O Tribunal Supremo dos EUA Enfraqueceu a Estratégia Cibernética dos EUA
O Tribunal Supremo dos Estados Unidos acaba de dar um golpe crucial na estratégia do governo Biden para proteger a infraestrutura crítica do país contra ciberataques. Essa decisão histórica pode abalar os planos de várias agências de exigir melhores medidas de cibersegurança de entidades como hospitais, sistemas de água e usinas de energia.
Principais Conclusões:
- A decisão do Tribunal Supremo enfraqueceu a doutrina da “deferência Chevron”, que permitia que as agências federais interpretassem as leis de maneira ampla para lidar com novos desafios, como a cibersegurança. Agora, os tribunais terão que determinar por conta própria o significado de leis ambíguas, não dando mais tanto peso às interpretações das agências.
- Isso ameaça o plano-chave do governo Biden na área de cibersegurança: uma regra pendente que exige que infraestruturas críticas reportem ataques cibernéticos e pagamentos de resgate em prazos curtos. Empresas e grupos comerciais já contestaram essa regra, citando a decisão do Tribunal Supremo.
- Outras regulamentações de cibersegurança, como as do Departamento de Saúde e Serviços Humanos, Comissão de Valores Mobiliários e Administração de Segurança de Transportes, também podem enfrentar desafios legais. Agências terão dificuldade em justificar seus poderes regulatórios nessas áreas.
Perigo para o Plano-Chave de Cibersegurança
O principal plano de regulamentação cibernética do presidente Biden pode ser o mais ameaçado: uma exigência pendente para que organizações de infraestrutura crítica reportem ataques cibernéticos em até 72 horas e pagamentos de resgate em até 24 horas.
Essa regulamentação, autorizada pela Lei de Notificação de Incidentes Cibernéticos para Infraestrutura Crítica de 2022 (CIRCIA), visa preencher lacunas massivas no conhecimento do governo sobre os ataques cibernéticos que afetam as empresas americanas diariamente. Mas com a decisão do Tribunal Supremo, a Agência de Segurança e Infraestrutura Cibernética (CISA) pode ter que recuar em alguns aspectos da regra para evitar contestações legais.
As empresas e grupos comerciais criticaram a definição de “entidade coberta”, “incidente coberto” e as informações que precisam ser reportadas, dizendo que a CISA foi além do que o Congresso pretendia. Até mesmo o senador Gary Peters, presidente do Comitê de Segurança Interna do Senado, que liderou a elaboração da CIRCIA, afirmou que a regra proposta é muito ampla e precisa de mais clareza.
Embora a CISA pareça determinada a manter o escopo original, a agência agora precisa considerar se não foi longe demais à luz das recentes decisões judiciais. Um recuo nas exigências da CIRCIA pode isentar mais empresas de reportar incidentes ou reduzir as informações que precisam ser reportadas, o que enfraqueceria o entendimento do governo sobre as ameaças digitais.
Outros Alvos Regulatórios
Além da regra de reporte de incidentes da CISA, outras regulamentações de cibersegurança também podem enfrentar desafios legais após a decisão do Tribunal Supremo.
O Departamento de Saúde e Serviços Humanos está trabalhando em uma regra que condicionaria o recebimento de fundos federais do Medicare e Medicaid por hospitais ao cumprimento de requisitos de cibersegurança. No entanto, a poderosa indústria hospitalar se opôs a novos mandatos, alegando que sobrecarregariam ainda mais as unidades já em dificuldades.
A regra da Comissão de Valores Mobiliários que exige que empresas de capital aberto reportem incidentes cibernéticos com impacto “material” em até quatro dias úteis pode ser mais segura, dada a clara autoridade legal da SEC. Mas empresas podem contestar a capacidade da agência de penalizar empresas por ataques hackers, já que a lei e a regulamentação subjacentes não mencionam cibersegurança.
A Administração de Segurança de Transportes (TSA) também pode enfrentar processos judiciais sobre suas exigências de cibersegurança para operadores de oleodutos, ferrovias e aviação. A TSA fez modificações em suas diretivas de emergência, mas à medida que a agência as codifica em regras mais formais, empresas descontentes podem aproveitar a oportunidade para entrar na Justiça.
Necessidade de Ação do Congresso
Posts que você deverá gostar:
Diante desse cenário, especialistas afirmam que a única solução real é o Congresso aprovar novas leis que aumentem os poderes das agências para impor melhorias na cibersegurança. Juízes podem ter dificuldade em entender os detalhes técnicos das regulamentações de cibersegurança, então cabe ao Legislativo fornecer orientação clara para as agências agirem.
Mesmo com o Congresso dominado por um único partido, existe a possibilidade de avanços na área de cibersegurança, pois o assunto tem sido uma exceção à paralisação legislativa em outras áreas. Há um reconhecimento bipartidário de que, em certos setores, houve falhas de mercado e que alguma ação governamental será necessária.
Independentemente de quem controlar o Capitólio no próximo janeiro, o Tribunal Supremo acabou de atribuir aos parlamentares uma enorme responsabilidade na luta contra os hackers. Não será fácil, mas chegou a hora do Congresso agir.
