Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

ITAR-naleving voor exporteurs in de defensiesector

Startpagina Woordenlijst ITAR-naleving voor exporteurs in de defensiesector

Als uw bedrijf defensie- of ruimtevaartgerelateerde goederen exporteert, moet u ITAR-nalevend zijn. Anders kunt u boetes van honderdduizenden dollars krijgen.

Wat betekent het om ITAR-nalevend te zijn? Naleving van de International Traffic in Arms Regulations betekent dat uw bedrijf is geregistreerd bij het Directorate of Defense Trade Controls van het Amerikaanse ministerie van Buitenlandse Zaken en heeft voldaan aan alle noodzakelijke ITAR-voorschriften voor exporten van de U.S. Munitions List.

ITAR-naleving voor exporteurs in de defensiesector

Wat is ITAR en waarom zou een organisatie willen voldoen?

De International Traffic in Arms Regulations is een regelgevend orgaan en kader dat wordt gebruikt om de import en export van wapens en munitie te beheersen, met het oog op de bescherming van de nationale veiligheid van de VS en buitenlandse beleidsprioriteiten.

ITAR verwijst expliciet naar de U.S. Munitions List (USML), een lijst van diensten, technologieën en artikelen die zijn aangemerkt als “defensie- en ruimtevaartgerelateerd”. Het is een inventaris van wapens, militair materieel en defensiegerelateerde gegevens die worden gedefinieerd als “munitie”. Omdat de VS vaak handelt in wapens (zowel als koper als verkoper), moet de overheid nauwkeurige administratie bijhouden van haar materieel. Evenzo, omdat de defensie-toeleveringsketen bestaat uit een netwerk van instanties en externe aannemers (bekend als de Defense Industrial Base), moeten deze organisaties voldoen aan de vereisten die zijn ingesteld om de Amerikaanse munitie te beheren.

ITAR en de Arms Export Control Act werden in 1976 tijdens de Koude Oorlog in de wet opgenomen om te voorkomen dat Amerikaanse wapens in handen zouden vallen van agenten van de USSR of satellietregeringen. In 1999 kwam het beheer en de handhaving van de regels en voorschriften onder ITAR en de Arms Export Control Act (AECA) bij het Amerikaanse ministerie van Buitenlandse Zaken te liggen.

Onder ITAR worden “defensieartikelen” onderverdeeld in twee brede categorieën: fysiek materieel en technische gegevens over bestaand of toekomstig materieel. Binnen deze twee categorieën zijn er meer gebruikersspecifieke categorieën:

  • Vuurwapens, aanvalswapens voor korte afstand en jachtgeweren
  • Materialen, chemicaliën, micro-organismen en toxines
  • Munitie en wapentuig
  • Lanceervoertuigen, geleide en ballistische raketten, raketten, torpedo’s, bommen en mijnen
  • Explosieven en energetische materialen, voortstuwingsmiddelen, brandbommen en hun bestanddelen
  • Oorlogsschepen en speciale maritieme uitrusting
  • Tanks en militaire voertuigen
  • Vliegtuigen en bijbehorende uitrusting
  • Militaire trainingsapparatuur
  • Beschermende uitrusting voor personeel
  • Militaire elektronica
  • Vuurleiding, afstandsmeter, optische, geleidings- en besturingsapparatuur
  • Hulpmilitaire uitrusting
  • Toxicologische agentia, waaronder chemische en biologische agentia en bijbehorende apparatuur
  • Ruimtevaartsystemen en bijbehorende uitrusting
  • Kernwapens, ontwerp en testgerelateerde artikelen
  • Geclassificeerde artikelen, technische gegevens en defensiediensten die niet elders zijn vermeld
  • Gerichte energiewapens
  • Gasturbinemotoren
  • Onderzeese vaartuigen, oceanografische en bijbehorende apparatuur
  • Artikelen, technische gegevens en defensiediensten die niet elders zijn vermeld

Alle militaire wapens en informatie daarover vallen onder een van deze categorieën. Elke organisatie die productie, onderzoek of export uitvoert met betrekking tot artikelen die onder deze categorieën vallen, moet zich registreren bij het Directorate of Defense Trade Controls (DDTC) en de ITAR-voorschriften volgen.

4 verschillen tussen ITAR en EAR

ITAR (International Traffic in Arms Regulations) en EAR (Export Administration Regulations) zijn beide Amerikaanse overheidsvoorschriften die de export van goederen met zowel civiele als militaire toepassingen reguleren.

Er zijn echter enkele duidelijke verschillen tussen beide regelgevingen:

  1. Reikwijdte: ITAR dekt de export van defensieartikelen en -diensten, terwijl EAR de export van dual-use goederen dekt die zowel militaire als civiele toepassingen kunnen hebben.
  2. Rechtsbevoegdheid: ITAR wordt beheerd door het Department of State, terwijl EAR wordt beheerd door het Department of Commerce.
  3. Vergunningsproces: Het vergunningsproces voor ITAR is over het algemeen complexer en tijdrovender dan voor EAR. ITAR vereist een formele aanvraag- en goedkeuringsprocedure, terwijl EAR voor de meeste exporten een gestroomlijnder proces kent.
  4. Sancties: De sancties voor het overtreden van ITAR kunnen zwaar zijn, waaronder boetes, gevangenisstraf en verlies van exportrechten. EAR-sancties kunnen ook aanzienlijk zijn, maar zijn doorgaans minder streng dan de sancties voor het overtreden van ITAR.

Hoe kan een organisatie ITAR-nalevend worden?

Er zijn een paar belangrijke stappen die elke organisatie moet nemen om aan ITAR-naleving te voldoen:

  1. Registreren bij de DDTC: Deze stap komt vóór alle andere en is noodzakelijk om enig werk te verrichten met betrekking tot USML-artikelen. Volgens de DDTC-website moeten alle “fabrikanten, exporteurs, tijdelijke importeurs en makelaars van defensieartikelen (inclusief technische gegevens)” die onder de USML vallen zich registreren bij de DDTC.
  2. Voer een ITAR-nalevingsprogramma in. ITAR-vereisten schrijven voor dat organisaties een gedocumenteerd ITAR-nalevingsprogramma moeten hebben waarin het monitoren, traceren en auditen van technische USML-gegevens die onder de rechtsbevoegdheid van ITAR vallen, wordt beschreven. Daarnaast raadt de DDTC aan gevoelige materialen te markeren met een ITAR-aanduiding om de naleving door medewerkers te ondersteunen.
  3. Implementeer ITAR-beveiliging: Naleving volgt de beveiligingsclassificatie van de gegevens. Als informatie die onder ITAR valt geclassificeerd is, zal deze waarschijnlijk unieke beveiligingsvereisten hebben (zoals het gebruik van specifieke routernetwerken zoals het Secret Internet Protocol Router Network). Als een organisatie echter gecontroleerde, niet-geclassificeerde informatie (CUI) beheert—gevoelige informatie met betrekking tot wapens en defensie die niet geclassificeerd is—dan kan de beveiligingsnaleving worden gebaseerd op de National Institute of Standards and Technology Special Publication 800-171.

Wat is ITAR-registratie?

ITAR-registratie is het proces van registratie bij de DDTC voor naleving van ITAR. Het is verplicht voor alle fabrikanten, exporteurs en makelaars van defensieartikelen, defensiediensten of technische gegevens die onder ITAR vallen. Het registratieproces omvat het invullen van een aanvraag, het betalen van een vergoeding en het verstrekken van gedetailleerde informatie over het bedrijf, het eigendom en de activiteiten. Eenmaal geregistreerd moeten bedrijven voldoen aan alle ITAR-vereisten, waaronder het verkrijgen van vergunningen voor de export van beperkte artikelen, het bijhouden van administratie en het melden van overtredingen of incidenten.

ITAR-registratie is een cruciale stap voor bedrijven die actief zijn in de defensiesector, omdat het naleving waarborgt van regelgeving die is ontworpen om de nationale veiligheidsbelangen van de VS te beschermen. Het niet registreren of niet naleven van ITAR-voorschriften kan leiden tot zware sancties, waaronder boetes, gevangenisstraf en verlies van exportrechten. Daarom moeten bedrijven het belang van ITAR-registratie en de strikte vereisten voor het behouden van naleving begrijpen.

Hoe is ITAR van toepassing op technologiebedrijven?

De groeiende afhankelijkheid van defensie-instanties van externe leveranciers heeft geleid tot een parallelle afhankelijkheid van door leveranciers geleverde IT-infrastructuur voor deze instanties en hun partner-aannemers. Deze infrastructuren omvatten Software-as-a-Service (SaaS)-applicaties, cloudopslag, overheidsoplossingen en essentiële technologieën voor de meeste organisaties.

Omdat systemen zoals cloudopslag zo cruciaal zijn voor de activiteiten van defensie-aannemers en instanties, is het ook belangrijk dat elk systeem dat “artikelen, technische gegevens en defensiediensten” beheert (geclassificeerd of niet) voldoet aan de minimale nalevingsvereisten.

Dit speelt zich op twee manieren af. Voor CUI of geclassificeerde gegevens moet een organisatie de regelgeving volgen om die specifieke vormen van gegevens te beschermen. Daarnaast waren deze organisaties volgens de ITAR-vereisten vóór 2020 verplicht om ervoor te zorgen dat datacenters uitsluitend werden beheerd door Amerikaanse staatsburgers die zich in de Verenigde Staten bevonden.

In maart 2020 besloot het ministerie van Buitenlandse Zaken dat organisaties niet-geclassificeerde technische gegevens met hun toeleveringsketen buiten de Verenigde Staten mogen delen, zolang de communicatie is beveiligd met end-to-end encryptie.

Wat zijn de sancties voor niet-naleving van ITAR?

Volgens ITAR-documentatie op de DDTC-website is het onwettig om het volgende te doen:

  • Defensieartikelen exporteren, importeren of samenzweren om te importeren of exporteren vanuit de Verenigde Staten zonder goedkeuring van het ministerie van Buitenlandse Zaken
  • Defensieartikelen importeren, exporteren of bemiddelen zonder de juiste vergunning
  • Defensieartikelen produceren in samenwerking met de overheid zonder te voldoen aan de vergunning- en beveiligingsvoorschriften
  • Fraude plegen om ITAR-naleving, vergunningen of andere goedkeuringen voor het exporteren, importeren of bemiddelen van defensieartikelen te verkrijgen

Sancties worden afgehandeld via een zogenoemde “consent agreement”, waarbij een organisatie die ITAR overtreedt wordt gemonitord en herstelmaatregelen moet nemen, naast financiële sancties, via een proces dat drie tot vier jaar kan duren.

Volgens de DDTC-website zijn er twee niveaus van sancties:

  • Civiele sancties: Civiele sancties vallen onder ITAR Artikel 128 en omvatten boetes van minimaal $1 miljoen per overtreding en mogelijke uitsluiting, ten minste gedurende een herstelperiode onder een consent agreement. Civiele sancties worden doorgaans gezien als onbedoeld of corrigeerbaar, waardoor een consent agreement mogelijk is.
  • Strafrechtelijke sancties: Strafrechtelijke sancties vallen onder AECA 22 U.S.C. 2778(c) en zijn doorgaans van toepassing op organisaties die bewust en willens en wetens ITAR overtreden. Sancties zijn minimaal $1 miljoen per overtreding of tot 20 jaar gevangenisstraf en uitsluiting.

Veilige systemen en ITAR-veilige informatie behouden

Organisaties die actief zijn in de toeleveringsketen van het Department of Defense verwerken al belangrijke, gevoelige gegevens. Degenen die technische informatie beheren als onderdeel van het beheer van de U.S. Munitions List hebben nog meer verantwoordelijkheden om ervoor te zorgen dat deze informatie niet in verkeerde handen valt. Daarom is het belangrijk om samen te werken met cloud- en data management-systemen die aan strikte beveiligingsvereisten kunnen voldoen, zowel binnen als buiten de defensiesector.

Meld u vandaag nog aan voor een gratis demo om te zien hoe het Kiteworks-platform uw beveiligings- en nalevingsbehoeften kan ondersteunen.

 

Terug naar Risk & Compliance Woordenlijst

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks