervisionare la produzione di Risk Assessment documentato, piani di sicurezza per i siti, procedure di gestione degli accessi, registri degli incidenti e piani di formazione sulla sicurezza per il personale.

La governance della sicurezza per AEOS impone la designazione di una persona di contatto competente; il modello Virtual CISO offre competenza e flessibilità, ma la responsabilità finale del rispetto dei criteri rimane sempre in capo all’operatore economico.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In

, , ,