Följ med Gary Staley när han nystar upp den intrikata väven av ITAR, EAR och cybersäkerhetsåtgärder, vilket ger ovärderliga insikter för effektiv efterlevnad i ett snabbt föränderligt globalt landskap.
Nielsonsmith: Gary, först och främst vill jag tacka dig för att du talade till oss idag och delade din kunskap med vår publik.
Gary: Tack så mycket. Jag tror att vi har så mycket att tala om i år. Detta har förmodligen varit ett av de mest spännande åren för exportkontrollutövare på senare tid, med så mycket som händer. Och inte bara bra saker; vi kan prata om det när vi går vidare.
Nielsonsmith: Ja, varför dyker vi inte in? Den första frågan vi har till dig är om du kan ge en kort översikt över de viktigaste förändringarna och utvecklingen inom ITAR och EAR under det senaste året?
Gary: Det svåra för mig är att ge en KORTfattad översikt; jag skulle kunna tala i timmar om detta. De flesta av läsarna av den här intervjun vet förmodligen att USA har två system för exportkontroll: det amerikanska utrikesdepartementets International Traffic in Arms Regulations (ITAR) och det amerikanska handelsdepartementets Export Administration Regulations (EAR). Och så har vi förstås också det amerikanska finansdepartementets Office of Foreign Assets Control (OFAC), som administrerar de amerikanska sanktionerna, även om EAR:s exportkontroller och OFAC:s sanktioner fortsätter att närma sig varandra och EAR:s kontroller alltmer liknar sanktioner som riktar sig mot specifika individer och enheter snarare än hela länder. Att rikta in sig på specifika individer och enheter är naturligtvis vad de amerikanska sanktionerna har gjort under lång tid.
Men låt oss börja med ITAR. Intressant nog har det inte hänt särskilt mycket omvälvande saker när det gäller ITAR under det senaste året. Jag tror att det delvis beror på att det från maj 2023, då biträdande biträdande sekreterare Mike Miller meddelade att han skulle lämna för en tjänst vid USA:s försvarsdepartement, fram till alldeles nyligen inte har funnits någon formellt utsedd biträdande biträdande sekreterare för att leda direktoratet för försvarshandelskontroller. Under den tiden har DDTC haft en rad tillförordnade biträdande biträdande sekreterare som hämtats från kontorscheferna inom DDTC. När man har den situationen tror jag att det i viss mån kyler ner initiativen inom det kontoret; de vill inte genomföra större utvecklingar eller förändringar av ITAR utan att ha den formella utnämningen av en ny biträdande biträdande sekreterare. Det gjordes till största delen justeringar av ITAR. ITAR Reorg-regeln slutfördes; det skedde en förlängning av de öppna generella licenserna, som vi kan prata om, och det skedde några andra utvecklingar, men återigen, inget omvälvande.
Jag har ännu inte träffat något företag i Storbritannien, Australien eller Kanada som medger att de använder de öppna generella licenserna; de verkar bara återigen vara ett program som är dött vid ankomsten. Det är synd eftersom dessa öppna generella licenser i teorin tillåter återöverföring inom dessa länder, och återexport mellan dessa tre länder, av ITAR-kontrollerade artiklar utan licens, utan förhandsgodkännande, förutsatt att man uppfyller alla villkor i dessa öppna generella licenser.
Vi har fått en uppdatering av ITAR Part 126 Supplement No. 1, som ökade antalet artiklar som är tillgängliga för det kanadensiska undantaget och Storbritanniens och Australiens Defence Trade Control-avtal. Men återigen, dessa fördrag var döda vid ankomsten redan under Bushadministrationen. Jag har ännu inte träffat något företag som medger att de använder sig av något av dessa avtal.
DDTC fortsatte att upphäva Cyperns status som förbjudet land enligt ITAR. Cypern hade varit ett förbjudet land på grund av konflikten mellan de grekiska och turkiska samhällena där på ön, men de har upphävt ITAR 126.1-statusen för förbjudet land för tillfället. Återigen bara justeringar.
Så vad händer framöver? Tja, det verkar som mer tweaks för tillfället, med undantag för AUKUS. Och AUKUS kommer att bli mycket intressant. AUKUS är ett förslag om att tillåta behandling av Storbritannien och Kanada enligt ITAR:s kanadensiska undantag, under förutsättning att Storbritannien och Australien har exportkontrollsystem som är jämförbara med USA:s, vilket olika tjänstemän vid utrikesdepartementet har vittnat om inför kongressen. Den mest iögonfallande skillnaden mellan USA, Storbritannien och Australien är enligt min mening att USA inför kontroller av återexport och återöverföring. Australien antog nyligen vissa ändringar av sina lagar om exportkontroll som förmodligen skulle medföra vissa krav på återexportkontroll. När det gäller Storbritannien var jag i september förra året på en konferens i London där jag ställde frågan "Är Storbritannien berett att ha ett jämförbart system?" till en tjänsteman från en av de större brittiska handelsorganisationerna. Han var mycket snabb med att säga att vi redan har ett jämförbart system, och han hade helt klart sina argument klara för varför så var fallet. Storbritannien har inga kontroller av återexport, så det kommer att bli intressant att se hur det utspelar sig.
Jag vill också uppmana folk att uppmärksamma bestämmelserna om exportkontroll i den så kallade National Defense Authorization Act för budgetåret 2024. Bland dessa fanns befogenhet att förhandla om undantagsliknande behandling för Australien och Storbritannien och ytterligare liberalisering av handeln med Kanada på ITAR-sidan. Det kommer att bli intressant att se hur allt detta utspelar sig.
Utöver detta, återigen, en del justeringar. Vi väntar fortfarande på en slutlig regel om definitionen av medborgare med dubbelt medborgarskap/tredjelandsmedborgare. Jag tror att utrikesdepartementet för ungefär två år sedan föreslog att definitionen skulle ändras från "innehar du en nationalitet" till "har du innehaft en nationalitet". Just nu är definitionen "inneha" vilket innebär att även någons födelseland kan göra personen till en dubbelmedborgare, men vad betyder "inneha"? Om du föddes i Iran och lämnade landet som barn när shahen avsattes, och du aldrig har varit tillbaka, och du inte har någon familj där, men du klokt nog inte har gått in på en iransk ambassad och sagt "var finns formuläret som jag ska fylla i för att avsäga mig mitt iranska medborgarskap?", "innehar" personen fortfarande iranskt medborgarskap? Åtminstone i State's föreslagna regel klargjorde de inte det. Så vi får se.
På EAR-sidan är den stora frågan naturligtvis att försöka öka trycket genom exportkontroller på Ryssland, Vitryssland och Kina. Ett av de stora ämnena under det gångna året var halvledare och utrustning för tillverkning av halvledare. Det verkar som om vi varannan vecka har tillägg till Entity List, som är ett av de främsta sätten för Commerce att införa, återigen, vad som liknar sanktioner mot ryska företag och enheter i andra länder som uppfattas som att de bistår Ryssland.
Den andra stora utvecklingen är den betydligt ökade betoningen på verkställighet. Utrikesdepartementet kom ut med en ny guide för efterlevnadsprogram. De publicerade också en efterlevnadsmatris, som är väl värd att granska. Den är mycket användbar. Staten har fortsatt att väcka verkställighetsärenden; särskilt fanns det ett samtyckesavtal som kom ut just förra veckan och ålade Boeing en civilrättslig påföljd på $51 miljoner dollar, även om det är långt ifrån den högsta civilrättsliga påföljden som tidigare har bedömts mot företag. Intressant nog fanns det i Boeings samtyckesavtal en hänvisning till att en av Boeings exportkontrollchefer hade tillverkat DSP-5-licenser. Och man tänker liksom: "Wow!" Hur är det möjligt? Så jag tyckte att det var intressant. Ungefär hälften av bötesbeloppet på $51 miljoner får användas till korrigerande åtgärder.
På EAR- och sanktionssidan har vi sett mycket mer insatser från flera myndigheter och, skulle jag säga, flera länder. På den amerikanska sidan har vi sedan mars 2022 haft något som kallas Task Force KleptoCapture som drivs av justitiedepartementet och som samlar FBI, US Marshals Service, Internal Revenue Service, US Postal Inspection Service, Immigration and Customs Enforcement och så vidare för att verkställa sanktioner mot ryska oligarker. Och i februari 2023 lanserade justitie- och handelsdepartementen vad de kallar Disruptive Technology Strike Force". Detta är en gemensam insats, återigen, för att sammanföra FBI, Homeland Security och arbetsgrupper inom varje åklagarmyndighet i de olika delstaterna för att höja ante på verkställandet av amerikanska exportkontroller och sanktioner.
Det är intressant att det sedan Obama-administrationen har funnits något som heter Export Enforcement Coordination Center (E2C2), som skulle göra samma sak. Så varför fanns det ett behov av denna nya arbetsgrupp för störande teknik? Var E2C2 ett misslyckande? Nyfikna sinnen vill veta! Men det råder ingen tvekan om att trycket är stort på att få fram fall.
Och det för mig in på något som jag verkligen ser fram emot att föra en dialog om med deltagarna på konferensen. Lurar vi oss själva om hur effektiva sanktioner och exportkontroller är?
Det fanns en mycket intressant artikel i New York Times, tror jag, i början av förra veckan, där de hade sju tabeller som förklarade varför sanktionerna inte har varit effektiva mot Ryssland, och en av de stora faktorerna är naturligtvis att Ryssland har vänt sig till Kina för en stor del av sin handel. Men också mycket av denna olagliga handel kommer från Mellanöstern: Förenade Arabemiraten, Bahrain och några av de andra Gulfstaterna. Av allt att döma har sanktionerna inte varit effektiva när det gäller att tvinga Ryssland på knä.
Nielsonsmith: Det var en av de frågor som fanns på dagordningen i dag, att fråga hur effektiva ni tycker att de är; ja, här är svaren.
Gary: Ett antal av de stora amerikanska tidningarna publicerade artiklar om varför sanktionerna inte är mer effektiva förra veckan eller i slutet av veckan innan, när vi hade tvåårsdagen av kriget i Ukraina. En av de saker som jag tror pågår är att sanktionsprocessen helt enkelt inte är tillräckligt smidig. Det har alltid varit en fråga om att spela whack-a-mole. Så snart man har identifierat och slagit till mot en kanal för handel med incitament dyker det upp fem till. Amerikanska myndigheter hanterar sanktioner på ett mycket legalistiskt sätt; det handlar om att bygga upp åtalbara fall i amerikanska domstolar. Och när man väl gör det har en hel del olaglig handel ägt rum. En annan sak som jag inte förstår, och som jag gärna skulle vilja att någon förklarade för mig, är varför USA kom ut med detta stora ytterligare sanktionspaket till den andra årsdagen av kriget. Tjänstemännen meddelade att de skulle sanktionera ytterligare 500 personer och enheter i Ryssland, Vitryssland och tredjeländer. Vad väntade de på? Femhundra? Ni visste att de var inblandade i olaglig handel, och ni väntade med att sanktionera dem? Jag förstår inte vad ni menar.
Nielsonsmith: Nu har vi avhandlat en hel del, så jag skulle vilja gå tillbaka till ämnet AUKUS lite mer i detalj. Vilka konsekvenser kan detta få för efterlevnaden av handelsreglerna?
Gary: Jag är en tvivlande Thomas när det gäller detta. Delvis därför att alla dessa initiativ verkar få mycket uppmärksamhet och sedan visar sig inte vara särskilt effektiva. Jag nämnde Open General License-initiativet från, antar jag, ungefär tre år sedan. De påverkar inte USA:s reexportkontroller som gäller för försvarshandel från exempelvis Storbritannien till andra länder än Kanada och Australien. De globala leveranskedjorna är vid det här laget så sammanvävda. BAE i Storbritannien arbetar med ett amerikanskt försvarsprogram som skulle omfattas av ITAR, och BAE har förmodligen leverantörer i hela Europa, om inte i hela världen. Så även om vi faktiskt har ett undantag för handel med Storbritannien, kommer inte BAE fortfarande att behöva gå tillbaka och få godkännande för återexport för att handla med dessa leverantörer i Tyskland och Frankrike och Indien eventuellt. Så jag kan se att det möjligen kan göra viss skillnad, men återigen, med tanke på hur den globala leveranskedjan fungerar måste jag fråga mig hur effektivt det kommer att vara?
Och om AUKUS får brittiska, kanadensiska och australiensiska företag att bli mer isolerade och inte utnyttja globala leveranskedjor, är det verkligen bra för våra respektive försvarsställningar? USA, Storbritannien, Australien och Kanada har inte längre monopol på all den bästa tekniken. Så om ett undantag för dessa länder avskräcker BAE och Rolls-Royce i världen från att använda bättre teknik som finns tillgänglig i Tyskland för ett projekt inom det amerikanska försvarsdepartementet - är det då bra? Så återigen, vi får se.
När det gäller den bredare effekten för legitima företag hoppas jag att de intensifierar sina insatser för tredjepartsefterlevnad för att se till att de inte har att göra med, att de inte exporterar till någon där varorna kommer att hamna i Ryssland eller som olaglig export till Kina. Jag förstår inte hur man ska kunna göra detta 2024 utan automatisering. Man måste ha programvara för handelsautomation för att få det att hända.
Nielsonsmith: Cybersäkerhet är ett ganska stort ämne just nu, så min nästa fråga är vad som är den senaste utvecklingen när det gäller det amerikanska försvarsdepartementets certifieringsprogram Cybersecurity Maturity Model?
Gary: Det är intressant att DoD väntade till den 26 december, när alla var på semester, med att publicera inte bara föreslagna regler för CMMC 2.0, utan också ett stort antal ytterligare vägledningsdokument som skulle gälla för CMMC 2.0. De verkar verkligen gå vidare med programmet. Det ser ut som om vi kommer att få tre nivåer, och om du är verksam inom försvarshandeln kommer du att hamna på nivå 2 eftersom du kommer att hantera exportkontrollerad information.
Den stora frågan jag har för europeiska företag är att CMMC kräver revision, tredjepartsrevision, för att verifiera att man har cybersäkerhetsprogram som uppfyller CMMC-kraven, enligt National Institute of Standards and Technologies' Special Publication 800-171 och dess olika varianter. Så hur kommer den här granskningen utomlands att fungera? I Kanada håller man på att utveckla ett eget cybersäkerhetsprogram, ungefär som CMMC, med ett certifieringselement, och man för samtal med USA om ömsesidighet, i.eOm vi certifierar ett kanadensiskt företag som uppfyller kraven i vårt program, kommer ni då att erkänna att det uppfyller kraven i CMMC och inte kräva en separat revision? Jag tror att Storbritannien arbetar med något liknande. Jag har inte hört så mycket nytt om detta från andra europeiska länder, så hur går det för deras företag i leveranskedjan till US DoD, där CMMC-kraven skulle börja gälla? Det är fortfarande mycket oklart om och när CMMC-programmet kommer att ackreditera revisorer i tredje land för att utföra denna revision. Om så inte sker under de första två - tre - fyra - fem åren efter det att CMMC träder i kraft, måste revisionen utföras av amerikanska företag. Jag kan inte föreställa mig att företag i Frankrike eller Nederländerna kommer att bli glada över att behöva betala för att revisorer från USA skall komma hit. Jag har till och med hört vissa reservationer från europeiska företag, och detta är inte bara någon konspirationsteori, om att låta amerikanska revisorer granska deras cybersäkerhetsprogram. Kommer den information som samlas in att skickas till vår nationella säkerhetsmyndighet så att den kan spionera på deras program? Så det finns mycket att ta reda på om CMMC 2.0, men det går framåt och företag i det amerikanska försvarsdepartementets leveranskedja skulle göra klokt i att göra det, om de inte har tagit en titt på allt detta.
Nielsonsmith: Tack för att ni delar med er av så mycket kunskap idag. Men till sist skulle jag vilja fråga om hur viktigt du tycker att det är för företag att investera i utbildning av sina compliance officers och vilka resurser de bör använda.
Gary: Jag kan inte nog understryka att utbildning är en av de tre viktigaste komponenterna i ett effektivt compliance-program. Om du inte har utbildat dina anställda om vilka krav som gäller, hur ska du då kunna förvänta dig att de ska följa dessa krav? Och framför allt, om ni inte har tillhandahållit utbildningsresurser till era dedikerade exportkontrollchefer, hur ska de då kunna administrera era efterlevnadsprogram? Jag ser det gång på gång på gång. Jag ska ha en videokonferens i dag med ett företag som jag hjälper med ett större frivilligt utlämnande till utrikesdepartementet, och de fortsätter att anställa personer som exportkontrollchefer som inte har någon utbildning eller erfarenhet. De lär sig på jobbet, men enligt min erfarenhet under 40 år är det bara det som kan hända. Många av dessa personer lägger inte ner den hemläxa som krävs för att lära sig exportkontrollkraven.
Det är mycket sofistikerade regler som kräver mycket tid och stora ansträngningar för att lära sig, och i många fall ser jag inte det. Men de goda nyheterna, Alisa, är att jag i genomsnitt tycker att de europeiska exportkontrollcheferna är bättre utbildade och bättre informerade än de amerikanska.
Nielsonsmith: Tack så mycket för din tid, Gary, och jag är säker på att den kunskap du delade med dig av idag är mycket uppskattad av våra läsare.
Gary Stanley är Chef för Global Legal Services, PC, en Washington DC-baserad advokatbyrå som fokuserar på efterlevnad av handelsregler och andra internationella affärsfrågor.
Mr Stanley företräder bland annat ett stort antal amerikanska, kanadensiska och europeiska företag i frågor som rör exportkontroll av försvarsmateriel.
Till exempel har Mr Stanley:
- Rådgivning till ett stort antal amerikanska försvarsföretag i samband med godkännande av licenser, tillverkningslicenser och avtal om tekniskt bistånd enligt delarna 123 och 124 i International Traffic in Arms Regulations ("ITAR") samt vid användning av ITAR-undantag, inklusive det kanadensiska undantaget i ITAR §126.5.
- Rådgivning till flera företag om frivilliga upplysningar enligt ITAR § 127.12.
- Hjälpt ett flertal försvarsföretag med registrering och licensiering av sina mäklare enligt Part 129 i ITAR.
- Han har tillhandahållit utbildning i exportkontroll till en rad olika amerikanska, brittiska och kanadensiska försvarsföretag, liksom till ryska regeringens exportkontrolltjänstemän och olika organ inom Kanadas regering, däribland Canadian Department of National Defence, Canadian Department of Foreign Affairs and International Trade och Canadian Space Agency. Från februari 2004 till februari 2005 tjänstgjorde Stanley som Special Compliance Official och övervakade ett stort försvarsföretags program för efterlevnad av exportkontroll i enlighet med ett samtyckesavtal som företaget ingått med det amerikanska utrikesdepartementet. Statliga tjänstemän hade väckt åtal mot företaget enligt en teori om efterträdaransvar för överträdelser som ett annat företag, vars tillgångar detta företag hade förvärvat, påstods ha begått.
Förutom att företräda privata företag har Stanley även arbetat som konsult för den amerikanska regeringen och branschgrupper. Han var t.ex. den främsta externa experten på exportkontroll för huvudentreprenören Booz Allen Hamilton Inc. i fas II av Transatlantic Secure Collaboration Program. Detta program var ett konsortium bestående av tio amerikanska, kanadensiska och europeiska försvarsföretag, däribland Lockheed Martin, EADS, Northrop Grumman och Boeing, som försökte fastställa riktlinjer för "bästa praxis" för elektroniskt utbyte av oklassificerad, skyddad och exportkontrollerad information.
Mr Stanley tog sin grundexamen vid Emory University 1975 och sin juristexamen vid Harvard Law School 1978. Han valdes under sitt första år till Phi Beta Kappa. Stanley är för närvarande Secretary-Treasurer och Trustee för The Procedural Aspects of International Law Institute.
För mer information om Stanley och hans advokatbyrå Global Legal Services, ring honom på (202) 686-4854 eller mejla honom på gstanley@glstrade.com.
GLOBALA JURIDISKA TJÄNSTER
Relaterade händelser
