Obtener la certificación AEOS (Operador Económico Autorizado – Seguridad) requiere más que simples medidas técnicas: se necesita una gobernanza de seguridad estructurada, liderada por una figura competente y reconocida por las autoridades aduaneras. Muchas empresas se encuentran desprevenidas ante este requisito, al no disponer internamente de las competencias necesarias para coordinar análisis de riesgos, procedimientos operativos y cumplimiento normativo.

El Código Aduanero de la Unión (CAU) define con precisión quién debe ocuparse de la seguridad y qué responsabilidades debe asumir. Comprender estas obligaciones y elegir la solución organizativa más adecuada puede marcar la diferencia entre una autorización obtenida rápidamente y un proceso largo y complejo.

Quién debe ocuparse de la seguridad según el Código Aduanero

El artículo 28, apartado 1, letra h) del Reglamento de Ejecución (RE) establece que todo solicitante de la autorización AEOS debe designar a una persona de contacto competente para las cuestiones relacionadas con la seguridad de la cadena de suministro. Esta figura actúa como interfaz oficial entre la empresa y las autoridades aduaneras.

Es importante aclarar que este rol se refiere exclusivamente a la seguridad aduanera e informática; no coincide con el responsable de la seguridad en el trabajo previsto por la normativa laboral (como el D.Lgs. 81/08 en Italia), que opera en un ámbito normativo completamente diferente.

La normativa permite flexibilidad: el responsable puede ser un empleado interno o un profesional externo formalmente encargado, siempre que demuestre pleno conocimiento de los procedimientos empresariales y una competencia técnica adecuada.

Qué requiere el Cuestionario de Autoevaluación (QAV)

La Sección 6 del QAV, dedicada a los requisitos de seguridad, pide documentar quién protege los sistemas empresariales y cómo se coordinan las medidas de defensa. Las autoridades aduaneras verifican que esta figura sea capaz de:

• Realizar y actualizar el Risk Assessment: preparar una evaluación documentada de las amenazas específicas a la cadena de suministro y a los sistemas informáticos.
• Definir y supervisar los procedimientos de seguridad: gestionar controles sobre los accesos físicos y lógicos, protección de datos y seguridad de las áreas sensibles.
• Gestionar los incidentes de seguridad: coordinar investigaciones, comunicaciones y acciones correctivas en caso de violaciones o intrusiones, siguiendo procedimientos estructurados de monitorización y respuesta ante incidentes.
• Verificar a los socios comerciales: asegurar que los proveedores y subcontratistas respeten los estándares de seguridad exigidos por la AEOS.

Estas responsabilidades requieren competencias que van más allá de la gestión informática ordinaria: se necesitan conocimientos de Risk Assessment, cumplimiento normativo y gestión de la seguridad según estándares internacionales como la ISO/IEC 27001.

El CISO Virtual como solución para la gobernanza AEOS

Para muchas empresas, contratar a un Director de Seguridad de la Información (CISO) a tiempo completo representa una inversión desproporcionada respecto al tamaño o la complejidad organizativa. El modelo de CISO Virtual ofrece una alternativa estratégica que responde plenamente a los requisitos normativos:

• Competencia certificada: el CISO Virtual aporta experiencia consolidada en gestión de riesgos, cumplimiento y gestión de la seguridad, satisfaciendo el requisito de competencia exigido por las Aduanas.
• Coordinación multisede: en presencia de varias plantas u oficinas, garantiza la coherencia en las medidas de seguridad y simplifica el proceso de auditoría aduanera.
• Eficiencia económica: proporciona una gobernanza de alto nivel sin los costes de un directivo interno, manteniendo el pleno control operativo en manos de la empresa.
• Flexibilidad operativa: interviene con la frecuencia necesaria, adaptándose a las necesidades específicas del proceso de certificación y del mantenimiento de la autorización.

El CISO Virtual puede preparar toda la documentación requerida por el QAV, coordinar la implementación de las medidas de seguridad y actuar como referente técnico durante las visitas de inspección de las autoridades aduaneras. Además, puede supervisar actividades técnicas especializadas como las pruebas de penetración de la infraestructura de red necesarias para demostrar la resiliencia de los sistemas críticos.

Preguntas frecuentes sobre la gobernanza de la seguridad AEOS

• ¿Es obligatorio nombrar a un responsable de seguridad para obtener la AEOS?
• Sí. El artículo 28, apartado 1, letra h) del Reglamento de Ejecución exige expresamente la designación de una persona de contacto competente para la seguridad, que actúe como interfaz con la administración aduanera.
• ¿El responsable de seguridad debe ser necesariamente un empleado interno?
• No. La normativa permite que la función sea desempeñada por un sujeto externo, siempre que esté formalmente encargado y demuestre pleno conocimiento de los procedimientos de seguridad de la empresa. Esta flexibilidad hace posible el uso de un CISO Virtual.
• ¿Cómo puede un CISO Virtual apoyar concretamente los requisitos AEOS?
• El CISO Virtual define el marco de seguridad, coordina el análisis de riesgos, prepara la documentación necesaria para el Cuestionario de Autoevaluación (Sección 6) y actúa como referente técnico durante las visitas de inspección de las autoridades aduaneras.
• ¿Qué documentos debe producir o supervisar el responsable de seguridad?
• El responsable debe supervisar la producción del Risk Assessment documentado, los planes de seguridad para cada sitio, los procedimientos de gestión de accesos, los registros de incidentes y los planes de formación en seguridad para el personal.
• ¿Externalizar la seguridad exime a la empresa de sus responsabilidades ante las Aduanas?
• No. Incluso confiando la actividad técnica a un CISO Virtual o a consultores externos, el operador económico sigue siendo siempre responsable del cumplimiento de los criterios AEOS ante las autoridades aduaneras. La externalización se refiere a la ejecución, no a la responsabilidad final.
• ¿Qué competencias técnicas debe poseer el responsable de seguridad AEOS?
• Debe conocer metodologías de Risk Assessment, gestión de la seguridad informática y física, normativas aduaneras y estándares internacionales como la ISO/IEC 27001. También debe saber coordinar proveedores externos y gestionar la comunicación con las autoridades.

La gobernanza de la seguridad representa un pilar fundamental para obtener y mantener la certificación AEOS. El modelo de CISO Virtual ofrece competencia especializada y flexibilidad operativa, pero la responsabilidad final del cumplimiento de los criterios recae siempre en el operador económico que solicita la autorización.

Profundizaciones relacionadas

• Certificación AEO y ciberseguridad: requisitos y proceso de cumplimiento
• Seguridad de los sistemas y de las aplicaciones para la certificación AEOS
• Gestión de vulnerabilidades para la certificación AEOS
• AEOS y seguridad de los socios comerciales en la cadena de suministro
• Formación en ciberseguridad para operadores económicos autorizados