.
A Casa Branca não tem o mesmo controle sobre a EPA, que é uma agência independente, mas Greene diz que, pelo que viu, a agência tentou colaborar com o setor de água.
O NSC não respondeu a um pedido de comentário sobre o processo da EPA e seus possíveis efeitos na agenda do governo. A EPA se recusou a comentar porque o litígio está pendente.
Uma luta legal em várias frentes
Os procuradores-gerais republicanos que contestam a diretiva da EPA fazem várias reivindicações. Eles dizem que a agência não seguiu o procedimento adequado para a emissão de um regulamento. Eles alegam que a EPA excedeu sua autoridade sob a Lei da Água Potável Segura e a legislação subseqüente. E eles argumentam que, ao exigir que os reguladores estaduais de água incluam a segurança cibernética em suas inspeções, o governo federal está usurpando a autoridade soberana dos estados para regular as instalações de água e sobrecarregando-os inconstitucionalmente com novos trabalhos.
Michael Blumenthal, um advogado de regulamentação ambiental da McGlinchey Stafford, diz que a EPA parece ter violado a Lei de Procedimento Administrativo ao emitir sua diretiva aos estados como uma reinterpretação da orientação existente sobre as responsabilidades dos estados de conduzir “pesquisas sanitárias” de instalações de água, portanto evitando o processo de comentários públicos.
Peggy Otum, sócia da WilmerHale que lidera a prática ambiental do escritório de advocacia, diz que o argumento da soberania do estado reflete um debate mais amplo sobre o quanto o governo federal – e a EPA em particular – pode sobrecarregar os estados com novos mandatos. “’Quem vai pagar por isso?’ é a questão principal”, diz Otum.
Greene era cético em relação a esse argumento. A Casa Branca está ciente dos problemas de financiamento do setor de água, diz ele, mas isso não é razão suficiente para se abster de exigir mais segurança.
Aberto para Interpretação
Mas o argumento de maior importância no caso diz respeito a se a autoridade reguladora da EPA para o setor de água se estende à segurança cibernética. Blumenthal diz que a Lei da Água Potável Segura “não lhes dá autoridade para dobrar a segurança cibernética”.
A EPA derivou sua autoridade de definições recentemente reinterpretadas de termos-chave em sua orientação aos estados, mas Blumenthal diz que essa abordagem era inválida e permitiria mandatos que “nunca foram contemplados para começar”.
Greene argumenta que leis como a Lei da Água Potável Segura, embora promulgadas antes que as ameaças cibernéticas ganhassem destaque, foram claramente destinadas a permitir que a EPA protegesse recursos vitais contra todos os tipos de perigos. “Seria uma leitura excessivamente literal da intenção dessas [laws] para dizer: ‘Eles não pensaram em segurança cibernética, então você não pode cobrir isso’”, diz Greene. “É como dizer: ‘Os exércitos coloniais não pensaram em meios aéreos’.”
Os tribunais têm historicamente deferido às agências em ações judiciais sobre a interpretação de seus estatutos básicos, mas esse princípio, conhecido como divisa deferência, “está por um fio” na Suprema Corte dos Estados Unidos, diz Otum.
“Todo mundo está farejando”
O processo da EPA parece um grande obstáculo para a nova estratégia cibernética nacional do governo Biden, que descreve a regulamentação de infraestrutura crítica como um imperativo de segurança nacional. Outros reguladores “vão observar este caso de perto para ver o que acontece”, diz Blumenthal.
O Departamento de Saúde e Serviços Humanos está trabalhando em regras cibernéticas para hospitais, que, como instalações de água, são fortemente regulamentados pelos estados. A Federal Communications Commission (FCC) está preparando regras para proteger o Sistema de Alerta de Emergência, uma ferramenta crítica para autoridades estaduais e locais. E a Federal Trade Commission (FTC) está atualizando seus regulamentos de segurança e aprimorando sua supervisão de divulgações de violação de dados.
.
