Отмяната на доктрината „Шеврон“ от Върховния съд ще има голямо въздействие върху определянето и прилагането на киберрегулирането в САЩ и по света.

Неотдавнашното решение на Върховния съд прехвърли прилагането на нормативната уредба от федералните агенции към съдебната система.

На 28 юни 2024 г. Върховният съд отмени правен принцип, известен като доктрината „Шеврон“ (или „Зачитане“). Тази доктрина датира от решение на Върховния съд от 1984 г. (Chevron срещу Съвета за защита на природните ресурси), което позволява на федералните агенции да използват собствения си експертен опит за тълкуване на неяснотите в закона.

Тя се превърна в основа на федералната система за регулиране чрез федералните агенции: правилата на агенциите, предназначени да изясняват и изпълняват законовите намерения, могат да бъдат прилагани от самите агенции. По този начин се прилагаше техническа експертиза и относителна бързина при прилагането на закона. Но последното решение на Върховния съд на САЩ отхвърля необходимостта съдилищата да проявяват зачитане на експертния опит на агенциите, отменяйки четиридесетгодишната практика. От SCOTUS,

Постановено: Законът за административното производство изисква от съдилищата да упражняват независима преценка, когато решават дали дадена агенция е действала в рамките на законовите си правомощия, и съдилищата не могат да се позовават на тълкуването на закона от страна на агенцията само защото законът е двусмислен.

Вече не е необходимо съдилищата да се съобразяват с доктрината „Шеврон“ по дела, които включват решения на агенциите относно собствените им правила. Тъй като голяма част от регулациите в областта на киберсигурността в САЩ се осъществяват чрез различни федерални агенции (като FDA, SEC и DHS), а не пряко от актове на Конгреса, това ще има голямо въздействие върху определянето и прилагането на киберрегулациите в САЩ.

„Това знаково решение на Върховния съд на САЩ вероятно ще има тектонични и дълготрайни последици за административното нормотворчество в САЩ“, коментира Илия Колоченко, адвокат в Platt Law LLP и главен изпълнителен директор на Immuniweb. „Като отмени 40-годишната доктрина Chevron, Върховният съд даде значително повече съдебна власт и свобода на действие на съдилищата при тълкуването на федералното законодателство, което може да бъде (и често е) неясно, неясно или просто мълчаливо по отношение на определени елементи, като например киберсигурността, неприкосновеността на личния живот или разкриването на нарушения на сигурността на данните.“

Ако бизнесът обжалва решение на агенцията, вече не е необходимо съдилищата да се съобразяват със становището на агенцията по въпроса. Това би могло да накара повече компании да обжалват решенията на агенциите, а добре финансираните компании да се отнасят към разпоредбите на САЩ по същия начин, по който се отнасят към разпоредбите на ЕС: маса документи, десетки адвокати и обжалване след обжалване.

„Мнозина вече прогнозират цунами от съдебни дела за федералните агенции и/или длъжностни лица, които сега ще могат да бъдат съдени безкрайно за взети решения“, коментира Кен Дънам, директор „Киберзаплахи“ в Qualys TRU.

В разговор със Скот Детроу в NPR професорът от Харвардския юридически факултет Джоди Фрийман добавя: „Това е огромно прехвърляне на правомощия обратно към съдилищата и далеч от агенциите. И за да го поставим в контекст, това е част от поредица дела, в които Върховният съд затруднява агенциите да си вършат работата.“

Колоченко отива по-далеч: „Ако съдът смята, че дадено административно правило е несъвместимо с подразбиращата се цел на закона… съдът вече може просто да отмени правилото. Правилата на SEC относно киберсигурността и оповестяването на пробиви или правилата на предложената CISA, свързани с критичната национална инфраструктура, изготвени съгласно CIRCIA, както и много други правила и разпоредби, могат евентуално да бъдат обявени за невалидни от съда.“

Изпълнението на CISA по CIRCIA може да бъде под особена заплаха. Неотдавна, на 4 април 2024 г., CISA публикува известие за предложение за създаване на правила (NPRM). Центърът за политика и право в областта на киберсигурността казва: „В предложеното правило се правят няколко широки тълкувания на законовия текст на CIRCIA, като се изисква обширно докладване на киберинциденти от голям брой субекти в секторите на критичната инфраструктура.“ При евентуално обжалване съдилищата вече не трябва да се съобразяват с „широките тълкувания“ на агенциите.

„Тази промяна вероятно ще доведе до оспорване на повече регулаторни действия, които в крайна сметка ще бъдат отменени, което ще доведе до правна несигурност за регулаторните органи и индустриите, които те наблюдават“, добавя Джейсън Портър, вицепрезидент и главен технически директор в Optiv + ClearShark.

Подобни мисли, разбира се, са песимистични. Тепърва предстои да видим как решението на Върховния съд на САЩ (SCOTUS) ще се прояви във времето, а потенциално има и някои по-оптимистични резултати. „Виждам както плюсове, така и минуси в неотдавнашното решение на Върховния съд, отменящо зачитането на Chevron“, коментира Аарон Роуз, офис на главния технически директор в Check Point Software. Основната полза е, че то може да принуди Конгреса да изготви по-подробно и по-добре дефинирано законодателство и да гарантира, че агенциите основават своите разпоредби на буквата на закона, а не на собствения си (макар и по-експертен) списък с желания.

„Освен това – добавя той – засиленият съдебен надзор означава, че съдилищата ще тълкуват законите, а не агенциите, което потенциално може да доведе до по-последователни и справедливи решения, основани на установени правни принципи.“

Недостатъците, които той вижда, са подобни на опасенията на други хора. „С бързото развитие на технологиите, особено в областта на киберсигурността, навременното адаптиране е от решаващо значение. Решението на Върховния съд би могло да забави прилагането на необходимите мерки, оставяйки пропуски, от които да се възползват хакери и лоши играчи. Въпреки че агенциите все още могат да създават свои собствени правила и разпоредби, за да се адаптират към нововъзникващите заплахи, съществува правна несигурност дали тези правила ще бъдат подкрепени от съдилищата.“

Той заключава: „Необходимостта от подробни закони би могла да направи нормативните актове по-ясни и по-конкретни, за да се избегнат правни предизвикателства, но това може да забави реакцията на нововъзникващите заплахи и да създаде правна несигурност.“

Законите се пишат от политици, които не са експерти в областта на технологиите. Те се тълкуват и прилагат от съдии, които не са технологични експерти. Единствените експерти в тази област са агенциите, но те са надути от Върховния съд на САЩ. Трудно е да се види кой има полза от това развитие. Това е като слепият да води слепия, докато кастрира кучето водач.