SOC e MDR rappresentano strumenti essenziali nel monitoraggio continuo richiesto per rispettare i requisiti di sicurezza AEO. L’autorizzazione AEOS non va considerata come un punto di arrivo statico: le autorità doganali richiedono una vigilanza costante per assicurare il mantenimento degli standard di sicurezza e per neutralizzare tempestivamente ogni rischio nella catena di approvvigionamento.
Monitoraggio continuo e responsabilità dell’operatore economico
Il monitoraggio doganale è finalizzato all’individuazione precoce di qualsiasi segnale di non conformità rispetto ai criteri AEO. Questa attività costituisce una responsabilità primaria dell’operatore economico, che deve integrare sistemi di automonitoraggio efficaci nei controlli interni. L’utilizzo di un SOC consente di rilevare prontamente variazioni significative nei processi aziendali e di informare tempestivamente le autorità, adottando quanto richiesto dall’articolo 23 del CDU.
Gestione degli incidenti: procedure, segnalazione e registrazione
Nel Questionario di Autovalutazione (QAV), è richiesto che le procedure siano documentate per consentire al personale di segnalare incidenti legati alla sicurezza, quali accessi non autorizzati, furti o intrusioni. Le imprese devono documentare le modalità di indagine sugli eventi e specificare chi è responsabile delle comunicazioni interne ed esterne. In caso di violazione, le autorità doganali richiedono la revisione immediata delle procedure e l’attuazione di misure correttive. È obbligatorio mantenere un registro dettagliato degli incidenti e delle azioni adottate, che sarà sottoposto a verifica in occasione degli audit.
Business Continuity e Disaster Recovery
Nella sezione 3 del QAV, la capacità di ripristino dell’operatore è un requisito fondamentale. Ai sensi dell’articolo 25 del RE, deve essere predisposto un piano di emergenza (Business Continuity Plan) per la gestione di guasti o disfunzioni dei sistemi informatici, comprendente:
- Procedure di back-up periodiche per programmi e dati rilevanti.
- Piano di ripristino in caso di disastro per assicurare la continuità operativa.
- Dettagli sulla protezione tramite firewall e antivirus per prevenire la perdita di informazioni.
Le Dogane precisano che sistemi passivi, come un CCTV che si limita a registrare senza controllo attivo, potrebbero non essere ritenuti adeguati agli standard AEOS.
FAQ – Monitoraggio e Incident Response per l’AEOS
- È obbligatorio disporre di un SOC per ottenere l’AEOS?
- Non è formalmente obbligatorio citare un SOC, ma la normativa richiede un monitoraggio continuo delle attività e l’individuazione precoce delle non conformità. Un SOC facilita enormemente la dimostrazione di questi standard elevati durante l’audit.
- Come deve essere gestito un incidente di sicurezza informatica?
- Attraverso una procedura documentata che preveda la segnalazione al responsabile, l’indagine sulle cause, l’adozione di misure correttive e la revisione delle policy di sicurezza esistenti per evitare recidive.
- Cosa si intende per piano di emergenza nel contesto AEO?
- Si riferisce a un piano documentato di business continuity e disaster recovery finalizzato a garantire il ripristino dei programmi e dei dati a seguito di un guasto del sistema o di un incidente informatico.
- È necessario conservare un registro degli incidenti?
- Sì. L’operatore deve prendere nota di tutti gli incidenti inerenti alla sicurezza e delle misure adottate. Questi registri devono essere messi a disposizione dell’autorità doganale durante le visite in loco.
- Ogni quanto le autorità verificano il mantenimento dei requisiti di sicurezza?
- Sebbene il monitoraggio sia continuo, per le autorizzazioni AEOS è espressamente raccomandata una visita in loco almeno ogni tre anni.
L’autorizzazione AEOS esige il monitoraggio costante dei processi, la tempestiva individuazione delle non conformità, la corretta gestione degli incidenti di sicurezza e il mantenimento di un piano aggiornato di emergenza e di registri ispezionabili dagli auditor.