Der National Defense Authorization Act ist ein jährliches US-Gesetz. Sein vielzitierter Abschnitt 889 verbietet bei Regierungsaufträgen den Einsatz bestimmter Telekommunikations- und Überwachungstechnik aus als risikobehaftet eingestuften Quellen.
Ziel der Vorschrift ist es, potenzielle Sicherheitsrisiken in kritischen Infrastrukturen und staatlichen IT-Systemen zu minimieren. Hintergrund sind Bedenken der US-Regierung hinsichtlich möglicher Spionage-, Überwachungs- oder Manipulationsrisiken durch bestimmte Hersteller und deren Technologien.
Während der Trade Agreements Act fragt, woher ein Produkt stammt, fragt die NDAA, was darin verbaut ist. Betroffen sind vor allem benannte Hersteller aus dem Bereich Netzwerk- und Kameratechnik. Ein Gerät kann daher vollständig TAA-konform sein und dennoch die NDAA-Anforderungen nicht erfüllen. Umgekehrt ist auch ein NDAA-konformes Produkt nicht automatisch TAA-konform. Gerade bei Projekten für US-Behörden, militärische Einrichtungen oder Auftragnehmer des öffentlichen Sektors müssen beide Vorgaben daher separat geprüft werden.
