A decisão da Loper Vibrant produziu resultados impactantes: a Suprema Corte anulou quarenta anos de lei administrativa, levando a um potencial litígio sobre a interpretação de leis ambíguas previamente decididas por agências federais. Este artigo explora questões-chave para profissionais e líderes de segurança cibernética à medida que entramos em um período mais contencioso da lei de segurança cibernética.
Fundo
O que é a Decisão Loper Vibrant?
A decisão Loper Vibrant da Suprema Corte dos EUA anulou a deferência da Chevron, afirmando que os tribunais, não as agências, decidirão todas as questões relevantes de direito decorrentes da revisão da ação da agência. O Tribunal decidiu que, como o texto do Administrative Process Act (APA) é claro, as interpretações de estatutos por agências não têm direito à deferência. A decisão enfatizou que os tribunais devem exercer julgamento independente ao decidir se uma agência agiu dentro de sua autoridade estatutária. Esta decisão transfere o poder de interpretação estatutária das agências federais para o judiciário.
O que period a Deferência Chevron?
A deferência da Chevron exigia que os tribunais adiassem as interpretações razoáveis de estatutos ambíguos das agências federais. Ela se originou do caso da Suprema Corte de 1984, Chevron USA, Inc. v. Pure Sources Protection Council. Sob a Chevron, se um estatuto fosse ambíguo, os tribunais adiariam a interpretação da agência se fosse razoável. Essa deferência moldou a lei administrativa por quase 40 anos.
Que medidas imediatas as empresas devem considerar tomar agora para garantir a conformidade com as regulamentações de segurança cibernética que podem ser contestadas em tribunal?
Nada mudou, ainda. No entanto, para garantir a conformidade com os regulamentos de segurança cibernética que agora podem ser contestados em tribunal, as empresas devem:
- Avalie os requisitos de segurança cibernética existentes para garantir que estejam alinhados com as regulamentações atuais, apoiadas por uma autoridade estatutária clara.
- Mantenha-se atualizado sobre decisões judiciais e mudanças regulatórias. A remoção da deferência da Chevron significa que os tribunais examinarão as interpretações das agências mais de perto.
- Esteja preparado para atualizar programas de conformidade se os requisitos regulatórios ou legais mudarem como resultado da jurisprudência.
- Trabalhe com especialistas jurídicos para navegar pelo cenário regulatório em evolução.
Controles eficazes de segurança cibernética são implantados quando são mapeados para um ou mais riscos acordados, que podem incluir requisitos regulatórios ou legais, bem como ameaças externas. As empresas devem considerar atualizar ou remover controles à luz de qualquer jurisprudência futura baseada em Loper Vibrant somente se esses controles existirem exclusivamente para fins regulatórios e não mitigarem riscos adicionais. As empresas devem garantir que seus controles tenham rastreabilidade clara para requisitos para que possam avaliar rapidamente os efeitos de quaisquer mudanças regulatórias futuras.
Como a decisão da Loper Vibrant impactará a aplicação das regulamentações de segurança cibernética existentes sob a FTC, SEC e outras?
A decisão de Loper Vibrant provavelmente tornará os regulamentos de segurança cibernética mais vulneráveis a desafios legais. Os tribunais não mais adiarão as interpretações das agências de estatutos ambíguos e exercerão seu julgamento independente. Essa mudança pode levar a desafios legais mais frequentes, maior escrutínio dos regulamentos e atrasos. Segue uma lista parcial de agências que podem ser afetadas por litígios pós-Loper Vibrant:
- FTC: As recentes regulamentações da FTC sob a Seção 5 incluem a Regra de Notificação de Violação de Saúde e as mudanças propostas à regra de Proteção à Privacidade On-line de Crianças podem ser contestadas.
- SEGUNDA: Os Securities and Trade Acts de 1933 e 1934 não mencionam a segurança cibernética, o que poderia resultar em uma contestação à exigência da SEC de divulgações de segurança cibernética dentro de quatro dias após a determinação da materialidade.
- GLBA: Os reguladores expandiram recentemente suas regras com uma série de requisitos de relatórios de incidentes cibernéticos para instituições financeiras
- TSA: As emendas emergenciais da TSA em 2022 para requisitos de segurança cibernética para transportadoras ferroviárias de passageiros e cargas, bem como operadores de aeroportos e aeronaves, podem ser contestadas.
- CISA: A regra proposta pela Agência de Segurança e Infraestrutura Cibernética (CISA) para implementar a Lei de Relatórios de Incidentes Cibernéticos para Infraestrutura Crítica de 2022, que tem interpretações amplas e pode ser contestada sob novo escrutínio judicial.
Como a decisão da Loper Vibrant pode afetar a consistência das regulamentações e da aplicação da segurança cibernética em diferentes jurisdições?
A decisão Loper Vibrant pode impactar a consistência dos regulamentos de segurança cibernética e sua aplicação em diferentes jurisdições. Ao eliminar a deferência da Chevron, os tribunais agora têm mais capacidade de interpretar estatutos de forma independente, o que pode levar a interpretações e aplicações variadas das leis de segurança cibernética. Essa inconsistência pode forçar as empresas a adaptar seus programas de conformidade com mais frequência devido a interpretações variadas entre jurisdições.
Como a remoção da deferência da Chevron potencialmente influenciará o desenvolvimento de futuras regulamentações de segurança cibernética?
A remoção da deferência da Chevron provavelmente criará um ambiente regulatório mais fragmentado e inconsistente para a segurança cibernética. As agências federais precisarão fornecer justificativas e detalhes mais convincentes para suas decisões de regulamentação. Essa mudança pode levar a um maior escrutínio judicial de regulamentações existentes e regras propostas, dificultando que agências como a FTC e a CISA se adaptem rapidamente a novas ameaças.
Os tribunais considerarão o poder persuasivo das interpretações das agências, dando peso à sua experience somente se ela for especialmente informativa e baseada em raciocínio completo e consistente. Essa mudança provavelmente resultará em maiores desafios legais para regulamentações de segurança cibernética existentes e novas regulamentações, complicando os esforços de conformidade.
Que papel a interpretação judicial pode desempenhar na definição do escopo das regulamentações de segurança cibernética pós-Loper Vibrant?
A interpretação judicial desempenhará um papel significativo na definição do escopo das regulamentações de segurança cibernética pós-Loper Vibrant. Os tribunais avaliarão de forma independente a autoridade estatutária das agências, levando a ambientes regulatórios potencialmente mais fragmentados e inconsistentes. Essa mudança exige uma reavaliação da conformidade regulatória e das abordagens de advocacia.
Em última análise, a decisão ressalta a necessidade de o Congresso fornecer orientações estatutárias mais claras para que as regulamentações de segurança cibernética resistam à revisão judicial.
Observação: Este artigo foi escrito e contribuído por Kayne McGladrey, CISO de campo da Hyperproof.
