美国最高法院裁决或将引发网络监管混乱

美国最高法院已发布一项裁决，该裁决可能会颠覆所有联邦网络安全法规，将最终监管批准权从监管机构转移到法院。

一系列可能的诉讼可能会破坏拜登政府的一系列网络事件报告要求和其他近期的网络监管行动。

在Loper Bright Enterprises 诉 Raimondo案中，最高法院上周以六比三的投票结果，推翻了一项被称为“雪佛龙尊重（Chevron deference）”的法律先例，这令人震惊地推翻了近 40 年的监管法律。

雪佛龙尊重原则的范围是，当就某一特定问题或疑问向行政机构进行的立法授权不是明确的而是隐含时，法院不得以其对法规的解释取代行政机构的合理解释。

雪佛龙在 1984 年的一起最高法院案件中裁定，在需要解释国会意图的案件中，下级法院要听从专家监管机构的意见。

在Loper案中，最高法院裁定，法院而不是监管机构才是国会法律的最终仲裁者，这使影响社会几乎所有方面（从环境安全到金融欺诈）的数千条联邦法规受到质疑。

首席大法官约翰·罗伯茨 (John Roberts) 在Loper案中代表多数派写道：

法院必须行使独立判断，决定某个机构是否在其法定权限范围内行事。

罗伯茨还表示，法院不能仅仅因为国会颁布的法规含糊不清就遵从机构对法律的解释。

法院的裁决不会推翻之前依赖雪佛龙的案件，尽管挑战者可以自由地重新提起这些案件。

该决定可能会削弱所有联邦网络安全法规

虽然法院的裁决可能会削弱或大幅改变联邦机构曾经采用的所有网络安全要求，但过去四年实施的一系列网络监管举措可能会成为法律挑战的重点。

之前反对这些举措但可能由于尊重雪佛龙而不愿抗争的各方可能会受到鼓励对这些法规提出挑战。

尽管所有现行法规仍然有效，但随着法律挑战的展开，首席信息安全官面临的结果几乎肯定会是一定程度的不确定性。

美国各司法机构之间一系列相互矛盾的裁决可能会导致合规计划混乱，直到烟雾散去。

首席信息安全官应该预料到，一些法庭案件会削弱或取消许多现有的网络安全监管要求。

最近的网络法规最有可能受到挑战

法院判决后，一系列近期通过的网络法规可能会受到质疑，但一些近期法规成为诉讼的主要对象。

其中包括：

SEC 网络事件报告要求：2023 年，美国证券交易委员会 (SEC)通过了规则，要求注册人在确定重大网络安全事件的重大性后四天内披露其所经历的重大网络安全事件，并每年披露有关其网络安全风险管理、战略和治理的重大信息。

然而，正如网络安全法律和政策中心所指出的那样， SEC 制定规则所依据的《证券交易法》并未直接提及网络安全。

FCC 数据泄露报告规则：2023 年，美国联邦通信委员会 (FCC)更新并加强了针对通信提供商的数据泄露通知规则，以防止不当使用或泄露客户数据。

在发布新法规时，FCC大大扩展了其根据《通信法》所拥有的执法权，该法涉及对一类非常狭窄的客户数据（称为客户专有网络信息 (CPNI)）的保护，而不是委员会规则中反映的更广泛的客户数据。

CISA 网络事件报告要求：2024 年 4 月，美国网络安全和基础设施安全局 (CISA)提出了一项规则，以实施《2022 年关键基础设施网络事件报告法案》(CIRCIA) 规定的网络事件报告要求。

该规则预计要到 2025 年才会最终确定。然而，在制定规则时，CISA 必须对 CIRCIA 进行广泛的解释。

TSA 管道法规：2023 年，运输安全管理局发布了一项安全指令，要求液体和天然气管道以及液化天然气设施改进网络安全实践和缓解措施。

TSA 客运和货运铁路承运商的网络安全要求：2022 年，运输安全管理局 (TSA) 发布了一项新的网络安全指令，规范指定的客运和货运铁路承运商，以增强他们的网络安全防范和恢复能力。

TSA 对机场和飞机运营商的网络安全要求：运输安全管理局 (TSA)针对特定 TSA 监管的机场和飞机运营商的安全计划紧急发布了新的网络安全修正案。

TSA 对地面运输所有者和运营商的网络安全要求：2021 年，运输安全管理局 (TSA)发布了两项新的安全指令和额外指导，以自愿措施加强整个运输行业的网络安全。

《格雷姆-里奇-比利雷法案》要求：2021 年 12 月，联邦存款保险公司 (FDIC)、联邦储备系统委员会 (Board) 和货币监理署 (OCC)发布了一项联合最终规则，为银行组织及其银行服务提供商制定计算机安全事件通知要求。

FDIC 依据1999 年《格雷姆-里奇-比利雷法案》 (GLBA) 赋予的权力。

根据 GLBA，国家信用合作社管理局和商品期货交易委员会随后也采用了事件报告规则，而联邦贸易委员会则采用了“保障规则”，供金融机构保护客户数据。

未决行动甚至旧法规都可能被搁置

此名单中未包括几项待决的重要监管行动，这些行动虽然尚未最终确定，但进展顺利，并可能因Loper裁决而发生重大改变。

例如，海岸警卫队正在审议的规则更新了海事安全法规，增加了专门针对为悬挂美国国旗的船只制定最低网络安全要求的法规。

另一项仍在制定中的规则是联邦通信委员会正在审议的与边境网关协议的安全风险相关的要求，鉴于法院的裁决，该规则可能不得不改变其轨迹。

此外，诉讼当事人可能会试图撬开与监管机构挂钩的旧网络安全要求，例如北美电力可靠性公司制定的关键基础设施保护 (CIP) 规则。

联邦能源管理委员会于 2008 年赋予这些规则监管权力。

公用事业和公用事业贸易集团经常对这些要求的广度和深度提出质疑。

可以想象，美国核管理委员会于 2009 年 3 月制定的规则，旨在确保与核电站安全相关的数字计算机和通信系统免受网络攻击。

在后雪佛龙时代，这些规则可能会受到新的司法审查。

法院的裁决几乎肯定会给政府的其他网络安全行动带来阻碍，即使这些行动不涉及监管。

例如，联邦政府协调各种网络事件报告要求的努力可能会停止。

现行法规仍然有效，但要做好应对动荡的准备

所有现有的网络法规均已生效，但现状可能很快就会改变。

因为保守派团体和商业利益集团可能几个月前就认为法院会抛弃雪佛龙，现在可能正处于准备诉讼的最后阶段。

随着时间的推移，这一事件将如何发展还有待观察。但最有可能的直接影响可能是对法规的法律挑战。

许多联邦网络安全法规都是对旧法规和法律的重新解释，而这些法规和法律的制定并不一定考虑到新兴技术。

试图跟上威胁形势的机构必须将为保护消费者或安全而制定的法规应用于勒索软件等新攻击，而勒索软件在十年前并不存在，或者在十年前并不那么普遍。

最高法院的新裁决意味着，如果这些法规在法庭上受到质疑，对机构决定的尊重将减少，而法院将拥有更大的独立性来修改或推翻机构对法律的解释。

这将适用于现有的法规和即将出台的法规。

法院裁决造成的混乱将蔓延至日益分裂的美国国会，国会似乎无法制定清晰明确的法律。

这不仅对监管机构造成混乱，对国会也同样造成混乱。

首席信息安全官应做好应对监管风暴的准备

首席信息安全官们将不得不等待并观察裁决的结果，尤其是在国会分裂的情况下，国会往往会通过公开模棱两可的法律和有些模糊的语言作为达成政治共识的手段，同时依靠机构的专业知识来填补空白。

对于国会和各机构来说，这种做法比以前更加危险，因为司法机构现在拥有更大的权力来修改、推翻或自行解释。

而且司法机构往往比联邦机构拥有更少的技术专长和人力资源。

首席信息安全官 (CISO) 应该做好应对这场监管地震的准备。

对于首席信息安全官来说，最关键的是，针对监管的诉讼可能会放松监管。

然而，除此之外，我们可能会看到不同司法管辖区对监管的解释不一致或应用不一致。

这最终可能意味着，管理跨司法管辖区合规性的首席信息安全官可能必须考虑不同司法管辖区之间不同的监管要求，而且不确定法律和法规是否会因诉讼而改变。