De Loper Bright-uitspraak heeft impactvolle resultaten opgeleverd: het Hooggerechtshof heeft veertig jaar bestuursrecht vernietigd, wat kan leiden tot mogelijke rechtszaken over de interpretatie van dubbelzinnige wetten die eerder door federale agentschappen waren vastgesteld. Dit artikel onderzoekt belangrijke vragen voor cybersecurityprofessionals en -leiders nu we een meer omstreden periode van cybersecuritywetgeving ingaan.
Achtergrond
Wat is de Loper Bright Decision?
De Loper Bright-uitspraak van het Amerikaanse Hooggerechtshof vernietigde de Chevron-uitstel, met de verklaring dat rechtbanken, en niet agentschappen, alle relevante rechtsvragen zullen beslissen die voortvloeien uit de beoordeling van de actie van een agentschap. Het Hof oordeelde dat omdat de tekst van de Administrative Procedure Act (APA) duidelijk is, interpretaties van statuten door agentschappen geen recht hebben op uitstel. De uitspraak benadrukte dat rechtbanken onafhankelijk oordeel moeten vellen bij het bepalen of een agentschap binnen zijn wettelijke bevoegdheid heeft gehandeld. Deze uitspraak verschuift de bevoegdheid van wettelijke interpretatie van federale agentschappen naar de rechterlijke macht.
Wat was de Chevron Deference?
De Chevron-uitstel vereiste dat rechtbanken zich moesten schikken naar de redelijke interpretaties van ambigue statuten door federale agentschappen. Het kwam voort uit de zaak Chevron USA, Inc. v. Natural Resources Defense Council van het Hooggerechtshof uit 1984. Onder Chevron zouden rechtbanken zich schikken naar de interpretatie van het agentschap als een statuut ambigu was, als het redelijk was. Deze uitstel heeft het bestuursrecht bijna 40 jaar lang vormgegeven.
Welke directe stappen moeten bedrijven nu overwegen om te nemen om te zorgen dat ze voldoen aan de cyberbeveiligingsvoorschriften die mogelijk voor de rechter worden aangevochten?
Er is nog niets veranderd. Om echter te zorgen voor naleving van cybersecurityregelgeving die nu voor de rechter kan worden aangevochten, moeten bedrijven:
- Beoordeel bestaande cyberbeveiligingsvereisten om ervoor te zorgen dat deze aansluiten bij de huidige regelgeving die wordt ondersteund door een duidelijke wettelijke bevoegdheid.
- Blijf op de hoogte van rechterlijke uitspraken en regelgevende wijzigingen. Het afschaffen van Chevron-uitstel betekent dat rechtbanken de interpretaties van agentschappen nauwkeuriger zullen onderzoeken.
- Wees voorbereid op het bijwerken van nalevingsprogramma’s als de wettelijke of regelgevende vereisten veranderen als gevolg van jurisprudentie.
- Werk samen met juridische experts om u te oriënteren op het veranderende regelgevingslandschap.
Effectieve cybersecuritycontroles worden ingezet wanneer ze worden toegewezen aan een of meer overeengekomen risico’s, die zowel regelgevende of wettelijke vereisten als externe bedreigingen kunnen omvatten. Bedrijven moeten overwegen om controles bij te werken of te verwijderen in het licht van toekomstige jurisprudentie op basis van Loper Bright, maar alleen als die controles uitsluitend voor regelgevende doeleinden bestonden en geen extra risico’s verminderden. Bedrijven moeten ervoor zorgen dat hun controles duidelijk traceerbaar zijn naar vereisten, zodat ze snel de effecten van toekomstige regelgevende wijzigingen kunnen beoordelen.
Welke gevolgen heeft de uitspraak in de zaak Loper Bright voor de handhaving van bestaande cybersecurityregelgeving van de FTC, SEC en andere instanties?
De Loper Bright-uitspraak zal cybersecurityregelgeving waarschijnlijk kwetsbaarder maken voor juridische uitdagingen. Rechtbanken zullen niet langer de interpretaties van dubbelzinnige statuten door agentschappen respecteren en hun eigen onafhankelijke oordeel vellen. Deze verschuiving kan leiden tot frequentere juridische uitdagingen, meer toezicht op regelgeving en vertragingen. Hieronder volgt een gedeeltelijke lijst van agentschappen die mogelijk worden getroffen door rechtszaken na Loper Bright:
- FTC-code: Recente regelgeving van de FTC onder Sectie 5 omvat de Health Breach Notification Rule en voorgestelde wijzigingen in de Children’s Online Privacy Protection Rule kunnen worden aangevochten.
- SEC: In de Securities and Exchange Acts van 1933 en 1934 wordt cybersecurity niet genoemd. Dit kan ertoe leiden dat de SEC haar vereiste van openbaarmaking van cybersecurity binnen vier dagen na het vaststellen van de materialiteit aanvecht.
- Algemene voorwaarden: Toezichthouders hebben onlangs hun regels uitgebreid met een reeks vereisten voor het melden van cyberincidenten voor financiële instellingen
- TSA-beveiligingsdienst: De noodwijzigingen die de TSA in 2022 doorvoert met betrekking tot cyberbeveiligingseisen voor passagiers- en goederenvervoerders, maar ook voor luchthavens en vliegtuigexploitanten, kunnen worden aangevochten.
- CISA-overeenkomst: De voorgestelde regelgeving van het Cybersecurity Infrastructure and Security Agency (CISA) voor de implementatie van de Cyber Incident Reporting for Critical Infrastructure Act van 2022, kent brede interpretaties en kan worden aangevochten onder nieuw juridisch toezicht.
Welke gevolgen kan de uitspraak in de zaak Loper Bright hebben voor de consistentie van cybersecurityregelgeving en de handhaving daarvan in verschillende rechtsgebieden?
De Loper Bright-beslissing kan gevolgen hebben voor de consistentie van cybersecurityregelgeving en -handhaving in verschillende rechtsgebieden. Door de Chevron-uitstel te elimineren, hebben rechtbanken nu meer mogelijkheden om wetten onafhankelijk te interpreteren, wat kan leiden tot uiteenlopende interpretaties en toepassingen van cybersecuritywetten. Deze inconsistentie kan bedrijven dwingen om hun complianceprogramma’s vaker aan te passen vanwege uiteenlopende interpretaties in verschillende rechtsgebieden.
Welke potentiële invloed zal het afschaffen van de Chevron-uitzondering hebben op de ontwikkeling van toekomstige regelgeving op het gebied van cyberveiligheid?
Het verwijderen van de Chevron-deference zal waarschijnlijk leiden tot een meer gefragmenteerde en inconsistente regelgevingsomgeving voor cybersecurity. Federale agentschappen zullen meer dwingende rechtvaardigingen en details moeten geven voor hun regelgevingsbeslissingen. Deze verschuiving kan leiden tot meer rechterlijke toetsing van bestaande regelgeving en voorgestelde regels, waardoor het voor agentschappen als de FTC en CISA moeilijker wordt om zich snel aan te passen aan nieuwe bedreigingen.
Rechtbanken zullen de overtuigingskracht van interpretaties van agentschappen in overweging nemen en hun expertise alleen gewicht geven als deze bijzonder informatief is en gebaseerd op grondige, consistente redeneringen. Deze verschuiving zal waarschijnlijk resulteren in toegenomen juridische uitdagingen voor bestaande cybersecurityregelgeving en nieuwe regelgeving, wat nalevingsinspanningen compliceert.
Welke rol kan rechterlijke interpretatie spelen bij het bepalen van de reikwijdte van cybersecurityregelgeving na Loper Bright?
Juridische interpretatie zal een belangrijke rol spelen bij het definiëren van de reikwijdte van cybersecurityregelgeving na Loper Bright. Rechtbanken zullen onafhankelijk de wettelijke bevoegdheid van agentschappen beoordelen, wat kan leiden tot meer gefragmenteerde en inconsistente regelgevingsomgevingen. Deze verandering vereist een herevaluatie van naleving van regelgeving en pleitbezorgingsbenaderingen.
Uiteindelijk onderstreept de beslissing de noodzaak voor het Congres om duidelijkere wettelijke richtlijnen te geven voor cyberbeveiligingsregelgeving, zodat deze bestand is tegen rechterlijke toetsing.
Opmerking: Dit artikel is deskundig geschreven en bijgedragen door Kayne McGladrey, Field CISO bij Hyperproof.