פיקוח על יצוא מוצרי סייבר מארה"ב

מחלקת הסחר של ארה"ב מזמינה את הציבור לשלוח הערות לכלל חדש שנועד להסדיר את הפיקוח על יצוא של מוצרי סייבר מארה"ב

האגף לפיקוח על היצוא של מחלקת הסחר האמריקאית פרסם ב-21 באוקטובר 2021 הודעה עם הצעה לתיקון חקיקה בנושא פיקוח על היצוא של מוצרי סייבר, עם פניה לציבור והזמנתו לשלוח הערות.

הרקע למהלך: לאור ההתפתחות המואצת של תחום הסייבר, ונוכח הפוטנציאל לשימושים לא-לגיטימיים בטכנולוגיה זו ע"י שחקנים לא-מדינתיים שעלולים לפגוע בשלום העולמי וביציבות האזורית, הסדר WASSENAAR ("WA") החליט בשנת 2013 להכניס את מוצרי הסייבר תחת פיקוח, והוסיף סעיפים חדשים לרשימות הבינ"ל שעסקו ב-"Intrusion Software".

בעקבות החלטה זו, רוב מדינות החברות ב WA-החליטו לאמץ את התיקונים והחלו לפקח על יצוא מוצרי הסייבר. בארה"ב המצב היה שונה. לאחר הפרסום על השינוי הצפוי, התקבלו ב-BIS (Bureau of Industry and Security) כ- 300 הערות מתעשיית ה-IT האמריקנית וארגונים שונים במדינה שטענו שנוסח התיקון צפוי לפגוע בפעילות סייבר לגיטימית, ולכן לא ניתן לפקח על תחום זה כפי שהוצע.
בשל הערות הציבור, ארה"ב החליטה לדחות את אימוץ התיקון של WA, והציעה לארגון לבצע חשיבה מחדש ולבחון את התהליך מחדש. בשנת 2017, WA הוסיף הבהרות ותיקונים נוספים לפרק 4 ברשימות הפיקוח כדי לצמצם את הפיקוח על המוצרים ולהכניס מספר החרגות שנועדו למנוע פגיעה במחקר ובפעילות לגיטימיים.

כעת, באיחור של 4 שנים, ההודעה שהתפרסמה על ידי מחלקת הסחר מפרטת את ההצעה לתיקון חוקי הפיקוח על היצוא בארה"ב, והיא נועדה לאמץ את החלטת הסדר WA המתוקנת משנת 2017 הממליצה לפקח על יצוא מוצרי סייבר מסוימים שקשורים ל"intrusion software".

הסעיפים הבאים צפויים להתווסף לרשימות הפיקוח של ארה"ב:

4A005, 4D004, 4E001.a and 4E001.c, 5A001.j

בנוסף לפריטים החדשים, החקיקה החדשה כוללת גם פטור חדש (License Exception Authorized Cybersecurity Exports (ACE)) המאפשר יצוא של פריטים חדשים תחת הגבלות מסוימות למספר יעדים ספציפיים וגם לשימושים מסוימים ללא רישיון יצוא.

כך לדוגמה אפשר לייצא לישראל ללא צורך ברישיון יצוא:

  • לגוף ממשלתי, כאשר מדובר ביצוא של Digital Artifacts (תוכנה או טכנולוגיה שהתגלו במערכת מידע ונוגעים לפעילות נוכחית ופעילות בעבר, וכוללים מידע הנוגע לשימוש או פגיעה או השפעה אחרת על מערכת המידע), כאשר הם נוגעים למערכת מידע בשימוש של בנקים, חברות ביטוח ומוסדות רפואיים; או למשטרה ולמערכת המשפט, כאשר מדובר ביצוא של Digital Artifacts לשם חקירה פלילית או אזרחית או להליך משפטי, העוסקים באירועי סייבר (למקור באנגלית לחץ כאן)
  • למטה הסייבר הממשלתי, כאשר היצוא של מוצרי הסייבר נועד לטיפול באירועי סייבר, למחקר לגילוי חולשות סייבר ולטובת הליך חקירה פלילי והליך משפטי העוסקים באירועי סייבר (למקור באנגלית לחץ כאן)

יצוא לגופים פרטיים לא דורש רישיון תחת ההגבלות הבאות.

יש לשלוח הערות ל-BIS  עד יום 6 בדצמבר 2021.  
כל ההערות יפורסמו באתר של BIS, חוץ מאלו שיצוין במפורש שהן "Business Confidential", לכן חשוב לשים לב לכללי הגשת ההערות המפורטים כאן וכאן.

ליצירת קשר

 נא למלא את הפרטים הבאים