Решение Верховного суда может поставить под угрозу регулирование и правила кибербезопасности

Недавнее постановление Верховного суда существенно изменило ситуацию в сфере регулирования в США, что имело глубокие последствия для регулирования кибербезопасности. 28 июня 2024 года Верховный суд отменил доктрину Chevron — правовой принцип, установленный в 1984 году (Chevron против Совета по защите природных ресурсов), который позволял федеральным агентствам интерпретировать двусмысленности в законе, используя свой опыт. Эта доктрина была краеугольным камнем федеральной системы регулирования на протяжении четырех десятилетий, позволяя агентствам создавать и обеспечивать соблюдение правил с помощью технических знаний и эффективности.

Решение Верховного суда требует, чтобы суды теперь выносили независимые решения при определении того, действовало ли агентство в пределах своих уставных полномочий. Это постановление фактически устраняет необходимость для судов полагаться на экспертизу ведомств в делах, связанных с двусмысленными законами, отменяя практику, существовавшую на протяжении сорока лет. По мнению Верховного суда, «Закон об административной процедуре требует, чтобы суды выносили свои независимые решения при принятии решения о том, действовало ли агентство в пределах своих уставных полномочий, и суды не могут полагаться на ведомственное толкование закона только потому, что закон двусмысленен; Chevron» отменено».

Этот сдвиг имеет серьезные последствия для регулирования кибербезопасности в США, которым преимущественно управляют федеральные агентства, такие как FDA, SEC и DHS. Эти агентства исторически полагались на свой опыт при толковании и обеспечении соблюдения законов и правил кибербезопасности. Однако, согласно постановлению Верховного суда, судебный надзор теперь будет играть более значительную роль в этих вопросах, что потенциально может привести к увеличению количества судебных разбирательств и оспариванию решений ведомства.

Илья Колоченко, адвокат Platt Law LLP и генеральный директор Immuniweb, отметил: «Это знаковое решение Верховного суда США, вероятно, будет иметь тектонические и долгосрочные последствия для административного нормотворчества в США. Согласно старой доктрине Chevron, Верховный суд предоставил судам значительно больше судебных полномочий и свободу действий в толковании федеральных законов, которые могут быть расплывчатыми, неясными или просто умалчивать о некоторых элементах, таких как кибербезопасность, конфиденциальность или раскрытие утечки данных».

Постановление подразумевает, что предприятия теперь могут обжаловать решения агентств без обращения в суд к экспертизе агентств. Это может привести к увеличению количества юридических проблем и апелляций, поскольку хорошо финансируемые компании потенциально могут относиться к правилам США так же, как они подходят к правилам ЕС, — посредством обширных юридических баталий. Кен Данхэм, директор по киберугрозам Qualys TRU, предвидит «цунами судебных разбирательств для федеральных агентств и/или чиновников, на которых теперь можно будет подавать в суд вечно за принятые решения».

Профессор Гарвардской школы права Джоди Фриман добавляет: «Это массовый сдвиг власти обратно к судам и от агентств. И если представить это в контексте, это часть серии дел, в которых Верховный суд усложнил для агентств делать свою работу».

Такое развитие событий вызывает обеспокоенность по поводу будущего регулирования кибербезопасности. Колоченко отмечает, что теперь суды могут признать недействительными административные правила, которые они считают несовместимыми с уставными целями, что затрагивает правила кибербезопасности, раскрытия нарушений и критически важной национальной инфраструктуры. Сюда входят недавние инициативы, такие как правила CISA CIRCIA, которые требуют подробного сообщения о киберинцидентах в критически важных секторах инфраструктуры. Благодаря новому судебному надзору эти правила более подвержены риску отмены.

Джейсон Портер, вице-президент и технический директор Optiv + ClearShark, отмечает: «Это изменение, скорее всего, приведет к тому, что больше регулирующих действий будет оспорено и в конечном итоге отменено, что приведет к правовой неопределенности для регулирующих органов и отраслей, которые они контролируют».

Хотя решение Верховного суда создает ряд проблем, оно может иметь и некоторые положительные результаты. Аарон Роуз, технический директор Check Point Software, видит потенциальные преимущества, такие как принуждение Конгресса к разработке более четкого законодательства и обеспечение того, чтобы агентства основывали свои правила на четких юридических стандартах. Усиление судебного надзора может привести к вынесению более последовательных и справедливых решений, основанных на установленных правовых принципах.

Однако Роуз также подчеркивает и недостатки: «При быстром развитии технологий, особенно в сфере кибербезопасности, своевременная адаптация имеет решающее значение. Решение Верховного суда может замедлить реализацию необходимых мер, оставив бреши для хакеров и злоумышленников, которыми они могут воспользоваться».

В заключение отметим, что решение Верховного суда об отмене доктрины Chevron открыло новую эру регулирующего надзора, передав власть от экспертных агентств к судебной системе. Хотя это изменение направлено на то, чтобы правила основывались на четких правовых принципах, оно вносит неопределенность и потенциальные задержки в быстро развивающуюся сферу кибербезопасности. Поскольку правовая среда адаптируется к этому постановлению, задача будет заключаться в том, чтобы сбалансировать судебный надзор с необходимостью в экспертных, своевременных и эффективных правилах кибербезопасности.