Tag med Gary Staley, når han optrævler det indviklede net af ITAR-, EAR- og cybersikkerhedsforanstaltninger, hvilket giver uvurderlig indsigt i effektiv overholdelse i et hurtigt udviklende globalt landskab.
Nielsonsmith: Gary, først og fremmest vil jeg gerne takke dig for at tale til os i dag og dele din viden med vores publikum.
Gary: Tak skal du have. Jeg synes, vi har så meget at tale om i år. Det har nok været et af de mest spændende år for eksportkontroludøvere i nyere tid, hvor der er sket så meget. Og ikke kun gode ting; det kan vi tale om, når vi går videre.
Nielsonsmith: Ja, hvorfor dykker vi ikke ned i det? Det første spørgsmål, vi har til dig, er, om du kan give et kort overblik over de vigtigste ændringer og udviklinger i ITAR og EAR i løbet af det seneste år?
Gary: The difficult part for me is to provide a BRIEF overview; I could talk for hours on this. Most of the readers of this interview probably know that the United States has two systems of export controls: the U.S. Department of State’s International Traffic in Arms Regulations (ITAR) and the U.S. Department of Commerce’s Export Administration Regulations (EAR). And, of course, there’s also the U.S. Department of the Treasury’s Office of Foreign Assets Control (OFAC), which administers U,S. sanctions, although EAR export controls and OFAC sanctions continue to converge, with EAR controls looking more and more like sanctions in terms of targeting specific individuals and entities rather than whole countries. Of course, targeting specific individuals and entities is what U.S. sanctions have done for a long time.
But let’s start with the ITAR. Interestingly, there’s not a whole lot of earth-shaking developments regarding the ITAR over the past year. I think, in part, that’s because from May of 2023, when Deputy Assistant Secretary Mike Miller announced that he was leaving for a position at the US Department of Defense, until just recently, there has not been a formally-appointed Deputy Assistant Secretary to lead the Directorate of Defense Trade Controls. During that time, DDTC has had a series of Acting Deputy Assistant Secretaries drawn from the office directors within DDTC. When you have that situation, I think that somewhat chills initiatives within that office; they don’t want to undertake major developments or changes to the ITAR without having the formal appointment of a new Deputy Assistant Secretary. There were tweaks to the ITAR for the most part. The ITAR Reorg rule got finalized; there was an extension of the Open General Licenses, which we can talk about, and there were a few other developments, but again, nothing earthshaking.
Jeg har endnu ikke mødt nogen virksomhed i Storbritannien, Australien eller Canada, der indrømmer, at de bruger de åbne generelle licenser; de ser bare endnu en gang ud til at være et program, der er dødt ved ankomsten. Det er en skam, for de åbne generelle licenser giver i teorien mulighed for genoverførsel inden for disse lande og geneksport mellem disse tre lande af ITAR-kontrollerede varer uden licens og uden forudgående godkendelse, forudsat at man opfylder alle betingelserne i de åbne generelle licenser.
Vi har fået en opdatering af ITAR Part 126's Supplement No. 1, som øgede antallet af varer, der er omfattet af den canadiske undtagelse og Storbritanniens og Australiens Defence Trade Control-aftaler. Men igen, disse traktater var døde ved ankomsten tilbage i Bush-administrationen. Jeg har endnu ikke mødt nogen virksomhed, som indrømmer, at de bruger nogen af aftalerne.
DDTC fortsatte suspenderingen af Cyperns status som forbudt land under ITAR. Cypern har været et forbudt land på grund af konflikten mellem det græske og det tyrkiske samfund på øen, men de har suspenderet ITAR 126.1-statussen som forbudt land indtil videre. Bare igen, justeringer.
Så hvad er der på vej? I øjeblikket ser det ud til, at der kommer flere tilpasninger, bortset fra AUKUS. Og AUKUS bliver meget interessant. AUKUS er et forslag om at tillade en canadisk ITAR-undtagelse for Storbritannien og Canada, forudsat at Storbritannien og Australien har eksportkontrolsystemer, der kan sammenlignes med USA's, som forskellige embedsmænd fra udenrigsministeriet har udtalt sig om i Kongressen. Den mest iøjnefaldende forskel mellem USA, Storbritannien og Australien er efter min mening, at USA indfører kontrol med reeksport og retransfer. Australien har for nylig vedtaget nogle ændringer af sin eksportkontrollovgivning, som formentlig vil indføre krav om reeksportkontrol. Hvad angår Storbritannien, var jeg til en konference i London i september sidste år, hvor jeg stillede spørgsmålet "Er Storbritannien parat til at have et tilsvarende system?" til en repræsentant for en af de store britiske handelsorganisationer. Han var meget hurtig til at sige, at vi allerede har et sammenligneligt system, og han havde tydeligvis sine argumenter klar for, hvorfor det var tilfældet. Storbritannien har ikke kontrol med reeksport, så det bliver interessant at se, hvordan det kommer til at gå.
Jeg vil også opfordre folk til at være opmærksomme på bestemmelserne om eksportkontrol i det, der kaldes National Defense Authorization Act for FY 2024. Blandt dem var bemyndigelse til at forhandle om en undtagelseslignende behandling for Australien og Storbritannien og en yderligere liberalisering af handelen med Canada på ITAR-siden. Det bliver interessant at se, hvordan alt det udspiller sig.
Other than that, again, some tweaking. We are still waiting on a final rule regarding the definition of dual/third country nationals. I believe two years or so ago the State Department proposed to change the definition from “do you hold a nationality” to “have you held a nationality.” Right now, the definition is “hold” which means that even someone’s country of birth can make the person a dual national, But what does “hold” mean? If you were born in Iran and you left as a child when the Shah was deposed, and you’ve never been back, and you don’t have any family there, but you wisely have not gone into an Iranian Embassy and said, “where’s the form for me to fill out for me to renounce my Iranian citizenship?”, does the person still “hold” Iranian citizenship. At least in State’s proposed rule, they didn’t clarify that. So, we’ll see.
På EAR-siden handler det selvfølgelig om at forsøge at øge presset på Rusland, Hviderusland og Kina gennem eksportkontrol. Et af de store emner i det forgangne år var halvledere og udstyr til fremstilling af halvledere. Det ser ud til, at vi hver anden uge har tilføjelser til Entitetslisten, som er en af de primære måder, hvorpå Commerce igen indfører, hvad der svarer til sanktioner mod russiske virksomheder og enheder i andre lande, der opfattes som hjælpere for Rusland.
The other big development is the significantly increased emphasis on enforcement. The State Department came out with a new compliance program guide. They also published a compliance matrix, which is well worth reviewing. It is very useful. State has continued to bring enforcement cases; particularly, there was a Consent Agreement that came out just last week imposing a $51 million dollars civil penalty on Boeing, although that’s far from the highest civil penalty that has previously been assessed against companies. Interestingly, in the Boeing Consent Agreement, there was a reference to one of the Boeing export control managers fabricating DSP-5 licenses. And you kind of go, “Wow!” How’s that possible? So, I thought that was interesting. About half of the $51 million penalty is allowed to be applied toward remedial measures.
På EAR- og sanktionssiden har vi set meget mere håndhævelsesindsats fra flere agenturer og, vil jeg sige, flere lande. På den amerikanske side har vi siden marts 2022 haft noget, der hedder Task Force KleptoCapture, som drives af justitsministeriet, og som samler FBI, US Marshals Service, Internal Revenue Service, US Postal Inspection Service, Immigration and Customs Enforcement og så videre for at håndhæve sanktioner mod russiske oligarker. Og i februar 2023 lancerede Justitsministeriet og Handelsministeriet det, de kalder "Disruptive Technology Strike Force". Det er igen en fælles indsats for at samle FBI, Homeland Security og taskforces hos de amerikanske statsadvokater i de forskellige stater for at øge indsatsen for at håndhæve USA's eksportkontrol og sanktioner.
Det er interessant, at der siden Obama-administrationen har været noget, der hed Export Enforcement Coordination Center (E2C2), som skulle gøre det samme. Så hvorfor var der behov for denne nye Disruptive Technology Task Force? Var E2C2 en fiasko? Det vil nysgerrige sjæle gerne vide! Men der er ingen tvivl om, at der er pres på for at føre sager.
Og det bringer mig til noget, som jeg virkelig ser frem til at have en dialog om med deltagerne på konferencen. Gør vi grin med os selv om, hvor effektive sanktioner og eksportkontrol er?
Der var en meget interessant artikel i New York Times, tror jeg, i begyndelsen af sidste uge, hvor de havde syv tabeller, der forklarede, hvorfor sanktioner ikke har været effektive mod Rusland, og en af de store faktorer er selvfølgelig, at Rusland har vendt sig mod Kina for en stor del af sin handel. Men en stor del af den ulovlige handel kommer også fra Mellemøsten: De Forenede Arabiske Emirater, Bahrain og nogle af de andre Golfstater. Efter alt at dømme har sanktionerne ikke været effektive til at tvinge Rusland i knæ.
Nielsonsmith: Det var et af de spørgsmål, der var på dagsordenen i dag, at spørge, hvor effektive I synes, de er; ja, her er svarene.
Gary: En række af de store amerikanske aviser bragte artikler om, hvorfor sanktioner ikke er mere effektive i sidste uge eller i slutningen af ugen før, da vi havde to års jubilæum for krigen i Ukraine. En af de ting, jeg tror, der sker, er, at sanktionsprocessen bare ikke er smidig nok. Det har altid været et spørgsmål om at spille whack-a-mole. Så snart man har identificeret og ramt én kanal for ulovlig handel, dukker der fem andre op. De amerikanske myndigheder griber sanktioner an på en meget legalistisk måde; det handler om at opbygge sager, der kan retsforfølges ved amerikanske domstole. Og når man gør det, er der allerede sket en masse ulovlig handel. Og så er der en anden ting, jeg bare ikke forstår, og som jeg meget gerne vil have nogen til at forklare mig, nemlig hvorfor USA kom med denne store ekstra sanktionspakke på toårsdagen for krigen. Embedsmænd meddelte, at de ville sanktionere yderligere 500 personer og enheder i Rusland, Hviderusland og tredjelande. Hvad ventede de på? Fem hundrede? Du vidste, at de var involveret i ulovlig handel, og du ventede med at sanktionere dem? Det forstår jeg ikke.
Nielsonsmith: Nu har vi dækket en hel del, så jeg vil gerne vende tilbage til emnet AUKUS i lidt flere detaljer. Hvilke konsekvenser kan det have for overholdelse af handelsreglerne?
Gary: Jeg er en tvivlende Thomas omkring dette. Til dels fordi alle disse initiativer ser ud til at få en masse presseomtale og derefter viser sig ikke at være særlig effektive. Jeg nævnte Open General License-initiativet fra, tror jeg, omkring tre år siden. De påvirker ikke USA's reeksportkontrol, der gælder for forsvarshandel fra for eksempel Storbritannien til andre lande end Canada og Australien. De globale forsyningskæder er på nuværende tidspunkt så sammenvævede. Du har BAE i Storbritannien, der arbejder på et amerikansk forsvarsprogram, som ville være underlagt ITAR; BAE har sandsynligvis leverandører i hele Europa, hvis ikke i hele verden. Så selv om vi faktisk har en undtagelse for handel med Storbritannien, skal BAE så ikke stadig tilbage og have en reeksportgodkendelse for at handle med de leverandører i Tyskland og Frankrig og muligvis Indien? Så jeg kan se, at det muligvis kan gøre en forskel, men igen, i betragtning af hvordan den globale forsyningskæde fungerer, må jeg sætte spørgsmålstegn ved, hvor effektivt det vil være?
Og hvis AUKUS får britiske, canadiske og australske virksomheder til at blive mere isolerede og ikke udnytte globale forsyningskæder, er det så virkelig en god ting for vores respektive forsvar? USA, Storbritannien, Australien og Canada har ikke længere monopol på al den bedste teknologi. Så hvis en undtagelse for disse lande afholder verdens BAE'er og Rolls-Royce'er fra at bruge bedre teknologi, der er tilgængelig i Tyskland, til et amerikansk forsvarsprojekt - er det så en god ting? Så igen, vi får se.
Med hensyn til de bredere konsekvenser for lovlydige virksomheder håber jeg, at de øger deres indsats for at overholde tredjepartsreglerne for at sikre, at de ikke har med nogen at gøre, at de ikke eksporterer til nogen, hvor varerne ender i Rusland eller som ulovlig eksport til Kina. Jeg kan ikke se, hvordan man kan gøre det i 2024 uden automatisering. Man er nødt til at have software til handelsautomatisering for at få det til at ske.
Nielsonsmith: Cybersikkerhed er et stort emne lige nu, så mit næste spørgsmål er, hvad den seneste udvikling er i forhold til det amerikanske forsvarsministeriums certificeringsprogram Cybersecurity Maturity Model?
Gary: Det er interessant, at Forsvarsministeriet ventede til den 26. december, hvor alle var på ferie, med at offentliggøre ikke bare de foreslåede regler for CMMC 2.0, men også en hel del yderligere vejledninger, der skulle gælde for CMMC 2.0. De ser bestemt ud til at gå videre med programmet. Det ser ud til, at vi ender med tre niveauer, og hvis du er i forsvarsindustrien, kommer du til at være på niveau 2, fordi du kommer til at beskæftige dig med eksportkontrolleret information.
Det store spørgsmål, jeg har i tankerne for europæiske virksomheder, er, at CMMC kræver auditering, tredjepartsauditering, for at bekræfte, at du har cybersikkerhedsprogrammer, der overholder CMMC-kravene, som de er formuleret i National Institute of Standards and Technologies' Special Publication 800-171 og dens forskellige permutationer. Så hvordan kommer den auditering i udlandet til at fungere? I Canada er de ved at udvikle deres eget cybersikkerhedsprogram, der minder meget om CMMC, med et certificeringselement, og de er i dialog med USA om gensidighed, dvs.Hvis vi certificerer en canadisk virksomhed som værende i overensstemmelse med vores program, vil I så anerkende det som værende i overensstemmelse med CMMC og ikke kræve en separat audit? Jeg tror, at Storbritannien arbejder på noget lignende. Jeg har ikke hørt meget nyt om det fra andre europæiske lande; så hvor efterlader det deres virksomheder i forsyningskæden til US DoD, hvor CMMC-kravene ville træde i kraft. Det er stadig meget uklart, om og hvornår CMMC-programmet vil akkreditere auditorer i tredjelande til at udføre denne auditering. Hvis det ikke sker i de første to - tre - fire - fem år, efter at CMMC er trådt i kraft, skal auditeringen udføres af amerikanske virksomheder. Jeg kan ikke forestille mig, at virksomheder i Frankrig eller Holland vil være begejstrede for at skulle betale for, at revisorer fra USA kommer herover. Jeg har endda hørt nogle forbehold fra europæiske virksomheder, og det er ikke bare en konspirationsteori, om at få amerikanske revisorer til at undersøge deres cybersikkerhedsprogrammer. Vil de indsamlede oplysninger blive sendt til vores National Security Agency, så de kan snage i deres programmer? Så der er meget, der skal afgøres om CMMC 2.0, men det går fremad, og virksomheder i det amerikanske forsvarsministeriums forsyningskæde gør klogt i at se på alt dette, hvis de ikke allerede har gjort det.
Nielsonsmith: Tak, fordi du har delt så meget viden i dag. Men til sidst vil jeg gerne spørge om, hvor vigtigt du mener, det er for virksomheder at investere i uddannelse af deres compliance officers, og hvilke ressourcer de bør bruge.
Gary: I can’t emphasize enough that training is one of the three key components to an effective compliance program. If you haven’t trained your employees about what the requirements are, how do you expect them to adhere to those requirements? And particularly, if you haven’t provided training resources to your dedicated export control managers, how are they supposed to administer your compliance programs? I see that time and time and time again. I’m going to be having a videoconference today with a company I’m assisting with a major voluntary disclosure to the Department of State, and they continue to go out and hire people to be export control managers that have no training, no experience. Well, they’re learning on the job, but in my experience over 40 years, that only may happen. A lot of these folks do not put the homework that is required into learning export control requirements.
Det er ikke akademikere i femte klasse; det er meget sofistikerede regler, som det tager lang tid og mange kræfter at lære, og i mange tilfælde ser jeg det ikke. Men den gode nyhed, Alisa, er, at de europæiske eksportkontrolchefer i gennemsnit er bedre uddannet og bedre informeret end de amerikanske.
Nielsonsmith: Mange tak for din tid, Gary, og jeg er sikker på, at den viden, du har delt i dag, er meget værdsat af vores læsere.
Gary Stanley er den Formand for Global Legal Services, PCet Washington DC-baseret advokatfirma med fokus på overholdelse af handelsregler og andre internationale forretningsspørgsmål.
Stanley repræsenterer bl.a. adskillige amerikanske, canadiske og europæiske virksomheder i spørgsmål om eksportkontrol af forsvarsmateriel.
Det har hr. Stanley for eksempel:
- Rådgivet adskillige amerikanske forsvarsfirmaer om at sikre godkendelse af licenser fra det amerikanske udenrigsministerium/direktoratet for forsvarshandelskontrol samt aftaler om produktionslicenser og teknisk assistance i henhold til del 123 og 124 i International Traffic in Arms Regulations ("ITAR") og om at bruge ITAR-undtagelser, herunder den canadiske undtagelse i ITAR §126.5.
- Rådgivet flere virksomheder om frivillige oplysninger i henhold til ITAR § 127.12.
- Hjalp adskillige forsvarsfirmaer med registrering og licensering af deres mæglere i henhold til Part 129 i ITAR.
- Har undervist i eksportkontrol for en række amerikanske, britiske og canadiske forsvarsfirmaer samt for den russiske regerings eksportkontrolembedsmænd og forskellige canadiske regeringsorganer, herunder det canadiske forsvarsministerium, det canadiske udenrigsministerium og den canadiske rumfartsorganisation. Fra februar 2004 til februar 2005 fungerede Stanley som Special Compliance Official, der førte tilsyn med en større forsvarsvirksomheds program for overholdelse af eksportkontrol i henhold til en Consent Agreement, som virksomheden indgik med det amerikanske udenrigsministerium. Statslige håndhævelsesmyndigheder havde rejst tiltale mod virksomheden under en teori om efterfølgeransvar for overtrædelser, som en anden virksomhed, hvis aktiver denne virksomhed havde opkøbt, angiveligt havde begået.
Udover at repræsentere private virksomheder har Stanley også fungeret som konsulent for den amerikanske regering og industrigrupper. For eksempel fungerede han som den vigtigste eksterne ekspert i eksportkontrol for hovedentreprenøren Booz Allen Hamilton Inc. i fase II af Transatlantic Secure Collaboration Program. Dette program var et konsortium af ti amerikanske, canadiske og europæiske forsvarsvirksomheder, herunder Lockheed Martin, EADS, Northrop Grumman og Boeing, som forsøgte at etablere retningslinjer for "bedste praksis" for elektronisk udveksling af uklassificerede, beskyttede og eksportkontrollerede oplysninger.
Stanley fik sin bachelorgrad fra Emory University i 1975 og sin juridiske embedseksamen fra Harvard Law School i 1978. Han blev i sit første år valgt til Phi Beta Kappa. Stanley er i øjeblikket sekretær-kasserer og bestyrelsesmedlem i The Procedural Aspects of International Law Institute.
Hvis du vil vide mere om Stanley og hans advokatfirma, Global Legal Services, kan du ringe til ham på (202) 686-4854 eller sende ham en e-mail på gstanley@glstrade.com.
GLOBALE JURIDISKE TJENESTER
Relaterede begivenheder
