Loper Bright kararı etkili sonuçlar verdi: Yüksek Mahkeme kırk yıllık idari hukuku bozdu ve bu da federal kurumlar tarafından daha önce kararlaştırılan belirsiz yasaların yorumlanmasıyla ilgili olası davalara yol açtı. Bu makale, siber güvenlik hukukunun daha çekişmeli bir dönemine girerken siber güvenlik profesyonelleri ve liderleri için temel soruları araştırıyor.
Arka plan
Loper Bright Kararı Nedir?
ABD Yüksek Mahkemesi’nin Loper Bright kararı, Şevron saygısımahkemelerin, kurumların değil, kurum eylemlerinin incelenmesinde ortaya çıkan tüm ilgili hukuk sorularına karar vereceğini belirterek. Mahkeme, İdari Prosedür Yasası’nın (APA) metninin açık olması nedeniyle, kurumların tüzük yorumlarının saygı görmeye hak kazanmadığını belirtti. Karar, mahkemelerin bir kurumun yasal yetkisi dahilinde hareket edip etmediğine karar verirken bağımsız yargı kullanması gerektiğini vurguladı. Bu karar, yasal yorumlama gücünü federal kurumlardan yargıya kaydırıyor.
Chevron Saygısı neydi?
Chevron saygısı, mahkemelerin federal kurumların belirsiz kanunların makul yorumlarına saygı göstermesini gerektiriyordu. 1984 Yüksek Mahkeme davası Chevron USA, Inc. v. Natural Resources Defense Council’dan kaynaklanmıştır. Chevron uyarınca, bir kanun belirsizse, mahkemeler makulse kurumun yorumuna saygı gösterirdi. Bu saygı, yaklaşık 40 yıl boyunca idari hukuku şekillendirdi.
Şirketler, mahkemede itiraz edilebilecek siber güvenlik düzenlemelerine uyumu sağlamak için hangi acil adımları atmayı düşünmelidir?
Henüz hiçbir şey değişmedi. Ancak, artık mahkemede itiraz edilebilecek siber güvenlik düzenlemelerine uyumu sağlamak için şirketler şunları yapmalıdır:
- Mevcut siber güvenlik gereksinimlerini, net yasal yetkilerle desteklenen mevcut düzenlemelerle uyumlu olduklarından emin olmak için değerlendirin.
- Mahkeme kararları ve düzenleyici değişiklikler hakkında güncel kalın. Chevron saygısının kaldırılması, mahkemelerin kurum yorumlarını daha yakından inceleyeceği anlamına gelir.
- Hukuki veya düzenleyici gereklilikler hukuksal düzenlemeler sonucunda değiştiğinde uyumluluk programlarınızı güncellemeye hazır olun.
- Değişen düzenleyici alanda yolunuzu bulmak için hukuk uzmanlarıyla çalışın.
Etkili siber güvenlik kontrolleri, bunlar devreye alındığında devreye girer. bir veya daha fazla üzerinde anlaşılan riske göre eşleştirilmişdüzenleyici veya yasal gerekliliklerin yanı sıra dış tehditleri de içerebilir. Şirketler, yalnızca bu kontroller yalnızca düzenleyici amaçlar için mevcutsa ve ek riskleri azaltmadıysa, Loper Bright’a dayalı gelecekteki herhangi bir içtihat ışığında kontrolleri güncellemeyi veya kaldırmayı düşünmelidir. Şirketler, gelecekteki düzenleyici değişikliklerin etkilerini hızla değerlendirebilmeleri için kontrollerinin gerekliliklere göre net bir şekilde izlenebilir olduğundan emin olmalıdır.
Loper Bright kararı, FTC, SEC ve diğerleri kapsamındaki mevcut siber güvenlik düzenlemelerinin uygulanmasını nasıl etkileyecek?
Loper Bright kararı muhtemelen siber güvenlik düzenlemelerini yasal itirazlara karşı daha savunmasız hale getirecek. Mahkemeler artık belirsiz tüzüklerin kurum yorumlarına itibar etmeyecek ve bağımsız yargılarını kullanacak. Bu değişim daha sık yasal itirazlara, düzenlemelerin daha fazla incelenmesine ve gecikmelere yol açabilir. Loper Bright sonrası davalardan etkilenebilecek kurumların kısmi bir listesi aşağıdadır:
- FTC: FTC’nin 5. Bölüm kapsamındaki son düzenlemeleri arasında Sağlık İhlali Bildirim Kuralı yer alıyor ve Çocukların Çevrimiçi Gizliliğinin Korunması kuralında önerilen değişiklikler itiraz konusu olabilir.
- SEC: 1933 ve 1934 tarihli Menkul Kıymetler ve Borsa Kanunları siber güvenlikten bahsetmemektedir; bu durum, önemlilik tespitinden itibaren dört gün içinde siber güvenlik açıklamalarının yapılması gerekliliğine ilişkin SEC’e itiraz edilmesine yol açabilir.
- GLBA’da: Düzenleyiciler yakın zamanda finans kuruluşları için bir dizi siber olay raporlama gereksinimiyle kurallarını genişlettiler
- TSA: TSA’nın yolcu ve yük trenleri ile havalimanı ve uçak operatörleri için siber güvenlik gerekliliklerine ilişkin 2022’deki acil durum değişiklikleri itiraz edilebilir.
- CİSA: Siber Güvenlik Altyapısı ve Güvenlik Ajansı’nın (CISA) 2022 Kritik Altyapı için Siber Olay Bildirimi Yasası’nın uygulanmasına ilişkin önerdiği kural, geniş yorumlar içeriyor ve yeni yargısal inceleme altında itiraz edilebilir.
Loper Bright kararı, siber güvenlik düzenlemelerinin ve yaptırımlarının farklı yargı bölgelerindeki tutarlılığını nasıl etkileyebilir?
Loper Bright kararı, farklı yargı bölgelerindeki siber güvenlik düzenlemelerinin ve yaptırımlarının tutarlılığını etkileyebilir. Chevron saygısını ortadan kaldırarak, mahkemeler artık yasaları bağımsız olarak yorumlama konusunda daha fazla yetkiye sahip olacak ve bu da siber güvenlik yasalarının farklı yorumlanmasına ve uygulanmasına yol açabilir. Bu tutarsızlık, yargı bölgelerindeki farklı yorumlar nedeniyle işletmeleri uyumluluk programlarını daha sık uyarlamaya zorlayabilir.
Chevron saygısının kaldırılması gelecekteki siber güvenlik düzenlemelerinin gelişimini nasıl etkileyecek?
Chevron saygısının kaldırılması muhtemelen siber güvenlik için daha parçalı ve tutarsız bir düzenleyici ortam yaratacaktır. Federal kurumların kural koyma kararları için daha ikna edici gerekçeler ve ayrıntılar sağlaması gerekecektir. Bu değişim, mevcut düzenlemelerin ve önerilen kuralların daha fazla yargısal incelemesine yol açabilir ve FTC ve CISA gibi kurumların yeni tehditlere hızla uyum sağlamasını zorlaştırabilir.
Mahkemeler, kurum yorumlarının ikna edici gücünü dikkate alacak ve yalnızca özellikle bilgilendirici ve kapsamlı, tutarlı akıl yürütmeye dayalıysa uzmanlıklarına ağırlık verecektir. Bu değişimin, mevcut siber güvenlik düzenlemelerine ve yeni kural koymalara yönelik artan yasal itirazlarla sonuçlanması ve uyumluluk çabalarını karmaşıklaştırması muhtemeldir.
Loper Bright sonrası siber güvenlik düzenlemelerinin kapsamının tanımlanmasında yargısal yorumun rolü ne olabilir?
Yargısal yorumlama, Loper Bright sonrası siber güvenlik düzenlemelerinin kapsamını tanımlamada önemli bir rol oynayacaktır. Mahkemeler, kurumların yasal yetkisini bağımsız olarak değerlendirecek ve bu da potansiyel olarak daha parçalı ve tutarsız düzenleyici ortamlara yol açacaktır. Bu değişiklik, düzenleyici uyumluluğun ve savunuculuk yaklaşımlarının yeniden değerlendirilmesini gerektirir.
Sonuç olarak bu karar, Kongre’nin siber güvenlik düzenlemelerinin yargısal incelemeye dayanabilmesi için daha net yasal rehberlik sağlaması gerektiğinin altını çiziyor.