A Legfelsőbb Bíróság döntése veszélyeztetheti a kiberbiztonsági szabályozást és szabályokat
A Legfelsőbb Bíróság közelmúltbeli döntése jelentősen megváltoztatta a szabályozás végrehajtásának helyzetét az Egyesült Államokban, ami mélyreható hatással van a kiberbiztonsági szabályozásra. 2024. június 28-án a Legfelsőbb Bíróság hatályon kívül helyezte a Chevron-doktrínát, egy 1984-ben létrehozott jogi elvet (Chevron kontra Természeti Erőforrások Védelmi Tanácsa), amely lehetővé tette a szövetségi szervek számára, hogy szakértelmük felhasználásával értelmezzék a törvény kétértelműségeit. Ez a doktrína négy évtizede a szövetségi szabályozási rendszer sarokköve, lehetővé téve az ügynökségek számára, hogy technikai szakértelemmel és hatékonyan hozzanak létre és hajtsanak végre szabályokat.
A Legfelsőbb Bíróság határozata előírja, hogy a bíróságoknak ezentúl független ítéletet kell alkotniuk annak eldöntésekor, hogy egy ügynökség a törvényi hatáskörén belül járt-e el. Ez az ítélet gyakorlatilag megszünteti annak szükségességét, hogy a bíróságok az ügynökségek szakértelmére támaszkodjanak a kétértelmű jogszabályokat érintő ügyekben, megdöntve a negyven éve érvényben lévő gyakorlatot. A Legfelsőbb Bíróság szerint "a közigazgatási eljárásról szóló törvény megköveteli a bíróságoktól, hogy önálló döntésüket gyakorolják annak eldöntése során, hogy egy ügynökség törvényi felhatalmazása szerint járt-e el, és a bíróságok nem halogathatják a törvény ügynökség általi értelmezését pusztán azért, mert a jogszabály nem egyértelmű; Chevron felülbírálják."
Ez az elmozdulás jelentős hatással van az Egyesült Államok kiberbiztonsági szabályozására, amelyet túlnyomórészt olyan szövetségi ügynökségek irányítanak, mint az FDA, a SEC és a DHS. Ezek az ügynökségek a történelem során szakértelmükre hagyatkoztak a kiberbiztonsági törvények és szabályozások értelmezésében és betartatásában. A Legfelsőbb Bíróság döntésével azonban a bírói felügyelet jelentősebb szerepet fog játszani ezekben az ügyekben, ami potenciálisan megnövekedett peres eljárásokhoz és az ügynökségi döntések megkérdőjelezéséhez vezethet.
Ilia Kolochenko, a Platt Law LLP ügyvédje és az Immuniweb vezérigazgatója megjegyezte: "Az Egyesült Államok Legfelsőbb Bíróságának ez a mérföldkőnek számító döntése valószínűleg tektonikus és hosszan tartó következményekkel fog járni az Egyesült Államok adminisztratív szabályalkotásában. A 40 éves határidő felülbírálásával -A régi Chevron-doktrína szerint a Legfelsőbb Bíróság lényegesen nagyobb bírói hatalmat és mozgásteret adott a bíróságoknak a szövetségi törvények értelmezésében, amelyek homályosak, homályosak vagy csak hallgatnak bizonyos elemekről, mint például a kiberbiztonság, a magánélet vagy az adatvédelmi incidensek közzététele."
Az ítéletből az következik, hogy a vállalkozások mostantól fellebbezhetnek az ügynökségi döntések ellen, anélkül, hogy a bíróságok igénybe vennék az ügynökségek szakértelmét. Ez a jogi kifogások és fellebbezések számának növekedéséhez vezethet, mivel a jól finanszírozott cégek potenciálisan hasonlóan kezelik az Egyesült Államok szabályozását, mint ahogyan az uniós szabályozáshoz közelítenek – kiterjedt jogi csatározásokon keresztül. Ken Dunham, a Qualys TRU kiberfenyegetésekért felelős igazgatója arra számít, hogy "per cunamija lesz a szövetségi ügynökségek és/vagy tisztviselők számára, akiket mostantól örökre beperelhetnek a meghozott döntésekért".
A Harvard Law School professzora, Jody Freeman hozzáteszi: "Ez egy hatalmas hatalomáthelyezés a bíróságokhoz és az ügynökségektől való távolodáshoz. És hogy ezt kontextusba helyezzük, ez egy sor olyan eset része, amelyekben a Legfelsőbb Bíróság megnehezítette az ügynökségek dolgát. végezzék a dolgukat."
Ez a fejlemény aggályokat vet fel a kiberbiztonsági szabályozás jövőjét illetően. Kolochenko rámutat, hogy a bíróságok most érvényteleníthetik azokat a közigazgatási szabályokat, amelyeket a törvényi célokkal összeegyeztethetetlennek találnak, és amelyek érintik a kiberbiztonságra, a jogsértések közzétételére és a kritikus nemzeti infrastruktúrára vonatkozó szabályokat. Ide tartoznak az olyan közelmúltbeli kezdeményezések, mint a CISA CIRCIA-szabályai, amelyek megkövetelik a kritikus infrastruktúra-ágazatokból származó kiberincidensek átfogó jelentését. Az új bírói felügyelet révén ezek a szabályok hajlamosabbak a hatályon kívül helyezésre.
Jason Porter, az Optiv + ClearShark alelnöke és technológiai igazgatója megjegyzi: "Ez a változás valószínűleg több szabályozási intézkedés megkérdőjelezését és végső soron megdöntését eredményezi, ami jogi bizonytalansághoz vezet a szabályozó testületek és az általuk felügyelt iparágak számára."
Noha a Legfelsőbb Bíróság ítélete számos kihívást vet fel, pozitív következményei is lehetnek. Aaron Rose, a Check Point Software műszaki igazgatójának irodája potenciális előnyöket lát, mint például a Kongresszus arra kényszerítését, hogy pontosabb jogszabályokat dolgozzon ki, és biztosítsa, hogy az ügynökségek szabályozásaikat egyértelmű jogi normákra alapozzák. A megnövekedett bírói felügyelet következetesebb és méltányosabb ítéletekhez vezethet, amelyek a megállapított jogi elveken alapulnak.
Rose azonban a hátrányokra is felhívja a figyelmet: "A technológia gyors fejlődésével, különösen a kiberbiztonság terén, az időben történő alkalmazkodás kritikus fontosságú. A Legfelsőbb Bíróság döntése lelassíthatja a szükséges intézkedések végrehajtását, réseket hagyva a hackerek és a rossz szereplők számára, amelyeket kihasználhatnak."
Összefoglalva, a Legfelsőbb Bíróság döntése a Chevron-doktrína megsemmisítéséről a szabályozási felügyelet új korszakát nyitotta meg, és a hatalmat a szakértői ügynökségekről az igazságszolgáltatásra helyezte át. Bár ennek a változtatásnak az a célja, hogy biztosítsa, hogy a szabályozás egyértelmű jogi elveken alapuljon, bizonytalanságot és lehetséges késéseket okoz a kiberbiztonság gyorsan fejlődő területén. Ahogy a jogi környezet alkalmazkodik ehhez az ítélethez, a kihívás az lesz, hogy egyensúlyt teremtsünk az igazságügyi felügyelet és a szakértők által vezérelt, időszerű és hatékony kiberbiztonsági szabályozások iránt.
