Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Inzicht in ITAR-nalevingsregels, normen en sancties
Inzicht in ITAR-nalevingsregels, normen en sancties

Inzicht in ITAR-nalevingsregels, normen en sancties

by Robert Dougherty updated september 2, 2022 Wettelijke naleving
Reading Time: 7 minutes

International Traffic in Arms Regulations-naleving is verplicht voor meer dan 13.000 bedrijven in de Verenigde Staten. Is jouw bedrijf er daar één van?

ITAR-naleving is van cruciaal belang voor veel bedrijven die actief zijn in de defensie-, luchtvaart- of informatietechnologieoplossingen voor de defensie- en luchtvaartindustrie. Begrijpen en voldoen aan ITAR is daarom essentieel voor deze bedrijven.

Wie moet ITAR-compliant zijn? Een bedrijf moet ITAR-compliant zijn als het een deel van de toeleveringsketen voor defensiegoederen beheert, of het nu gaat om productie, export, andere defensiediensten of zelfs het omgaan met defensiegerelateerde technische gegevens.

Deze Blog Post biedt een diepgaand overzicht van ITAR-nalevingsregels, standaarden en sancties, zodat bedrijven effectief hun weg kunnen vinden in dit complexe regelgevingslandschap.

Wat is de International Traffic in Arms Regulation?

Particuliere militaire informatie en uitrusting vormen een enorme aansprakelijkheid voor de veiligheidsbelangen van de Verenigde Staten. Door uitgebreide logistiek en toeleveringsketens, evenals een groeiend aantal digitale dienstverleners en andere aannemers, is het risico op diefstal van wapens, technische schema’s en beschermde gegevens een reëel en actueel gevaar. In deze context betekent “technische gegevens” informatie met betrekking tot items op de U.S. Munitions List (USML), waaronder schema’s, blauwdrukken en rapporten.

Om deze materialen te beschermen is ITAR in het leven geroepen. ITAR werd in 1976 aangenomen om veiligheidskwesties rond wapenbeveiliging tijdens de Koude Oorlog aan te pakken en richt zich specifiek op de USML, een overzicht van diensten, documenten en technologieën die verband houden met “defensie- en ruimtevaartgerelateerde” overheidsprojecten en activiteiten. Deze lijst bevat informatie over de opslag, het beheer en de verkoop van door ITAR gereguleerde materialen, waaronder schema’s, munitie en apparatuur binnen de Defense Industrial Base.

Het Directorate of Defense Trade Controls (DDTC) van het Amerikaanse ministerie van Buitenlandse Zaken beheert en handhaaft ITAR en heeft als doel ongeautoriseerde toegang en overdracht van defensietechnologie naar buitenlandse entiteiten of personen te voorkomen. De rechtsbevoegdheid omvat twee bredere categorieën—fysieke apparatuur en technische gegevens over de apparatuur.

Deze zijn verder onderverdeeld in meer specifieke categorieën:

  • Vuurwapens, Close Assault Weapons en shotguns
  • Materialen, chemicaliën, micro-organismen en toxines
  • Munitie en wapentuig
  • Lanceervoertuigen, geleide en ballistische raketten, raketten, torpedo’s, bommen en mijnen
  • Explosieven en energetische materialen, voortstuwingsmiddelen, brandbommen en hun bestanddelen
  • Oorlogsschepen en speciale maritieme uitrusting
  • Tanks en militaire voertuigen
  • Vliegtuigen en bijbehorende apparatuur
  • Militair trainingsmateriaal
  • Persoonlijke beschermingsmiddelen
  • Militaire elektronica
  • Vuurleiding, afstandsmeter, optische, geleidings- en besturingsapparatuur
  • Hulpmateriaal voor het leger
  • Toxicologische agentia, waaronder chemische agentia, biologische agentia en bijbehorende apparatuur
  • Ruimtevaartsystemen en bijbehorende apparatuur
  • Kernwapens, ontwerp en testgerelateerde items
  • Geclassificeerde artikelen, technische gegevens en defensiediensten die niet elders zijn vermeld
  • Gerichte energiewapens
  • Gasturbinemotoren
  • Onderzeese vaartuigen, oceanografische en bijbehorende apparatuur
  • Artikelen, technische gegevens en defensiediensten die niet elders zijn vermeld

Organisaties die een van deze items beheren of behandelen, moeten zich registreren bij het Directorate of Defense Trade Controls (DDTC).

Waarom is ITAR-naleving belangrijk?

ITAR-naleving is om meerdere dwingende redenen van cruciaal belang. Ten eerste waarborgt het de nationale veiligheid van de Verenigde Staten door gevoelige defensiegerelateerde technologie en informatie te beschermen. ITAR-naleving is ontworpen om ongeautoriseerde toegang tot essentiële defensiegoederen en technische gegevens te voorkomen, zodat deze niet in verkeerde handen vallen.

ITAR-naleving speelt ook een essentiële rol bij het behouden van een gelijk speelveld tussen concurrenten in de defensie-industrie. Door de export en import van defensiegerelateerde goederen en diensten te reguleren, zorgt ITAR voor eerlijke concurrentie en voorkomt het ongeautoriseerde overdracht van geavanceerde technologieën die bepaalde bedrijven een oneerlijk voordeel kunnen geven.

Tot slot helpt ITAR-naleving de economische en technologische belangen van de Verenigde Staten te beschermen. Door de export van defensiegoederen en -diensten te beheersen, kan de overheid waardevol intellectueel eigendom beschermen en ongeautoriseerde replicatie of productie van geavanceerde militaire technologieën door buitenlandse partijen voorkomen. Dit zorgt ervoor dat de Verenigde Staten hun technologische voorsprong behouden en hun positie als leider in defensie-innovatie handhaven.

Wat betekent het om ITAR-compliant te zijn?

ITAR-naleving verwijst naar hoe aannemers omgaan met items op de USML. Veel van deze nalevingsvereisten vallen onder registratie- en rapportageverplichtingen, zodat zaken worden verantwoord en organisaties aantonen dat ze blijven voldoen aan de naleving van software- en hardwaresystemen.

ITAR-naleving omvat enkele fundamentele vereisten:

  • Registreren bij de DDTC: Volgens de website van de DDTC moeten alle “fabrikanten, exporteurs, tijdelijke importeurs en makelaars van defensiegoederen (inclusief technische gegevens)” die onder de USML vallen zich registreren bij de DDTC.
  • Implementeer een ITAR-nalevingsprogramma: Organisaties moeten gedocumenteerde ITAR-nalevingsprogramma’s implementeren, met plannen waarin het monitoren, volgen en auditen van technische USML-gegevens die onder de rechtsbevoegdheid van ITAR vallen, wordt beschreven.
  • ITAR-beveiliging implementeren: Organisaties moeten beveiligingsvereisten volgen op basis van de classificatie van de beheerde gegevens. Informatie in de Secret-categorie heeft eigen vereisten voor een privé hardwarenetwerk. Daarentegen kan Controlled Unclassified Information (CUI)—gevoelige informatie met betrekking tot wapens en defensie die niet geclassificeerd is—de richtlijnen van de National Institute of Standards and Technology Special Publication 800-171 volgen.

Deze vereisten worden continu gerapporteerd en gemonitord, en niet-naleving (feitelijk het in gevaar brengen van Amerikaanse wapens of geheimen) brengt zware sancties met zich mee. Toch kunnen sommige organisaties vrijstellingen verkrijgen onder ITAR, verleend door het State Department, voor situaties zoals tijdelijke exporten, technische gegevens of overheidsvrijstellingen.

Hoe weet ik of ik ITAR-compliant ben?

De beste manier om te bepalen of jouw organisatie ITAR-compliant is, is door een gekwalificeerde professional je interne processen en procedures te laten beoordelen. Dit omvat een beoordeling van je beveiligingsprotocollen, opleidingsprocedures voor medewerkers, exportcontrolebeleid en andere relevante zaken. Daarnaast kan het verkrijgen van een externe ITAR-certificering extra zekerheid bieden dat je een compliant organisatie bent.

Wat zijn de sancties voor niet-naleving van ITAR?

Net als elk nalevingskader definieert ITAR specifieke sancties voor niet-naleving, afhankelijk van de aard van de overtreding en de mate van medewerking van de organisatie.

Volgens ITAR-documentatie op de DDTC-website is het onwettig om het volgende te doen:

  • Defensiegoederen exporteren, importeren of samenzweren om te importeren of exporteren vanuit de Verenigde Staten zonder goedkeuring van het State Department.
  • Defensiegoederen importeren, exporteren of bemiddelen zonder de juiste vergunning.
  • Defensiegoederen produceren in samenwerking met de overheid zonder te voldoen aan vergunnings- en beveiligingsvoorschriften.
  • Fraude plegen om ITAR-naleving, vergunningen of andere goedkeuringen voor het exporteren, importeren of bemiddelen van defensiegoederen te verkrijgen.

Toestemmingsakkoorden zijn een uniek onderdeel van ITAR-regelgeving. Als een organisatie de naleving schendt, zal zij (onder bepaalde omstandigheden) een toestemmingsakkoord aangaan waarbij zij instemt met monitoring en herstel naast haar financiële verplichtingen. Dit proces, dat kan leiden tot mogelijke heropname in de toeleveringsketen, kan drie tot vier jaar duren. 

Onder ITAR zijn er twee niveaus van sancties:

  • Civiele sancties: Civiele sancties vallen onder ITAR Artikel 128 en omvatten boetes van ten minste $1 miljoen per overtreding en mogelijke uitsluiting, ten minste gedurende een herstelperiode die wordt geregeld door een toestemmingsakkoord. Civiele sancties worden doorgaans gezien als onbedoeld of corrigeerbaar, waardoor een toestemmingsakkoord mogelijk is.
  • Strafrechtelijke sancties: Strafrechtelijke sancties vallen onder AECA 22 U.S.C. 2778(c) en zijn doorgaans van toepassing op organisaties die bewust en willens en wetens ITAR overtreden. Sancties zijn minimaal $1 miljoen per overtreding of tot 20 jaar gevangenisstraf en uitsluiting.

Wat houdt een ITAR-overtreding in de productie in?

Een ITAR-overtreding in de productie vindt plaats wanneer een persoon een defensiegoed of gerelateerde technische gegevens produceert, exporteert, importeert of overdraagt zonder de juiste toestemming van de Amerikaanse overheid. Dit kan bewust of onbewust gebeuren, en de overtreding kan ook het elektronisch verzenden of ontvangen van de gegevens of het document omvatten.

Is het mogelijk om ITAR-naleving in de cloud te behouden?

Het korte antwoord is ja.

In december 2019 heeft het Amerikaanse State Department bepaald dat organisaties ITAR-gerelateerde gegevens in de cloud mogen opslaan, mits zij gebruikmaken van versleutelde, door ITAR gecontroleerde software.

Om deze uitspraak te faciliteren, is er ook een aanvullende definitie van activiteit voor cloudproviders gecreëerd, specifiek het opslaan van ITAR-gegevens in de cloud met behulp van FIPS 140-2 encryptie of AES-128 equivalente cryptografie. Deze definitie wordt officieel toegevoegd aan de lijst van gereguleerde praktijken, waaronder het exporteren, herexporteren, verkopen, overdragen of importeren van USML-gegevens.

Bescherm en beveilig kritieke gegevens met Kiteworks

Het beschermen van informatie tijdens overdracht en opslag is essentieel voor elke overheidsaannemer. Deze organisaties moeten ervoor zorgen dat hun zakelijke bestandsoverdracht, analytics en alle opslagmedia worden versleuteld en beveiligd als onderdeel van het risicobeheer voor verkopers binnen ITAR. Alle rapportages, audits en documentatie moeten voldoen aan de vereisten van hun sector.

Het Kiteworks-platform biedt uitgebreide governance en bescherming, en ondersteunt grote ondernemingen en leden van de defensie-toeleveringsketen met conforme beveiliging en functionaliteit op ondernemingsniveau. Enkele van de functies van Kiteworks zijn onder andere:

  • Beveiligde e-maillinks: Met Kiteworks versturen gebruikers geen e-mails, maar links terug naar geharde servers. Dit betekent dat ze CMMC-naleving behouden en tegelijkertijd e-maildekking bieden voor externe gebruikers indien nodig. Hierdoor kunnen organisaties en derde partijen voorkomen dat ze vastzitten aan een specifieke PGP-encryptiemethode.
  • Encryptie en geharde servers: Kiteworks maakt gebruik van AES-256 Encryptie voor gegevens in rust en TLS 1.2+ voor gegevens onderweg. De geharde virtuele appliance, granulaire controles, beveiligde firewall, authenticatie en andere integraties in de beveiligingsstack bieden een defense-in-depth benadering van beveiliging. In combinatie met uitgebreide logging en audit kunnen organisaties efficiënt aan de naleving voldoen.
  • Audit logging: Met de onveranderlijke logs van Kiteworks kunnen gebruikers erop vertrouwen dat een organisatie aanvallen sneller kan detecteren en de juiste bewijsketen kan behouden voor forensisch onderzoek.
  • Private cloud: Je bestandsoverdrachten, bestandsopslag en toegang vinden plaats op een dedicated Kiteworks-instantie, ingezet op je eigen locatie, op je Infrastructure-as-a-Service (IaaS)-bronnen, of gehost in de cloud door Kiteworks. Dat betekent geen gedeelde runtime, databases of repositories, resources of risico op cross-cloud datalekken of aanvallen.
  • SIEM-integratie: Kiteworks ondersteunt integratie met grote security information and event management (SIEM)-oplossingen, waaronder IBM QRadar, ArcSight, FireEye Helix, LogRhythm en anderen. Het bevat ook de Splunk Forwarder en een Splunk App.
  • Datavisibiliteit en data management: Het CISO-dashboard van Kiteworks biedt cruciaal inzicht in hoe jouw gegevens door het systeem bewegen: wie ze behandelt, wanneer en hoe. Bedrijven kunnen deze informatie gebruiken om essentiële CMMC-vereisten te onderbouwen bij het toezicht houden op risicobeheer toeleveringsketen en risicobeheer door derden (TPRM) en het ontwikkelen van beveiligings- en datagerichte plannen voor auditors.
  • Onbeperkte bestandsgrootte: Met de beveiligde e-maillinks van Kiteworks kunnen organisaties bestanden van elke grootte delen. Daarnaast kunnen ze onze beheerde bestandsoverdracht- en opslagmogelijkheden gebruiken om bestanden van onbeperkte grootte op te slaan en te delen.

Wil je meer weten over compliance en beveiliging met data management platforms? Plan dan vandaag nog een aangepaste demo van Kiteworks.

Veelgestelde vragen

Naleving van regelgeving verwijst naar het voldoen aan wetten, regels, richtlijnen en specificaties die relevant zijn voor de bedrijfsprocessen van een organisatie. Naleving is cruciaal voor het behouden van de reputatie van het bedrijf, het voorkomen van juridische sancties en het waarborgen van de veiligheid en beveiliging van de bedrijfsvoering.

Naleving van regelgeving beïnvloedt diverse sectoren op verschillende manieren, afhankelijk van de specifieke regels die op elke sector van toepassing zijn. Zo moeten zorgorganisaties voldoen aan regels zoals HIPAA die patiëntgegevens beschermen, terwijl instellingen in de financiële sector moeten voldoen aan regels zoals de PCI DSS die financiële crises moeten voorkomen. Defensie-aannemers moeten voldoen aan CMMC. Niet-naleving kan leiden tot zware sancties, waaronder boetes en reputatieschade.

Enkele veelvoorkomende uitdagingen zijn het bijhouden van veranderende regelgeving, het beheren en beveiligen van gegevens, het trainen van medewerkers op nalevingsvereisten en het toewijzen van voldoende middelen voor nalevingsactiviteiten. Daarnaast kunnen internationale organisaties te maken krijgen met de extra complexiteit van naleving in meerdere rechtsbevoegdheden.

Organisaties kunnen hun naleving aantonen op diverse manieren, zoals het bijhouden van uitgebreide documentatie van hun nalevingsactiviteiten, het uitvoeren van regelmatige audits en het bijhouden van opleidingsregistraties. Daarnaast kunnen sommige regels vereisen dat organisaties regelmatig rapporten indienen of externe audits ondergaan om hun naleving te bewijzen.

Gegevensencryptie speelt een cruciale rol bij naleving van regelgeving, omdat het helpt gevoelige gegevens te beschermen tegen ongeautoriseerde toegang. Veel regels vereisen dat organisaties passende beveiligingsmaatregelen nemen, waaronder encryptie, om gegevens te beschermen. Door gegevens te versleutelen, kunnen organisaties de vertrouwelijkheid en integriteit ervan waarborgen en zo bijdragen aan naleving.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks