Tag med Gary Staley, når han optrævler det indviklede net af ITAR-, EAR- og cybersikkerhedsforanstaltninger, hvilket giver uvurderlig indsigt i effektiv overholdelse i et hurtigt udviklende globalt landskab.
Nielsonsmith: Gary, først og fremmest vil jeg gerne takke dig for at tale til os i dag og dele din viden med vores publikum.
Gary: Tak skal du have. Jeg synes, vi har så meget at tale om i år. Det har nok været et af de mest spændende år for eksportkontroludøvere i nyere tid, hvor der er sket så meget. Og ikke kun gode ting; det kan vi tale om, når vi går videre.
Nielsonsmith: Ja, hvorfor dykker vi ikke ned i det? Det første spørgsmål, vi har til dig, er, om du kan give et kort overblik over de vigtigste ændringer og udviklinger i ITAR og EAR i løbet af det seneste år?
Gary: Det svære for mig er at give et KORT overblik; jeg kunne tale i timevis om dette. De fleste læsere af dette interview ved nok, at USA har to systemer for eksportkontrol: Det amerikanske udenrigsministeriums International Traffic in Arms Regulations (ITAR) og det amerikanske handelsministeriums Export Administration Regulations (EAR). Og så er der selvfølgelig også det amerikanske finansministeriums Office of Foreign Assets Control (OFAC), som administrerer de amerikanske sanktioner, selv om EAR's eksportkontrol og OFAC's sanktioner fortsætter med at nærme sig hinanden, og EAR's kontrol minder mere og mere om sanktioner, der er rettet mod specifikke personer og enheder i stedet for hele lande. Selvfølgelig har amerikanske sanktioner i lang tid været rettet mod specifikke personer og enheder.
Men lad os starte med ITAR. Det er interessant, at der ikke er sket så meget skelsættende i forhold til ITAR i løbet af det seneste år. Jeg tror, at det til dels skyldes, at der fra maj 2023, hvor viceviceminister Mike Miller meddelte, at han forlod os til fordel for en stilling i det amerikanske forsvarsministerium, og indtil for nylig ikke har været en formelt udnævnt viceviceminister til at lede Direktoratet for Forsvarets Handelskontrol. I løbet af den tid har DDTC haft en række fungerende assisterende viceministre fra kontorcheferne i DDTC. Når man har den situation, tror jeg, at det køler initiativerne i det kontor lidt ned; de ønsker ikke at foretage større udviklinger eller ændringer af ITAR uden at have den formelle udnævnelse af en ny viceadministrerende sekretær. Der blev foretaget tilpasninger af ITAR for det meste. ITAR Reorg-reglen blev færdiggjort; der var en udvidelse af de åbne generelle licenser, som vi kan tale om, og der var et par andre udviklinger, men igen, ikke noget jordskælvsagtigt.
Jeg har endnu ikke mødt nogen virksomhed i Storbritannien, Australien eller Canada, der indrømmer, at de bruger de åbne generelle licenser; de ser bare endnu en gang ud til at være et program, der er dødt ved ankomsten. Det er en skam, for de åbne generelle licenser giver i teorien mulighed for genoverførsel inden for disse lande og geneksport mellem disse tre lande af ITAR-kontrollerede varer uden licens og uden forudgående godkendelse, forudsat at man opfylder alle betingelserne i de åbne generelle licenser.
Vi har fået en opdatering af ITAR Part 126's Supplement No. 1, som øgede antallet af varer, der er omfattet af den canadiske undtagelse og Storbritanniens og Australiens Defence Trade Control-aftaler. Men igen, disse traktater var døde ved ankomsten tilbage i Bush-administrationen. Jeg har endnu ikke mødt nogen virksomhed, som indrømmer, at de bruger nogen af aftalerne.
DDTC fortsatte suspenderingen af Cyperns status som forbudt land under ITAR. Cypern har været et forbudt land på grund af konflikten mellem det græske og det tyrkiske samfund på øen, men de har suspenderet ITAR 126.1-statussen som forbudt land indtil videre. Bare igen, justeringer.
Så hvad er der på vej? I øjeblikket ser det ud til, at der kommer flere tilpasninger, bortset fra AUKUS. Og AUKUS bliver meget interessant. AUKUS er et forslag om at tillade en canadisk ITAR-undtagelse for Storbritannien og Canada, forudsat at Storbritannien og Australien har eksportkontrolsystemer, der kan sammenlignes med USA's, som forskellige embedsmænd fra udenrigsministeriet har udtalt sig om i Kongressen. Den mest iøjnefaldende forskel mellem USA, Storbritannien og Australien er efter min mening, at USA indfører kontrol med reeksport og retransfer. Australien har for nylig vedtaget nogle ændringer af sin eksportkontrollovgivning, som formentlig vil indføre krav om reeksportkontrol. Hvad angår Storbritannien, var jeg til en konference i London i september sidste år, hvor jeg stillede spørgsmålet "Er Storbritannien parat til at have et tilsvarende system?" til en repræsentant for en af de store britiske handelsorganisationer. Han var meget hurtig til at sige, at vi allerede har et sammenligneligt system, og han havde tydeligvis sine argumenter klar for, hvorfor det var tilfældet. Storbritannien har ikke kontrol med reeksport, så det bliver interessant at se, hvordan det kommer til at gå.
Jeg vil også opfordre folk til at være opmærksomme på bestemmelserne om eksportkontrol i det, der kaldes National Defense Authorization Act for FY 2024. Blandt dem var bemyndigelse til at forhandle om en undtagelseslignende behandling for Australien og Storbritannien og en yderligere liberalisering af handelen med Canada på ITAR-siden. Det bliver interessant at se, hvordan alt det udspiller sig.
Bortset fra det er der igen nogle justeringer. Vi venter stadig på en endelig regel om definitionen af statsborgere med dobbelt statsborgerskab/tredjelandsstatsborgere. Jeg tror, at udenrigsministeriet for omkring to år siden foreslog at ændre definitionen fra "har du en nationalitet" til "har du haft en nationalitet". Lige nu er definitionen "hold", hvilket betyder, at selv en persons fødeland kan gøre personen til dobbelt statsborger, men hvad betyder "hold"? Hvis du blev født i Iran og forlod landet som barn, da shahen blev afsat, og du aldrig har været tilbage, og du ikke har nogen familie der, men du klogeligt nok ikke er gået ind på en iransk ambassade og har sagt: "Hvor er den formular, jeg skal udfylde for at give afkald på mit iranske statsborgerskab?", har personen så stadig iransk statsborgerskab? Det blev i hvert fald ikke afklaret i State's forslag til regler. Så vi får se.
På EAR-siden handler det selvfølgelig om at forsøge at øge presset på Rusland, Hviderusland og Kina gennem eksportkontrol. Et af de store emner i det forgangne år var halvledere og udstyr til fremstilling af halvledere. Det ser ud til, at vi hver anden uge har tilføjelser til Entitetslisten, som er en af de primære måder, hvorpå Commerce igen indfører, hvad der svarer til sanktioner mod russiske virksomheder og enheder i andre lande, der opfattes som hjælpere for Rusland.
Den anden store udvikling er den markant øgede vægt på håndhævelse. Udenrigsministeriet er kommet med en ny guide til compliance-programmet. De har også udgivet en compliance-matrix, som er værd at læse. Den er meget nyttig. Udenrigsministeriet er fortsat med at føre håndhævelsessager; især kom der en Consent Agreement ud i sidste uge, hvor Boeing blev pålagt en civil bøde på $51 millioner dollars, selvom det langt fra er den højeste civile bøde, der tidligere er blevet idømt virksomheder. Interessant nok var der i Boeings Consent Agreement en henvisning til, at en af Boeings eksportkontrolchefer havde fabrikeret DSP-5-licenser. Og man tænker lidt: "Wow!" Hvordan er det muligt? Så jeg syntes, det var interessant. Omkring halvdelen af bøden på $51 millioner kan anvendes til afhjælpende foranstaltninger.
På EAR- og sanktionssiden har vi set meget mere håndhævelsesindsats fra flere agenturer og, vil jeg sige, flere lande. På den amerikanske side har vi siden marts 2022 haft noget, der hedder Task Force KleptoCapture, som drives af justitsministeriet, og som samler FBI, US Marshals Service, Internal Revenue Service, US Postal Inspection Service, Immigration and Customs Enforcement og så videre for at håndhæve sanktioner mod russiske oligarker. Og i februar 2023 lancerede Justitsministeriet og Handelsministeriet det, de kalder "Disruptive Technology Strike Force". Det er igen en fælles indsats for at samle FBI, Homeland Security og taskforces hos de amerikanske statsadvokater i de forskellige stater for at øge indsatsen for at håndhæve USA's eksportkontrol og sanktioner.
Det er interessant, at der siden Obama-administrationen har været noget, der hed Export Enforcement Coordination Center (E2C2), som skulle gøre det samme. Så hvorfor var der behov for denne nye Disruptive Technology Task Force? Var E2C2 en fiasko? Det vil nysgerrige sjæle gerne vide! Men der er ingen tvivl om, at der er pres på for at føre sager.
Og det bringer mig til noget, som jeg virkelig ser frem til at have en dialog om med deltagerne på konferencen. Gør vi grin med os selv om, hvor effektive sanktioner og eksportkontrol er?
Der var en meget interessant artikel i New York Times, tror jeg, i begyndelsen af sidste uge, hvor de havde syv tabeller, der forklarede, hvorfor sanktioner ikke har været effektive mod Rusland, og en af de store faktorer er selvfølgelig, at Rusland har vendt sig mod Kina for en stor del af sin handel. Men en stor del af den ulovlige handel kommer også fra Mellemøsten: De Forenede Arabiske Emirater, Bahrain og nogle af de andre Golfstater. Efter alt at dømme har sanktionerne ikke været effektive til at tvinge Rusland i knæ.
Nielsonsmith: Det var et af de spørgsmål, der var på dagsordenen i dag, at spørge, hvor effektive I synes, de er; ja, her er svarene.
Gary: En række af de store amerikanske aviser bragte artikler om, hvorfor sanktioner ikke er mere effektive i sidste uge eller i slutningen af ugen før, da vi havde to års jubilæum for krigen i Ukraine. En af de ting, jeg tror, der sker, er, at sanktionsprocessen bare ikke er smidig nok. Det har altid været et spørgsmål om at spille whack-a-mole. Så snart man har identificeret og ramt én kanal for ulovlig handel, dukker der fem andre op. De amerikanske myndigheder griber sanktioner an på en meget legalistisk måde; det handler om at opbygge sager, der kan retsforfølges ved amerikanske domstole. Og når man gør det, er der allerede sket en masse ulovlig handel. Og så er der en anden ting, jeg bare ikke forstår, og som jeg meget gerne vil have nogen til at forklare mig, nemlig hvorfor USA kom med denne store ekstra sanktionspakke på toårsdagen for krigen. Embedsmænd meddelte, at de ville sanktionere yderligere 500 personer og enheder i Rusland, Hviderusland og tredjelande. Hvad ventede de på? Fem hundrede? Du vidste, at de var involveret i ulovlig handel, og du ventede med at sanktionere dem? Det forstår jeg ikke.
Nielsonsmith: Nu har vi dækket en hel del, så jeg vil gerne vende tilbage til emnet AUKUS i lidt flere detaljer. Hvilke konsekvenser kan det have for overholdelse af handelsreglerne?
Gary: Jeg er en tvivlende Thomas omkring dette. Til dels fordi alle disse initiativer ser ud til at få en masse presseomtale og derefter viser sig ikke at være særlig effektive. Jeg nævnte Open General License-initiativet fra, tror jeg, omkring tre år siden. De påvirker ikke USA's reeksportkontrol, der gælder for forsvarshandel fra for eksempel Storbritannien til andre lande end Canada og Australien. De globale forsyningskæder er på nuværende tidspunkt så sammenvævede. Du har BAE i Storbritannien, der arbejder på et amerikansk forsvarsprogram, som ville være underlagt ITAR; BAE har sandsynligvis leverandører i hele Europa, hvis ikke i hele verden. Så selv om vi faktisk har en undtagelse for handel med Storbritannien, skal BAE så ikke stadig tilbage og have en reeksportgodkendelse for at handle med de leverandører i Tyskland og Frankrig og muligvis Indien? Så jeg kan se, at det muligvis kan gøre en forskel, men igen, i betragtning af hvordan den globale forsyningskæde fungerer, må jeg sætte spørgsmålstegn ved, hvor effektivt det vil være?
Og hvis AUKUS får britiske, canadiske og australske virksomheder til at blive mere isolerede og ikke udnytte globale forsyningskæder, er det så virkelig en god ting for vores respektive forsvar? USA, Storbritannien, Australien og Canada har ikke længere monopol på al den bedste teknologi. Så hvis en undtagelse for disse lande afholder verdens BAE'er og Rolls-Royce'er fra at bruge bedre teknologi, der er tilgængelig i Tyskland, til et amerikansk forsvarsprojekt - er det så en god ting? Så igen, vi får se.
Med hensyn til de bredere konsekvenser for lovlydige virksomheder håber jeg, at de øger deres indsats for at overholde tredjepartsreglerne for at sikre, at de ikke har med nogen at gøre, at de ikke eksporterer til nogen, hvor varerne ender i Rusland eller som ulovlig eksport til Kina. Jeg kan ikke se, hvordan man kan gøre det i 2024 uden automatisering. Man er nødt til at have software til handelsautomatisering for at få det til at ske.
Nielsonsmith: Cybersikkerhed er et stort emne lige nu, så mit næste spørgsmål er, hvad den seneste udvikling er i forhold til det amerikanske forsvarsministeriums certificeringsprogram Cybersecurity Maturity Model?
Gary: Det er interessant, at Forsvarsministeriet ventede til den 26. december, hvor alle var på ferie, med at offentliggøre ikke bare de foreslåede regler for CMMC 2.0, men også en hel del yderligere vejledninger, der skulle gælde for CMMC 2.0. De ser bestemt ud til at gå videre med programmet. Det ser ud til, at vi ender med tre niveauer, og hvis du er i forsvarsindustrien, kommer du til at være på niveau 2, fordi du kommer til at beskæftige dig med eksportkontrolleret information.
Det store spørgsmål, jeg har i tankerne for europæiske virksomheder, er, at CMMC kræver auditering, tredjepartsauditering, for at bekræfte, at du har cybersikkerhedsprogrammer, der overholder CMMC-kravene, som de er formuleret i National Institute of Standards and Technologies' Special Publication 800-171 og dens forskellige permutationer. Så hvordan kommer den auditering i udlandet til at fungere? I Canada er de ved at udvikle deres eget cybersikkerhedsprogram, der minder meget om CMMC, med et certificeringselement, og de er i dialog med USA om gensidighed, dvs.Hvis vi certificerer en canadisk virksomhed som værende i overensstemmelse med vores program, vil I så anerkende det som værende i overensstemmelse med CMMC og ikke kræve en separat audit? Jeg tror, at Storbritannien arbejder på noget lignende. Jeg har ikke hørt meget nyt om det fra andre europæiske lande; så hvor efterlader det deres virksomheder i forsyningskæden til US DoD, hvor CMMC-kravene ville træde i kraft. Det er stadig meget uklart, om og hvornår CMMC-programmet vil akkreditere auditorer i tredjelande til at udføre denne auditering. Hvis det ikke sker i de første to - tre - fire - fem år, efter at CMMC er trådt i kraft, skal auditeringen udføres af amerikanske virksomheder. Jeg kan ikke forestille mig, at virksomheder i Frankrig eller Holland vil være begejstrede for at skulle betale for, at revisorer fra USA kommer herover. Jeg har endda hørt nogle forbehold fra europæiske virksomheder, og det er ikke bare en konspirationsteori, om at få amerikanske revisorer til at undersøge deres cybersikkerhedsprogrammer. Vil de indsamlede oplysninger blive sendt til vores National Security Agency, så de kan snage i deres programmer? Så der er meget, der skal afgøres om CMMC 2.0, men det går fremad, og virksomheder i det amerikanske forsvarsministeriums forsyningskæde gør klogt i at se på alt dette, hvis de ikke allerede har gjort det.
Nielsonsmith: Tak, fordi du har delt så meget viden i dag. Men til sidst vil jeg gerne spørge om, hvor vigtigt du mener, det er for virksomheder at investere i uddannelse af deres compliance officers, og hvilke ressourcer de bør bruge.
Gary: Jeg kan ikke understrege nok, at uddannelse er en af de tre vigtigste komponenter i et effektivt compliance-program. Hvis du ikke har uddannet dine medarbejdere i, hvad kravene er, hvordan kan du så forvente, at de overholder dem? Og især, hvis du ikke har stillet uddannelsesressourcer til rådighed for dine dedikerede eksportkontrolchefer, hvordan skal de så kunne administrere dine compliance-programmer? Det ser jeg igen og igen og igen. Jeg skal have en videokonference i dag med en virksomhed, som jeg hjælper med en større frivillig oplysning til udenrigsministeriet, og de fortsætter med at ansætte folk til at være eksportkontrolansvarlige, som ikke har nogen uddannelse eller erfaring. De lærer på jobbet, men det er min erfaring gennem 40 år, at det kun kan ske. Mange af disse folk gør ikke det hjemmearbejde, der skal til for at lære eksportkontrolkravene.
Det er ikke akademikere i femte klasse; det er meget sofistikerede regler, som det tager lang tid og mange kræfter at lære, og i mange tilfælde ser jeg det ikke. Men den gode nyhed, Alisa, er, at de europæiske eksportkontrolchefer i gennemsnit er bedre uddannet og bedre informeret end de amerikanske.
Nielsonsmith: Mange tak for din tid, Gary, og jeg er sikker på, at den viden, du har delt i dag, er meget værdsat af vores læsere.
Gary Stanley er den Formand for Global Legal Services, PCet Washington DC-baseret advokatfirma med fokus på overholdelse af handelsregler og andre internationale forretningsspørgsmål.
Stanley repræsenterer bl.a. adskillige amerikanske, canadiske og europæiske virksomheder i spørgsmål om eksportkontrol af forsvarsmateriel.
Det har hr. Stanley for eksempel:
- Rådgivet adskillige amerikanske forsvarsfirmaer om at sikre godkendelse af licenser fra det amerikanske udenrigsministerium/direktoratet for forsvarshandelskontrol samt aftaler om produktionslicenser og teknisk assistance i henhold til del 123 og 124 i International Traffic in Arms Regulations ("ITAR") og om at bruge ITAR-undtagelser, herunder den canadiske undtagelse i ITAR §126.5.
- Rådgivet flere virksomheder om frivillige oplysninger i henhold til ITAR § 127.12.
- Hjalp adskillige forsvarsfirmaer med registrering og licensering af deres mæglere i henhold til Part 129 i ITAR.
- Har undervist i eksportkontrol for en række amerikanske, britiske og canadiske forsvarsfirmaer samt for den russiske regerings eksportkontrolembedsmænd og forskellige canadiske regeringsorganer, herunder det canadiske forsvarsministerium, det canadiske udenrigsministerium og den canadiske rumfartsorganisation. Fra februar 2004 til februar 2005 fungerede Stanley som Special Compliance Official, der førte tilsyn med en større forsvarsvirksomheds program for overholdelse af eksportkontrol i henhold til en Consent Agreement, som virksomheden indgik med det amerikanske udenrigsministerium. Statslige håndhævelsesmyndigheder havde rejst tiltale mod virksomheden under en teori om efterfølgeransvar for overtrædelser, som en anden virksomhed, hvis aktiver denne virksomhed havde opkøbt, angiveligt havde begået.
Udover at repræsentere private virksomheder har Stanley også fungeret som konsulent for den amerikanske regering og industrigrupper. For eksempel fungerede han som den vigtigste eksterne ekspert i eksportkontrol for hovedentreprenøren Booz Allen Hamilton Inc. i fase II af Transatlantic Secure Collaboration Program. Dette program var et konsortium af ti amerikanske, canadiske og europæiske forsvarsvirksomheder, herunder Lockheed Martin, EADS, Northrop Grumman og Boeing, som forsøgte at etablere retningslinjer for "bedste praksis" for elektronisk udveksling af uklassificerede, beskyttede og eksportkontrollerede oplysninger.
Stanley fik sin bachelorgrad fra Emory University i 1975 og sin juridiske embedseksamen fra Harvard Law School i 1978. Han blev i sit første år valgt til Phi Beta Kappa. Stanley er i øjeblikket sekretær-kasserer og bestyrelsesmedlem i The Procedural Aspects of International Law Institute.
Hvis du vil vide mere om Stanley og hans advokatfirma, Global Legal Services, kan du ringe til ham på (202) 686-4854 eller sende ham en e-mail på gstanley@glstrade.com.
GLOBALE JURIDISKE TJENESTER
Relaterede begivenheder
