Der Loper Bright-Beschluss und seine Auswirkungen auf die Cybersicherheitsgesetze
Die Entscheidung von Loper Bright hat bedeutende Auswirkungen: Der Oberste Gerichtshof hat vierzig Jahre der Verwaltungsgerichtsbarkeit aufgehoben und potenzielle Rechtsstreitigkeiten über die Auslegung unklarer Gesetze, die zuvor von Bundesbehörden entschieden wurden, ermöglicht. Dieser Artikel untersucht wichtige Fragen für Cybersicherheitsfachleute und Führungskräfte, da wir eine zunehmend kontroverse Phase des Cybersicherheitsrechts betreten.
Hintergrund
Was ist der Loper Bright-Beschluss?
Der Loper Bright-Beschluss des Obersten Gerichtshofs der USA hat die sogenannte “Chevron-Deferenz” außer Kraft gesetzt, was bedeutet, dass Gerichte und nicht Behörden alle relevanten Rechtsfragen im Zusammenhang mit der Überprüfung behördlichen Handelns entscheiden werden. Das Gericht entschied, dass aufgrund der klaren Texte des Verwaltungsverfahrensgesetzes (APA) Behördeninterpretationen von Gesetzen keine besondere Berücksichtigung finden. Die Entscheidung betonte, dass Gerichte unabhängiges Urteil bei der Frage ausüben müssen, ob eine Behörde im Rahmen ihrer gesetzlichen Befugnisse gehandelt hat. Diese Entscheidung verlagert die Macht der Gesetzesauslegung von Bundesbehörden auf die Justiz.
Was war die Chevron-Deferenz?
Die Chevron-Deferenz verlangte von Gerichten, Behördeninterpretationen unklarer Gesetze zu akzeptieren, wenn diese vernünftig erschienen. Sie wurde durch den Supreme Court Fall Chevron U.S.A., Inc. v. Natural Resources Defense Council von 1984 begründet. Unter Chevron sollten Gerichte einer Behördeninterpretation folgen, wenn ein Gesetz unklar war und die Behördeninterpretation vernünftig erschien. Diese Deferenz prägte die Verwaltungsgerichtsbarkeit fast 40 Jahre lang.
Welche unmittelbaren Schritte sollten Unternehmen jetzt in Betracht ziehen, um die Einhaltung von Cybersicherheitsvorschriften sicherzustellen, die vor Gericht angefochten werden könnten?
Bislang hat sich nichts geändert. Unternehmen sollten jedoch Folgendes berücksichtigen, um die Einhaltung von Cybersicherheitsvorschriften sicherzustellen, die nun vor Gericht angefochten werden könnten:
Bestehende Cybersicherheitsanforderungen überprüfen, um sicherzustellen, dass sie mit aktuellen Vorschriften übereinstimmen, die auf klaren gesetzlichen Befugnissen beruhen.
Über Gerichtsurteile und regulatorische Änderungen auf dem Laufenden bleiben. Der Wegfall der Chevron-Deferenz bedeutet, dass Gerichte Behördeninterpretationen genauer prüfen werden.
Bereitschaft zeigen, Compliance-Programme anzupassen, wenn sich rechtliche Anforderungen infolge der Rechtsprechung ändern.
Mit Rechtsexperten zusammenarbeiten, um sich in der sich entwickelnden rechtlichen Landschaft zurechtzufinden.
Effektive Cybersicherheitskontrollen werden implementiert, wenn sie einem oder mehreren vereinbarten Risiken zugeordnet sind, die rechtliche Anforderungen und externe Bedrohungen umfassen können. Unternehmen sollten in Erwägung ziehen, Kontrollen zu aktualisieren oder zu entfernen, wenn dies ausschließlich aus regulatorischen Gründen erfolgt ist und keine zusätzlichen Risiken gemindert hat. Unternehmen sollten sicherstellen, dass ihre Kontrollen deutlich auf Anforderungen rückführbar sind, um die Auswirkungen möglicher zukünftiger rechtlicher Änderungen schnell bewerten zu können.
Wie wird sich die Loper Bright-Entscheidung auf die Durchsetzung bestehender Cybersicherheitsvorschriften durch die FTC, SEC und andere auswirken?
Die Loper Bright-Entscheidung wird wahrscheinlich dazu führen, dass Cybersicherheitsvorschriften anfälliger für rechtliche Herausforderungen werden. Gerichte werden sich nicht mehr auf Behördeninterpretationen unklarer Gesetze verlassen und unabhängiges Urteil fällen. Diese Veränderung könnte zu häufigeren rechtlichen Auseinandersetzungen, einer verstärkten Überprüfung von Vorschriften und Verzögerungen führen. Eine teilweise Liste von Behörden, die nach Loper Bright von Prozessen betroffen sein könnten, umfasst:
FTC: Die jüngsten FTC-Regelungen gemäß Abschnitt 5 umfassen die Health Breach Notification Rule, und vorgeschlagene Änderungen an der Regel zur Online-Privatsphäre von Kindern könnten angefochten werden.
SEC: Die Wertpapier- und Börsengesetze von 1933 und 1934 erwähnen keine Cybersicherheit, was zu einer Herausforderung der Anforderung der SEC führen könnte, Cybersicherheitsmitteilungen innerhalb von vier Tagen nach Feststellung der Materiellkeitskriterien zu veröffentlichen.
GLBA: Regulierungsbehörden haben kürzlich ihre Regeln um eine Reihe von Meldepflichten für Cyber-Vorfälle bei Finanzinstituten erweitert.
TSA: Die in 2022 vorgenommenen Notfalländerungen der TSA für Cybersicherheitsanforderungen bei Passagier- und Frachtbahnbetreibern sowie Flughäfen und Flugzeugbetreibern könnten angefochten werden.
CISA: Der von der Cybersecurity Infrastructure and Security Agency (CISA) vorgeschlagene Regelentwurf zur Umsetzung des Cyber Incident Reporting for Critical Infrastructure Act von 2022, der weitreichende Interpretationen beinhaltet und unter neuer gerichtlicher Prüfung angefochten werden könnte.
Wie könnte sich die Loper Bright-Entscheidung auf die Konsistenz von Cybersicherheitsvorschriften und deren Durchsetzung in verschiedenen Rechtsgebieten auswirken?
Die Loper Bright-Entscheidung könnte die Konsistenz von Cybersicherheitsvorschriften und ihrer Durchsetzung in verschiedenen Rechtsgebieten beeinflussen. Durch den Wegfall der Chevron-Deferenz haben Gerichte nun mehr Möglichkeiten, Gesetze unabhängig zu interpretieren, was zu unterschiedlichen Auslegungen und Anwendungen von Cybersicherheitsgesetzen führen könnte. Diese Inkonsistenz könnte Unternehmen dazu zwingen, ihre Compliance-Programme aufgrund unterschiedlicher Auslegungen in verschiedenen Rechtsgebieten häufiger anzupassen.
Wie könnte der Wegfall der Chevron-Deferenz die Entwicklung zukünftiger Cybersicherheitsvorschriften beeinflussen?
Der Wegfall der Chevron-Deferenz wird wahrscheinlich zu einer fragmentierten und inkonsistenten Regulierungsumgebung für Cybersicherheit führen. Bundesbehörden müssen überzeugendere Begründungen und Details für ihre Regelungsentscheidungen liefern. Diese Veränderung könnte zu einer verstärkten gerichtlichen Überprüfung bestehender Vorschriften und vorgeschlagener Regelungen führen, was es Behörden wie der FTC und CISA erschweren könnte, sich schnell an neue Bedrohungen anzupassen.
Gerichte werden die Überzeugungskraft von Behördeninterpretationen prüfen und deren Fachwissen nur dann gewichten, wenn es besonders informativ und auf sorgfältiger, konsistenter Argumentation beruht. Diese Veränderung dürfte zu vermehrten rechtlichen Herausforderungen für bestehende Cybersicherheitsvorschriften und neue Regelungen führen und die Compliance-Bemühungen erschweren.
Welche Rolle könnte die gerichtliche Interpretation bei der Definition des Umfangs von Cybersicherheitsvorschriften nach Loper Bright spielen?
Die gerichtliche Interpretation wird eine bedeutende Rolle bei der Definition des Umfangs von Cybersicherheitsvorschriften nach Loper Bright spielen. Gerichte werden die gesetzliche Befugnis von Behörden unabhängig bewerten, was zu möglicherweise fragmentierteren und inkonsistenten Regulierungsumgebungen führen könnte. Diese Veränderung erfordert eine Neubewertung von regulatorischer Compliance und Interessenvertretungsansätzen.
Letztendlich unterstreicht die Entscheidung die Notwendigkeit, dass der Kongress klarere gesetzliche Leitlinien für Cybersicherheitsvorschriften bereitstellen muss, um gerichtlichen Überprüfungen standzuhalten.