chevron ærbødighed er død. nu hvilket banner

Chevron Deference er død. Hvad nu?

Denne sommer så afslutningen på en 40-årig juridisk doktrin, der lover at få betydelige konsekvenser for cybersikkerhed – og mange andre sektorer. Hvad er det, og hvad betyder dets ophævelse?

Chevron Deference, som går tilbage 40 år, beskriver den råderum, som føderale agenturer har til at fortolke deres egne politikker, når de regulerer.

Kongressen opdaterede Clean Air Act i 1977, og tvang organisationer til at installere forureningskontrolteknologi, når de foretog tekniske ændringer på deres faciliteter.

Love som disse er lavet af den lovgivende gren af ​​den amerikanske regering (kongressen), men de kræver, at den udøvende magt (føderale agenturer) håndhæver dem gennem regulering. I dette tilfælde var Miljøstyrelsens opgave at sikre, at forurenerne foretog ændringerne. Under Carter-administrationen på det tidspunkt (dette var præsidenten, der installerede solpaneler på Det Hvide Hus tag), ville EPA sandsynligvis have håndhævet dem kraftigt.

Men når administrationen ændrer sig, ændres det også hos tilsynsmyndighedernes holdninger takket være politiske udnævnelser i styrelsernes ledelse. I begyndelsen af ​​firserne lavede oliegiganten Chevron nogle ændringer på et af sine fabrikker, men på det tidspunkt var EPA – under den mere konservative Reagan-regering (Reagan var præsidenten, der fjernede disse solpaneler).

Reagans EPA fortolkede sin regulering til at behandle kraftværker som en enkelt enhed i stedet for at fokusere på individuelle stykker udstyr. Det gjorde det muligt for Chevron at opdatere udstyr på sit anlæg uden at installere ekstra luftscrubbere.

Natural Resources Defense Council (NRDC) sagsøgte EPA og argumenterede for, at den burde have fortolket sine regler mere stringent. Højesteret begrundede, at føderale agenturer burde komme til at fortolke deres egne regler frem for de dømmende domstole, så længe fortolkningen ikke er i konflikt med sproget i forordningen.

Fra da af vil enhver retssag, der afgør en sag, der involverer føderal regulering, skulle henlægges til det føderale agentur, når forordningen fortolkes. Begrundelsen var, at agenturet havde mere ekspertise end føderale dommere.

Altså indtil nu. Den 28. juni afsagde højesteret en dom i en anden sag, Loper Bright Enterprises v. Raimondo. Loper Bright er et New England fiskeselskab, der ønskede at anfægte en beslutning fra National Marine Fisheries Service (NMFS). I henhold til Magnuson-Stevens Act, som pålægger fiskerigrænser, krævede NMFS, at fiskerbåde udpegede regeringsinspektører til at overvåge deres fangster på fiskeriselskabernes regning.

Loper Bright havde anfægtet NMFS's evne til at indføre denne regulering i distriktsdomstolen, som anvendte Chevron Deference til at lade NMFS bestemme. Sagen gik til Højesteret, som omstødte afgørelsen, hvilket reelt annullerede Chevron Deference.

Hvad dette betyder for cybersikkerhed

Denne beslutning giver endnu en gang distriktsdomstolene mulighed for at beslutte, hvordan føderale agenturer skal fortolke juridiske vedtægter, hvilket eksperter bekymrer sig om er ensbetydende med at lade dommere bestemme politik. NRDC, som endte med at byde Chevron Deference velkommen som et middel til at give sikkerhed i tvister om føderal politik, opkald et juridisk landskab efter deference "ensbetydende med at kaste en pil på en dartskive på lavere bane".

"[Der er] mere end ti forskellige kredsløb, hver med flere dommere," argumenterer John Walke, en højtstående advokat i organisationens Environmental Health-program. "Hver med evnen til at beslutte, hvilken rimelig fortolkning der er deres foretrukne rimelige fortolkning."

Hvad har det med cybersikkerhed at gøre? Dette er en relativt ung disciplin, der stadig tæsker ud af føderal politik. Bekymringen er nu, at det vil mudre vandet at overlade politiske beslutninger til et panel af distrikts- og kredsdommere med forskellige meninger.

Føderale agenturer bliver mere aggressive i reguleringen af ​​cybersikkerhed, men med en Kongres, der er mindre produktiv end nogensinde, de er i stigende grad afhængige af at tilføje regler til ældre vedtægter, der ikke henviser til cybersikkerhed, siger, Harley Geiger, Ines Jordan-Zoob og Tanvi Chopra ved Center for Cybersikkerhedspolitik.

Centerets specialister bekymrer sig om, at Chevron Deferences død kan påvirke flere nylige reguleringsændringer, herunder SEC's krav om, at organisationer hurtigt skal rapportere cybersikkerhedshændelser, sammen med 2022-revisioner af Gramm-Leach-Bliley Act, der krævede, at finansielle institutioner rapporterede cybersikkerhedshændelser. De vedtægter, som disse regler er baseret på, indeholdt ikke noget eksplicit cybersikkerhedssprog. Uden Chevron Deferences beskyttelse kunne de stå over for juridiske udfordringer i distriktsdomstolene.

Centret er bekymret for, at det vil gøre det sværere for organisationer at få et klart, landsdækkende regelsæt for cybersikkerhedspolitik.

"Resultatet kan være mindre konsistens i anvendelsen af ​​regler på tværs af jurisdiktioner," siger forfatterne. "Executive branches bestræbelser på at harmonisere cybersikkerhedsregler uden udtrykkelig kongresmyndighed kan miste farten, hvilket tvinger industriens overholdelse til at fortsætte med at kæmpe med et kludetæppe af sikkerhedsregler."

Centerets forfattere bekymrer sig også om, at nye love om cybersikkerhedsspørgsmål skal være mindre tvetydige, hvilket efterlader regulatorer med mindre spillerum til fortolkning i en teknologisektor i hurtig udvikling. Dette kan gøre fremtidige cybersikkerhedslove sværere at vedtage, advarer forfatterne.

En juridisk test forbliver på plads, som gør det muligt for domstolene at henvise til føderale agenturer om politiske spørgsmål. Kaldet Skidmore-doktrinen stammer den fra en sag fra 1944, der lader domstolene udsætte sig for et agenturs fortolkning baseret på "kraften til at overtale, hvis den mangler magt til at kontrollere." Men hvor godt et bureau overtaler, er formodentlig stadig en rets- eller appeldommers opfattelse.

Hvad skulle du gøre?

Hvor efterlader dette virksomheder, der forsøger at overholde cybersikkerhedsreglerne?

"Måske nu mere end nogensinde er initiativer fra den private sektor til frivilligt at vedtage effektive cyberrisikostyringsprogrammer nødvendige for at styrke modstandskraften hos forbrugere, virksomheder og samfund," siger forfatterne fra Center for Cybersikkerhedspolitik.

Heldigvis er der masser af robuste rammer, herunder ISO 27001 og NIST cybersikkerhedsrammerne, som virksomheder kan basere deres cybersikkerhedsindsats på. Disse efterlader virksomheder mere tilbøjelige til at overholde føderale regler og giver også mere beskyttelse mod cybersikkerhedshændelser. I et mere ustabilt juridisk miljø giver robust frivillig overholdelse et niveau af sikkerhed og viser, at organisationer har overholdt lovens ånd snarere end blot bogstavet.

Forfatter

Danny Bradbury

Danny Bradbury har været printjournalist med speciale i teknologi siden 1989 og freelanceskribent siden 1994. Han har skrevet for nationale publikationer på begge sider af Atlanten og har vundet priser for sit undersøgende cybersikkerhedsjournalistikarbejde.

Se alle indlæg af Danny Bradbury

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!