{"id":2446,"date":"2024-04-08T15:13:20","date_gmt":"2024-04-08T14:13:20","guid":{"rendered":"https:\/\/nielsonsmith.com\/?p=2446"},"modified":"2024-05-14T16:37:18","modified_gmt":"2024-05-14T15:37:18","slug":"us-trade-controls-compliance-itar-ear-cybersecurity","status":"publish","type":"post","link":"https:\/\/nielsonsmith.com\/da\/us-trade-controls-compliance-itar-ear-cybersecurity\/","title":{"rendered":"Et dybt dyk i overholdelse af amerikansk handelskontrol"},"content":{"rendered":"

Tag med Gary Staley, n\u00e5r han optr\u00e6vler det indviklede net <\/strong>af ITAR-, EAR- og cybersikkerhedsforanstaltninger, hvilket giver uvurderlig indsigt i effektiv overholdelse i et hurtigt udviklende globalt landskab.<\/h2>\n\n\n\n

Nielsonsmith: Gary, f\u00f8rst og fremmest vil jeg gerne takke dig for at tale til os i dag og dele din viden med vores publikum.<\/strong><\/h3>\n\n\n\n

Gary<\/strong>: Tak skal du have. Jeg synes, vi har s\u00e5 meget at tale om i \u00e5r. Det har nok v\u00e6ret et af de mest sp\u00e6ndende \u00e5r for eksportkontrolud\u00f8vere i nyere tid, hvor der er sket s\u00e5 meget. Og ikke kun gode ting; det kan vi tale om, n\u00e5r vi g\u00e5r videre.<\/p>\n\n\n\n

Nielsonsmith: Ja, hvorfor dykker vi ikke ned i det? Det f\u00f8rste sp\u00f8rgsm\u00e5l, vi har til dig, er, om du kan give et kort overblik over de vigtigste \u00e6ndringer og udviklinger i ITAR og EAR i l\u00f8bet af det seneste \u00e5r?<\/strong><\/h3>\n\n\n\n

Gary<\/strong>: The difficult part for me is to provide a BRIEF overview; I could talk for hours on this. Most of the readers of this interview probably know that the United States has two systems of export controls: the U.S. Department of State\u2019s International Traffic in Arms Regulations (ITAR) and the U.S. Department of Commerce’s Export Administration Regulations (EAR). And, of course, there’s also the U.S. Department of the Treasury’s Office of Foreign Assets Control (OFAC), which administers U,S. sanctions, although EAR export controls and OFAC sanctions continue to converge, with EAR controls looking more and more like sanctions in terms of targeting specific individuals and entities rather than whole countries.\u00a0 Of course, targeting specific individuals and entities is what U.S. sanctions have done for a long time.<\/p>\n\n\n\n

But let’s start with the ITAR. Interestingly, there’s not a whole lot of earth-shaking developments regarding the ITAR over the past year. I think, in part, that’s because from May of 2023, when Deputy Assistant Secretary Mike Miller announced that he was leaving for a position at the US Department of Defense, until just recently, there has not been a formally-appointed Deputy Assistant Secretary to lead the Directorate of Defense Trade Controls. During that time, DDTC has had a series of Acting Deputy Assistant Secretaries drawn from the office directors within DDTC.\u00a0 When you have that situation, I think that somewhat chills initiatives within that office; they don’t want to undertake major developments or changes to the ITAR without having the formal appointment of a new Deputy Assistant Secretary. There were tweaks to the ITAR for the most part. The ITAR Reorg rule got finalized; there was an extension of the Open General Licenses, which we can talk about, and there were a few other developments, but again, nothing earthshaking.\u00a0<\/p>\n\n\n\n

Jeg har endnu ikke m\u00f8dt nogen virksomhed i Storbritannien, Australien eller Canada, der indr\u00f8mmer, at de bruger de \u00e5bne generelle licenser; de ser bare endnu en gang ud til at v\u00e6re et program, der er d\u00f8dt ved ankomsten. Det er en skam, for de \u00e5bne generelle licenser giver i teorien mulighed for genoverf\u00f8rsel inden for disse lande og geneksport mellem disse tre lande af ITAR-kontrollerede varer uden licens og uden forudg\u00e5ende godkendelse, forudsat at man opfylder alle betingelserne i de \u00e5bne generelle licenser.\u00a0<\/p>\n\n\n\n

Vi har f\u00e5et en opdatering af ITAR Part 126's Supplement No. 1, som \u00f8gede antallet af varer, der er omfattet af den canadiske undtagelse og Storbritanniens og Australiens Defence Trade Control-aftaler. Men igen, disse traktater var d\u00f8de ved ankomsten tilbage i Bush-administrationen. Jeg har endnu ikke m\u00f8dt nogen virksomhed, som indr\u00f8mmer, at de bruger nogen af aftalerne.\u00a0<\/p>\n\n\n\n

DDTC fortsatte suspenderingen af Cyperns status som forbudt land under ITAR. Cypern har v\u00e6ret et forbudt land p\u00e5 grund af konflikten mellem det gr\u00e6ske og det tyrkiske samfund p\u00e5 \u00f8en, men de har suspenderet ITAR 126.1-statussen som forbudt land indtil videre. Bare igen, justeringer.\u00a0<\/p>\n\n\n\n

S\u00e5 hvad er der p\u00e5 vej? I \u00f8jeblikket ser det ud til, at der kommer flere tilpasninger, bortset fra AUKUS. Og AUKUS bliver meget interessant. AUKUS er et forslag om at tillade en canadisk ITAR-undtagelse for Storbritannien og Canada, forudsat at Storbritannien og Australien har eksportkontrolsystemer, der kan sammenlignes med USA's, som forskellige embedsm\u00e6nd fra udenrigsministeriet har udtalt sig om i Kongressen. Den mest i\u00f8jnefaldende forskel mellem USA, Storbritannien og Australien er efter min mening, at USA indf\u00f8rer kontrol med reeksport og retransfer. Australien har for nylig vedtaget nogle \u00e6ndringer af sin eksportkontrollovgivning, som formentlig vil indf\u00f8re krav om reeksportkontrol. Hvad ang\u00e5r Storbritannien, var jeg til en konference i London i september sidste \u00e5r, hvor jeg stillede sp\u00f8rgsm\u00e5let \"Er Storbritannien parat til at have et tilsvarende system?\" til en repr\u00e6sentant for en af de store britiske handelsorganisationer. Han var meget hurtig til at sige, at vi allerede har et sammenligneligt system, og han havde tydeligvis sine argumenter klar for, hvorfor det var tilf\u00e6ldet. Storbritannien har ikke kontrol med reeksport, s\u00e5 det bliver interessant at se, hvordan det kommer til at g\u00e5.<\/p>\n\n\n\n

Jeg vil ogs\u00e5 opfordre folk til at v\u00e6re opm\u00e6rksomme p\u00e5 bestemmelserne om eksportkontrol i det, der kaldes National Defense Authorization Act for FY 2024. Blandt dem var bemyndigelse til at forhandle om en undtagelseslignende behandling for Australien og Storbritannien og en yderligere liberalisering af handelen med Canada p\u00e5 ITAR-siden. Det bliver interessant at se, hvordan alt det udspiller sig.<\/p>\n\n\n\n

Other than that, again, some tweaking. We are still waiting on a final rule regarding the definition of dual\/third country nationals. I believe two years or so ago the State Department proposed to change the definition from \u201cdo you hold a nationality\u201d to \u201chave you held a nationality.\u201d Right now, the definition is \u201chold\u201d which means that even someone\u2019s country of birth can make the person a dual national, But what does \u201chold\u201d mean? If you were born in Iran and you left as a child when the Shah was deposed, and you’ve never been back, and you don’t have any family there, but you wisely have not gone into an Iranian Embassy and said, \u201cwhere’s the form for me to fill out for me to renounce my Iranian citizenship?\u201d, does the person still \u201chold\u201d Iranian citizenship.\u00a0 At least in State\u2019s proposed rule, they didn\u2019t clarify that. So, we’ll see.<\/p>\n\n\n\n

P\u00e5 EAR-siden handler det selvf\u00f8lgelig om at fors\u00f8ge at \u00f8ge presset p\u00e5 Rusland, Hviderusland og Kina gennem eksportkontrol. Et af de store emner i det forgangne \u00e5r var halvledere og udstyr til fremstilling af halvledere. Det ser ud til, at vi hver anden uge har tilf\u00f8jelser til Entitetslisten, som er en af de prim\u00e6re m\u00e5der, hvorp\u00e5 Commerce igen indf\u00f8rer, hvad der svarer til sanktioner mod russiske virksomheder og enheder i andre lande, der opfattes som hj\u00e6lpere for Rusland.<\/p>\n\n\n\n

The other big development is the significantly increased emphasis on enforcement. The State Department came out with a new compliance program guide. They also published a compliance matrix, which is well worth reviewing.\u00a0 It is very useful. State has continued to bring enforcement cases; particularly, there was a Consent Agreement that came out just last week imposing a $51 million dollars civil penalty on Boeing, although that’s far from the highest civil penalty that has previously been assessed against companies. Interestingly, in the Boeing Consent Agreement, there was a reference to one of the Boeing export control managers fabricating DSP-5 licenses. And you kind of go, \u201cWow!\u201d How’s that possible? So, I thought that was interesting. About half of the $51 million penalty is allowed to be applied toward remedial measures.<\/p>\n\n\n\n

P\u00e5 EAR- og sanktionssiden har vi set meget mere h\u00e5ndh\u00e6velsesindsats fra flere agenturer og, vil jeg sige, flere lande. P\u00e5 den amerikanske side har vi siden marts 2022 haft noget, der hedder Task Force KleptoCapture, som drives af justitsministeriet, og som samler FBI, US Marshals Service, Internal Revenue Service, US Postal Inspection Service, Immigration and Customs Enforcement og s\u00e5 videre for at h\u00e5ndh\u00e6ve sanktioner mod russiske oligarker. Og i februar 2023 lancerede Justitsministeriet og Handelsministeriet det, de kalder \"Disruptive Technology Strike Force\". Det er igen en f\u00e6lles indsats for at samle FBI, Homeland Security og taskforces hos de amerikanske statsadvokater i de forskellige stater for at \u00f8ge indsatsen for at h\u00e5ndh\u00e6ve USA's eksportkontrol og sanktioner.<\/p>\n\n\n\n

Det er interessant, at der siden Obama-administrationen har v\u00e6ret noget, der hed Export Enforcement Coordination Center (E2C2), som skulle g\u00f8re det samme. S\u00e5 hvorfor var der behov for denne nye Disruptive Technology Task Force? Var E2C2 en fiasko? Det vil nysgerrige sj\u00e6le gerne vide! Men der er ingen tvivl om, at der er pres p\u00e5 for at f\u00f8re sager.<\/p>\n\n\n\n

Og det bringer mig til noget, som jeg virkelig ser frem til at have en dialog om med deltagerne p\u00e5 konferencen. G\u00f8r vi grin med os selv om, hvor effektive sanktioner og eksportkontrol er?\u00a0<\/p>\n\n\n\n

Der var en meget interessant artikel i New York Times, tror jeg, i begyndelsen af sidste uge, hvor de havde syv tabeller, der forklarede, hvorfor sanktioner ikke har v\u00e6ret effektive mod Rusland, og en af de store faktorer er selvf\u00f8lgelig, at Rusland har vendt sig mod Kina for en stor del af sin handel. Men en stor del af den ulovlige handel kommer ogs\u00e5 fra Mellem\u00f8sten: De Forenede Arabiske Emirater, Bahrain og nogle af de andre Golfstater. Efter alt at d\u00f8mme har sanktionerne ikke v\u00e6ret effektive til at tvinge Rusland i kn\u00e6.<\/p>\n\n\n\n

Nielsonsmith: Det var et af de sp\u00f8rgsm\u00e5l, der var p\u00e5 dagsordenen i dag, at sp\u00f8rge, hvor effektive I synes, de er; ja, her er svarene.<\/strong><\/h3>\n\n\n\n

Gary<\/strong>: En r\u00e6kke af de store amerikanske aviser bragte artikler om, hvorfor sanktioner ikke er mere effektive i sidste uge eller i slutningen af ugen f\u00f8r, da vi havde to \u00e5rs jubil\u00e6um for krigen i Ukraine. En af de ting, jeg tror, der sker, er, at sanktionsprocessen bare ikke er smidig nok. Det har altid v\u00e6ret et sp\u00f8rgsm\u00e5l om at spille whack-a-mole. S\u00e5 snart man har identificeret og ramt \u00e9n kanal for ulovlig handel, dukker der fem andre op. De amerikanske myndigheder griber sanktioner an p\u00e5 en meget legalistisk m\u00e5de; det handler om at opbygge sager, der kan retsforf\u00f8lges ved amerikanske domstole. Og n\u00e5r man g\u00f8r det, er der allerede sket en masse ulovlig handel. Og s\u00e5 er der en anden ting, jeg bare ikke forst\u00e5r, og som jeg meget gerne vil have nogen til at forklare mig, nemlig hvorfor USA kom med denne store ekstra sanktionspakke p\u00e5 to\u00e5rsdagen for krigen. Embedsm\u00e6nd meddelte, at de ville sanktionere yderligere 500 personer og enheder i Rusland, Hviderusland og tredjelande. Hvad ventede de p\u00e5? Fem hundrede? Du vidste, at de var involveret i ulovlig handel, og du ventede med at sanktionere dem? Det forst\u00e5r jeg ikke.\u00a0<\/p>\n\n\n\n

Nielsonsmith: Nu har vi d\u00e6kket en hel del, s\u00e5 jeg vil gerne vende tilbage til emnet AUKUS i lidt flere detaljer. Hvilke konsekvenser kan det have for overholdelse af handelsreglerne?<\/strong><\/h3>\n\n\n\n

Gary<\/strong>: Jeg er en tvivlende Thomas omkring dette. Til dels fordi alle disse initiativer ser ud til at f\u00e5 en masse presseomtale og derefter viser sig ikke at v\u00e6re s\u00e6rlig effektive. Jeg n\u00e6vnte Open General License-initiativet fra, tror jeg, omkring tre \u00e5r siden. De p\u00e5virker ikke USA's reeksportkontrol, der g\u00e6lder for forsvarshandel fra for eksempel Storbritannien til andre lande end Canada og Australien. De globale forsyningsk\u00e6der er p\u00e5 nuv\u00e6rende tidspunkt s\u00e5 sammenv\u00e6vede. Du har BAE i Storbritannien, der arbejder p\u00e5 et amerikansk forsvarsprogram, som ville v\u00e6re underlagt ITAR; BAE har sandsynligvis leverand\u00f8rer i hele Europa, hvis ikke i hele verden. S\u00e5 selv om vi faktisk har en undtagelse for handel med Storbritannien, skal BAE s\u00e5 ikke stadig tilbage og have en reeksportgodkendelse for at handle med de leverand\u00f8rer i Tyskland og Frankrig og muligvis Indien? S\u00e5 jeg kan se, at det muligvis kan g\u00f8re en forskel, men igen, i betragtning af hvordan den globale forsyningsk\u00e6de fungerer, m\u00e5 jeg s\u00e6tte sp\u00f8rgsm\u00e5lstegn ved, hvor effektivt det vil v\u00e6re?\u00a0<\/p>\n\n\n\n

Og hvis AUKUS f\u00e5r britiske, canadiske og australske virksomheder til at blive mere isolerede og ikke udnytte globale forsyningsk\u00e6der, er det s\u00e5 virkelig en god ting for vores respektive forsvar? USA, Storbritannien, Australien og Canada har ikke l\u00e6ngere monopol p\u00e5 al den bedste teknologi. S\u00e5 hvis en undtagelse for disse lande afholder verdens BAE'er og Rolls-Royce'er fra at bruge bedre teknologi, der er tilg\u00e6ngelig i Tyskland, til et amerikansk forsvarsprojekt - er det s\u00e5 en god ting? S\u00e5 igen, vi f\u00e5r se.\u00a0<\/p>\n\n\n\n

Med hensyn til de bredere konsekvenser for lovlydige virksomheder h\u00e5ber jeg, at de \u00f8ger deres indsats for at overholde tredjepartsreglerne for at sikre, at de ikke har med nogen at g\u00f8re, at de ikke eksporterer til nogen, hvor varerne ender i Rusland eller som ulovlig eksport til Kina. Jeg kan ikke se, hvordan man kan g\u00f8re det i 2024 uden automatisering. Man er n\u00f8dt til at have software til handelsautomatisering for at f\u00e5 det til at ske.<\/p>\n\n\n\n

\"Cybersikkerhed\"<\/figure>\n\n\n\n

Nielsonsmith: Cybersikkerhed er et stort emne lige nu, s\u00e5 mit n\u00e6ste sp\u00f8rgsm\u00e5l er, hvad den seneste udvikling er i forhold til det amerikanske forsvarsministeriums certificeringsprogram Cybersecurity Maturity Model?<\/strong><\/h3>\n\n\n\n

Gary<\/strong>: Det er interessant, at Forsvarsministeriet ventede til den 26. december, hvor alle var p\u00e5 ferie, med at offentligg\u00f8re ikke bare de foresl\u00e5ede regler for CMMC 2.0, men ogs\u00e5 en hel del yderligere vejledninger, der skulle g\u00e6lde for CMMC 2.0. De ser bestemt ud til at g\u00e5 videre med programmet. Det ser ud til, at vi ender med tre niveauer, og hvis du er i forsvarsindustrien, kommer du til at v\u00e6re p\u00e5 niveau 2, fordi du kommer til at besk\u00e6ftige dig med eksportkontrolleret information.\u00a0<\/p>\n\n\n\n

Det store sp\u00f8rgsm\u00e5l, jeg har i tankerne for europ\u00e6iske virksomheder, er, at CMMC kr\u00e6ver auditering, tredjepartsauditering, for at bekr\u00e6fte, at du har cybersikkerhedsprogrammer, der overholder CMMC-kravene, som de er formuleret i National Institute of Standards and Technologies' Special Publication 800-171 og dens forskellige permutationer. S\u00e5 hvordan kommer den auditering i udlandet til at fungere? I Canada er de ved at udvikle deres eget cybersikkerhedsprogram, der minder meget om CMMC, med et certificeringselement, og de er i dialog med USA om gensidighed, dvs.<\/em>Hvis vi certificerer en canadisk virksomhed som v\u00e6rende i overensstemmelse med vores program, vil I s\u00e5 anerkende det som v\u00e6rende i overensstemmelse med CMMC og ikke kr\u00e6ve en separat audit? Jeg tror, at Storbritannien arbejder p\u00e5 noget lignende. Jeg har ikke h\u00f8rt meget nyt om det fra andre europ\u00e6iske lande; s\u00e5 hvor efterlader det deres virksomheder i forsyningsk\u00e6den til US DoD, hvor CMMC-kravene ville tr\u00e6de i kraft. Det er stadig meget uklart, om og hvorn\u00e5r CMMC-programmet vil akkreditere auditorer i tredjelande til at udf\u00f8re denne auditering. Hvis det ikke sker i de f\u00f8rste to - tre - fire - fem \u00e5r, efter at CMMC er tr\u00e5dt i kraft, skal auditeringen udf\u00f8res af amerikanske virksomheder. Jeg kan ikke forestille mig, at virksomheder i Frankrig eller Holland vil v\u00e6re begejstrede for at skulle betale for, at revisorer fra USA kommer herover. Jeg har endda h\u00f8rt nogle forbehold fra europ\u00e6iske virksomheder, og det er ikke bare en konspirationsteori, om at f\u00e5 amerikanske revisorer til at unders\u00f8ge deres cybersikkerhedsprogrammer. Vil de indsamlede oplysninger blive sendt til vores National Security Agency, s\u00e5 de kan snage i deres programmer? S\u00e5 der er meget, der skal afg\u00f8res om CMMC 2.0, men det g\u00e5r fremad, og virksomheder i det amerikanske forsvarsministeriums forsyningsk\u00e6de g\u00f8r klogt i at se p\u00e5 alt dette, hvis de ikke allerede har gjort det.<\/p>\n\n\n\n

Nielsonsmith: Tak, fordi du har delt s\u00e5 meget viden i dag. Men til sidst vil jeg gerne sp\u00f8rge om, hvor vigtigt du mener, det er for virksomheder at investere i uddannelse af deres compliance officers, og hvilke ressourcer de b\u00f8r bruge.<\/strong><\/h3>\n\n\n\n

Gary<\/strong>: I can’t emphasize enough that training is one of the three key components to an effective compliance program. If you haven’t trained your employees about what the requirements are, how do you expect them to adhere to those requirements? And particularly, if you haven’t provided training resources to your dedicated export control managers, how are they supposed to administer your compliance programs? I see that time and time and time again.\u00a0 I’m going to be having a videoconference today with a company I’m assisting with a major voluntary disclosure to the Department of State, and they continue to go out and hire people to be export control managers that have no training, no experience. Well, they’re learning on the job, but in my experience over 40 years, that only may happen. A lot of these folks do not put the homework that is required into learning export control requirements.<\/p>\n\n\n\n

Det er ikke akademikere i femte klasse; det er meget sofistikerede regler, som det tager lang tid og mange kr\u00e6fter at l\u00e6re, og i mange tilf\u00e6lde ser jeg det ikke. Men den gode nyhed, Alisa, er, at de europ\u00e6iske eksportkontrolchefer i gennemsnit er bedre uddannet og bedre informeret end de amerikanske.<\/p>\n\n\n\n

Nielsonsmith: Mange tak for din tid, Gary, og jeg er sikker p\u00e5, at den viden, du har delt i dag, er meget v\u00e6rdsat af vores l\u00e6sere.<\/strong><\/h3>\n\n\n\n
\n\n\n\n
\"Gary<\/figure>
\n

Gary Stanley<\/strong> er den Formand for Global Legal Services<\/strong>, PC<\/strong>et Washington DC-baseret advokatfirma med fokus p\u00e5 overholdelse af handelsregler og andre internationale forretningssp\u00f8rgsm\u00e5l.<\/p>\n\n\n\n

Stanley repr\u00e6senterer bl.a. adskillige amerikanske, canadiske og europ\u00e6iske virksomheder i sp\u00f8rgsm\u00e5l om eksportkontrol af forsvarsmateriel.\u00a0<\/p>\n<\/div><\/div>\n\n\n\n

Det har hr. Stanley for eksempel:
- R\u00e5dgivet adskillige amerikanske forsvarsfirmaer om at sikre godkendelse af licenser fra det amerikanske udenrigsministerium\/direktoratet for forsvarshandelskontrol samt aftaler om produktionslicenser og teknisk assistance i henhold til del 123 og 124 i International Traffic in Arms Regulations (\"ITAR\") og om at bruge ITAR-undtagelser, herunder den canadiske undtagelse i ITAR \u00a7126.5.\u00a0<\/p>\n\n\n\n