§ 740.22 EAR – Authorized Cybersecurity Exports (ACE)
§ 740.22 EAR erlaubt den Export, Reexport und inländischen Transfer bestimmter Cybersicherheitsprodukte unter einer Lizenzbefreiung („License Exception“), um die Cybersicherheitsfähigkeit von Unternehmen und Organisationen zu unterstützen. Die Regelung gilt für bestimmte Arten von Software, Technologie und Geräten, die der Erkennung, Prävention oder Reaktion auf Cyberangriffe dienen.
Geltungsbereich
- ACE erlaubt den Export, Reexport oder Transfer innerhalb der USA von definierten Cybersicherheitsartikeln, einschließlich Software, Technologie und bestimmter Hardware.
- Die Regelung schließt auch „Deemed Exports“ ein, d. h. die Weitergabe von Technologie an ausländische Staatsangehörige innerhalb der USA, sofern keine Beschränkungen wie E:1/E:2-Status oder bestimmte Ländergruppen greifen.
- Ausnahmen bestehen insbesondere für Ländergruppen D:1 bis D:5 und für Endnutzer, die Regierungsorganisationen angehören.
Definitionen relevanter Begriffe
- Cybersicherheitsartikel: Produkte, die auf bestimmte ECCNs (Export Control Classification Numbers) fallen, z. B. 4A005, 4D001, 5A001.j, 5D001.a, 5E001.a. Diese Artikel dienen der Cyberabwehr, Bedrohungserkennung oder Informationssicherheitsanalyse.
- Deemed Exports: Jede Offenlegung von kontrollierter Technologie an ausländische Staatsangehörige innerhalb der USA, die rechtlich wie ein Export behandelt wird.
- Bevorzugte Cybersicherheits-Endnutzer: Dazu zählen US-Tochtergesellschaften, Banken, Finanz- und Versicherungsunternehmen, die von ACE profitieren können.
Einschränkungen und Ausnahmen
- Nicht erlaubt: Exporte an E:1- und E:2-Staatsangehörige, Regierungsstellen in D:1–D:5-Ländern (außer spezialisierte Ausnahmen).
- Erlaubte Ausnahmen:
- Nationale CSIRTs (Computer Security Incident Response Teams) in D-Ländern für Cybervorfallreaktionen.
- Exporte für „Vulnerability Disclosure“ und „Cyber Incident Response“.
- Export an bevorzugte Cybersicherheits-Endnutzer außerhalb von D:1/D:5.
- Sicherheitsverbot: Export nicht zulässig, wenn der Artikel zur Beeinträchtigung der Vertraulichkeit, Integrität oder Verfügbarkeit von Informationssystemen genutzt werden könnte.
Praxisbeispiele
- Ein US-Unternehmen stellt einer Tochtergesellschaft in Kanada ein Intrusion Detection System (IDS) zur Verfügung, um Netzwerke vor Cyberangriffen zu schützen. Dies fällt unter ACE, sofern keine Einschränkungen zu beachten sind.
- Eine Software zur Schwachstellenanalyse wird an ein Finanzinstitut in den USA weitergegeben, das von ausländischen Staatsangehörigen betrieben wird. Auch hier greift die ACE-Lizenzbefreiung unter den Deemed-Export-Regeln.
- Lieferung eines Cybersecurity-Tools an einen nationalen CSIRT in einem D-Land zur Reaktion auf Cyberangriffe – zulässig unter den spezialisierten Ausnahmen von ACE.
Fazit
§ 740.22 EAR bietet Unternehmen eine gezielte Lizenzbefreiung für den Export von Cybersicherheitsartikeln, um die Sicherheit von Informationssystemen zu stärken. Unternehmen, Zollverantwortliche und Außenhandelsexperten müssen jedoch die Einschränkungen, Ländergruppen und besonderen Endnutzer sorgfältig prüfen, um Compliance-Risiken zu vermeiden.