Das Weiße Haus hat nicht die gleiche Kontrolle über die EPA, die eine unabhängige Behörde ist, aber Greene sagt, dass die Behörde nach dem, was er gesehen hat, versucht habe, mit dem Wassersektor zusammenzuarbeiten.
Der NSC antwortete nicht auf eine Bitte um Stellungnahme zur EPA-Klage und ihren möglichen Auswirkungen auf die Agenda der Regierung. Die EPA lehnte eine Stellungnahme ab, da der Rechtsstreit noch anhängig ist.
Ein Rechtsstreit an mehreren Fronten
Die republikanischen Generalstaatsanwälte, die die EPA-Richtlinie anfechten, erheben mehrere Behauptungen. Sie sagen, die Behörde habe es versäumt, das ordnungsgemäße Verfahren für den Erlass einer Verordnung einzuhalten. Sie behaupten, dass die EPA ihre Befugnisse gemäß dem Safe Drinking Water Act und nachfolgenden Gesetzen überschritten habe. Und sie argumentieren, dass die Bundesregierung, indem sie von den staatlichen Wasserregulierungsbehörden verlangt, Cybersicherheit in ihre Inspektionen einzubeziehen, die souveräne Autorität der Staaten zur Regulierung von Wasseranlagen an sich reißt und ihnen verfassungswidrig neue Aufgaben aufbürdet.
Michael Blumenthal, Anwalt für Umweltrecht bei McGlinchey Stafford, sagt, dass die EPA offenbar gegen das Verwaltungsverfahrensgesetz verstoßen hat, indem sie ihre Weisung an Staaten als Neuinterpretation bestehender Leitlinien über die Verhaltenspflichten der Staaten erlassen hat „Sanitäruntersuchungen“ von Wasseranlagenwodurch der öffentliche Kommentarprozess umgangen wird.
Peggy Otum, eine Partnerin bei WilmerHale, die die Umweltpraxis der Anwaltskanzlei leitet, sagt, dass das Argument der Staatssouveränität eine breitere Debatte darüber widerspiegelt, wie viel die Bundesregierung – und insbesondere die EPA – kann Staaten mit neuen Mandaten belasten. „’Wer soll dafür bezahlen?’ ist die Hauptfrage“, sagt Otum.
Greene stand diesem Argument skeptisch gegenüber. Das Weiße Haus sei sich der Finanzierungsprobleme des Wassersektors bewusst, sagt er, aber das sei kein guter Grund, von einer Forderung nach besserer Sicherheit abzusehen.
Offen für Interpretationen
Das folgenreichste Argument in diesem Fall betrifft jedoch die Frage, ob sich die Regulierungsbefugnis der EPA für den Wassersektor überhaupt auf die Cybersicherheit erstreckt. Blumenthal sagt, das Gesetz über sicheres Trinkwasser „gibt ihnen nicht die Befugnis, die Cybersicherheit einzuschränken“.
Die EPA leitete ihre Autorität aus neu interpretierten Definitionen von Schlüsselbegriffen in ihren Leitlinien für Staaten ab, aber Blumenthal sagt, dieser Ansatz sei ungültig und würde Mandate zulassen, die „von Anfang an nie in Betracht gezogen“ wurden.
Greene argumentiert, dass Gesetze wie der Safe Drinking Water Act zwar erlassen wurden, bevor Cyber-Bedrohungen an Bedeutung gewannen, aber eindeutig dazu gedacht waren, der EPA den Schutz lebenswichtiger Ressourcen vor allen möglichen Gefahren zu ermöglichen. „Es wäre eine allzu wörtliche Auslegung der Absicht dieser Maßnahmen [laws] zu sagen: „Sie haben nicht an Cybersicherheit gedacht, also kann man das nicht abdecken“, sagt Greene. „Das ist, als würde man sagen: ‚Die Kolonialarmeen haben nicht an Luftwaffen gedacht.‘“
Gerichte haben in der Vergangenheit in Rechtsstreitigkeiten über die Auslegung ihrer Kernsatzungen den Agenturen den Vorzug gegeben, aber dieser Grundsatz, bekannt als Chevron Ehrerbietung, „hängt am seidenen Faden“ am Obersten Gerichtshof der USAsagt Otum.
„Alle schnüffeln herum“
Die EPA-Klage stellt ein potenzielles Hindernis dar die neue nationale Cyberstrategie der Biden-Regierung, in dem die Regulierung kritischer Infrastrukturen als nationales Sicherheitsgebot beschrieben wird. Andere Aufsichtsbehörden „werden diesen Fall sehr genau beobachten, um zu sehen, was passiert“, sagt Blumenthal.
Das Ministerium für Gesundheit und menschliche Dienste ist Arbeit an Cyber-Regeln für Krankenhäuser, die ebenso wie Wasseranlagen stark von den Staaten reguliert werden. Die Federal Communications Commission (FCC) bereitet Regeln dafür vor Sichern Sie das Notfallwarnsystem, ein wichtiges Instrument für staatliche und lokale Behörden. Und die Federal Trade Commission (FTC) ist es Aktualisierung seiner Sicherheitsbestimmungen Und seine Aufsicht verschärfen der Offenlegung von Datenschutzverletzungen.