Orzeczenie Sądu Najwyższego może zagrozić regulacjom i zasadom dotyczącym cyberbezpieczeństwa
Niedawne orzeczenie Sądu Najwyższego znacząco zmieniło krajobraz egzekwowania przepisów w Stanach Zjednoczonych, co ma poważne konsekwencje dla regulacji cyberbezpieczeństwa. 28 czerwca 2024 r. Sąd Najwyższy uchylił Doktrynę Chevrona, zasadę prawną ustanowioną w 1984 r. (Chevron przeciwko Radzie Obrony Zasobów Naturalnych), która umożliwiała agencjom federalnym interpretowanie niejasności w prawie w oparciu o ich wiedzę specjalistyczną. Doktryna ta od czterdziestu lat stanowi kamień węgielny federalnego systemu regulacyjnego, umożliwiając agencjom tworzenie i egzekwowanie przepisów dzięki wiedzy technicznej i wydajności.
Decyzja Sądu Najwyższego nakłada na sądy obowiązek podejmowania niezależnego osądu przy ustalaniu, czy agencja działała w ramach swoich ustawowych uprawnień. Orzeczenie to skutecznie eliminuje potrzebę odwoływania się sądów do wiedzy agencji w sprawach dotyczących niejednoznacznych ustaw, obalając praktykę obowiązującą od czterdziestu lat. Według Sądu Najwyższego „Ustawa o postępowaniu administracyjnym nakłada na sądy obowiązek niezależnego osądu przy podejmowaniu decyzji, czy agencja działała w ramach swoich ustawowych uprawnień, a sądy nie mogą odraczać interpretacji prawa przez agencja tylko dlatego, że ustawa jest niejednoznaczna; Chevron zostaje uchylony.”
Ta zmiana ma znaczące konsekwencje dla przepisów dotyczących cyberbezpieczeństwa w USA, którymi zarządzają głównie agencje federalne, takie jak FDA, SEC i DHS. W przeszłości agencje te polegały na swojej wiedzy specjalistycznej przy interpretowaniu i egzekwowaniu przepisów i regulacji dotyczących cyberbezpieczeństwa. Jednakże wraz z orzeczeniem Sądu Najwyższego nadzór sądowy będzie teraz odgrywał bardziej znaczącą rolę w tych sprawach, co może prowadzić do większej liczby postępowań sądowych i kwestionowania decyzji agencji.
Ilia Kolochenko, radca prawny w Platt Law LLP i dyrektor generalny Immuniweb, zauważył: „Ta przełomowa decyzja Sądu Najwyższego Stanów Zjednoczonych prawdopodobnie będzie miała tektoniczne i długotrwałe konsekwencje dla stanowienia przepisów administracyjnych w USA. Unieważniając 40-letnie Zgodnie ze starą doktryną Chevrona Sąd Najwyższy przyznał sądom znacznie więcej władzy sądowniczej i swobodę w interpretacji prawa federalnego, które może być niejasne, niejasne lub po prostu milczeć w niektórych kwestiach, takich jak cyberbezpieczeństwo, prywatność lub ujawnianie naruszeń danych.
Orzeczenie oznacza, że firmy mogą teraz odwoływać się od decyzji agencji, a sądy nie będą odwoływać się do wiedzy specjalistycznej agencji. Może to prowadzić do wzrostu liczby skarg i odwołań prawnych, a dobrze finansowane firmy mogą potencjalnie traktować przepisy amerykańskie w podobny sposób, jak podchodzą do przepisów UE – poprzez szeroko zakrojone batalie prawne. Ken Dunham, dyrektor ds. zagrożeń cybernetycznych w Qualys TRU, przewiduje „tsunami postępowań sądowych dla agencji federalnych i/lub urzędników, którzy będą teraz mogli być bezterminowo pozywani za podjęte decyzje”.
Profesor Harvard Law School, Jody Freeman, dodaje: „To ogromne przeniesienie władzy z powrotem do sądów, z dala od agencji. Aby umieścić to w kontekście, jest to część serii spraw, w których Sąd Najwyższy utrudnił agencjom wykonywać swoją pracę.”
Rozwój ten budzi obawy o przyszłość przepisów dotyczących cyberbezpieczeństwa. Kolochenko zwraca uwagę, że sądy mogą teraz unieważniać przepisy administracyjne, które uznają za niezgodne z celami ustawowymi, wpływające na przepisy dotyczące cyberbezpieczeństwa, ujawniania naruszeń i krytycznej infrastruktury krajowej. Obejmuje to niedawne inicjatywy, takie jak zasady CIRCIA CISA, które wymagają obszernego zgłaszania incydentów cybernetycznych z sektorów infrastruktury krytycznej. Dzięki nowemu nadzorowi sądowemu zasady te są bardziej podatne na uchylenie.
Jason Porter, wiceprezes i dyrektor ds. technicznych w Optiv + ClearShark, zauważa: „Ta zmiana prawdopodobnie spowoduje zakwestionowanie i ostatecznie unieważnienie większej liczby działań regulacyjnych, co doprowadzi do niepewności prawnej dla organów regulacyjnych i nadzorowanych przez nie branż”.
Choć orzeczenie Sądu Najwyższego stwarza szereg wyzwań, może przynieść również pewne pozytywne skutki. Aaron Rose, dyrektor ds. technicznych w Check Point Software, widzi potencjalne korzyści, takie jak wymuszenie na Kongresie opracowania bardziej precyzyjnych przepisów i zapewnienie, że agencje opierają swoje regulacje na jasnych standardach prawnych. Zwiększony nadzór sądowy mógłby prowadzić do bardziej spójnych i sprawiedliwych orzeczeń opartych na ustalonych zasadach prawnych.
Rose podkreśla jednak również wady: „Wraz z szybkim rozwojem technologii, zwłaszcza w dziedzinie cyberbezpieczeństwa, terminowa adaptacja ma kluczowe znaczenie. Decyzja Sądu Najwyższego może spowolnić wdrażanie niezbędnych środków, pozostawiając luki do wykorzystania przez hakerów i złe podmioty”.
Podsumowując, decyzja Sądu Najwyższego o obaleniu doktryny Chevrona zapoczątkowała nową erę nadzoru regulacyjnego, przenosząc władzę z agencji eksperckich na system sądowy. Zmiana ta, choć ma na celu zapewnienie oparcia przepisów na jasnych zasadach prawnych, wprowadza niepewność i potencjalne opóźnienia w szybko rozwijającej się dziedzinie cyberbezpieczeństwa. W miarę dostosowywania się otoczenia prawnego do tego orzeczenia wyzwaniem będzie zrównoważenie nadzoru sądowego z potrzebą opracowania opartych na wiedzy ekspertów, aktualnych i skutecznych przepisów dotyczących cyberbezpieczeństwa.
