05 de agosto de 2024The Hacker NewsLey de ciberseguridad / Privacidad de datos La decisión Loper Bright ha arrojado resultados impactantes: la Corte Suprema ha revocado cuarenta años de derecho administrativo, lo que ha dado lugar a posibles litigios sobre la interpretación de leyes ambiguas decididas previamente por agencias federales. Este artículo explora preguntas clave para los profesionales y líderes de la ciberseguridad a medida que entramos en un período más polémico de la ley de ciberseguridad. Antecedentes ¿Qué es la decisión Loper Bright? La decisión Loper Bright de la Corte Suprema de los EE. UU. anuló la deferencia Chevron, estableciendo que los tribunales, no las agencias, decidirán todas las cuestiones de derecho relevantes que surjan de la revisión de la acción de la agencia. El Tribunal sostuvo que debido a que el texto de la Ley de Procedimiento Administrativo (APA) es claro, las interpretaciones de los estatutos por parte de las agencias no tienen derecho a deferencia. El fallo enfatizó que los tribunales deben ejercer un juicio independiente al decidir si una agencia ha actuado dentro de su autoridad estatutaria. Esta decisión transfiere el poder de interpretación estatutaria de las agencias federales al poder judicial. ¿Qué fue la deferencia Chevron? La deferencia de Chevron requería que los tribunales se sometieran a las interpretaciones razonables de las agencias federales de estatutos ambiguos. Se originó a partir del caso de la Corte Suprema de 1984 Chevron USA, Inc. v. Natural Resources Defense Council. Bajo Chevron, si un estatuto era ambiguo, los tribunales se sometían a la interpretación de la agencia si era razonable. Esta deferencia dio forma al derecho administrativo durante casi 40 años. ¿Qué medidas inmediatas deberían considerar tomar las empresas ahora para garantizar el cumplimiento de las regulaciones de ciberseguridad que podrían ser impugnadas en los tribunales? Nada ha cambiado, todavía. Sin embargo, para garantizar el cumplimiento de las regulaciones de ciberseguridad que ahora podrían ser impugnadas en los tribunales, las empresas deben: Evaluar los requisitos de ciberseguridad existentes para asegurarse de que se alineen con las regulaciones actuales que están respaldadas por una autoridad legal clara. Mantenerse actualizado sobre los fallos judiciales y los cambios regulatorios. La eliminación de la deferencia de Chevron significa que los tribunales examinarán las interpretaciones de las agencias más de cerca. Estar preparado para actualizar los programas de cumplimiento si los requisitos regulatorios o legales cambian como resultado de la jurisprudencia. Trabajar con expertos legales para navegar por el cambiante panorama regulatorio. Los controles de ciberseguridad eficaces se implementan cuando se asignan a uno o más riesgos acordados, que pueden incluir requisitos regulatorios o legales, así como amenazas externas. Las empresas deben considerar la actualización o eliminación de controles a la luz de cualquier jurisprudencia futura basada en Loper Bright solo si esos controles existían exclusivamente para fines regulatorios y no mitigaron riesgos adicionales. Las empresas deben asegurarse de que sus controles tengan una trazabilidad clara a los requisitos para que puedan evaluar rápidamente los efectos de cualquier cambio regulatorio futuro. ¿Cómo afectará la decisión Loper Bright a la aplicación de las regulaciones de ciberseguridad existentes bajo la FTC, la SEC y otros? La decisión Loper Bright probablemente hará que las regulaciones de ciberseguridad sean más vulnerables a los desafíos legales. Los tribunales ya no se deferirán a las interpretaciones de las agencias de estatutos ambiguos y ejercerán su juicio independiente. Este cambio puede conducir a desafíos legales más frecuentes, un mayor escrutinio de las regulaciones y demoras. A continuación, se incluye una lista parcial de las agencias que pueden verse afectadas por litigios posteriores a Loper Bright: FTC: La reciente reglamentación de la FTC bajo la Sección 5 incluye la Regla de Notificación de Violaciones de Salud y los cambios propuestos a la regla de Protección de la Privacidad Infantil en Línea podrían ser impugnados. SEC: Las Leyes de Valores y Bolsa de 1933 y 1934 no mencionan la ciberseguridad, lo que podría resultar en una impugnación del requisito de la SEC de divulgaciones de ciberseguridad dentro de los cuatro días posteriores a la determinación de la materialidad. GLBA: Los reguladores han ampliado recientemente sus reglas con una variedad de requisitos de informes de incidentes cibernéticos para las instituciones financieras TSA: Las enmiendas de emergencia de la TSA en 2022 para los requisitos de ciberseguridad para los transportistas ferroviarios de pasajeros y mercancías, así como para los operadores de aeropuertos y aeronaves, pueden ser impugnadas. CISA: La norma propuesta por la Agencia de Infraestructura y Seguridad de Ciberseguridad (CISA) para implementar la Ley de Informes de Incidentes Cibernéticos para Infraestructura Crítica de 2022, que tiene interpretaciones amplias y podría ser impugnada bajo un nuevo escrutinio judicial. ¿Cómo podría afectar la decisión Loper Bright a la coherencia de las regulaciones y la aplicación de la ciberseguridad en diferentes jurisdicciones? La decisión Loper Bright puede afectar a la coherencia de las regulaciones y la aplicación de la ciberseguridad en diferentes jurisdicciones. Al eliminar la deferencia Chevron, los tribunales ahora tienen más capacidad para interpretar los estatutos de forma independiente, lo que podría llevar a interpretaciones y aplicaciones variadas de las leyes de ciberseguridad. Esta inconsistencia podría obligar a las empresas a adaptar sus programas de cumplimiento con mayor frecuencia debido a las diferentes interpretaciones en las distintas jurisdicciones. ¿Cómo influirá potencialmente la eliminación de la deferencia Chevron en el desarrollo de futuras regulaciones de ciberseguridad? La eliminación de la deferencia Chevron probablemente creará un entorno regulatorio más fragmentado e inconsistente para la ciberseguridad. Las agencias federales necesitarán proporcionar justificaciones y detalles más convincentes para sus decisiones de elaboración de normas. Este cambio puede llevar a un mayor escrutinio judicial de las regulaciones existentes y las normas propuestas, lo que dificulta que agencias como la FTC y la CISA se adapten rápidamente a las nuevas amenazas. Los tribunales considerarán el poder persuasivo de las interpretaciones de las agencias, dando peso a su experiencia solo si es especialmente informativa y se basa en un razonamiento exhaustivo y consistente. Es probable que este cambio resulte en mayores desafíos legales a las regulaciones de ciberseguridad existentes y a las nuevas reglamentaciones, lo que complicará los esfuerzos de cumplimiento. ¿Qué papel puede desempeñar la interpretación judicial en la definición del alcance de las regulaciones de ciberseguridad después de Loper Bright? La interpretación judicial desempeñará un papel importante en la definición del alcance de las regulaciones de ciberseguridad después de Loper Bright. Los tribunales evaluarán de forma independiente la autoridad legal de las agencias, lo que conducirá a entornos regulatorios potencialmente más fragmentados e inconsistentes. Este cambio requiere una reevaluación del cumplimiento regulatorio y los enfoques de defensa. En última instancia, la decisión subraya la necesidad de que el Congreso proporcione una guía legal más clara para que las regulaciones de ciberseguridad resistan la revisión judicial. Nota: Este artículo está escrito y contribuido por Kayne McGladrey, CISO de campo en Hyperproof. ¿Le resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.