Liity Gary Staleyn seuraan, kun hän purkaa monimutkaista verkkoa - ITAR-, EAR- ja tietoverkkoturvallisuustoimenpiteistä ja tarjoaa korvaamattomia tietoja, joiden avulla voidaan varmistaa tehokas vaatimustenmukaisuus nopeasti kehittyvässä maailmanlaajuisessa ympäristössä.
Nielsonsmith: Gary, ensinnäkin haluan kiittää sinua siitä, että puhut meille tänään ja jaat tietosi yleisömme kanssa.
Gary: Kiitos. Mielestäni meillä on niin paljon puhuttavaa tänä vuonna. Tämä on luultavasti ollut yksi jännittävimmistä vuosista vientivalvonnan harjoittajille viime aikoihin, ja niin paljon on tapahtunut. Eivätkä kaikki ole hyviä asioita; voimme puhua siitä myöhemmin.
Nielsonsmith: Niin, no, miksi emme sukeltaisi sisään? Ensimmäinen kysymyksemme teille on, voisitteko antaa lyhyen katsauksen ITAR- ja EAR-vaatimusten tärkeimmistä muutoksista ja kehityksestä viime vuoden aikana?
Gary: The difficult part for me is to provide a BRIEF overview; I could talk for hours on this. Most of the readers of this interview probably know that the United States has two systems of export controls: the U.S. Department of State’s International Traffic in Arms Regulations (ITAR) and the U.S. Department of Commerce’s Export Administration Regulations (EAR). And, of course, there’s also the U.S. Department of the Treasury’s Office of Foreign Assets Control (OFAC), which administers U,S. sanctions, although EAR export controls and OFAC sanctions continue to converge, with EAR controls looking more and more like sanctions in terms of targeting specific individuals and entities rather than whole countries. Of course, targeting specific individuals and entities is what U.S. sanctions have done for a long time.
But let’s start with the ITAR. Interestingly, there’s not a whole lot of earth-shaking developments regarding the ITAR over the past year. I think, in part, that’s because from May of 2023, when Deputy Assistant Secretary Mike Miller announced that he was leaving for a position at the US Department of Defense, until just recently, there has not been a formally-appointed Deputy Assistant Secretary to lead the Directorate of Defense Trade Controls. During that time, DDTC has had a series of Acting Deputy Assistant Secretaries drawn from the office directors within DDTC. When you have that situation, I think that somewhat chills initiatives within that office; they don’t want to undertake major developments or changes to the ITAR without having the formal appointment of a new Deputy Assistant Secretary. There were tweaks to the ITAR for the most part. The ITAR Reorg rule got finalized; there was an extension of the Open General Licenses, which we can talk about, and there were a few other developments, but again, nothing earthshaking.
En ole vielä tavannut yhtään yritystä Yhdistyneessä kuningaskunnassa, Australiassa tai Kanadassa, joka myöntäisi käyttävänsä avoimia yleislisenssejä; ne näyttävät jälleen kerran olevan ohjelma, joka on kuollut heti saapuessaan. Tämä on sääli, koska nämä avoimet yleislisenssit mahdollistavat teoriassa ITAR-valvonnan alaisten tuotteiden jälleensiirrot kyseisissä maissa ja jälleenviennin näiden kolmen maan välillä ilman lisenssiä ja ilman ennakkohyväksyntää edellyttäen, että kaikki avoimien yleislisenssien ehdot täyttyvät.
Olemme päivittäneet ITAR:n osan 126 täydennystä nro 1, jolla lisättiin Kanadan vapautuksen sekä Yhdistyneen kuningaskunnan ja Australian puolustustarvikekaupan valvontasopimusten piiriin kuuluvien tuotteiden määrää. Nämä sopimukset olivat kuitenkin kuolleet jo Bushin hallinnon aikana. En ole vielä tavannut yhtään yritystä, joka myöntäisi käyttävänsä kumpaakaan näistä sopimuksista.
DDTC jatkoi Kyproksen kielletyn maan aseman keskeyttämistä ITAR:n nojalla. Kypros on ollut kielletty maa saaren kreikkalaisen ja turkkilaisen yhteisön välisen konfliktin vuoksi, mutta se on toistaiseksi keskeyttänyt ITAR 126.1 -kielletyn maan aseman. Jälleen kerran vain hienosäätöjä.
Mitä on tulossa? No, tällä hetkellä näyttää siltä, että AUKUS:ia lukuun ottamatta on luvassa lisää parannuksia. Ja AUKUS tulee olemaan hyvin mielenkiintoinen. AUKUS on ehdotus, jonka mukaan Yhdistyneelle kuningaskunnalle ja Kanadalle sallittaisiin Kanadan ITAR-vapautuksen kaltainen kohtelu edellyttäen, että, kuten useat ulkoministeriön virkamiehet ovat todistaneet kongressissa, Yhdistyneellä kuningaskunnalla ja Australialla on Yhdysvaltoihin verrattavat vientivalvontajärjestelmät. Väitän, että räikein ero Yhdysvaltojen, Yhdistyneen kuningaskunnan ja Australian välillä on se, että Yhdysvallat valvoo jälleenvientiä ja edelleenvientiä. Australia hyväksyi hiljattain joitakin muutoksia vientivalvontalainsäädäntöönsä, jotka luultavasti asettavat joitakin jälleenviennin valvontaa koskevia vaatimuksia. Yhdistyneen kuningaskunnan osalta olin viime syyskuussa Lontoossa konferenssissa, jossa esitin kysymyksen "Onko Yhdistynyt kuningaskunta valmis ottamaan käyttöön vastaavan järjestelmän?" erään Yhdistyneen kuningaskunnan suurimman kauppajärjestön edustajalle. Hän vastasi hyvin nopeasti, että meillä on jo vastaava järjestelmä, ja hänellä oli selvästi valmiit perustelut sille, miksi näin on. Yhdistyneessä kuningaskunnassa ei ole jälleenviennin valvontaa, joten on mielenkiintoista nähdä, miten tämä toimii.
Kehotan myös ihmisiä kiinnittämään huomiota vientivalvontaa koskeviin säännöksiin niin sanotussa National Defense Authorization Act for FY 2024 -laissa. Niiden joukossa oli muun muassa valtuudet neuvotella vapautuksen kaltaisesta kohtelusta jälleen Australialle ja Yhdistyneelle kuningaskunnalle sekä Kanadan kanssa käytävän kaupan vapauttamisesta ITAR-puolella. On mielenkiintoista nähdä, miten tämä kaikki toteutuu.
Other than that, again, some tweaking. We are still waiting on a final rule regarding the definition of dual/third country nationals. I believe two years or so ago the State Department proposed to change the definition from “do you hold a nationality” to “have you held a nationality.” Right now, the definition is “hold” which means that even someone’s country of birth can make the person a dual national, But what does “hold” mean? If you were born in Iran and you left as a child when the Shah was deposed, and you’ve never been back, and you don’t have any family there, but you wisely have not gone into an Iranian Embassy and said, “where’s the form for me to fill out for me to renounce my Iranian citizenship?”, does the person still “hold” Iranian citizenship. At least in State’s proposed rule, they didn’t clarify that. So, we’ll see.
EAR:n puolella tärkeintä on tietenkin yrittää lisätä painetta Venäjään, Valko-Venäjään ja Kiinaan kohdistuvan vientivalvonnan avulla. Yksi viime vuoden suurista aiheista olivat puolijohteet ja puolijohteiden valmistuslaitteet. Näyttää siltä, että muutaman viikon välein on lisätty entiteettiluetteloa, joka on yksi tärkeimmistä tavoista, joilla kauppa- ja teollisuusministeriö määrää pakotteita venäläisille yrityksille ja muissa maissa toimiville yksiköille, joiden katsotaan avustavan Venäjää.
The other big development is the significantly increased emphasis on enforcement. The State Department came out with a new compliance program guide. They also published a compliance matrix, which is well worth reviewing. It is very useful. State has continued to bring enforcement cases; particularly, there was a Consent Agreement that came out just last week imposing a $51 million dollars civil penalty on Boeing, although that’s far from the highest civil penalty that has previously been assessed against companies. Interestingly, in the Boeing Consent Agreement, there was a reference to one of the Boeing export control managers fabricating DSP-5 licenses. And you kind of go, “Wow!” How’s that possible? So, I thought that was interesting. About half of the $51 million penalty is allowed to be applied toward remedial measures.
EAR- ja pakotepuolella olemme nähneet paljon enemmän useiden virastojen ja, sanoisin, useiden maiden välisiä täytäntöönpanotoimia. Yhdysvalloissa on maaliskuusta 2022 lähtien ollut oikeusministeriön johtama Task Force KleptoCapture, joka kokoaa yhteen muun muassa FBI:n, US Marshals Servicen, Internal Revenue Servicen, US Postal Inspection Servicen, Immigration and Customs Enforcementin ja muut tahot panemaan täytäntöön venäläisiin oligarkkeihin kohdistuvia pakotteita. Helmikuussa 2023 oikeusministeriö ja kauppaministeriö perustivat Disruptive Technology Strike Force -ryhmän, jota he kutsuvat Disruptive Technology Strike Force -ryhmäksi. Kyseessä on jälleen kerran yhteinen ponnistus, jonka tarkoituksena on yhdistää FBI, Homeland Security ja eri osavaltioiden syyttäjänvirastojen työryhmät, jotta Yhdysvaltojen vientivalvonnan ja pakotteiden täytäntöönpanoa voitaisiin tehostaa.
On mielenkiintoista, että Obaman hallinnosta lähtien on ollut olemassa vientivalvonnan koordinointikeskus (Export Enforcement Coordination Center, E2C2), jonka oli tarkoitus tehdä sama asia. Miksi siis tarvittiin tätä uutta Disruptive Technology Task Force -työryhmää? Oliko E2C2 epäonnistunut? Uteliaat mielet haluavat tietää! Mutta ei ole epäilystäkään siitä, että paineita tapausten käsittelemiseksi on olemassa.
Tästä pääsenkin erääseen asiaan, josta odotan todella innolla keskustelua konferenssin osanottajien kanssa. Huijaammeko itseämme siitä, kuinka tehokkaita pakotteet ja vientivalvonta ovat?
New York Timesissa oli viime viikon alussa erittäin mielenkiintoinen artikkeli, jossa selitettiin seitsemässä taulukossa, miksi pakotteet eivät ole olleet tehokkaita Venäjää vastaan, ja yksi tärkeimmistä tekijöistä on tietenkin se, että Venäjä on kääntynyt Kiinan puoleen suuressa määrin kaupassaan. Mutta myös suuri osa laittomasta kaupasta tulee Lähi-idästä: Arabiemiraateista, Bahrainista ja muista Persianlahden valtioista. Pakotteet eivät kaikesta päätellen ole olleet tehokkaita Venäjän polvilleen saattamisessa.
Nielsonsmith: Tämä oli yksi tämänpäiväisen esityslistan kysymyksistä, jossa kysyttiin, kuinka tehokkaina pidätte niitä; tässä ovat vastaukset.
Gary: Useissa suurimmissa yhdysvaltalaisissa sanomalehdissä julkaistiin artikkeleita siitä, miksi pakotteet eivät ole tehokkaampia, viime viikolla tai sitä edeltävän viikon lopulla, kun Ukrainan sodan kaksivuotispäivä tuli täyteen. Yksi asia, josta mielestäni on kyse, on se, että pakoteprosessi ei vain ole tarpeeksi ketterä. Se on aina ollut pelkkää pähkinänkuoressa pelaamista. Heti kun on tunnistettu ja lyöty lukkoon yksi houkuttelevan kaupan väylä, viisi muuta ilmestyy. Yhdysvaltojen viranomaiset suhtautuvat pakotteisiin hyvin legalistisesti; kyse on siitä, että Yhdysvaltojen tuomioistuimissa voidaan nostaa syytteitä. Ja siihen mennessä, kun se on tehty, laitonta kauppaa on jo tapahtunut valtavasti. Toinen asia, jota en ymmärrä, ja haluaisin jonkun selittävän sen minulle, on se, miksi Yhdysvallat esitti tämän suuren lisäpakotepaketin sodan toisen vuosipäivän kunniaksi. Viranomaiset ilmoittivat, että he aikovat määrätä 500 uutta pakotetta Venäjällä, Valko-Venäjällä ja kolmansissa maissa toimiville henkilöille ja yhteisöille. Mitä he odottivat? Viisisataa? Tiesitte, että he olivat mukana laittomassa kaupassa, ja lykkäsitte pakotteita? En ymmärrä.
Nielsonsmith: Haluaisin palata AUKUS-aiheeseen hieman yksityiskohtaisemmin. Mitä vaikutuksia sillä voi olla kaupan sääntöjen noudattamiseen?
Gary: No, minä olen epäileväinen Thomas tässä asiassa. Osittain siksi, että kaikki nämä aloitteet tuntuvat saavan paljon julkisuutta, mutta sitten ne eivät osoittautuukaan kovin tehokkaiksi. Mainitsin Open General License -aloitteen, joka tehtiin kai noin kolme vuotta sitten. Ne eivät vaikuta Yhdysvaltojen jälleenvientivalvontaan, jota sovelletaan puolustustarvikkeiden kauppaan esimerkiksi Yhdistyneestä kuningaskunnasta muihin maihin kuin Kanadaan ja Australiaan. Maailmanlaajuiset toimitusketjut ovat tällä hetkellä niin toisiinsa kietoutuneita. Yhdistyneessä kuningaskunnassa sijaitseva BAE työskentelee yhdysvaltalaisen puolustusohjelman parissa, johon sovellettaisiin ITAR-ohjelmaa; BAE:lla on luultavasti tavarantoimittajia kaikkialla Euroopassa, ellei jopa koko maailmassa. Vaikka saisimme vapautuksen Yhdistyneen kuningaskunnan kanssa käytävästä kaupasta, eikö BAE:n pitäisi silti hakea jälleenvientihyväksyntää, jotta se voisi asioida toimittajiensa kanssa Saksassa, Ranskassa ja mahdollisesti Intiassa? Voin siis nähdä, että sillä voisi olla jonkinlainen vaikutus, mutta kun otetaan huomioon, miten maailmanlaajuinen toimitusketju toimii, on kyseenalaista, miten tehokas se on?
Ja jos AUKUS saa Yhdistyneen kuningaskunnan, Kanadan ja Australian yritykset eristäytymään entistä enemmän eivätkä hyödynnä maailmanlaajuisia toimitusketjuja, onko se todella hyvä asia kunkin maan puolustusaseman kannalta? Yhdysvalloilla, Yhdistyneellä kuningaskunnalla, Australialla ja Kanadalla ei ole enää monopolia kaikkeen parhaaseen teknologiaan. Jos siis poikkeuksen myöntäminen näille maille estää maailman BAE:tä ja Rolls-Roycea käyttämästä parempaa teknologiaa, jota Saksassa on saatavilla Yhdysvaltojen puolustusministeriön hankkeessa, onko se hyvä asia? Jälleen kerran, se nähdään.
Laillisiin yrityksiin kohdistuvien laajempien vaikutusten osalta toivon, että ne tehostavat toimiaan kolmansien osapuolten noudattamiseksi varmistaakseen, etteivät ne tee kauppoja sellaisten yritysten kanssa, jotka vievät tuotteita, jotka päätyvät Venäjälle tai laittomasti Kiinaan. En ymmärrä, miten tämä onnistuu vuonna 2024 ilman automaatiota. Tarvitaan kaupan automaatio-ohjelmisto, jotta se onnistuisi.
Nielsonsmith: Seuraava kysymykseni on, mitkä ovat viimeisimmät kehityssuuntaukset Yhdysvaltain puolustusvoimien kyberturvallisuuden kypsyysmallin sertifiointiohjelmassa?
Gary: Mielenkiintoista on, että puolustusministeriö odotti 26. joulukuuta asti, jolloin kaikki olivat lomalla, ja julkaisi CMMC 2.0:aa koskevien sääntöehdotusten lisäksi myös useita CMMC 2.0:aan sovellettavia lisäohjeita. Ohjelma näyttää todellakin etenevän. Näyttää siltä, että ohjelmaan tulee kolme tasoa, ja jos olet puolustustarvikekaupan alalla, joudut tasolle 2, koska olet tekemisissä vientivalvonnan alaisten tietojen kanssa.
Suuri kysymys, joka minulla on mielessä eurooppalaisille yrityksille, on se, että CMMC edellyttää tarkastusta, kolmannen osapuolen tarkastusta, jotta voidaan varmistaa, että kyberturvallisuusohjelmat ovat CMMC-vaatimusten mukaisia, kuten National Institute of Standards and Technologiesin erityisjulkaisussa 800-171 ja sen eri muunnelmissa on esitetty. Miten tämä ulkomailla suoritettava auditointi toimii? Kanadassa ollaan kehittämässä omaa kyberturvallisuusohjelmaa, joka muistuttaa CMMC:tä ja sisältää sertifiointitekijän, ja siellä käydään neuvotteluja Yhdysvaltojen kanssa vastavuoroisuudesta, ts.., Jos sertifioimme kanadalaisen yrityksen olevan ohjelmamme mukainen, tunnustatteko sen CMMC:n mukaiseksi ettekä vaadi erillistä tarkastusta? Luulen, että Yhdistyneessä kuningaskunnassa valmistellaan parhaillaan jotakin tällaista. En ole kuullut kovinkaan paljon tällaisia uutisia muista Euroopan maista, joten miten käy niiden yritysten toimitusketjussa Yhdysvaltain puolustusvoimien kanssa, joissa CMMC-vaatimukset astuisivat voimaan. Vielä on hyvin epäselvää, aikooko CMMC-ohjelma akkreditoida kolmansissa maissa toimivia auditoijia suorittamaan näitä auditointeja ja milloin. Jos näin ei tapahdu ensimmäisten kahden, kolmen, neljän, viiden vuoden aikana CMMC:n voimaantulosta, yhdysvaltalaisten yritysten on suoritettava auditointi. En voi kuvitella, että ranskalaiset tai alankomaalaiset yritykset innostuisivat siitä, että niiden on maksettava yhdysvaltalaisten tilintarkastajien tulosta tänne. Olen jopa kuullut eurooppalaisten yritysten suhtautuvan varauksellisesti siihen, että yhdysvaltalaiset tilintarkastajat tutkisivat niiden kyberturvallisuusohjelmia, eikä tämä ole mikään salaliittoteoria. Aiotaanko kerätyt tiedot toimittaa kansalliselle turvallisuusvirastolle, jotta se voi nuuskia niiden ohjelmia? CMMC 2.0:n osalta on siis vielä paljon selvitettävää, mutta se on etenemässä, ja Yhdysvaltojen puolustushallinnon toimitusketjuun kuuluvien yritysten kannattaisi tehdä niin, jos ne eivät ole vielä tutustuneet tähän kaikkeen.
Nielsonsmith: NielsielmielsNielson: Kiitos, että jaat niin paljon tietoa tänään. Lopuksi haluaisin kysyä, kuinka tärkeää on mielestänne, että yritykset panostavat säännösten noudattamisesta vastaavien henkilöiden koulutukseen, ja mitä resursseja heidän tulisi käyttää.
Gary: I can’t emphasize enough that training is one of the three key components to an effective compliance program. If you haven’t trained your employees about what the requirements are, how do you expect them to adhere to those requirements? And particularly, if you haven’t provided training resources to your dedicated export control managers, how are they supposed to administer your compliance programs? I see that time and time and time again. I’m going to be having a videoconference today with a company I’m assisting with a major voluntary disclosure to the Department of State, and they continue to go out and hire people to be export control managers that have no training, no experience. Well, they’re learning on the job, but in my experience over 40 years, that only may happen. A lot of these folks do not put the homework that is required into learning export control requirements.
Tämä ei ole mitään viidesluokkalaisten opetusta; nämä ovat hyvin monimutkaisia sääntöjä, joiden oppimiseen kuluu paljon aikaa ja vaivaa, ja monissa tapauksissa en näe sitä. Hyvä uutinen on kuitenkin se, Alisa, että eurooppalaiset vientivalvontajohtajat ovat keskimäärin paremmin koulutettuja ja paremmin perillä asioista kuin yhdysvaltalaiset.
Nielsonsmith: Olen varma, että lukijamme arvostavat suuresti tänään jakamaasi tietoa.
Gary Stanley on Maailmanlaajuisten oikeudellisten palvelujen johtaja, PC, Washingtonissa toimiva lakiasiaintoimisto, joka keskittyy kaupan sääntöjen noudattamiseen ja muihin kansainvälisiin liiketoiminta-asioihin.
Stanley edustaa muun muassa lukuisia yhdysvaltalaisia, kanadalaisia ja eurooppalaisia yrityksiä puolustusalan vientivalvonta-asioissa.
Esimerkiksi Stanley on:
- Neuvonut lukuisia yhdysvaltalaisia puolustusalan yrityksiä varmistamaan Yhdysvaltojen ulkoministeriön ja puolustusalan kauppavalvonnan osaston (Directorate of Defense Trade Controls) hyväksynnät lisensseille sekä valmistuslisenssi- ja teknistä apua koskeville sopimuksille kansainvälistä asekauppaa koskevan asetuksen (ITAR) 123 ja 124 osan nojalla ja käyttämään ITAR:n poikkeuksia, mukaan lukien ITAR:n 126.5 §:ssä säädetty Kanadan poikkeus.
- Neuvonut useita yrityksiä ITAR-sopimuksen 127.12 §:n mukaisissa vapaaehtoisissa ilmoituksissa.
- Avustanut lukuisia puolustusalan yrityksiä välittäjiensä rekisteröinnissä ja lisensoinnissa ITAR:n 129 osan mukaisesti.
- Tarjosi vientivalvontakoulutusta useille yhdysvaltalaisille, brittiläisille ja kanadalaisille puolustusalan yrityksille sekä Venäjän hallituksen vientivalvontaviranomaisille ja Kanadan hallituksen eri virastoille, mukaan lukien Kanadan puolustusministeriö, Kanadan ulkoasiain- ja kansainvälisen kaupan ministeriö ja Kanadan avaruusvirasto. Helmikuusta 2004 helmikuuhun 2005 Stanley toimi erityisenä vaatimustenmukaisuudesta vastaavana virkamiehenä, joka valvoi suuren puolustusalan yrityksen vientivalvontaohjelman noudattamista yrityksen Yhdysvaltain ulkoministeriön kanssa tekemän suostumussopimuksen mukaisesti. Valtion lainvalvontaviranomaiset olivat nostaneet syytteen yritystä vastaan teorian perusteella, jonka mukaan yritys oli seuraajavastuussa rikkomuksista, joihin toinen yritys, jonka omaisuuseristä suurimman osan tämä yritys oli ostanut, oli väitetysti syyllistynyt.
Yksityisten yritysten edustamisen lisäksi Stanley on toiminut myös konsulttina Yhdysvaltain hallitukselle ja teollisuusryhmille. Hän toimi esimerkiksi pääurakoitsijan Booz Allen Hamilton Inc:n vientivalvonnan pääasiallisena ulkopuolisena asiantuntijana Transatlantic Secure Collaboration Program -ohjelman toisessa vaiheessa. Ohjelmaan osallistui kymmenen yhdysvaltalaista, kanadalaista ja eurooppalaista puolustusalan yritystä, mukaan lukien Lockheed Martin, EADS, Northrop Grumman ja Boeing, jotka pyrkivät laatimaan parhaita käytäntöjä koskevat suuntaviivat turvaluokittelemattomien ja vientivalvottujen tietojen sähköistä vaihtoa varten.
Stanley suoritti perustutkintonsa Emory-yliopistossa vuonna 1975 ja oikeustieteellisen tutkinnon Harvard Law Schoolissa vuonna 1978. Hänet valittiin ensimmäisenä vuonna Phi Beta Kappa-jäseneksi. Stanley toimii tällä hetkellä The Procedural Aspects of International Law Instituten sihteerinä ja rahastonhoitajana.
Lisätietoja Stanleystä ja hänen lakiasiaintoimistostaan, Global Legal Services, saat soittamalla numeroon (202) 686-4854 tai lähettämällä sähköpostia osoitteeseen gstanley@glstrade.com.
MAAILMANLAAJUISET OIKEUDELLISET PALVELUT
Aiheeseen liittyvät tapahtumat
