La Casa Blanca no tiene el mismo control sobre la EPA, que es una agencia independiente, pero Greene dice que, por lo que vio, la agencia trató de colaborar con el sector del agua.
El NSC no respondió a una solicitud de comentarios sobre la demanda de la EPA y sus posibles efectos en la agenda de la administración. La EPA se negó a comentar porque el litigio está pendiente.
Una lucha legal en múltiples frentes
Los fiscales generales republicanos que impugnan la directiva de la EPA hacen varias afirmaciones. Dicen que la agencia no siguió el procedimiento adecuado para emitir un reglamento. Alegan que la EPA excedió su autoridad bajo la Ley de Agua Potable Segura y la legislación posterior. Y argumentan que, al exigir a los reguladores estatales del agua que incorporen la seguridad cibernética en sus inspecciones, el gobierno federal está usurpando la autoridad soberana de los estados para regular las instalaciones de agua y los está cargando inconstitucionalmente con nuevos trabajos.
Michael Blumenthal, un abogado de regulación ambiental de McGlinchey Stafford, dice que la EPA parecía haber violado la Ley de Procedimiento Administrativo al emitir su directiva a los estados como una reinterpretación de la guía existente sobre las responsabilidades de los estados para realizar «estudios sanitarios» de las instalaciones de agua, por lo tanto eludiendo el proceso de comentario público.
Peggy Otum, socia de WilmerHale que dirige la práctica ambiental de la firma de abogados, dice que el argumento de la soberanía estatal refleja un debate más amplio sobre cuánto puede cargar el gobierno federal, y la EPA en particular, a los estados con nuevos mandatos. “’¿Quién va a pagar por ello?’ es la pregunta principal”, dice Otum.
Greene se mostró escéptico ante este argumento. La Casa Blanca es consciente de los problemas de financiación del sector del agua, dice, pero esa no es razón suficiente para abstenerse de exigir una mayor seguridad.
Abierto para interpretación
Pero el argumento más importante en el caso se refiere a si la autoridad reguladora de la EPA para el sector del agua se extiende incluso a la seguridad cibernética. Blumenthal dice que la Ley de Agua Potable Segura “no les da la autoridad para doblar la seguridad cibernética”.
La EPA derivó su autoridad de definiciones recientemente reinterpretadas de términos clave en su guía para los estados, pero Blumenthal dice que ese enfoque no era válido y permitiría mandatos que «nunca se contemplaron para empezar».
Greene argumenta que leyes como la Ley de Agua Potable Segura, aunque se promulgaron antes de que las amenazas cibernéticas ganaran prominencia, tenían la clara intención de permitir que la EPA protegiera los recursos vitales contra todo tipo de peligros. “Sería una lectura demasiado literal de la intención de estos [laws] para decir: ‘No pensaron en la seguridad cibernética, así que no puedes cubrirla’”, dice Greene. “Eso es como decir, ‘Los ejércitos coloniales no pensaron en activos aéreos’”.
Históricamente, los tribunales se han remitido a las agencias en juicios sobre la interpretación de sus estatutos fundamentales, pero este principio, conocido como Cheurón deferencia, “pende de un hilo” en la Corte Suprema de EE. UU., dice Otum.
“Todo el mundo está husmeando”
La demanda de la EPA se perfila como un obstáculo potencial para la nueva estrategia cibernética nacional de la administración Biden, que describe la regulación de la infraestructura crítica como un imperativo de seguridad nacional. Otros reguladores “observarán este caso muy de cerca para ver qué sucede”, dice Blumenthal.
El Departamento de Salud y Servicios Humanos está trabajando en reglas cibernéticas para hospitales que, al igual que las instalaciones de agua, están muy reguladas por los estados. La Comisión Federal de Comunicaciones (FCC) está preparando reglas para asegurar el Sistema de Alerta de Emergencia, una herramienta fundamental para las autoridades estatales y locales. Y la Comisión Federal de Comercio (FTC, por sus siglas en inglés) está actualizando sus normas de seguridad y agudizando su supervisión de las divulgaciones de violaciones de datos.