La Corte Suprema de Estados Unidos bloqueó recientemente las recientes regulaciones y planes de seguridad cibernética. Para luchar contra la proliferación de amenazas a la seguridad cibernética, la administración del presidente Biden ha recurrido a usos creativos de leyes existentes para proteger la infraestructura crítica de las amenazas a la seguridad cibernética. Sin embargo, la Corte Suprema ahora ha debilitado esa herramienta en la caja de herramientas de la administración, y el futuro de las regulaciones de seguridad cibernética de Estados Unidos en el corto plazo es turbio. En Loper Bright Enterprises v. Raimondo, la Corte Suprema anuló su conocido precedente en Chevron v. National Resources Defense Council, donde creó la doctrina conocida como la Deferencia Chevron. La Deferencia Chevron requería que los tribunales se sometieran a la interpretación razonable de una agencia federal de una cuestión o pregunta ambigua. Cuando la agencia estaba específicamente facultada por el Congreso para llenar los vacíos en la legislación, era una norma estricta. Las decisiones de la agencia eran vinculantes para los tribunales a menos que fueran defectuosas en el procedimiento, arbitrarias o caprichosas en el fondo, o manifiestamente contrarias a la ley. Ya no es así. En una decisión de 6 a 3, que siguió líneas partidistas, la Corte Suprema eliminó el requisito de que los tribunales se sometan a la interpretación razonable de la ley por parte de una agencia. La Corte Suprema citó el “papel tradicional” de la corte de “decir cuál es la ley”. Si bien la opinión mayoritaria de Loper no proporciona explícitamente un nuevo marco para la revisión judicial de las interpretaciones de la agencia, sugirió que al revisar una impugnación a una acción de la agencia, un tribunal puede considerar la interpretación de la agencia si “tiene el poder de persuadir”, pero no puede basarse únicamente en ella y, en última instancia, debe llegar a un juicio independiente. Independientemente de si Chevron tenía razón o no, y tuvo sus críticos, la decisión de Loper indudablemente cambia el equilibrio de poder entre las ramas del gobierno estadounidense, quitándole poder al poder ejecutivo y entregándoselo al poder judicial y al Congreso. La decisión probablemente conducirá a un marco regulatorio más fragmentado e inconsistente. La decisión de Loper afectará las regulaciones actuales y futuras de seguridad cibernética El fallo de Loper puede obstaculizar la capacidad de las agencias federales de EE. UU. para abordar de manera efectiva asuntos de tecnología emergente, como amenazas de seguridad cibernética e inteligencia artificial (IA), que requieren conocimiento especializado y acción rápida. El poder ejecutivo ha pasado años interpretando creativamente las leyes existentes y aplicándolas a la seguridad cibernética, en lugar de esperar a que un Congreso dividido legisle sobre seguridad cibernética. La Deferencia Chevron fue un pilar que empoderó a las agencias federales para interpretar leyes estadounidenses vagas en función de su experiencia en la materia y crear y hacer cumplir regulaciones. Su desaparición puede alterar las regulaciones federales de seguridad cibernética, transfiriendo la autoridad regulatoria final de las agencias a los tribunales. El fin de la Deferencia Chevron impulsará un aumento en los litigios y complicará el cumplimiento y la armonización de la seguridad cibernética. Antes de Loper, los tribunales generalmente se remitían a las decisiones de las agencias, y las empresas enfrentaban pocas probabilidades de éxito en los desafíos de litigio. Ahora, con un camino más fácil, es probable que veamos a más empresas recurrir a los litigios y correr hacia los tribunales, lo que creará caos al crear divisiones en los tribunales y un entorno regulatorio menos predecible. Algunos ejemplos de normas de agencias en riesgo incluyen: Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA). Las normas de la CISA implementan la Ley de Informes de Incidentes Cibernéticos para Infraestructura Crítica de 2022, que crea requisitos para que la infraestructura crítica notifique al gobierno cuando haya sido violada. Sus objetivos incluyen recopilar datos, analizar amenazas y crear inteligencia procesable para prepararse y responder mejor a las amenazas de seguridad cibernética. El Congreso ordenó a la CISA que emprendiera el proceso de elaboración de normas para definir la ley y llenar numerosos vacíos interpretativos. Las normas propuestas por la CISA se han publicado y se han comentado, y se espera que las normas finales estén listas el próximo año. Se esperan desafíos a las normas finales, incluido el quién, qué, cuándo, dónde y cómo de los informes. Comisión de Bolsa y Valores (SEC). Basándose en estatutos antiguos para abordar la seguridad cibernética, en julio de 2023, la SEC estableció requisitos de que las empresas públicas informen de incidentes cibernéticos materiales dentro de los cuatro días posteriores a la determinación de la materialidad, así como requisitos de que las empresas públicas divulguen sus estrategias de gestión de riesgos cibernéticos en informes anuales. Ahora se espera que estos requisitos sean impugnados en los tribunales. Comisión Federal de Comercio (FTC). La agencia se ha basado en leyes de competencia desleal y prácticas comerciales engañosas de hace décadas para elaborar regulaciones, incluida la propuesta de amplias reglas de privacidad y seguridad de datos. Se espera que las reglas existentes y propuestas estén sujetas a un escrutinio intenso. El sector privado será crucial en el establecimiento de estándares Debido a la incertidumbre, el sector privado ahora será mucho más crucial en la configuración de estándares y normas de seguridad cibernética más allá de la política federal. Las organizaciones deben fortalecer su postura de seguridad cibernética, para protegerse contra requisitos regulatorios inciertos. Necesitarán reforzar sus equipos legales para analizar y ayudar a dar forma al panorama regulatorio de seguridad cibernética. El sector privado ahora debe trabajar más de cerca con el gobierno en regulaciones de seguridad cibernética, presionando al Congreso para que actúe decisivamente para proteger servicios críticos. Las organizaciones también deben examinar las reglas propuestas para garantizar la claridad y la intención del Congreso. Posibles ramificaciones globales en cibernética Estados Unidos a menudo juega un papel principal en el establecimiento de normas y estándares internacionales y, a medida que sus regulaciones y estándares se adoptan ampliamente, otros países pueden seguir su ejemplo. Sin embargo, si las regulaciones federales estadounidenses son alteradas por los tribunales, puede causar incertidumbres en la comunidad internacional sobre la capacidad de Estados Unidos para liderar. Uno de los pilares de la Estrategia Nacional de Ciberseguridad 2023 del Presidente Biden es fomentar la colaboración internacional. Dada la naturaleza transversal de los negocios actuales, es fundamental que el mundo trabaje en conjunto para armonizar los asuntos de ciberseguridad. Si Estados Unidos es demasiado lento o ambiguo, otros países y el sector privado pueden verse obligados a asumir un papel de liderazgo. Brian Arnold es director de asuntos legales en Huntress, un proveedor de servicios de seguridad gestionados y especialista en investigación de amenazas. Comenzó su carrera en el desarrollo de software B2B antes de pasarse al derecho a mediados de la década de 2000, especializándose en derecho de propiedad intelectual en varias firmas estadounidenses. Antes de unirse a Huntress, se desempeñó como asesor principal especializado en innovación, TI, telemedicina, privacidad de datos y ciberseguridad para un importante proveedor de atención médica.