{"id":2446,"date":"2024-04-08T15:13:20","date_gmt":"2024-04-08T14:13:20","guid":{"rendered":"https:\/\/nielsonsmith.com\/?p=2446"},"modified":"2024-05-14T16:37:18","modified_gmt":"2024-05-14T15:37:18","slug":"us-trade-controls-compliance-itar-ear-cybersecurity","status":"publish","type":"post","link":"https:\/\/nielsonsmith.com\/da\/us-trade-controls-compliance-itar-ear-cybersecurity\/","title":{"rendered":"Et dybt dyk i overholdelse af amerikansk handelskontrol"},"content":{"rendered":"

Tag med Gary Staley, n\u00e5r han optr\u00e6vler det indviklede net <\/strong>af ITAR-, EAR- og cybersikkerhedsforanstaltninger, hvilket giver uvurderlig indsigt i effektiv overholdelse i et hurtigt udviklende globalt landskab.<\/h2>\n\n\n\n

Nielsonsmith: Gary, f\u00f8rst og fremmest vil jeg gerne takke dig for at tale til os i dag og dele din viden med vores publikum.<\/strong><\/h3>\n\n\n\n

Gary<\/strong>: Tak skal du have. Jeg synes, vi har s\u00e5 meget at tale om i \u00e5r. Det har nok v\u00e6ret et af de mest sp\u00e6ndende \u00e5r for eksportkontrolud\u00f8vere i nyere tid, hvor der er sket s\u00e5 meget. Og ikke kun gode ting; det kan vi tale om, n\u00e5r vi g\u00e5r videre.<\/p>\n\n\n\n

Nielsonsmith: Ja, hvorfor dykker vi ikke ned i det? Det f\u00f8rste sp\u00f8rgsm\u00e5l, vi har til dig, er, om du kan give et kort overblik over de vigtigste \u00e6ndringer og udviklinger i ITAR og EAR i l\u00f8bet af det seneste \u00e5r?<\/strong><\/h3>\n\n\n\n

Gary<\/strong>: Det sv\u00e6re for mig er at give et KORT overblik; jeg kunne tale i timevis om dette. De fleste l\u00e6sere af dette interview ved nok, at USA har to systemer for eksportkontrol: Det amerikanske udenrigsministeriums International Traffic in Arms Regulations (ITAR) og det amerikanske handelsministeriums Export Administration Regulations (EAR). Og s\u00e5 er der selvf\u00f8lgelig ogs\u00e5 det amerikanske finansministeriums Office of Foreign Assets Control (OFAC), som administrerer de amerikanske sanktioner, selv om EAR's eksportkontrol og OFAC's sanktioner forts\u00e6tter med at n\u00e6rme sig hinanden, og EAR's kontrol minder mere og mere om sanktioner, der er rettet mod specifikke personer og enheder i stedet for hele lande. Selvf\u00f8lgelig har amerikanske sanktioner i lang tid v\u00e6ret rettet mod specifikke personer og enheder.<\/p>\n\n\n\n

Men lad os starte med ITAR. Det er interessant, at der ikke er sket s\u00e5 meget skels\u00e6ttende i forhold til ITAR i l\u00f8bet af det seneste \u00e5r. Jeg tror, at det til dels skyldes, at der fra maj 2023, hvor viceviceminister Mike Miller meddelte, at han forlod os til fordel for en stilling i det amerikanske forsvarsministerium, og indtil for nylig ikke har v\u00e6ret en formelt udn\u00e6vnt viceviceminister til at lede Direktoratet for Forsvarets Handelskontrol. I l\u00f8bet af den tid har DDTC haft en r\u00e6kke fungerende assisterende viceministre fra kontorcheferne i DDTC. N\u00e5r man har den situation, tror jeg, at det k\u00f8ler initiativerne i det kontor lidt ned; de \u00f8nsker ikke at foretage st\u00f8rre udviklinger eller \u00e6ndringer af ITAR uden at have den formelle udn\u00e6vnelse af en ny viceadministrerende sekret\u00e6r. Der blev foretaget tilpasninger af ITAR for det meste. ITAR Reorg-reglen blev f\u00e6rdiggjort; der var en udvidelse af de \u00e5bne generelle licenser, som vi kan tale om, og der var et par andre udviklinger, men igen, ikke noget jordsk\u00e6lvsagtigt. <\/p>\n\n\n\n

Jeg har endnu ikke m\u00f8dt nogen virksomhed i Storbritannien, Australien eller Canada, der indr\u00f8mmer, at de bruger de \u00e5bne generelle licenser; de ser bare endnu en gang ud til at v\u00e6re et program, der er d\u00f8dt ved ankomsten. Det er en skam, for de \u00e5bne generelle licenser giver i teorien mulighed for genoverf\u00f8rsel inden for disse lande og geneksport mellem disse tre lande af ITAR-kontrollerede varer uden licens og uden forudg\u00e5ende godkendelse, forudsat at man opfylder alle betingelserne i de \u00e5bne generelle licenser. <\/p>\n\n\n\n

Vi har f\u00e5et en opdatering af ITAR Part 126's Supplement No. 1, som \u00f8gede antallet af varer, der er omfattet af den canadiske undtagelse og Storbritanniens og Australiens Defence Trade Control-aftaler. Men igen, disse traktater var d\u00f8de ved ankomsten tilbage i Bush-administrationen. Jeg har endnu ikke m\u00f8dt nogen virksomhed, som indr\u00f8mmer, at de bruger nogen af aftalerne. <\/p>\n\n\n\n

DDTC fortsatte suspenderingen af Cyperns status som forbudt land under ITAR. Cypern har v\u00e6ret et forbudt land p\u00e5 grund af konflikten mellem det gr\u00e6ske og det tyrkiske samfund p\u00e5 \u00f8en, men de har suspenderet ITAR 126.1-statussen som forbudt land indtil videre. Bare igen, justeringer. <\/p>\n\n\n\n

S\u00e5 hvad er der p\u00e5 vej? I \u00f8jeblikket ser det ud til, at der kommer flere tilpasninger, bortset fra AUKUS. Og AUKUS bliver meget interessant. AUKUS er et forslag om at tillade en canadisk ITAR-undtagelse for Storbritannien og Canada, forudsat at Storbritannien og Australien har eksportkontrolsystemer, der kan sammenlignes med USA's, som forskellige embedsm\u00e6nd fra udenrigsministeriet har udtalt sig om i Kongressen. Den mest i\u00f8jnefaldende forskel mellem USA, Storbritannien og Australien er efter min mening, at USA indf\u00f8rer kontrol med reeksport og retransfer. Australien har for nylig vedtaget nogle \u00e6ndringer af sin eksportkontrollovgivning, som formentlig vil indf\u00f8re krav om reeksportkontrol. Hvad ang\u00e5r Storbritannien, var jeg til en konference i London i september sidste \u00e5r, hvor jeg stillede sp\u00f8rgsm\u00e5let \"Er Storbritannien parat til at have et tilsvarende system?\" til en repr\u00e6sentant for en af de store britiske handelsorganisationer. Han var meget hurtig til at sige, at vi allerede har et sammenligneligt system, og han havde tydeligvis sine argumenter klar for, hvorfor det var tilf\u00e6ldet. Storbritannien har ikke kontrol med reeksport, s\u00e5 det bliver interessant at se, hvordan det kommer til at g\u00e5.<\/p>\n\n\n\n

Jeg vil ogs\u00e5 opfordre folk til at v\u00e6re opm\u00e6rksomme p\u00e5 bestemmelserne om eksportkontrol i det, der kaldes National Defense Authorization Act for FY 2024. Blandt dem var bemyndigelse til at forhandle om en undtagelseslignende behandling for Australien og Storbritannien og en yderligere liberalisering af handelen med Canada p\u00e5 ITAR-siden. Det bliver interessant at se, hvordan alt det udspiller sig.<\/p>\n\n\n\n

Bortset fra det er der igen nogle justeringer. Vi venter stadig p\u00e5 en endelig regel om definitionen af statsborgere med dobbelt statsborgerskab\/tredjelandsstatsborgere. Jeg tror, at udenrigsministeriet for omkring to \u00e5r siden foreslog at \u00e6ndre definitionen fra \"har du en nationalitet\" til \"har du haft en nationalitet\". Lige nu er definitionen \"hold\", hvilket betyder, at selv en persons f\u00f8deland kan g\u00f8re personen til dobbelt statsborger, men hvad betyder \"hold\"? Hvis du blev f\u00f8dt i Iran og forlod landet som barn, da shahen blev afsat, og du aldrig har v\u00e6ret tilbage, og du ikke har nogen familie der, men du klogeligt nok ikke er g\u00e5et ind p\u00e5 en iransk ambassade og har sagt: \"Hvor er den formular, jeg skal udfylde for at give afkald p\u00e5 mit iranske statsborgerskab?\", har personen s\u00e5 stadig iransk statsborgerskab? Det blev i hvert fald ikke afklaret i State's forslag til regler. S\u00e5 vi f\u00e5r se.<\/p>\n\n\n\n

P\u00e5 EAR-siden handler det selvf\u00f8lgelig om at fors\u00f8ge at \u00f8ge presset p\u00e5 Rusland, Hviderusland og Kina gennem eksportkontrol. Et af de store emner i det forgangne \u00e5r var halvledere og udstyr til fremstilling af halvledere. Det ser ud til, at vi hver anden uge har tilf\u00f8jelser til Entitetslisten, som er en af de prim\u00e6re m\u00e5der, hvorp\u00e5 Commerce igen indf\u00f8rer, hvad der svarer til sanktioner mod russiske virksomheder og enheder i andre lande, der opfattes som hj\u00e6lpere for Rusland.<\/p>\n\n\n\n

Den anden store udvikling er den markant \u00f8gede v\u00e6gt p\u00e5 h\u00e5ndh\u00e6velse. Udenrigsministeriet er kommet med en ny guide til compliance-programmet. De har ogs\u00e5 udgivet en compliance-matrix, som er v\u00e6rd at l\u00e6se. Den er meget nyttig. Udenrigsministeriet er fortsat med at f\u00f8re h\u00e5ndh\u00e6velsessager; is\u00e6r kom der en Consent Agreement ud i sidste uge, hvor Boeing blev p\u00e5lagt en civil b\u00f8de p\u00e5 $51 millioner dollars, selvom det langt fra er den h\u00f8jeste civile b\u00f8de, der tidligere er blevet id\u00f8mt virksomheder. Interessant nok var der i Boeings Consent Agreement en henvisning til, at en af Boeings eksportkontrolchefer havde fabrikeret DSP-5-licenser. Og man t\u00e6nker lidt: \"Wow!\" Hvordan er det muligt? S\u00e5 jeg syntes, det var interessant. Omkring halvdelen af b\u00f8den p\u00e5 $51 millioner kan anvendes til afhj\u00e6lpende foranstaltninger.<\/p>\n\n\n\n

P\u00e5 EAR- og sanktionssiden har vi set meget mere h\u00e5ndh\u00e6velsesindsats fra flere agenturer og, vil jeg sige, flere lande. P\u00e5 den amerikanske side har vi siden marts 2022 haft noget, der hedder Task Force KleptoCapture, som drives af justitsministeriet, og som samler FBI, US Marshals Service, Internal Revenue Service, US Postal Inspection Service, Immigration and Customs Enforcement og s\u00e5 videre for at h\u00e5ndh\u00e6ve sanktioner mod russiske oligarker. Og i februar 2023 lancerede Justitsministeriet og Handelsministeriet det, de kalder \"Disruptive Technology Strike Force\". Det er igen en f\u00e6lles indsats for at samle FBI, Homeland Security og taskforces hos de amerikanske statsadvokater i de forskellige stater for at \u00f8ge indsatsen for at h\u00e5ndh\u00e6ve USA's eksportkontrol og sanktioner.<\/p>\n\n\n\n

Det er interessant, at der siden Obama-administrationen har v\u00e6ret noget, der hed Export Enforcement Coordination Center (E2C2), som skulle g\u00f8re det samme. S\u00e5 hvorfor var der behov for denne nye Disruptive Technology Task Force? Var E2C2 en fiasko? Det vil nysgerrige sj\u00e6le gerne vide! Men der er ingen tvivl om, at der er pres p\u00e5 for at f\u00f8re sager.<\/p>\n\n\n\n

Og det bringer mig til noget, som jeg virkelig ser frem til at have en dialog om med deltagerne p\u00e5 konferencen. G\u00f8r vi grin med os selv om, hvor effektive sanktioner og eksportkontrol er? <\/p>\n\n\n\n

Der var en meget interessant artikel i New York Times, tror jeg, i begyndelsen af sidste uge, hvor de havde syv tabeller, der forklarede, hvorfor sanktioner ikke har v\u00e6ret effektive mod Rusland, og en af de store faktorer er selvf\u00f8lgelig, at Rusland har vendt sig mod Kina for en stor del af sin handel. Men en stor del af den ulovlige handel kommer ogs\u00e5 fra Mellem\u00f8sten: De Forenede Arabiske Emirater, Bahrain og nogle af de andre Golfstater. Efter alt at d\u00f8mme har sanktionerne ikke v\u00e6ret effektive til at tvinge Rusland i kn\u00e6.<\/p>\n\n\n\n

Nielsonsmith: Det var et af de sp\u00f8rgsm\u00e5l, der var p\u00e5 dagsordenen i dag, at sp\u00f8rge, hvor effektive I synes, de er; ja, her er svarene.<\/strong><\/h3>\n\n\n\n

Gary<\/strong>: En r\u00e6kke af de store amerikanske aviser bragte artikler om, hvorfor sanktioner ikke er mere effektive i sidste uge eller i slutningen af ugen f\u00f8r, da vi havde to \u00e5rs jubil\u00e6um for krigen i Ukraine. En af de ting, jeg tror, der sker, er, at sanktionsprocessen bare ikke er smidig nok. Det har altid v\u00e6ret et sp\u00f8rgsm\u00e5l om at spille whack-a-mole. S\u00e5 snart man har identificeret og ramt \u00e9n kanal for ulovlig handel, dukker der fem andre op. De amerikanske myndigheder griber sanktioner an p\u00e5 en meget legalistisk m\u00e5de; det handler om at opbygge sager, der kan retsforf\u00f8lges ved amerikanske domstole. Og n\u00e5r man g\u00f8r det, er der allerede sket en masse ulovlig handel. Og s\u00e5 er der en anden ting, jeg bare ikke forst\u00e5r, og som jeg meget gerne vil have nogen til at forklare mig, nemlig hvorfor USA kom med denne store ekstra sanktionspakke p\u00e5 to\u00e5rsdagen for krigen. Embedsm\u00e6nd meddelte, at de ville sanktionere yderligere 500 personer og enheder i Rusland, Hviderusland og tredjelande. Hvad ventede de p\u00e5? Fem hundrede? Du vidste, at de var involveret i ulovlig handel, og du ventede med at sanktionere dem? Det forst\u00e5r jeg ikke. <\/p>\n\n\n\n

Nielsonsmith: Nu har vi d\u00e6kket en hel del, s\u00e5 jeg vil gerne vende tilbage til emnet AUKUS i lidt flere detaljer. Hvilke konsekvenser kan det have for overholdelse af handelsreglerne?<\/strong><\/h3>\n\n\n\n

Gary<\/strong>: Jeg er en tvivlende Thomas omkring dette. Til dels fordi alle disse initiativer ser ud til at f\u00e5 en masse presseomtale og derefter viser sig ikke at v\u00e6re s\u00e6rlig effektive. Jeg n\u00e6vnte Open General License-initiativet fra, tror jeg, omkring tre \u00e5r siden. De p\u00e5virker ikke USA's reeksportkontrol, der g\u00e6lder for forsvarshandel fra for eksempel Storbritannien til andre lande end Canada og Australien. De globale forsyningsk\u00e6der er p\u00e5 nuv\u00e6rende tidspunkt s\u00e5 sammenv\u00e6vede. Du har BAE i Storbritannien, der arbejder p\u00e5 et amerikansk forsvarsprogram, som ville v\u00e6re underlagt ITAR; BAE har sandsynligvis leverand\u00f8rer i hele Europa, hvis ikke i hele verden. S\u00e5 selv om vi faktisk har en undtagelse for handel med Storbritannien, skal BAE s\u00e5 ikke stadig tilbage og have en reeksportgodkendelse for at handle med de leverand\u00f8rer i Tyskland og Frankrig og muligvis Indien? S\u00e5 jeg kan se, at det muligvis kan g\u00f8re en forskel, men igen, i betragtning af hvordan den globale forsyningsk\u00e6de fungerer, m\u00e5 jeg s\u00e6tte sp\u00f8rgsm\u00e5lstegn ved, hvor effektivt det vil v\u00e6re? <\/p>\n\n\n\n

Og hvis AUKUS f\u00e5r britiske, canadiske og australske virksomheder til at blive mere isolerede og ikke udnytte globale forsyningsk\u00e6der, er det s\u00e5 virkelig en god ting for vores respektive forsvar? USA, Storbritannien, Australien og Canada har ikke l\u00e6ngere monopol p\u00e5 al den bedste teknologi. S\u00e5 hvis en undtagelse for disse lande afholder verdens BAE'er og Rolls-Royce'er fra at bruge bedre teknologi, der er tilg\u00e6ngelig i Tyskland, til et amerikansk forsvarsprojekt - er det s\u00e5 en god ting? S\u00e5 igen, vi f\u00e5r se. <\/p>\n\n\n\n

Med hensyn til de bredere konsekvenser for lovlydige virksomheder h\u00e5ber jeg, at de \u00f8ger deres indsats for at overholde tredjepartsreglerne for at sikre, at de ikke har med nogen at g\u00f8re, at de ikke eksporterer til nogen, hvor varerne ender i Rusland eller som ulovlig eksport til Kina. Jeg kan ikke se, hvordan man kan g\u00f8re det i 2024 uden automatisering. Man er n\u00f8dt til at have software til handelsautomatisering for at f\u00e5 det til at ske.<\/p>\n\n\n\n

\"Cybersikkerhed\"<\/figure>\n\n\n\n

Nielsonsmith: Cybersikkerhed er et stort emne lige nu, s\u00e5 mit n\u00e6ste sp\u00f8rgsm\u00e5l er, hvad den seneste udvikling er i forhold til det amerikanske forsvarsministeriums certificeringsprogram Cybersecurity Maturity Model?<\/strong><\/h3>\n\n\n\n

Gary<\/strong>: Det er interessant, at Forsvarsministeriet ventede til den 26. december, hvor alle var p\u00e5 ferie, med at offentligg\u00f8re ikke bare de foresl\u00e5ede regler for CMMC 2.0, men ogs\u00e5 en hel del yderligere vejledninger, der skulle g\u00e6lde for CMMC 2.0. De ser bestemt ud til at g\u00e5 videre med programmet. Det ser ud til, at vi ender med tre niveauer, og hvis du er i forsvarsindustrien, kommer du til at v\u00e6re p\u00e5 niveau 2, fordi du kommer til at besk\u00e6ftige dig med eksportkontrolleret information. <\/p>\n\n\n\n

Det store sp\u00f8rgsm\u00e5l, jeg har i tankerne for europ\u00e6iske virksomheder, er, at CMMC kr\u00e6ver auditering, tredjepartsauditering, for at bekr\u00e6fte, at du har cybersikkerhedsprogrammer, der overholder CMMC-kravene, som de er formuleret i National Institute of Standards and Technologies' Special Publication 800-171 og dens forskellige permutationer. S\u00e5 hvordan kommer den auditering i udlandet til at fungere? I Canada er de ved at udvikle deres eget cybersikkerhedsprogram, der minder meget om CMMC, med et certificeringselement, og de er i dialog med USA om gensidighed, dvs.<\/em>Hvis vi certificerer en canadisk virksomhed som v\u00e6rende i overensstemmelse med vores program, vil I s\u00e5 anerkende det som v\u00e6rende i overensstemmelse med CMMC og ikke kr\u00e6ve en separat audit? Jeg tror, at Storbritannien arbejder p\u00e5 noget lignende. Jeg har ikke h\u00f8rt meget nyt om det fra andre europ\u00e6iske lande; s\u00e5 hvor efterlader det deres virksomheder i forsyningsk\u00e6den til US DoD, hvor CMMC-kravene ville tr\u00e6de i kraft. Det er stadig meget uklart, om og hvorn\u00e5r CMMC-programmet vil akkreditere auditorer i tredjelande til at udf\u00f8re denne auditering. Hvis det ikke sker i de f\u00f8rste to - tre - fire - fem \u00e5r, efter at CMMC er tr\u00e5dt i kraft, skal auditeringen udf\u00f8res af amerikanske virksomheder. Jeg kan ikke forestille mig, at virksomheder i Frankrig eller Holland vil v\u00e6re begejstrede for at skulle betale for, at revisorer fra USA kommer herover. Jeg har endda h\u00f8rt nogle forbehold fra europ\u00e6iske virksomheder, og det er ikke bare en konspirationsteori, om at f\u00e5 amerikanske revisorer til at unders\u00f8ge deres cybersikkerhedsprogrammer. Vil de indsamlede oplysninger blive sendt til vores National Security Agency, s\u00e5 de kan snage i deres programmer? S\u00e5 der er meget, der skal afg\u00f8res om CMMC 2.0, men det g\u00e5r fremad, og virksomheder i det amerikanske forsvarsministeriums forsyningsk\u00e6de g\u00f8r klogt i at se p\u00e5 alt dette, hvis de ikke allerede har gjort det.<\/p>\n\n\n\n

Nielsonsmith: Tak, fordi du har delt s\u00e5 meget viden i dag. Men til sidst vil jeg gerne sp\u00f8rge om, hvor vigtigt du mener, det er for virksomheder at investere i uddannelse af deres compliance officers, og hvilke ressourcer de b\u00f8r bruge.<\/strong><\/h3>\n\n\n\n

Gary<\/strong>: Jeg kan ikke understrege nok, at uddannelse er en af de tre vigtigste komponenter i et effektivt compliance-program. Hvis du ikke har uddannet dine medarbejdere i, hvad kravene er, hvordan kan du s\u00e5 forvente, at de overholder dem? Og is\u00e6r, hvis du ikke har stillet uddannelsesressourcer til r\u00e5dighed for dine dedikerede eksportkontrolchefer, hvordan skal de s\u00e5 kunne administrere dine compliance-programmer? Det ser jeg igen og igen og igen. Jeg skal have en videokonference i dag med en virksomhed, som jeg hj\u00e6lper med en st\u00f8rre frivillig oplysning til udenrigsministeriet, og de forts\u00e6tter med at ans\u00e6tte folk til at v\u00e6re eksportkontrolansvarlige, som ikke har nogen uddannelse eller erfaring. De l\u00e6rer p\u00e5 jobbet, men det er min erfaring gennem 40 \u00e5r, at det kun kan ske. Mange af disse folk g\u00f8r ikke det hjemmearbejde, der skal til for at l\u00e6re eksportkontrolkravene.<\/p>\n\n\n\n

Det er ikke akademikere i femte klasse; det er meget sofistikerede regler, som det tager lang tid og mange kr\u00e6fter at l\u00e6re, og i mange tilf\u00e6lde ser jeg det ikke. Men den gode nyhed, Alisa, er, at de europ\u00e6iske eksportkontrolchefer i gennemsnit er bedre uddannet og bedre informeret end de amerikanske.<\/p>\n\n\n\n

Nielsonsmith: Mange tak for din tid, Gary, og jeg er sikker p\u00e5, at den viden, du har delt i dag, er meget v\u00e6rdsat af vores l\u00e6sere.<\/strong><\/h3>\n\n\n\n
\n\n\n\n
\"Gary<\/figure>
\n

Gary Stanley<\/strong> er den Formand for Global Legal Services<\/strong>, PC<\/strong>et Washington DC-baseret advokatfirma med fokus p\u00e5 overholdelse af handelsregler og andre internationale forretningssp\u00f8rgsm\u00e5l.<\/p>\n\n\n\n

Stanley repr\u00e6senterer bl.a. adskillige amerikanske, canadiske og europ\u00e6iske virksomheder i sp\u00f8rgsm\u00e5l om eksportkontrol af forsvarsmateriel. <\/p>\n<\/div><\/div>\n\n\n\n

Det har hr. Stanley for eksempel:
- R\u00e5dgivet adskillige amerikanske forsvarsfirmaer om at sikre godkendelse af licenser fra det amerikanske udenrigsministerium\/direktoratet for forsvarshandelskontrol samt aftaler om produktionslicenser og teknisk assistance i henhold til del 123 og 124 i International Traffic in Arms Regulations (\"ITAR\") og om at bruge ITAR-undtagelser, herunder den canadiske undtagelse i ITAR \u00a7126.5. <\/p>\n\n\n\n