EU verschärft IT-Sicherheit für zertifizierte Wirtschaftsbeteiligte

Die EU-Kommission stellt die IT-Sicherheit von AEO-zertifizierten Unternehmen auf eine harte Probe. Neue Vorgaben aus Brüssel und die verschärfte NIS2-Richtlinie zwingen Logistiker und Zollabwickler zum digitalen Nachrüsten – bei persönlicher Haftung der Geschäftsführung.

Brüssel/Berlin – Ein sicherer Warenfluss reicht nicht mehr: Zertifizierte Wirtschaftsbeteiligte (Authorized Economic Operators, AEO) in der EU müssen sich auf eine neue Ära der digitalen Compliance einstellen. Grund sind eine umfassende Überarbeitung des EU-Cybersecurity-Gesetzes und die volle Umsetzung der NIS2-Richtlinie in Deutschland und Österreich. Ab sofort zählt nicht nur die physische, sondern vor allem die IT-Sicherheit der gesamten Lieferkette.

Die EU-Kommission will am Montag, den 20. Januar, einen überarbeiteten Entwurf vorlegen. Kernpunkt: Die Zertifizierung nach dem Cybersecurity-Gesetz soll künftig nicht mehr nur einzelne ICT-Produkte, sondern das „gesamte Risikomanagement“ eines Unternehmens umfassen. Betroffen sind kritische Sektoren wie Logistik und Supply-Chain-Management.

Für AEO-Unternehmen, die bereits „angemessene Sicherheitsstandards“ nachweisen müssen, bedeutet dies eine Revolution. Künftig werden wahrscheinlich Cybersecurity-Reifegradmodelle fester Bestandteil der AEO-Compliance-Prüfungen. Beobachter wie Luca Bertuzzi sehen darin einen Schwenk, um die bislang „stockende Umsetzung“ bestehender Regelungen zu beschleunigen. Besonderes Augenmerk liegt auf Cloud-Anbietern und Managed-Security-Dienstleistern – den digitalen Rückgraden moderner AEOs.

Geschäftsführer stehen durch NIS2 plötzlich persönlich in der Haftung – viele Logistik‑KMU sind technisch noch nicht ausreichend vorbereitet. Ein kostenloses E‑Book erklärt praxisnahe Schutzmaßnahmen, Prioritäten für kleine AEOs und wie Sie Ihre IT‑Sicherheit ohne teure Aufstockung zielgerichtet stärken. Inklusive Checkliste für Reaktionspläne und Hinweise zu Meldepflichten nach NIS2. Jetzt kostenlosen Cyber‑Security‑Leitfaden herunterladen

NIS2: Persönliche Haftung für Geschäftsführung

Während Brüssel plant, wirkt die NIS2-Richtlinie bereits. Seit Anfang 2026 sind die nationalen Umsetzungsgesetze in Deutschland (NIS2UmsuCG) und Österreich in Kraft. Tausende Transport- und Logistikunternehmen gelten nun als „wichtige“ oder „essenzielle“ Einrichtungen.

Die Konsequenz für den AEO-Status ist direkt: Die AEO-Kriterien verlangen „angemessene Maßnahmen“ für die Sicherheit elektronischer Systeme. NIS2 definiert nun, was „Stand der Technik“ bedeutet. Wer diese Vorgaben verfehlt, riskiert nicht nur hohe Bußgelder, sondern auch den Entzug seiner Zollprivilegien.

Die größte Neuerung ist die persönliche Haftung. Wie Analysen von CSO Online zeigen, können Geschäftsführer in Deutschland nun mit ihrem Privatvermögen für Versäumnisse im IT-Risikomanagement haften. IT-Sicherheit ist damit endgültig vom Technik- zum Chefsache-Thema aufgestiegen.

Der Weg zu „Trust and Check“ beginnt jetzt

Der Druck auf die IT-Infrastruktur wächst durch ein weiteres Großprojekt: den geplanten Übergang zum „Trust and Check“-Status. Dieses Modell soll langfristig die heutigen AEO-Stufen ablösen. Kernidee ist der Echtzeitzugriff der Zollbehörden auf die Unternehmenssysteme.

Brancheneinblicke von PwC und Customs Support Group deuten darauf hin, dass die technischen Grundlagen hierfür jetzt gelegt werden. Die neuen IT-Sicherheitsanforderungen gelten als Vorbereitungsphase für diese datengetriebene Zollwelt. Konkrete operative Änderungen sind bereits spürbar: Seit Januar 2026 ist die Anwendung „Smart Border Austria“ für elektronische Vorabanmeldungen von Transitverkehren verpflichtend. Wer diesen sicheren IT-Kanal nicht nutzt, dessen Transportmittel wird an der Grenze abgewiesen.

KMU unter besonderem Druck

Die Gleichzeitigkeit der neuen Regeln stellt vor allem kleine und mittlere Unternehmen (KMU) mit AEO-Status vor immense Herausforderungen. Während große Logistikkonzerne sich auf NIS2 vorbereitet haben, müssen viele Mittelständler ihre Cybersecurity-Protokolle jetzt unter Zeitdruck nachrüsten.

Experten wie Michael Regula von Beo Software warnen vor einem komplexen Jahr 2026. Neben den IT-Sicherheitsanforderungen kommen weitere neue Regelwerke wie der CO₂-Grenzausgleich (CBAM) hinzu. Besonders heikel: Die unter NIS2 oft binnen 24 Stunden geforderte Meldung von Sicherheitsvorfällen. Für KMU ohne rund um die Uhr besetzte Security Operations Centers ist das kaum zu leisten.

Die Branche blickt nun gespannt auf die Veröffentlichung des überarbeiteten Cybersecurity-Gesetzes am 20. Januar. Sollte für AEOs das höchste Zertifizierungsniveau („hohe“ Gewissheitsstufe) verpflichtend werden, könnte eine Welle von Neubewertungen folgen. Marktbeobachter rechnen mit einer Konsolidierung, wenn kleinere Player die Compliance-Kosten nicht mehr schultern können.

Die Botschaft der Regulierer ist klar: Eine sichere Lieferkette definiert sich 2026 ebenso sehr über Firewalls und Verschlüsselung wie über physische Schlösser und Siegel. AEOs müssen sich dieser digitalen Realität stellen – oder ihren Status als vertrauenswürdige Handelspartner verlieren.

PS: Bereiten Sie Ihr Unternehmen jetzt auf „Trust and Check“ und die neuen Melderegeln wie NIS2 und CBAM vor – dieses kostenlose E‑Book fasst die wichtigsten Pflichtpunkte, einfache Schutzmaßnahmen und praktische Checklisten zusammen, damit AEOs Compliance‑Risiken reduzieren und Zollprivilegien sichern. Gratis E‑Book: Cyber‑Security Awareness Trends sichern