Naleving van de ITAR-voorschriften: wat het is, voor wie het geldt en wat IT-teams moeten doen

Volgens het Kaseya State of the MSP-rapport voor 2026 behoren naleving van regelgeving en rapportage tot de top tien van servicebehoeften voor MSP-klanten in 2026, en voor klanten in de defensiesector is naleving van de ITAR-voorschriften een absolute vereiste. Download het volledige rapport.

ITAR, de International Traffic in Arms Regulations, is het Amerikaanse exportcontrolekader voor defensieartikelen, defensiediensten en aanverwante technische gegevens die zijn opgenomen in de United States Munitions List (USML). Voor IT-teams en MSP’s is naleving van ITAR van belang wanneer zij omgaan met technische gegevens of diensten verlenen die onder het toepassingsgebied van deze regelgeving vallen, en de gevolgen van niet-naleving zijn ernstig.

In tegenstelling tot de meeste compliance-kaders, waar sancties financieel van aard zijn, kunnen overtredingen van de ITAR leiden tot strafrechtelijke vervolging, uitsluiting van overheidsopdrachten en persoonlijke aansprakelijkheid voor individuele werknemers. Het is van essentieel belang om te weten of de ITAR van toepassing is en wat deze voorschrijft, voordat men een opdracht in de defensiesector aanneemt. De compliance-tools van Kaseya ondersteunen compliancebeheer voor meerdere kaders voor MSP’s die defensie-aannemers en klanten met banden met de federale overheid bedienen.

Wat is ITAR?

ITAR valt onder het Directorate of Defense Trade Controls (DDTC) van het Amerikaanse ministerie van Buitenlandse Zaken. Deze instantie voert de Arms Export Control Act uit, die de uitvoer en invoer van defensiegerelateerde goederen en diensten reguleert om te voorkomen dat gevoelige militaire technologie in handen van vijanden terechtkomt.

De verordening regelt goederen die zijn opgenomen in de United States Munitions List (USML), waaronder wapensystemen, militaire elektronica, ruimtevaartuigen, nucleair materiaal en de technische gegevens en defensiediensten die verband houden met deze goederen. De USML bestaat uit 21 categorieën en omvat ook veel goederen die niet direct als „wapens“ kunnen worden aangemerkt, zoals trainingssimulatoren, bepaalde software met militaire toepassingen en technische gegevens over gereguleerde goederen.

De USML is in september 2025 herzien, waarbij producten zijn geschrapt die niet langer als gevoelig genoeg werden beschouwd om aan controle te worden onderworpen, en andere zijn toegevoegd. Organisaties die eerder hadden vastgesteld dat de ITAR niet op hun werkzaamheden van toepassing was, dienen die beoordeling opnieuw te bekijken indien zij actief zijn in de lucht- en ruimtevaart, ruimtetechnologie of opkomende technologieën die onder het toepassingsgebied van de herziening vielen.

ITAR staat los van, maar houdt verband met de EAR (Export Administration Regulations), die worden beheerd door het Ministerie van Handel en betrekking hebben op goederen voor tweeërlei gebruik: commerciële producten die ook voor militaire doeleinden kunnen worden gebruikt. Goederen die niet op de USML staan, maar wel van belang zijn voor de exportcontrole, kunnen in plaats daarvan onder de EAR vallen.

Voor wie geldt de ITAR?

De ITAR is van toepassing op Amerikaanse personen, staatsburgers, permanente ingezetenen en in de VS gevestigde entiteiten die defensieartikelen of -diensten produceren, exporteren, tijdelijk invoeren of als tussenpersoon verhandelen.

Het begrip „export“ in het kader van de ITAR heeft een bredere technische betekenis dan de meeste mensen denken:

• Het verstrekken van technische gegevens aan een buitenlandse onderdaan die zich in de Verenigde Staten bevindt, wordt beschouwd als een „vermeende uitvoer“ en behandeld als een uitvoer naar zijn of haar thuisland
• Het verlenen van toegang tot technische gegevens die onder de ITAR-regeling vallen vanuit het buitenland, onder meer via cloudopslag die vanuit het buitenland toegankelijk is, is een vorm van export
• Voor het doorgeven van onder de ITAR vallende technische gegevens aan een buitenlandse entiteit, of het verlenen van toegang daartoe aan buitenlanders, is toestemming vereist

De ITAR-voorschriften gelden ook voor de hele toeleveringsketen. Onderaannemers, leveranciers van apparatuur en dienstverleners die onder ITAR vallende gegevens ontvangen, verwerken of opslaan, moeten zelf aan de voorschriften voldoen. Een MSP die een opdracht van een defensie-aannemer aanneemt, neemt niet alleen de nalevingsverplichting van de klant over, maar krijgt ook een eigen verplichting.

Voor IT-teams en MSP’s betekent dit dat bij elk project waarbij onder ITAR vallende technische gegevens betrokken zijn, inzicht moet zijn in de nationaliteit van alle medewerkers die toegang hebben, de locatie van elk systeem waarop de gegevens zijn opgeslagen of toegankelijk zijn, en de geldende exportvergunningen.

Wat valt onder ITAR-gereguleerde technische gegevens?

Onder „technische gegevens“ in de zin van de ITAR wordt verstaan: informatie die nodig is voor het ontwerp, de ontwikkeling, de productie, de fabricage, de assemblage, de bediening, de reparatie, het testen, het onderhoud of de aanpassing van defensieartikelen. Dit omvat:

• Technische tekeningen, specificaties en ontwerpdocumenten
• Software die rechtstreeks verband houdt met door USML aangestuurde hardware
• Productieprocessen voor USML-artikelen
• Prestatiespecificaties en testgegevens voor defensieartikelen

Niet alle technische gegevens van defensie-aannemers vallen onder de ITAR-regelgeving. De cruciale vraag is of de informatie nodig is voor de ontwikkeling, productie of exploitatie van een product dat op de USML-lijst staat. Bedrijven die onder de ITAR-regelgeving vallen, moeten beschikken over een formeel programma voor technologiecontrole (TCP) waarin wordt vastgelegd welke gegevens binnen hun organisatie onder de ITAR-regelgeving vallen.

Een IT-team of MSP dat hierover geen duidelijkheid krijgt van een klant uit de defensiesector, is niet in staat om de opdracht veilig uit te voeren. Voordat u werk aanneemt dat betrekking heeft op systemen in de defensiesector, dient u schriftelijke bevestiging te krijgen van welke gegevens als ITAR-gereguleerd worden aangemerkt en wat de TCP van de klant precies omvat.

Het exportconcept, en waarom IT-systemen hieronder vallen

Het begrip ‘veronderstelde uitvoer’ vormt de grootste uitdaging op het gebied van IT-compliance. Een systeem waarin onder de ITAR vallende technische gegevens worden opgeslagen, kan als uitvoer worden beschouwd indien:

• Het systeem is ook buiten de Verenigde Staten toegankelijk, inclusief cloudopslag zonder geografische beperkingen
• Een buitenlander heeft toegang tot het systeem of de gegevens daarvan, met inbegrip van IT-beheerders
• Het systeem wordt op afstand beheerd of is op afstand toegankelijk vanaf een externe locatie

Specifiek met betrekking tot cloudopslag heeft het DDTC duidelijk gemaakt dat voor het opslaan van ITAR-gereguleerde gegevens op cloudinfrastructuur die toegankelijk is vanuit of wordt beheerd vanuit buitenlandse locaties, een exportvergunning vereist is, of het gebruik van cloudinfrastructuur die specifiek is ontworpen om aan de ITAR-voorschriften te voldoen. Dat houdt in dat de gegevens uitsluitend in de VS mogen worden opgeslagen, dat er toegangsbeperkingen gelden voor Amerikaanse personen, en dat er passende contractuele en technische controles moeten zijn. Standaard commerciële cloudniveaus bij AWS, Microsoft 365 en Google Workspace voldoen doorgaans niet aan deze vereisten zonder specifieke configuratie. Speciaal gebouwde omgevingen zoals AWS GovCloud en Microsoft Azure Government zijn ontworpen voor ITAR-geschikte workloads.

Er is ook een groeiende bezorgdheid die specifiek betrekking heeft op AI en samenwerkingsprogramma’s. Wanneer inhoud die onder de ITAR-regeling valt, wordt verwerkt door AI-platforms, opgesteld in samenwerkingsprogramma’s of verzonden via gedeelde werkruimten, vormt elk van deze processen een potentiële exporttransactie als een buitenlandse persoon toegang heeft tot het programma of als de gegevens via buitenlandse infrastructuur worden geleid.

Voor MSP’s zijn de gevolgen direct. Als een MSP IT-diensten levert aan een defensie-aannemer die met ITAR-gegevens werkt, en er werken buitenlandse staatsburgers bij de technici van de MSP, of als de MSP gebruikmaakt van tools met ondersteuning in het buitenland of toegang op afstand, kan de MSP namens zijn klant en voor zichzelf exportovertredingen begaan.

Wat ITAR vereist van IT-systemen en MSP’s

Er bestaat geen enkele technische checklist voor ITAR-controle die vergelijkbaar is met PCI DSS of HIPAA. Bij ITAR-naleving voor IT gaat het in de eerste plaats om het controleren van de toegang tot technische gegevens, zodat deze niet zonder de juiste toestemming in handen komen van buitenlandse personen of op buitenlandse locaties terechtkomen.

Gegevenslokalisatie. Technische gegevens die onder de ITAR-regelgeving vallen, moeten worden opgeslagen op systemen die zich fysiek in de Verenigde Staten bevinden en die zonder exportvergunning niet toegankelijk zijn vanuit het buitenland.

Toegangscontrole op basis van nationaliteit. De toegang tot gegevens die onder de ITAR vallen, moet beperkt blijven tot Amerikaanse staatsburgers. Buitenlanders, met inbegrip van IT-personeel, aannemers en systeembeheerders, mogen geen toegang hebben tot systemen of gegevens die onder de ITAR vallen, tenzij zij beschikken over een specifieke exportvergunning of een toepasselijke vrijstelling.

Cloudinfrastructuur uitsluitend in de VS. Voor cloudopslag van gegevens die onder de ITAR-regelgeving vallen, is vereist dat de gegevens uitsluitend in de VS worden opgeslagen en dat de toegangscontrole in handen is van Amerikaanse personen. Grote cloudproviders bieden ITAR-conforme configuraties aan via overheidscloudpakketten. Standaard commerciële pakketten voldoen doorgaans niet aan de ITAR-vereisten.

Controles op toegang op afstand. Toegang op afstand tot systemen die onder de ITAR vallen, moet beperkt blijven tot Amerikaanse personen die verbinding maken vanuit de Verenigde Staten. VPN- of andere oplossingen voor toegang op afstand die verbindingen vanaf elke geografische locatie toestaan, zijn zonder aanvullende controles niet geschikt voor systemen die onder de ITAR vallen.

Controles op onderaannemers en de toeleveringsketen. MSP’s die toegang hebben tot ITAR-gegevens moeten ervoor zorgen dat ook hun eigen onderaannemers en leveranciers van tools de toegang op passende wijze controleren. Een MSP die voor functies die betrekking hebben op klanten die onder de ITAR-regeling vallen, gebruikmaakt van een dienstverlener in buitenlandse handen of met buitenlands personeel, kan – ongeacht de intentie – inbreuken begaan.

Technologiebeheerprogramma (TCP). Volgens de richtlijnen van de DDTC en de gangbare praktijk in de sector is een gedocumenteerd TCP vereist: beleid en procedures die beschrijven hoe onder de ITAR vallende gegevens worden geïdentificeerd, opgeslagen, geraadpleegd en beveiligd. Voor IT-teams en MSP’s in deze sector is het TCP het equivalent op het gebied van governance van een HIPAA-beveiligingsprogramma of een CMMC-systeembeveiligingsplan.

Verband met CMMC. De meeste organisaties die met ITAR-gegevens werken, vallen ook onder de werkingssfeer van het Ministerie van Defensie, wat betekent dat ITAR-verplichtingen overlappen met de vereisten van de Cybersecurity Maturity Model Certification (CMMC). Technische gegevens die onder ITAR vallen, worden doorgaans aangemerkt als Controlled Unclassified Information (CUI), waardoor de CMMC-vereisten van niveau 2 van toepassing zijn. MSP's die defensiecontractanten ondersteunen, moeten ITAR en CMMC behandelen als één gecombineerd nalevingsprogramma, en niet als afzonderlijke werkstromen.

Gevolgen van niet-naleving

Overtredingen van de ITAR-voorschriften worden beschouwd als ernstige federale misdrijven. De handhaving is de afgelopen jaren aangescherpt.

Civielrechtelijke boetes. De huidige maximale civielrechtelijke boete bedraagt $ 1.271.078 per overtreding, ofwel tweemaal de waarde van de transactie, indien dit bedrag hoger is, met ingang van januari 2025. Elke ongeoorloofde openbaarmaking of uitvoer vormt een afzonderlijke overtreding, en het totale risico kan bij een patroon van niet-naleving snel oplopen.

Strafrechtelijke sancties. Tot 1 miljoen dollar per overtreding en tot 20 jaar gevangenisstraf bij opzettelijke overtredingen. Voor strafrechtelijke vervolging is het vereist dat er sprake is van opzet of bewuste opzet, een hogere drempel dan bij civielrechtelijke handhaving.

Uitsluiting. Organisaties waarvan is vastgesteld dat ze de ITAR hebben overtreden, kunnen worden uitgesloten van overheidsopdrachten in de VS, waardoor ze in feite niet langer in aanmerking komen voor federale opdrachten. Het herstel van exportrechten gebeurt niet automatisch en vereist een formeel verzoek aan het Ministerie van Buitenlandse Zaken.

De handhaving wordt steeds strenger. In oktober 2024 stemde RTX (voorheen Raytheon) ermee in om meer dan 950 miljoen dollar te betalen ter afwikkeling van onderzoeken naar onder meer schendingen van de ITAR en de Arms Export Control Act; dit was de grootste schikking in verband met de ITAR ooit. Deze zaak maakte eens te meer duidelijk dat er actief wordt opgetreden, dat de straffen streng zijn en dat de gevolgen veel verder reiken dan alleen de directe boete, en ook verplicht toezicht op de naleving en reputatieschade omvatten.

Vrijwillige melding. DDTC hanteert een regeling voor vrijwillige melding die doorgaans leidt tot lagere boetes voor organisaties die overtredingen zelf melden. Vrijwillige melding verdient in het algemeen de voorkeur boven het afwachten van handhavingsmaatregelen en dient de eerste stap te zijn wanneer een mogelijke overtreding wordt geconstateerd.

Praktische checklist voor naleving van de ITAR-voorschriften

Voor IT-teams en MSP’s die opdrachten binnen het ITAR-toepassingsgebied beoordelen of beheren:

• Overleg met de klant welke gegevens onder de ITAR-regelgeving vallen en bekijk hun programma voor technologische controle
• Controleer of alle medewerkers en contractanten die toegang hebben tot systemen die onder de ITAR-regelgeving vallen, Amerikaanse staatsburgers zijn
• Controleer of de cloudopslag die voor ITAR-gegevens wordt gebruikt, uitsluitend in de VS is gevestigd en voorzien is van toegangscontroles voor personen uit de VS
• Beperk de toegang op afstand tot systemen die onder de ITAR-regeling vallen tot Amerikaanse personen die inloggen vanuit de VS
• Controleer alle leveranciers van gereedschap en onderaannemers op risico’s in verband met de toegang van buitenlandse personen
• Beoordeel AI- en samenwerkingshulpmiddelen op het risico van blootstelling van ITAR-gegevens
• Zorg voor passende contractuele waarborgen die voldoen aan de ITAR-verplichtingen
• Leg alle nalevingsmaatregelen vast ten behoeve van audits
• Ga na of de CMMC-verplichtingen samenvallen met het toepassingsgebied van de ITAR en beheer ze als één gezamenlijk programma

Compliance Manager GRC Kaseya ondersteunt compliancebeheer voor meerdere kaders, waaronder CMMC en aan de federale regelgeving gerelateerde kaders die raakvlakken hebben met ITAR-verplichtingen.