Defence-Tech.de

US‑DoD‑Compliance für europäische UAS‑Hersteller: Anforderungen, Risiken und Handlungsempfehlungen

US‑DoD‑Compliance für europäische UAS‑Hersteller: Anforderungen, Risiken und Handlungsempfehlungen

von Dr. Lena Hoffmann

Europäische Verteidigungsunternehmen, die unbemannte Luftfahrtsysteme (UAS) für den US-Markt anbieten wollen, stehen vor einem komplexen Regelwerk. Die US-Department-of-Defense (DoD) verlangt strenge Vorgaben zu Lieferketten-Sicherheit, Foreign Ownership, Control or Influence (FOCI) und zur Einhaltung des National Defense Authorization Act (NDAA). Gleichzeitig soll die wachsende Abhängigkeit von chinesischen Rohstoffen und die Historie von Fälschungen in kritischen Systemen das Risiko für die US-Verteidigungsindustrie minimieren. Dieser Artikel fasst die wichtigsten Compliance-Anforderungen, die zugrunde liegenden Daten und konkrete Handlungsschritte für europäische UAS-Hersteller zusammen.

Warum europäische UAS-Hersteller US-Standards einhalten müssen

  • Marktzugang: Teilnahme an US-Verteidigungsaufträgen erfordert die Erfüllung von DoD-Standards.
  • Wachstumspotenzial: Die US-Marktanteile liegen bei 77,6 % der DoD-Verträge, verteilt auf 15 Staaten.
  • Risikominimierung: Einhaltung von NDAA und Blue-UAS-Cleared List reduziert Lieferketten-Risiken und stärkt die westliche Sicherheitskooperation.
  • Strategische Bedeutung: Die US-Defense Industrial Base (DIB) umfasst über 60.000 Unternehmen, 1,17 Millionen Beschäftigte und 200.000 Zulieferer (Stand 2025).

Zentrale regulatorische Grundlagen

DFARS-Klausel 252.204-7012 und NIST SP 800-171

Die Defense Federal Acquisition Regulation Supplement (DFARS) Klausel 252.204-7012 verpflichtet alle Auftragnehmer zur Einhaltung von NIST SP 800-171, dem Standard zum Schutz von Controlled Unclassified Information (CUI). Diese Vorgabe bildet das Fundament der UAS-Compliance.

NDAA, Blue UAS Cleared List und die Rolle von DIU

Der National Defense Authorization Act (NDAA) für das Fiskaljahr 2024 verankert das American Drone Security Act. Das Department of Defense hat das Defense Innovation Unit (DIU) beauftragt, die NDAA-Konformität von Commercial-Off-the-Shelf (COTS) UAS zu prüfen. Das Ergebnis ist die Blue UAS Cleared List, die derzeit von sechs Drittanbieter-Bewertungsstellen erstellt wird. Ab Januar 2026 übernimmt die Defense Contract Management Agency (DCMA) die Vetting-Aufgaben, um eine kontinuierliche Überwachung der Lieferkette sicherzustellen.

  • Green UAS Certification: Schnellster Weg zur Aufnahme in die Blue UAS Cleared List.
  • Blue UAS Select: Höherwertige Plattformen, die spezifische Fähigkeitslücken adressieren.

Supply-Chain-Sicherheit und das Risiko chinesischer Komponenten

  • 2012-Skandal: Ein Kongressuntersuchung deckte chinesische, gefälschte Elektronik in F-15, F-16 und C-17 auf.
  • Rohstoffabhängigkeit: 70 % der seltenen Erden werden aus China importiert – ein kritisches Risiko für die DIB.
  • US-Initiative 2025: Ein 1 Mrd-USD-Programm zur Vorratsbildung kritischer Mineralien soll die Abhängigkeit von China verringern.
  • FASC-Liste: Zum 15. November 2025 ist nur ein Unternehmen im Supply-Chain-Security-Order gelistet; die Liste wird jedoch voraussichtlich schnell erweitert.

FOCI, DCSA und Special Security Agreements (SSA)

Foreign Ownership, Control or Influence (FOCI) beschreibt ausländischen Einfluss auf US-Firmen durch Eigentum oder Kontrolle. Für europäische Unternehmen mit ausländischen Bindungen bedeutet dies:

  • Einrichtung einer US-Tochtergesellschaft, um US-Regulierungen zu erfüllen.
  • Durchführung von DCSA-Prüfungen und Abschluss eines Special Security Agreement (SSA).
  • Kontinuierliche Due-Diligence, weil adversare Netzwerke häufig über Scheinfirmen agieren.
Anzeige* Venture Diligence - Startup Analysen Venture Diligence - Startup Analysen

Praktische Schritte zur Erfüllung der Blue-UAS-Anforderungen

Die DIU bewertet UAS entlang sieben Kategorien. Europäische Hersteller sollten ihre internen Prozesse entsprechend ausrichten:

  • NDAA-Compliance: Vermeidung von Covered Entities in Eigentum, Produktion und Lieferkette.
  • Schutz sensibler Daten: Implementierung von Zugriffskontrollen, Daten- und Funkverschlüsselung.
  • Configuration Management: Versionierung und Änderungsmanagement für Hardware und Software.
  • Update-Mechanismus: Sicherer Software- und Firmware-Update-Prozess.
  • Privacy & Data Handling: Gewährleistung, dass private Daten nicht kompromittiert werden.
  • Datenstandort und Übertragung: Alle CUI- und exportkontrollierten Daten (ITAR/EAR) müssen physisch in den USA gehostet werden; europäische Rechenzentren sind nicht zulässig.
  • Cyber-Security-Standards: Anwendung von NIST SP 800-53 Rev 5 (z. B. Control CA-8 für Pen-Testing, SR-1-SR-12 für Supply-Chain-Risk-Management).

Zusätzlich ist die Erreichung von CMMC 2.0 Level 2 ein nicht verhandelbarer Grundvoraussetzung für den Umgang mit CUI.

Supply-Chain-Transparenz sicherstellen

  • Erstellung eines auditierbaren Bill of Materials (BOM) für jede Plattform.
  • Durchfluss-Down-Anforderungen an Unterlieferanten zur Nachverfolgung des Country of Origin (CoO) bis zur Sub-Tier-Komponente.
  • Nutzung von SaaS-Lösungen zur kontinuierlichen Risiko-Überwachung über die Consolidated Screening List (CSL) und die FASC.

Von der Green-UAS-Zertifizierung zum Blue-UAS-Select

Der aktuelle DIU-Prozess sieht ein zweistufiges System vor:

  1. Green UAS Certification: Durch anerkannte Drittanbieter-Assessoren wird die grundsätzliche Konformität nachgewiesen.
  2. Blue UAS Select: Plattformen, die über die Grundanforderungen hinaus spezifische Fähigkeitslücken schließen, erhalten diese erweiterte Kennzeichnung und können für besonders anspruchsvolle Beschaffungen genutzt werden.

Die DIU veröffentlicht zudem Listen vorgeprüfter Komponenten (Flugcontroller, Begleitcomputer-Software, GNSS-Geräte usw.), die die Zertifizierungskosten reduzieren können.

Ausblick: Übergang zu DCMA und zukünftige Entwicklungen

Ab Januar 2026 übernimmt die Defense Contract Management Agency (DCMA) das Vetting von COTS-UAS. Dieser Schritt betont die kontinuierliche Qualitäts- und Lieferketten-Überwachung. Obwohl noch nicht klar ist, ob die bestehenden Drittanbieter-Bewertungen weitergeführt werden, bleibt das Two-Tier-System voraussichtlich bestehen. Europäische Unternehmen sollten daher:

  • Frühzeitig US-Tochtergesellschaften etablieren, um FOCI-Prüfungen zu bestehen.
  • US-sovereign Cloud-Umgebungen für CUI-Hosting bereitstellen.
  • Ihre Lieferketten-Strategie flexibel halten, um auf mögliche Erweiterungen der FASC-Liste reagieren zu können.

Fazit

Die Kombination aus strengem regulatorischem Rahmen (DFARS, NIST SP 800-171, NDAA), wachsender Sorge um chinesische Lieferketten und der Notwendigkeit, FOCI-Risiken zu mitigieren, stellt europäische UAS-Hersteller vor erhebliche Herausforderungen. Gleichzeitig eröffnet die Einhaltung dieser Vorgaben den Zugang zu einem der größten Verteidigungsmärkte der Welt und unterstützt die westliche Sicherheitskooperation. Durch gezielte Strukturierung von Geschäfts- und Entwicklungsprozessen – von der Gründung einer US-Tochter über die Implementierung von CMMC 2.0 Level 2 bis hin zur Nutzung vorgeprüfter Komponenten – können europäische Unternehmen die Voraussetzungen für die Aufnahme in die Blue UAS Cleared List schaffen und langfristig von der Zusammenarbeit mit der US-Defense Industrial Base profitieren.

Dr. Lena Hoffmann

Dr. Lena Hoffmann ist seit über einem Jahrzehnt spezialisierte Journalistin im Bereich Verteidigungs- und Sicherheitstechnologie. Sie verfügt über einen Doktortitel in Internationalen Sicherheitsstudien und war zuvor Redakteurin für strategische Technologieanalysen in führenden Fachmedien. Dr. Hoffmann berichtet bei Defence-Tech.de über technologische Innovationen, strategische Programme in NATO- und EU-Kontext sowie über ethische Fragestellungen bei der Integration neuer Systeme in moderne Streitkräfte. Ihre Artikel zeichnen sich durch präzise Recherche, faktenbasierte Analyse und globale Perspektiven aus.