La Corte Suprema de los Estados Unidos recientemente bloqueó recientes regulaciones y planes de seguridad cibernética. Para combatir la proliferación de amenazas a la seguridad cibernética, la administración del presidente Biden se ha basado en usos creativos de las leyes existentes para proteger la infraestructura crítica de las amenazas a la seguridad cibernética. Sin embargo, la Corte Suprema ahora ha debilitado esa herramienta en la caja de herramientas de la administración, y el futuro de las regulaciones de seguridad cibernética de Estados Unidos en el corto plazo es turbio.
En Loper Bright Enterprises v. Raimondo, la Corte Suprema anuló su conocido precedente en Chevron v. National Resources Defense Council, donde creó la doctrina conocida como Chevron Deference.
La Deferencia de Chevron exigía que los tribunales cediesen a la interpretación razonable de una agencia federal de una cuestión o cuestión ambigua. Cuando el Congreso autorizó específicamente a la agencia a llenar los vacíos en la legislación, se trataba de un estándar estricto. Las decisiones de la agencia eran vinculantes para los tribunales a menos que fueran defectuosas en el procedimiento, arbitrarias o caprichosas en el fondo, o manifiestamente contrarias a la ley. Ya no.
En una decisión de 6 a 3 en línea con el partido, el fallo del Tribunal Loper eliminó el requisito de que los tribunales cedan ante la interpretación razonable de la ley por parte de una agencia. La Corte Suprema citó el “papel tradicional” del tribunal para “decir cuál es la ley”.
Si bien la opinión mayoritaria de Loper no proporciona explícitamente un nuevo marco para la revisión judicial de las interpretaciones de la agencia, sugirió que al revisar una impugnación de una acción de la agencia, un tribunal puede considerar la interpretación de la agencia si “tiene el poder de persuadir”, pero no puede confiar en ella. sólo sobre ello y, en última instancia, debe llegar a un juicio independiente.
Independientemente de que Chevron tuviera razón o no, y tuviera sus críticos, el fallo Loper indudablemente cambia el equilibrio de poder entre los poderes del gobierno estadounidense, quitando poder al ejecutivo y entregándolo al judicial y al Congreso. La decisión probablemente conducirá a un marco regulatorio más fragmentado e inconsistente.
La decisión de Loper afectará a las regulaciones de ciberseguridad actuales y futuras
El fallo Loper puede obstaculizar la capacidad de las agencias federales estadounidenses para abordar eficazmente cuestiones tecnológicas emergentes, como las amenazas a la seguridad cibernética y la inteligencia artificial (IA), que requieren conocimientos especializados y acciones rápidas.
El poder ejecutivo ha pasado años interpretando creativamente las leyes existentes y aplicándolas a la seguridad cibernética, en lugar de esperar a que un Congreso dividido legisle sobre seguridad cibernética.
La Deferencia Chevron fue un pilar que empoderó a las agencias federales para interpretar leyes estadounidenses vagas en función de su experiencia en la materia y crear y hacer cumplir regulaciones. Su desaparición puede perturbar las regulaciones federales de seguridad cibernética, transfiriendo la máxima autoridad regulatoria de las agencias a los tribunales.
El fin de la Deferencia de Chevron impulsará un aumento de los litigios y complicará el cumplimiento y la armonización de la seguridad cibernética. Antes de Loper, los tribunales normalmente se remitían a las decisiones de las agencias y las empresas enfrentaban grandes probabilidades de tener éxito en los litigios. Ahora, con un camino más fácil, es probable que más empresas recurran a los litigios y corran hacia los tribunales, lo que creará caos al generar divisiones en los tribunales y un entorno regulatorio menos predecible.
Algunos ejemplos de reglas de agencias en riesgo incluyen:
- Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA). CISA reglamenta la implementación de la Ley de notificación de incidentes cibernéticos para infraestructuras críticas de 2022, que crea requisitos para que las infraestructuras críticas notifiquen al gobierno cuando hayan sido violadas. Sus objetivos incluyen recopilar datos, analizar amenazas y crear inteligencia procesable para prepararse y responder mejor a las amenazas a la seguridad cibernética. El Congreso ordenó a CISA que emprendiera el proceso de elaboración de normas para definir la ley y llenar numerosos vacíos interpretativos. Las reglas propuestas por CISA han sido publicadas y comentadas, y se esperan reglas finales el próximo año. Espere desafíos a las reglas finales, incluido quién, qué, cuándo, dónde y cómo de los informes.
- Comisión de Bolsa y Valores (SEC). Basándose en estatutos antiguos para abordar la seguridad cibernética, en julio de 2023, la SEC estableció requisitos para que las empresas públicas informen sobre incidentes cibernéticos importantes dentro de los cuatro días posteriores a la determinación de la materialidad, así como requisitos para que las empresas públicas revelen sus estrategias de gestión de riesgos cibernéticos en informes anuales. Ahora se espera que estos requisitos sean impugnados ante los tribunales.
- Comisión Federal de Comercio (FTC). La agencia se ha basado en leyes de competencia desleal y prácticas comerciales engañosas de décadas de antigüedad a lo largo de los años para elaborar regulaciones, incluida la propuesta de amplias reglas de seguridad y privacidad de datos. Se espera que las normas existentes y propuestas sean objeto de un intenso escrutinio.
El sector privado será crucial para establecer estándares
Debido a la incertidumbre, el sector privado ahora será mucho más crucial a la hora de dar forma a los estándares y normas de seguridad cibernética más allá de la política federal. Las organizaciones deben fortalecer su postura de seguridad cibernética para protegerse contra requisitos regulatorios inciertos. Tendrán que reforzar sus equipos legales para analizar y ayudar a dar forma al panorama regulatorio de la seguridad cibernética.
El sector privado ahora debería trabajar más estrechamente con el gobierno en materia de regulaciones de seguridad cibernética, presionando al Congreso para que actúe con decisión para proteger los servicios críticos. Las organizaciones también deberían examinar las reglas propuestas para garantizar la claridad y la intención del Congreso.
Posibles ramificaciones globales en cibernética
Estados Unidos suele desempeñar un papel de liderazgo en el establecimiento de normas y estándares internacionales y, a medida que sus regulaciones y estándares se adoptan ampliamente, otros países pueden seguir su ejemplo. Sin embargo, si los tribunales alteran las regulaciones federales estadounidenses, esto puede causar incertidumbre en la comunidad internacional sobre la capacidad de Estados Unidos para liderar.
Uno de los pilares de la Estrategia Nacional de Ciberseguridad 2023 del presidente Biden es fomentar la colaboración internacional. Dada la naturaleza transversal de los negocios hoy en día, es fundamental que el mundo trabaje en conjunto para armonizar las cuestiones de seguridad cibernética. Si Estados Unidos es demasiado lento o ambiguo, otros países y el sector privado pueden verse obligados a asumir un papel de liderazgo.
Brian Arnold es director de asuntos legales del proveedor de servicios de seguridad gestionados y especialista en investigación de amenazas Huntress. Comenzó su carrera en el desarrollo de software b2b antes de pasarse al derecho a mediados de la década de 2000, especializándose en derecho de propiedad intelectual en varias firmas estadounidenses. Antes de unirse a Huntress, se desempeñó como abogado principal especializado en innovación, TI, telemedicina, privacidad de datos y cibernética para un importante proveedor de atención médica.