ABD Yüksek Mahkemesi’nin, federal kurumlara uyguladıkları yasaları yorumlamada geniş bir hareket alanı tanıyan 40 yıllık bir emsali iptal etmesinin üzerinden geçen iki haftada, aktivist bir yargının düzenleyicilerin halk sağlığını ve güvenliğini koruma çabalarını engelleyeceği yönünde yaygın bir endişe oluştu.
Siber Güvenlik Politikası ve Hukuku Merkezi blog yazısında Harley Geiger, Ines Jordan-Zoob ve Tanvi Chopra, kararın Loper Bright Enterprises’a Karşı Raimondo 1984’ü deviren Chevron v. Doğal Kaynaklar Savunma Konseyi emsalin “sektörler genelinde düzenleyici uygulama ve politika yapımı üzerinde sismik bir etkiye sahip olması muhtemeldir. Bu, birçok federal düzenlemenin modern siber güvenlik uygulamaları ve tehditlerinden önceki eski yasal otoritelerin yorumlarını içerdiği dijital güvenliği içerir.”
SEC’nin siber güvenlik olayı ifşa kuralını, bankacılık dışı finans kuruluşları için Gramm-Leach-Bliley Yasası (GLBA) bilgi güvenliği gerekliliklerini ve TSA ulaşım siber güvenlik gerekliliklerini itiraz edilebilecek düzenlemeler olarak gösterdiler. Ve CISA’nın 2022 Kritik Altyapı için Siber Olay Raporlama Yasası’nın (CIRCIA) önerilen uygulaması gibi bekleyen kurallar SCOTUS Chevron kararının bir sonucu olarak daraltılabilir.
SCOTUS Chevron Kararı Birçok Siber Güvenlik Yasasını Durdurmuyor
Bir röportajda Siber EkspresPlatt Law siber hukuk bürosunda avukat ve ImmuniWeb CEO’su olan Ilia Kolochenko, kararın kamu sağlığı ve EPA gibi çevre kuruluşlarını etkileyebileceğini, ancak siber güvenlik düzenlemeleri üzerindeki etkisinin asgari düzeyde olacağını düşünüyor.
“Çok fazla siber güvenlik kuralımız yok ve sahip olduklarımız da oldukça müsamahakâr,” dedi Kolochenko. “Çok fazla dava göreceğimizi sanmıyorum.”
Federal ajanslar, katı düzenlemelerden ziyade büyük ölçüde siber güvenlik rehberliğine, yardımına ve çerçevelerine güvendi, dedi. Ve şirketlerin siber düzenlemelere meydan okumaktan kaynaklanacak olumsuz tanıtım ve şüphelerden kaçınmayı tercih edeceğini düşünüyor. Çoğu işletme, FTC şikayetlerini mahkemede mücadele etmektense çözmeye meyilli, diye belirtiyor. Örneğin, yatırımcılar SEC kurallarına meydan okuyan bir şirkete olan inançlarını kaybedebilir ve tüketiciler “ne saklıyorsun?” diye merak edebilir.
Uzun süredir devam eden LabMD v. FTC davasını bir davanın nasıl ters tepebileceğine örnek olarak gösteriyor – LabMD davayı kazanmış olabilir, ancak bu süreçte iflas etti ve FTC o zamandan beri daha net güvenlik düzenlemeleri üzerinde çalışıyor. Kolochenko, “Ne istediğinize dikkat edin, çünkü onu alabilirsiniz,” diye espri yaptı.
Ancak belki de daha önemlisi, Kaliforniya Tüketici Gizliliği Yasası (CCPA), AB’nin Genel Veri Koruma Yönetmeliği (GDPR) ve kredi kartı sektörünün PCI DSS’si gibi çok sayıda eyalet, özel ve küresel siber güvenlik gereksinimi vardır; bu nedenle federal bir kurumun yetkisine meydan okumakla kazanılacak çok fazla şey olmayabilir.
Tüm bu sorunlar nedeniyle “tektonik değişiklikler görmeyeceğiz” dedi.
Ulusal Veri Gizliliği Yasası Yardımcı Olabilir
Aslında, Kolochenko’nun en çok ele alınmasını istediği şey, devletin gizlilik ve güvenlik yasalarının oluşturduğu karmaşadır; bu, “uymanın son derece pahalı” olduğu sayısız gerekliliktir.
Kolochenko, eyalet yasalarını önceden engellemek ve uyumluluğu kolaylaştırmak için bir ABD ulusal veri gizliliği yasası görmek istiyor, ancak bu çabalar bu yıl Kongre’de bir kez daha durdu ve Yüksek Mahkeme’nin kararı Kongre’nin yasa tasarılarını hazırlamada daha fazla uzmanlığa ve hassasiyete ihtiyaç duyacağı anlamına geleceğinden gelecekte daha da zorlu hale gelebilir. Kolochenko, Kongre’nin bu zorluklarla başa çıkmak için resmi bir siber güvenlik komitesine ihtiyaç duyabileceğini söyledi.
Siber güvenlik düzenlemelerini ve politikalarını uyumlu hale getirmek için Beyaz Saray öncülüğünde bir çaba var, bu yardımcı olabilir – ancak ironik olarak, Yüksek Mahkeme’nin kararı bunu da yavaşlatabilir. Bu sürece yardımcı olmak için bir Meclis tasarısı dün açıklandı, ancak yaklaşan bir seçim ve yeni Kongre ile çok da ileri gidemeyecek gibi görünüyor.
Tüm bunları bir araya koyduğunuzda – federal düzenlemelerin göreceli müsamahakarlığı; şirketlerin zaten uymak zorunda olduğu daha sıkı eyalet, özel ve uluslararası yasalar; işletmelerin dava açma konusundaki isteksizliği; ve tıkanmış bir Kongre – SCOTUS Chevron kararının siber güvenlik düzenlemelerinde çok fazla bir şey değiştirmeyeceğini, en azından yakın gelecekte, görmeye başlıyorsunuz.