ABD Yüksek Mahkemesi Cuma günü şu kararı verdi: Chevron doktrinini altüst etmek Federal kurumların olay bildirimini güçlendirmek ve temel güvenlik standartlarını karşılamak üzere önemli gereklilikler çıkardığı bir dönemde, siber güvenlik düzenlemeleri alanında önemli etkilere sahip olabilir.
Kararın, Menkul Kıymetler ve Borsa Komisyonu’nun 2023 siber olay raporlama gereklilikleri de dahil olmak üzere son siber güvenlik düzenleyici önlemlerine karşı yeni yasal itirazlara yol açması muhtemel. Siber Güvenlik Politikası ve Hukuku Merkezi.
CCPL’ye göre Yüksek Mahkeme kararı, Kritik Altyapı için Siber Olay Bildirimi Yasası’ndaki kural koymayı da etkileyebilir. Yetkililer, kararın sağlık sektörü için temel gereklilikleri veya Çevre Koruma Ajansı’nın içme ve atık su arıtma tesisleri için siber güvenlik kurallarını zorunlu kılma yönündeki gelecekteki çabalarını etkileme potansiyeli görüyor.
Chevron doktrini, mahkemelerin bir kanundaki belirsizlikleri yorumlamak için federal kurumların uzmanlığına başvurması gerektiğine dair emsal oluşturan 1984 tarihli Chevron USA v. National Resources Defense Council davasından kaynaklanmaktadır.
Yüksek Mahkeme kararı Loper Bright Enterprises v. Raimondo ve ikinci bir dava olan Relentless v. Department of Commerce davasını kapsıyordu.
The ABD Ticaret Odası, Yüksek Mahkeme kararını şöyle değerlendirdi: Daha istikrarlı ve öngörülebilir bir iş ortamı yaratılmasına yardımcı olacak “önemli bir rota düzeltmesi”.
SEC siber kuralları sıcak koltukta
2023’te kabul edilen SEC kuralı, halka açık şirketlerin siber güvenlik olaylarını önemliliklerini belirledikten sonraki dört iş günü içinde kuruma bildirmelerini gerektiriyor. Şirketler, siber riski nasıl azaltacaklarına dair stratejilerini özetleyen yıllık güncellemeler dosyalamalıdır.
Ekim ayında SEC de SolarWinds’e karşı dava açtı Şirketin ve CISO’sunun, 2020 yılında devlet bağlantılı bilgisayar korsanları tarafından gerçekleştirilen tedarik zinciri saldırılarına kadar geçen sürede gerçek siber güvenlik riskini açıklamayarak yatırımcıları dolandırdığı iddia ediliyor.
The Ticaret Odası ve İş Dünyası Yuvarlak Masa Toplantısı SolarWinds davasında, SEC’nin davadaki yetkisini Kongre’nin başlangıçtaki amacının çok ötesine genişlettiğini savunan dilekçeler sundular.
Hukuk ve siber güvenlik uzmanları, Chevron doktrini kararının gelecekteki düzenlemeler üzerindeki etkisinin ne olacağını hâlâ değerlendiriyor. Ancak, R Street Enstitüsü’nde siber güvenlik ve ortaya çıkan tehditler direktörü olan Brandon Pugh, kararın federal yetkilileri kritik altyapı ve endüstri ortakları için aşırı külfetli bir ortam yaratmadıklarından emin olmak için gelecekteki siber düzenlemelere nasıl yaklaştıklarını yeniden düşünmeye zorlayacağını söyledi.
Pugh, bir röportajında, “Bunun kurumlara yasal gerekçeleri hakkında daha fazla düşünme fırsatı verebileceğini ve belki de belirsizlik durumlarında Kongre’den daha fazla yetki bekleyeceklerini düşünüyorum” dedi.
SEC ve Ulusal Siber Direktör Ofisi yetkilileri haberle ilgili yorum yapmayı reddetti.