Høyesteretts dom kan true regulering og regler for cybersikkerhet

En nylig avgjørelse fra høyesterett har endret landskapet for reguleringshåndhevelse i USA betydelig, med dype implikasjoner for regulering av nettsikkerhet. Den 28. juni 2024 omgjorde Høyesterett Chevron-doktrinen, et juridisk prinsipp etablert i 1984 (Chevron v. Natural Resources Defense Council) som tillot føderale byråer å tolke tvetydigheter i loven ved å bruke deres ekspertise. Denne doktrinen har vært hjørnesteinen i det føderale reguleringssystemet i fire tiår, og har gjort det mulig for byråer å lage og håndheve regler med teknisk ekspertise og effektivitet.

Høyesteretts avgjørelse gir mandat til at domstolene nå skal utøve selvstendig skjønn når de skal avgjøre om en etat har handlet innenfor sin lovpålagte myndighet. Denne kjennelsen fjerner effektivt behovet for domstoler til å utsette byråets ekspertise i saker som involverer tvetydige vedtekter, og omstøter en praksis som har vært på plass i førti år. I følge Høyesterett, "Forvaltningsprosessloven krever at domstoler utøver sin uavhengige dømmekraft for å avgjøre om et byrå har handlet innenfor sin lovbestemte myndighet, og domstoler kan ikke utsette seg til en byråtolkning av loven bare fordi en lov er tvetydig; Chevron er overstyrt."

Dette skiftet har betydelige konsekvenser for cybersikkerhetsregulering i USA, som hovedsakelig administreres av føderale byråer som FDA, SEC og DHS. Disse byråene har historisk sett stolt på sin ekspertise for å tolke og håndheve lover og regler for nettsikkerhet. Men med Høyesteretts kjennelse vil rettslig tilsyn nå spille en mer betydelig rolle i disse sakene, noe som potensielt kan føre til økte rettssaker og utfordringer til byråets avgjørelser.

Ilia Kolochenko, advokat hos Platt Law LLP og administrerende direktør i Immuniweb, sa: "Denne landemerkeavgjørelsen fra USAs høyesterett vil sannsynligvis ha tektoniske og langvarige konsekvenser for administrativ regelutforming i USA. Ved å overstyre 40-årsperioden -gamle Chevron-doktrinen ga Høyesterett betydelig mer rettskraft og spillerom til domstolene i tolkningen av føderal lov som kan være vag, uklar eller bare taus om visse elementer, for eksempel nettsikkerhet, personvern eller avsløring av databrudd."

Dommen innebærer at virksomheter nå kan klage på etatsvedtak uten at domstolene utsetter seg til etatenes ekspertise. Dette kan føre til en økning i juridiske utfordringer og anker, med velfinansierte selskaper som potensielt behandler amerikansk regelverk på samme måte som hvordan de nærmer seg EUs regelverk – gjennom omfattende juridiske kamper. Ken Dunham, direktør for cybertrussel ved Qualys TRU, forventer "en tsunami av rettssaker for føderale byråer og/eller tjenestemenn, som nå vil kunne saksøkes i evighet for beslutninger som er tatt."

Harvard Law School professor Jody Freeman legger til: "Det er et massivt maktskifte tilbake til domstolene og bort fra byråer. Og for å sette dette i sammenheng, er dette en del av en serie saker der Høyesterett har gjort det vanskeligere for byråer å gjør jobben sin."

Denne utviklingen vekker bekymring for fremtiden til regelverket for cybersikkerhet. Kolochenko påpeker at domstoler nå kan ugyldiggjøre administrative regler de finner i strid med lovbestemte formål, noe som påvirker regler om cybersikkerhet, avsløring av brudd og kritisk nasjonal infrastruktur. Dette inkluderer nyere initiativ som CISAs CIRCIA-regler, som krever omfattende rapportering av cyberhendelser fra kritiske infrastruktursektorer. Med det nye rettslige tilsynet er disse reglene mer utsatt for å bli omgjort.

Jason Porter, VP og CTO i Optiv + ClearShark, bemerker: "Denne endringen vil sannsynligvis føre til at flere regulatoriske handlinger blir utfordret og til slutt omgjort, noe som fører til juridisk usikkerhet for regulatoriske organer og industrien de fører tilsyn med."

Mens Høyesteretts dom byr på flere utfordringer, kan det også bli noen positive utfall. Aaron Rose, kontor for CTO i Check Point Software, ser potensielle fordeler, som å tvinge Kongressen til å utarbeide mer presis lovgivning og sikre at byråer baserer sine forskrifter på klare juridiske standarder. Økt rettslig tilsyn kan føre til mer konsistente og rettferdige avgjørelser basert på etablerte rettsprinsipper.

Rose fremhever imidlertid også ulempene: "Med den raske utviklingen av teknologi, spesielt innen cybersikkerhet, er rettidig tilpasning kritisk. Høyesteretts avgjørelse kan bremse implementeringen av nødvendige tiltak, og etterlate hull for hackere og dårlige aktører å utnytte."

Avslutningsvis har Høyesteretts avgjørelse om å omstøte Chevron-doktrinen innledet en ny æra av regulatorisk tilsyn, og flyttet makt fra ekspertbyråer til rettssystemet. Selv om denne endringen tar sikte på å sikre at regelverk er forankret i klare juridiske prinsipper, introduserer den usikkerhet og potensielle forsinkelser i det raskt utviklende feltet cybersikkerhet. Ettersom det juridiske landskapet tilpasser seg denne kjennelsen, vil utfordringen være å balansere rettslig tilsyn med behovet for ekspertdrevne, rettidige og effektive cybersikkerhetsreguleringer.