Informations- und Kommunikationstechnologien und -dienste Entwicklungen in der Lieferkette | Morrison & Förster LLP

Home » Informations- und Kommunikationstechnologien und -dienste Entwicklungen in der Lieferkette | Morrison & Förster LLP
Technologie
04/03/202204/03/2022By M.Speyer
0
Informations- und Kommunikationstechnologien und -dienste Entwicklungen in der Lieferkette | Morrison & Förster LLP

Am 26. November 2021 hat das US-Handelsministerium („Handel“) eine Vorgeschlagene Regel die eine frühere Regel zur Umsetzung der Bestimmungen der Executive Order 13873 zur Sicherung der Lieferkette von Informations- und Kommunikationstechnologie und -diensten (ICTS) erweitert. Wie unten erläutert, ergänzt diese Regel frühere Regeln und verpflichtet Unternehmen, die Produkte außerhalb der Vereinigten Staaten herstellen, entwickeln oder zusammenbauen, ihre globalen Aktivitäten und geltenden Regulierungssysteme genau zu beachten.

IKT regulieren

Im Mai 2019 wurde Präsident Trump freigelassen Executive Order 13873, das es Commerce ermöglicht hat, die Risiken im Zusammenhang mit „ausländischen Gegnern“ anzugehen, die Schwachstellen in Informations- und Kommunikationstechnologien und -diensten schaffen und ausnutzen. Im Januar 2021 gab Commerce ein vorläufige endgültige Regelung Umsetzung der Executive Order 13873, die die Verfahren festlegte, nach denen Commerce ICTS-Transaktionen in seiner Gerichtsbarkeit überprüft, die Kriterien festlegte, die es bei Gerichtsentscheidungen berücksichtigen würde, und seine Fähigkeit formalisierte, Maßnahmen gegen Transaktionen zu ergreifen, die ein unangemessenes oder inakzeptables Risiko darstellen. Weitere Informationen zur ICTS-Regel finden Sie in unserer vorherigen Alarm.

Nach dem Regierungswechsel kam Präsident Biden frei Executive Order 14034, die einige Richtlinien aus der Trump-Ära entfernte und andere Maßnahmen verfeinerte, die durch Executive Order 13873 genehmigt wurden. Wichtig ist, dass die Verordnung die Verwendung bestimmter „verbundener Softwareanwendungen“, die von entworfen, entwickelt, hergestellt oder geliefert wurden, in den Geltungsbereich der ICTS-Regel brachte Personen, die im Eigentum oder unter der Kontrolle ausländischer Gegner stehen oder der Gerichtsbarkeit oder Anweisung von ausländischen Gegnern unterliegen. Kurz darauf veröffentlichte das Handelsministerium einen weiteren Vorschlag Regieren die die Januar-2021-Regel von Commerce erweitert und ausdrücklich „verbundene Softwareanwendungen“ in ihren Anwendungsbereich aufgenommen hat –das heißt., Software, Softwareprogramme oder Gruppen von Softwareprogrammen, die für die Verwendung auf einem Endgerät konzipiert sind und als integrales Merkmal die Fähigkeit beinhalten, Daten über das Internet zu sammeln, zu verarbeiten oder zu übertragen.

Tatsächlich hat die Biden-Regierung bestimmte Exekutivmaßnahmen, die spezifisch für die Durchsetzung der vorherigen Regierung sind, in die umfassendere Regel (die „ICTS-Regel“) aufgenommen, die wiederum für einen größeren Teil der ICTS-Lieferkette gelten könnte. Diese Maßnahme erweiterte den Anwendungsbereich der ICTS-Vorschrift auf Softwareanwendungen. Infolgedessen verlangt es nun von der Regierung, „potenzielle Risikoindikatoren“ zu berücksichtigen, bevor eine Transaktion verboten wird. Diese Aktion wird sich wahrscheinlich auf beliebte soziale Netzwerke wie TikTok auswirken. Es kann sich auch auf Apps auswirken, die zwar nicht im Besitz oder unter der Kontrolle ausländischer Angreifer sind, aber aufgrund der Nutzung der Technologie oder Software ausländischer Angreifer durch die Apps Risiken bergen.

Die aktualisierte ICTS-Regel

Die ursprüngliche ICTS-Vorschrift beschrieb die Prozesse und Verfahren, die Commerce anwenden wird, um Transaktionen zwischen US-amerikanischen und ausländischen Personen zu identifizieren, zu bewerten und zu adressieren, an denen ICTS beteiligt ist, die von Personen entworfen, entwickelt, hergestellt oder geliefert werden, die der Gerichtsbarkeit gehören, von ihr kontrolliert werden oder ihr unterliegen. oder Anweisung eines ausländischen Gegners und stellen ein unangemessenes oder inakzeptables Risiko dar („ICTS-Transaktionen“).

Die vorgeschlagene Regel vom November 2021 fügt Verweise auf verbundene Softwareanwendungen und Risikofaktoren hinzu, die für die Überprüfung verbundener Softwareanwendungen relevant sind, einschließlich:

  1. Eigentum, Kontrolle oder Verwaltung durch Personen, die die Militär-, Geheimdienst- oder Proliferationsaktivitäten eines ausländischen Gegners unterstützen;
  2. Nutzung der Verbundenen Softwareanwendung zur Durchführung einer Überwachung, die Spionage ermöglicht, einschließlich der Erlangung des Zugangs eines ausländischen Gegners zu sensiblen oder vertraulichen Regierungs- oder Geschäftsinformationen oder sensiblen personenbezogenen Daten;
  3. Besitz, Kontrolle oder Verwaltung verbundener Softwareanwendungen durch Personen, die Zwang oder Kooptation durch einen ausländischen Gegner ausgesetzt sind;
  4. Besitz, Kontrolle oder Verwaltung verbundener Softwareanwendungen durch Personen, die an böswilligen Cyberaktivitäten beteiligt sind;
  5. ein Mangel an gründlicher und zuverlässiger Prüfung von verbundenen Softwareanwendungen durch Dritte;
  6. Umfang und Sensibilität der erhobenen Daten;
  7. die Anzahl und Sensibilität der Benutzer der verbundenen Softwareanwendung; und
  8. das Ausmaß, in dem die identifizierten Risiken durch unabhängig nachprüfbare Maßnahmen adressiert wurden oder werden können.

Die ICTS-Vorschrift gilt weiterhin für zuvor identifizierte ICTS-Transaktionen, einschließlich Erwerb, Import, Übertragung, Installation, Verkauf oder Verwendung von ICTS-Produkten, die von Personen entworfen, entwickelt, hergestellt oder geliefert wurden, die Eigentum von Personen sind, denen sie unterstehen oder die unter ihrer Kontrolle stehen unter der Leitung ausländischer Gegner, was bestimmte unangemessene oder inakzeptable Risiken für die nationale Sicherheit der Vereinigten Staaten darstellt.

Essen zum Mitnehmen

Da sich Technologie in unserem täglichen Leben festgesetzt hat, haben Schwachstellen in der IKT-Lieferkette die Aufmerksamkeit von Entscheidungsträgern im nationalen Sicherheitsapparat der Vereinigten Staaten auf sich gezogen. Die persönliche, kommerzielle und staatliche Nutzung von ICTS ist in den letzten zehn Jahren explodiert, und fast alle Benutzer tauschen sensibles Material über ICTS aus. Gleichzeitig haben mehrere Verwaltungen versucht, Schwachstellen in diesen Systemen mit bestehenden nationalen Sicherheitsinstrumenten zu beheben und sich um zusätzliche Befugnisse zu bemühen, um Bedenken auszuräumen.

CFIUS zum Beispiel hat sich auf IKT-Investitionen und -Akquisitionen konzentriert, und seitdem gibt es öffentliche Berichte über CFIUS-Maßnahmen im Zusammenhang mit Transaktionen in diesen Branchen 2014. Im Dezember 2017, Präsident Trump hat beschlossen, die Verwendung eines Computersicherheitsanbieters in der US-Regierung zu verbieten, da er befürchtet, dass er anfällig für ausländische Einflüsse ist. Und im Sept 2020Präsident Trump erließ Durchführungsverordnungen, die speziell auf TikTok und WeChat, zwei chinesische Apps, abzielten und diese verboten.

Diese kollektiven Bemühungen umfassen jetzt auch eine branchenweite Regel, die von Commerce unter einer republikanischen Regierung erlassen und unter einer demokratischen Regierung verfeinert wurde. Die Aktualisierungen der ICTS-Vorschrift durch die Biden-Regierung spiegeln den anhaltenden Fokus der US-Regierung auf die Bewertung und Behebung von Schwachstellen in diesem Sektor wider. Technologieunternehmen, die Produkte in mehreren Ländern herstellen, entwickeln oder zusammenbauen, sollten die ICTS-Vorschriften und andere regulatorische Regelungen, die ihre Geschäftstätigkeit beeinträchtigen könnten, genau beachten.

[View source.]