Højesterets afgørelse kan true cybersikkerhedsregulering og regler

En nylig højesteretsdom har i væsentlig grad ændret landskabet for lovgivningshåndhævelse i USA, med dybtgående konsekvenser for cybersikkerhedsregulering. Den 28. juni 2024 omstødte højesteret Chevron-doktrinen, et juridisk princip etableret i 1984 (Chevron v. Natural Resources Defense Council), som tillod føderale agenturer at fortolke uklarheder i loven ved hjælp af deres ekspertise. Denne doktrin har været hjørnestenen i det føderale reguleringssystem i fire årtier, hvilket gør det muligt for agenturer at skabe og håndhæve regler med teknisk ekspertise og effektivitet.

Højesterets afgørelse giver mandat til, at domstolene nu skal udøve uafhængig dømmekraft, når de skal afgøre, om en agentur har handlet inden for sin lovbestemte beføjelse. Denne dom fjerner reelt behovet for, at domstolene skal udskyde agenturets ekspertise i sager, der involverer tvetydige vedtægter, og omstøder en praksis, der har været på plads i fyrre år. Ifølge højesteret, "forpligter forvaltningsloven domstolene til at udøve deres uafhængige dømmekraft til at afgøre, om et agentur har handlet inden for dets lovbestemte beføjelser, og domstolene må ikke udsætte sig for en agenturfortolkning af loven, blot fordi en statut er tvetydig; Chevron er tilsidesat."

Dette skift har betydelige konsekvenser for cybersikkerhedsregulering i USA, som overvejende administreres af føderale agenturer såsom FDA, SEC og DHS. Disse agenturer har historisk set stolet på deres ekspertise til at fortolke og håndhæve love og regler for cybersikkerhed. Men med Højesterets afgørelse vil det juridiske tilsyn nu spille en mere væsentlig rolle i disse spørgsmål, hvilket potentielt kan føre til øgede retssager og udfordring af agenturets afgørelser.

Ilia Kolochenko, advokat hos Platt Law LLP og CEO hos Immuniweb, bemærkede: "Denne skelsættende afgørelse fra den amerikanske højesteret vil sandsynligvis have tektoniske og langvarige konsekvenser for administrativ regeludformning i USA. Ved at tilsidesætte de 40-årige -gamle Chevron-doktrin gav højesteret betydeligt mere dømmende magt og spillerum til domstolene i fortolkningen af føderal lovgivning, der kan være vag, uklar eller bare tavs om visse elementer, såsom cybersikkerhed, privatliv eller afsløring af databrud."

Dommen indebærer, at virksomheder nu kan appellere styrelsens afgørelser, uden at domstolene tager stilling til bureauernes ekspertise. Dette kan føre til en stigning i juridiske udfordringer og appeller, hvor velfinansierede virksomheder potentielt behandler amerikanske regler på samme måde som, hvordan de griber EU-regler an - gennem omfattende juridiske kampe. Ken Dunham, direktør for cybertrussel hos Qualys TRU, forudser "en tsunami af retssager for føderale agenturer og/eller embedsmænd, som nu vil være i stand til at blive sagsøgt for evigt for trufne beslutninger."

Harvard Law School professor Jody Freeman tilføjer: "Det er et massivt magtskifte tilbage til domstolene og væk fra agenturer. Og for at sætte dette i sammenhæng, er dette en del af en række sager, hvor højesteret har gjort det sværere for agenturer at gøre deres arbejde."

Denne udvikling vækker bekymring for fremtiden for cybersikkerhedsregler. Kolochenko påpeger, at domstole nu kan ugyldiggøre administrative regler, de finder uforenelige med lovbestemte formål, hvilket påvirker regler om cybersikkerhed, afsløring af brud og kritisk national infrastruktur. Dette inkluderer nylige initiativer som CISA's CIRCIA-regler, som kræver omfattende rapportering af cyberhændelser fra kritiske infrastruktursektorer. Med det nye retlige tilsyn er disse regler mere modtagelige for at blive omstødt.

Jason Porter, VP og CTO hos Optiv + ClearShark, bemærker, "Denne ændring vil sandsynligvis resultere i, at flere regulatoriske handlinger bliver udfordret og i sidste ende omstødt, hvilket fører til juridisk usikkerhed for regulerende organer og de industrier, de fører tilsyn med."

Mens Højesterets dom giver flere udfordringer, kan der også være nogle positive resultater. Aaron Rose, kontor for CTO hos Check Point Software, ser potentielle fordele, såsom at tvinge Kongressen til at udarbejde mere præcis lovgivning og sikre, at agenturer baserer deres regler på klare juridiske standarder. Øget retligt tilsyn kan føre til mere konsekvente og retfærdige afgørelser baseret på etablerede juridiske principper.

Rose fremhæver dog også ulemperne: "Med den hurtige udvikling af teknologi, især inden for cybersikkerhed, er rettidig tilpasning kritisk. Højesterets afgørelse kan bremse implementeringen af nødvendige foranstaltninger, hvilket efterlader huller for hackere og dårlige aktører at udnytte."

Som konklusion har højesterets beslutning om at omstøde Chevron-doktrinen indvarslet en ny æra af regulatorisk tilsyn, der flytter magten fra ekspertbureauer til retssystemet. Selvom denne ændring har til formål at sikre, at regler er baseret på klare juridiske principper, introducerer den usikkerhed og potentielle forsinkelser i det hastigt udviklende område for cybersikkerhed. Efterhånden som det juridiske landskab tilpasser sig denne dom, bliver udfordringen at balancere retligt tilsyn med behovet for ekspertdrevne, rettidige og effektive cybersikkerhedsregler.