Högsta domstolens dom kan hota reglering och regler för cybersäkerhet

En nyligen genomförd dom i högsta domstolen har avsevärt förändrat landskapet för efterlevnad av lagar i USA, med djupgående konsekvenser för reglering av cybersäkerhet. Den 28 juni 2024 upphävde Högsta domstolen Chevron-doktrinen, en rättsprincip etablerad 1984 (Chevron v. Natural Resources Defense Council) som gjorde det möjligt för federala myndigheter att tolka oklarheter i lagen med hjälp av sin expertis. Denna doktrin har varit hörnstenen i det federala regelsystemet i fyra decennier, vilket gör det möjligt för myndigheter att skapa och upprätthålla regler med teknisk expertis och effektivitet.

Högsta domstolens beslut ger mandat att domstolar nu ska göra en självständig bedömning när de avgör om en myndighet har agerat inom sina lagstadgade befogenheter. Denna dom tar i praktiken bort behovet för domstolar att skjuta upp byråns sakkunskap i mål som involverar tvetydiga lagar, vilket upphäver en praxis som har funnits i fyrtio år. Enligt Högsta domstolen, "förvaltningsprocesslagen kräver att domstolar utövar sin oberoende bedömning när de avgör om en myndighet har agerat inom sina lagstadgade befogenheter, och domstolar får inte skjuta sig till en myndighets tolkning av lagen bara för att en lag är tvetydig; Chevron är åsidosatt."

Denna förändring har betydande återverkningar för reglering av cybersäkerhet i USA, som till övervägande del hanteras av federala myndigheter som FDA, SEC och DHS. Dessa byråer har historiskt sett förlitat sig på sin expertis för att tolka och upprätthålla cybersäkerhetslagar och förordningar. Men med Högsta domstolens dom kommer den rättsliga tillsynen nu att spela en mer betydande roll i dessa frågor, vilket potentiellt kan leda till ökade rättstvister och ifrågasättande av myndigheters beslut.

Ilia Kolochenko, advokat vid Platt Law LLP och VD på Immuniweb, anmärkte: "Detta landmärkesbeslut från USA:s högsta domstol kommer sannolikt att få tektoniska och långvariga konsekvenser för administrativt regelverk i USA. Genom att åsidosätta 40-årsperioden -gamla Chevron-doktrinen, gav Högsta domstolen betydligt mer rättslig makt och spelrum till domstolar i tolkningen av federal lag som kan vara vaga, oklara eller bara tysta om vissa element, såsom cybersäkerhet, integritet eller avslöjande av dataintrång."

Domen innebär att företag nu kan överklaga myndighetsbeslut utan att domstolarna antar byråernas sakkunskap. Detta kan leda till en ökning av juridiska utmaningar och överklaganden, med välfinansierade företag som potentiellt behandlar USA:s regleringar på samma sätt som hur de närmar sig EU:s regelverk – genom omfattande juridiska strider. Ken Dunham, chef för cyberhot på Qualys TRU, förutser "en tsunami av rättstvister för federala myndigheter och/eller tjänstemän, som nu kommer att kunna stämmas i all evighet för fattade beslut."

Professor Jody Freeman vid Harvard Law School tillägger: "Det är ett massivt maktskifte tillbaka till domstolarna och bort från byråer. Och för att sätta detta i sitt sammanhang är detta en del av en serie fall där Högsta domstolen har gjort det svårare för byråer att gör sitt jobb."

Denna utveckling väcker oro för framtiden för cybersäkerhetsregleringar. Kolochenko påpekar att domstolar nu kan ogiltigförklara administrativa regler som de finner oförenliga med lagstadgade syften, vilket påverkar regler om cybersäkerhet, avslöjande av intrång och kritisk nationell infrastruktur. Detta inkluderar nya initiativ som CISA:s CIRCIA-regler, som kräver omfattande rapportering av cyberincidenter från kritiska infrastruktursektorer. Med den nya rättsliga tillsynen är dessa regler mer mottagliga för att hävas.

Jason Porter, VP och CTO på Optiv + ClearShark, konstaterar, "Denna förändring kommer sannolikt att resultera i att fler regulatoriska åtgärder ifrågasätts och i slutändan upphävs, vilket leder till rättslig osäkerhet för tillsynsorgan och de industrier som de övervakar."

Även om Högsta domstolens dom innebär flera utmaningar, kan det också bli några positiva resultat. Aaron Rose, kontor för CTO på Check Point Software, ser potentiella fördelar, som att tvinga kongressen att utarbeta mer exakt lagstiftning och se till att byråer baserar sina regler på tydliga juridiska standarder. Ökad rättslig tillsyn skulle kunna leda till mer konsekventa och rättvisa avgöranden baserade på etablerade rättsprinciper.

Rose lyfter dock också fram nackdelarna: "Med den snabba utvecklingen av teknik, särskilt inom cybersäkerhet, är anpassning i rätt tid avgörande. Högsta domstolens beslut kan sakta ner genomförandet av nödvändiga åtgärder, vilket ger luckor för hackare och dåliga aktörer att utnyttja."

Sammanfattningsvis har Högsta domstolens beslut att upphäva Chevron-doktrinen inlett en ny era av regulatorisk tillsyn, som flyttar makten från expertbyråer till rättssystemet. Även om denna förändring syftar till att säkerställa att regleringar grundas på tydliga rättsliga principer, introducerar den osäkerhet och potentiella förseningar inom det snabbt växande området cybersäkerhet. När det rättsliga landskapet anpassar sig till denna dom kommer utmaningen att vara att balansera rättslig tillsyn med behovet av expertdrivna, aktuella och effektiva cybersäkerhetsregler.