Amerika Birleşik Devletleri Yüksek Mahkemesi yakın zamanda son siber güvenlik düzenlemelerini ve planlarını engelledi. Siber güvenlik tehditlerinin yaygınlaşmasıyla mücadele etmek için Başkan Biden’ın yönetimi kritik altyapıyı siber güvenlik tehditlerinden korumak için mevcut yasaların yaratıcı kullanımlarına güvendi. Ancak Yüksek Mahkeme artık yönetimin araç kutusundaki bu aracı köreltti ve yakın vadede ABD siber güvenlik düzenlemelerinin geleceği belirsiz.
Loper Bright Enterprises v. Raimondo davasında Yüksek Mahkeme, Chevron v. National Resources Defense Council davasında bilinen emsalini bozarak Chevron Saygısı olarak bilinen doktrini oluşturmuştur.
Chevron Saygısı, mahkemelerin belirsiz bir konu veya soruya ilişkin federal bir kurumun makul yorumuna saygı göstermesini gerektiriyordu. Kuruma, Kongre tarafından mevzuattaki boşlukları doldurma yetkisi verildiğinde, bu zor bir standarttı. Kurum kararları, usul açısından kusurlu, keyfi veya özünde kaprisli olmadığı veya yasaya açıkça aykırı olmadığı sürece mahkemeler için bağlayıcıydı. Artık değil.
Parti çizgisinde 6-3’lük bir kararla, Loper Mahkemesi kararı mahkemelerin bir kurumun kanunu makul bir şekilde yorumlamasına saygı duyması gerekliliğini ortadan kaldırdı. Yüksek Mahkeme, mahkemenin “kanunun ne olduğunu söylemek” için “geleneksel rolüne” atıfta bulundu.
Loper’ın çoğunluk görüşü, kurum yorumlarının yargısal incelemesi için açıkça yeni bir çerçeve sunmasa da, bir kurum eylemine yönelik itirazı incelerken, mahkemenin, “ikna etme gücüne sahipse” kurumun yorumunu dikkate alabileceğini, ancak yalnızca buna güvenemeyeceğini ve nihayetinde bağımsız bir karara varması gerektiğini öne sürdü.
Chevron haklı mıydı haksız mıydı ve eleştirmenleri vardı, Loper kararı şüphesiz Amerikan hükümetinin dalları arasındaki güç dengesini değiştiriyor, gücü yürütme organından alıp yargıya ve Kongre’ye veriyor. Karar muhtemelen daha parçalı ve tutarsız bir düzenleyici çerçeveye yol açacak.
Loper kararı mevcut ve gelecekteki siber güvenlik düzenlemelerini etkileyecek
Loper kararı, ABD federal kurumlarının siber güvenlik tehditleri ve yapay zeka (AI) gibi uzmanlık bilgisi ve hızlı hareket gerektiren ortaya çıkan teknoloji konularını etkili bir şekilde ele alma kabiliyetini engelleyebilir.
Yürütme organı, siber güvenliği yasalaştırmak için bölünmüş bir Kongre’yi beklemek yerine, yıllarını mevcut yasaları yaratıcı bir şekilde yorumlamak ve bunları siber güvenliğe uygulamak için harcadı.
Chevron Deference, federal ajanslara, konu uzmanlıklarına dayalı olarak belirsiz ABD yasalarını yorumlama ve düzenlemeler oluşturma ve uygulama yetkisi veren bir sütundu. Bunun sona ermesi, federal siber güvenlik düzenlemelerini altüst edebilir ve nihai düzenleyici yetkiyi ajanslardan mahkemelere aktarabilir.
Chevron Deference’ın sonu davalarda artışa yol açacak ve siber güvenlik uyumluluğunu ve uyumunu karmaşıklaştıracak. Loper’dan önce, mahkemeler genellikle kurum kararlarına ertelerdi ve şirketler başarılı dava itirazları için uzun şanslarla karşı karşıyaydı. Şimdi, daha kolay bir yolla, daha fazla şirketin davaya yönelmesi ve mahkemeye koşması muhtemeldir, bu da mahkemelerde bölünmeler ve daha az öngörülebilir bir düzenleyici ortam yaratarak kaos yaratacaktır.
Risk altındaki kurum kurallarına ilişkin bazı örnekler şunlardır:
- Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA). Kritik altyapıların ihlal edildiğinde hükümete bildirimde bulunmasını gerektiren 2022 Kritik Altyapı için Siber Olay Raporlama Yasası’nı uygulayan CISA kuralları. Amaçları arasında veri derlemek, tehditleri analiz etmek ve siber güvenlik tehditlerine daha iyi hazırlanmak ve yanıt vermek için eyleme geçirilebilir istihbarat oluşturmak yer alır. Kongre, CISA’ya yasayı tanımlamak ve çok sayıda yorum boşluğunu doldurmak için kural koyma sürecini üstlenmesini emretti. CISA’nın önerilen kuralları yayınlandı ve yorumlandı, nihai kuralların gelecek yıl beklenmesi bekleniyor. Kim, ne, ne zaman, nerede ve nasıl raporlaması dahil olmak üzere nihai kurallara yönelik zorluklar bekleyin.
- Menkul Kıymetler ve Borsa Komisyonu (SEC). Siber güvenliği ele almak için eski tüzüklere güvenen SEC, Temmuz 2023’te halka açık şirketlerin önemli siber olayları önemlilik belirlendikten sonraki dört gün içinde bildirmelerini ve halka açık şirketlerin siber risk yönetim stratejilerini yıllık raporlarında açıklamalarını gerektiren gereklilikleri belirledi. Bu gerekliliklerin artık mahkemede itiraz edilmesi bekleniyor.
- Federal Ticaret Komisyonu (FTC). Kurum, kapsamlı veri gizliliği ve güvenlik kuralları önermek de dahil olmak üzere, düzenlemeleri oluşturmak için yıllar boyunca on yıllardır var olan haksız rekabet ve aldatıcı ticaret uygulamaları yasalarına güvendi. Mevcut ve önerilen kuralların ağır incelemeye tabi tutulması bekleniyor.
Standartların belirlenmesinde özel sektör önemli hale gelecek
Belirsizlik nedeniyle, özel sektör artık federal politikanın ötesinde siber güvenlik standartlarını ve normlarını şekillendirmede çok daha önemli hale gelecektir. Kuruluşlar, belirsiz düzenleyici gerekliliklere karşı korunmak için siber güvenlik duruşlarını güçlendirmelidir. Siber güvenlik düzenleyici ortamını analiz etmek ve şekillendirmeye yardımcı olmak için hukuk ekiplerini güçlendirmeleri gerekecektir.
Özel sektör artık siber güvenlik düzenlemeleri konusunda hükümetle daha yakın bir şekilde çalışmalı ve Kongre’yi kritik hizmetleri korumak için kararlı bir şekilde hareket etmeye zorlamalıdır. Kuruluşlar ayrıca netlik ve Kongre niyetini sağlamak için önerilen kuralları incelemelidir.
Siber saldırıların olası küresel etkileri
ABD, uluslararası normları ve standartları belirlemede sıklıkla öncü bir rol oynar ve düzenlemeleri ve standartları yaygın olarak benimsendikçe, diğer ülkeler de bu yolu izleyebilir. Ancak, ABD federal düzenlemeleri mahkemeler tarafından bozulursa, uluslararası toplumda ABD’nin liderlik etme yeteneği konusunda belirsizlikler yaşanabilir.
Başkan Biden’ın 2023 Ulusal Siber Güvenlik Stratejisi’nin temellerinden biri uluslararası iş birliğini teşvik etmektir. Günümüzde iş dünyasının çok taraflı yapısı göz önüne alındığında, dünyanın siber güvenlik konularında uyum sağlamak için birlikte çalışması kritik öneme sahiptir. ABD çok yavaş veya belirsiz olursa, diğer ülkeler ve özel sektör öncü bir rol üstlenmek zorunda kalabilir.
Brian Arnold, yönetilen güvenlik hizmetleri sağlayıcısı ve tehdit araştırma uzmanı Huntress’te hukuk işleri direktörüdür. Kariyerine b2b yazılım geliştirme alanında başladı ve 2000’lerin ortalarında hukuka geçerek bir dizi ABD firmasında fikri mülkiyet hukuku konusunda uzmanlaştı. Huntress’e katılmadan önce, inovasyon konusunda uzmanlaşmış baş hukuk müşaviri olarak görev yaptı. Büyük bir sağlık hizmeti sağlayıcısı için BT, tele-tıp, veri gizliliği ve siber.