Page tree
Skip to end of metadata
Go to start of metadata
Q

Do we need dual-use export control for netX 90 SoC or embedded devices / products with netX 90 SoC?

A
 netX 90 SoC

netX 90 classification by Federal Office of Economics and Export Control Germany


The netX 90 SoC has an integrated crypto core for SSL/TLS acceleration with up to RSA-4096, ECC-512, AES-256, and SHA-512. The crypto core is used to support secure boot and secure update.

Due to the fact that the crypto core is one of the primary functions of the netX 90 SoC, the microcontroller is controlled under the European Union import/export restrictions of the Council Regulation (EC) No. 428/2009.

Re-exporting the netX 90 SoC outside the EU will require a license. Export Number: 5A002A3




 Embedded Device and Products with netX 90 SoC

Attention

The following information are without guarantee! The wording of the law is interpreted by Hilscher. Subsequent information are also based on telephone communication with the BAFA. To verify this information, we strongly recommend to contact the responsible federal Bureau of your country.

Interpretation Hilscher


Customer products like i.e.a motor, laser scanner, distance sensor, IO boxes or robots are NOT controlled under the European Union import/export restrictions if the cryptographic functionality is not physically accessible by the user.

Thus, the device is allowed to communicate by secure web server, if it has no debug option.

In addition, the product needs to be available to the public sold,without restriction, from stock at retail selling points which means that:

  • The item is of potential interest to a wide range of individuals and businesses AND
  • The price and information about the main functionality of the item are available before purchase without the need to consult the vendor or supplier.

See Category 5 Telecommunications and "Information Security" Part 2 Note 3a




Hardware components based on netX 90 SoC are also NOT controlled under the European Union import/export restrictions if

  • the end device fulfills the same criteria as stated above (cryptographic functionality is not accessible by the user AND needs to be available to the public sold)
  • the cryptographic functionality is not the primary function of the component AND
  • the component does not change any cryptographic functionality of the end device, or add new cryptographic functionality to the end device AND
  • the feature set (in terms of cryptographic functionality) of the component is fixed and is not designed or modified to customer specification

See Category 5 Telecommunications and "Information Security" Part 2 Note 3b


 Güterliste Dual-Use Anhang 1 Kategorie 5 Teil 2_14.12.2018


https://www.bafa.de/SharedDocs/Downloads/DE/Aussenwirtschaft/afk_gueterlisten_dual_use_anhang_1_kategorie_5_teil_2.html


Kategorie 5 Teil 2 Anmerkung 3

Anmerkung 3: Kryptotechnik-Anmerkung:

Die Nummern 5A002, 5D002a1, 5D002b und 5D002c1 erfassen keine Güter mit folgenden Eigenschaften:

a) Güter, die alle folgenden Voraussetzungen erfüllen:

1. Die Güter sind frei erhältlich und werden im Einzelhandel ohne Einschränkungen mittels einer der folgenden Geschäftspraktiken verkauft:

a) Barverkauf,

b) Versandverkauf,

c) Verkauf über elektronische Medien oder

d) Telefonverkauf;

2. die kryptografische Funktionalität der Güter kann nicht mit einfachen Mitteln durch den Benutzer geändert werden;

3. sie wurden so konzipiert, dass der Benutzer sie ohne umfangreiche Unterstützung durch den Anbieter installieren kann, und

4. um die Übereinstimmung mit den unter 1. bis 3. beschriebenen Voraussetzungen feststellen zu können, sind detaillierte technische Beschreibungen der Güter vorzuhalten und auf Verlangen der zuständigen Behörde des Mitgliedstaats, in dem der Ausführer niedergelassen ist, vorzulegen;

b) Hardwarekomponenten oder ‚ausführbare Software‘ von unter Buchstabe a dieser Anmerkung beschriebenen Gütern, die für diese bestehenden Güter entwickelt wurden, mit allen folgenden Eigenschaften:

1. „Informationssicherheit“ ist nicht die Hauptfunktion oder Teil der Menge der Hauptfunktionen der Komponente oder der ‚ausführbaren Software‘,

2. die Komponente oder ‚ausführbare Software‘ verändert keine kryptografischen Funktionen der bestehenden Güter und fügt diesen keine neuen kryptografischen Funktionen hinzu, 
3. die Funktionsmerkmale der Komponente oder ‚ausführbaren Software‘ sind feststehend und wurden nicht entsprechend einer Kundenvorgabe entwickelt oder geändert und

4. sofern erforderlich gemäß der Festlegung durch die zuständigen Behörden des Mitgliedstaats, in dem der Ausführer niedergelassen ist, sind detaillierte technische Beschreibungen der Komponente oder der ‚ausführbaren Software‘ sowie der betreffenden Endgüter vorzuhalten und auf Verlangen der zuständigen Behörde vorzulegen, um die Übereinstimmung mit den oben beschriebenen Voraussetzungen überprüfen zu können.

Technische Anmerkung:

Im Sinne der Kryptotechnik-Anmerkung bedeutet ‚ausführbare Software‘ „Software“ in ausführbarer Form von bestehenden Hardware-Komponenten, die gemäß der Kryptotechnik-Anmerkung nicht von Nummer 5A002 erfasst werden.

Anmerkung: ‚Ausführbare Software‘ schließt vollständige Binärabbilder (binary images) der auf einem Endprodukt laufenden „Software“ nicht ein.

Anmerkung zur Kryptotechnik-Anmerkung:

1. Um die Voraussetzungen von Anmerkung 3 Buchstabe a zu erfüllen, müssen alle folgenden Bedingungen erfüllt sein:

a) Das Gut ist von potenziellem Interesse für ein breites Spektrum an Einzelpersonen und Unternehmen und

b) der Preis und die Informationen zur Hauptfunktion des Guts sind vor ihrem Erwerb verfügbar, ohne dass hierfür eine Anfrage an den Verkäufer oder Lieferanten erforderlich ist. Eine einfache Preisauskunft gilt nicht als Anfrage.

2. Zur Bestimmung der Anwendbarkeit von Anmerkung 3 Buchstabe a können die zuständigen Behörden relevante Faktoren berücksichtigen wie Menge, Preis, erforderliche fachliche Kompetenz, bestehende Vertriebswege, typische Kunden, typische Verwendung oder etwaiges wettbewerbsausschließendes Verhalten des Lieferanten.





 Switzerland

netX90 unterliegt einer Ausfuhrbewilligungspflicht nach Güterkontrollverordnung (GVK)

Exportkontrollnummer (EKN) 5A002.a3

Bei der Ausfuhr aus der Schweiz ist für das Gut (netX90) eine Einzelausfuhrbewilligung vom verantwortlichen Exporteur über die elektronische Bewilligungsplattform ELIC zu beantragen.


https://www.seco.admin.ch/seco/de/home/Aussenwirtschaftspolitik_Wirtschaftliche_Zusammenarbeit/Wirtschaftsbeziehungen/exportkontrollen-und-sanktionen/elic.html


Eidg. Departement für Wirtschaft, Bildung und Forschung WBF

Staatssekretariat für Wirtschaft SECO

Exportkontrollen / Industrieprodukte

Holzikofenweg 36, 3003 Bern

Tel.    +41 58 462 23 35