Outro acordo da FCA sobre cibersegurança reforça a tendência de aplicação da lei

Um anúncio recente do Departamento de Justiça dos Estados Unidos (DOJ) realça o facto de que a ênfase do governo na aplicação da lei sobre cibersegurança ao abrigo do False Claims Act (FCA) não está a abrandar. De acordo com o comunicado de imprensa, quatro empresas - RTX Corporation (RTX), Raytheon Company (Raytheon), Nightwing Group LLC e Nightwing Intelligence Solutions LLC (coletivamente, Nightwing) - concordaram em pagar 8,4 milhões de dólares para resolver uma questão de FCA resultante de um processo de um relator qui tam que alegava que a Raytheon e a sua antiga subsidiária não cumpriram os requisitos de cibersegurança em contratos federais.

O acordo de compensação da Raytheon

O ex-diretor de engenharia da Raytheon, Branson Kenneth Fowler, Sr., entrou com o processo qui tam em agosto de 2021. Os contratados e subcontratados federais de defesa, como a Raytheon, são obrigados a implementar certos controles de segurança cibernética descritos na Publicação Especial 800-171 do Instituto Nacional de Padrões e Tecnologia(NIST SP 800-171). Mas, de acordo com esta ação judicial, a Raytheon alegadamente não cumpriu estes requisitos no âmbito do seu trabalho em contratos federais. As alegações centravam-se no sistema de rede interna da Raytheon, designado por "DarkWeb". A Raytheon alegadamente (a) utilizou o DarkWeb para armazenar, transmitir e desenvolver informações protegidas relacionadas com o seu trabalho em determinados contratos de defesa, apesar de esse sistema não cumprir os requisitos de cibersegurança do NIST SP 800-171; e (b) não desenvolveu o plano de segurança do sistema necessário para este sistema interno.

Nomeadamente, a Raytheon notificou certos contratantes governamentais, em maio de 2020, de que acreditava que o seu sistema de informação não cumpria os regulamentos federais de cibersegurança e, subsequentemente, implementou um sistema de substituição, deixando de utilizar o DarkWeb. Mas, de acordo com o acordo, a alegada falha da Raytheon em implementar esses requisitos de segurança obrigatórios no DarkWeb tornou falsas todas as reivindicações de trabalho de contratação federal realizado no DarkWeb.

Os arguidos negam estas alegações mas concordaram em pagar 8,4 milhões de dólares para resolver as alegações. Na qualidade de relator qui tam, o Sr. Fowler receberá mais de 1,5 milhões de dólares no âmbito do acordo.

Finalmente, a conduta que deu origem ao processo qui tamsuit ocorreu entre 2015 e 2021 - anos antes de a Nightwing adquirir o negócio de cibersegurança da RTX em 2024. Isso ilustra o risco significativo de responsabilidade do sucessor e ressalta a importância de avaliar a conformidade de segurança cibernética de um alvo como parte da devida diligência.

Recomendações

Tendo em conta estes riscos, os contratantes do sector da defesa e outros beneficiários de fundos federais (incluindo faculdades e universidades) devem considerar os seguintes passos para melhorar a conformidade com a cibersegurança e reduzir o risco de FCA:

Catalogar e monitorizar a conformidade com todas as normas de cibersegurança impostas pelo governo. Certifique-se de que a sua organização tem uma lista completa de todos os requisitos de cibersegurança e sistemas abrangidos na sua organização. Estes requisitos podem ser provenientes não só de contratos governamentais principais, mas também de subcontratos, subsídios ou outros programas federais. Isto inclui não só o conhecimento contínuo dos contratos da organização, mas também a monitorização e avaliação contínuas do programa de cibersegurança da organização para identificar e corrigir vulnerabilidades e avaliar a conformidade com essas normas contratuais de cibersegurança. Esta avaliação deve também considerar as relações com terceiros.
Desenvolver e manter um programa de conformidade sólido e eficaz que aborde as questões de cibersegurança. Em muitas empresas, o programa de conformidade e as funções de segurança da informação não estão bem integrados. Um programa de conformidade eficaz abordará as questões de cibersegurança e incentivará os funcionários a comunicar essas preocupações. Quando as preocupações são identificadas, é fundamental escaloná-las e investigá-las prontamente.
Quando for identificada a não conformidade com as normas de cibersegurança, as organizações devem avaliar os possíveis passos seguintes. Isto inclui a possibilidade de divulgar o assunto ao governo e cooperar com os investigadores governamentais. As organizações devem trabalhar com advogados experientes neste domínio. O mapeamento proactivo de uma estratégia para investigar e responder a potenciais incumprimentos pode incutir disciplina ao processo e simplificar a abordagem da organização.
Implementar uma diligência rigorosa para garantir o cumprimento dos requisitos de cibersegurança nas fusões e aquisições. Como mostra esta transação, a responsabilidade decorrente de uma entidade adquirida pode ser imposta à entidade adquirente em alguns casos. Os processos de diligência devida devem procurar identificar os requisitos de cibersegurança nos contratos (quer sejam contratos com o governo ou com agentes privados) e obter a verificação do seu cumprimento. Se esse nível de diligência devida não for possível antes da conclusão do negócio, é importante efetuar essa avaliação logo após a conclusão do negócio, de modo a que os problemas possam ser identificados e resolvidos rapidamente.

Se tiver dúvidas sobre a cibersegurança e a Lei das Alegações Falsas, contacte os autores ou o seu advogado da Foley & Lardner.

Uma versão alargada deste artigo foi publicada na Law360 em 26 de agosto de 2025.

Declaração de exoneração de responsabilidade

Este blogue é disponibilizado por Foley & Lardner LLP ("Foley" ou "a Firma") apenas para fins informativos. Não se destina a transmitir a posição jurídica da Sociedade em nome de qualquer cliente, nem a prestar aconselhamento jurídico específico. As opiniões expressas neste artigo não reflectem necessariamente a posição da Foley & Lardner LLP, dos seus sócios ou dos seus clientes. Por conseguinte, não actue de acordo com esta informação sem procurar aconselhamento junto de um advogado licenciado. Este blogue não se destina a criar, e a sua receção não constitui, uma relação advogado-cliente. A comunicação com a Foley através deste sítio Web, por correio eletrónico, publicação no blogue ou outro, não cria uma relação advogado-cliente para qualquer assunto jurídico. Por conseguinte, qualquer comunicação ou material que transmita a Foley através deste blogue, seja por correio eletrónico, publicação no blogue ou qualquer outra forma, não será tratado como confidencial ou proprietário. A informação neste blogue é publicada "COMO ESTÁ" e não se garante que seja completa, exacta ou actualizada. A Foley não faz representações ou garantias de qualquer tipo, expressas ou implícitas, quanto ao funcionamento ou conteúdo do sítio. A Foley renuncia expressamente a todas as outras garantias, garantias, condições e representações de qualquer tipo, expressas ou implícitas, quer surjam ao abrigo de qualquer estatuto, lei, utilização comercial ou de outra forma, incluindo garantias implícitas de comercialização, adequação a um determinado fim, título e não infração. Em nenhuma circunstância a Foley ou qualquer um dos seus parceiros, oficiais, funcionários, agentes ou afiliados serão responsáveis, direta ou indiretamente, sob qualquer teoria da lei (contrato, delito, negligência ou outra), perante si ou qualquer outra pessoa, por quaisquer reclamações, perdas ou danos, diretos, indirectos, especiais, incidentais, punitivos ou consequenciais, resultantes ou ocasionados pela criação, utilização ou confiança neste site (incluindo informações e outros conteúdos) ou quaisquer sites de terceiros ou as informações, recursos ou materiais acedidos através de tais sites. Em algumas jurisdições, o conteúdo deste blogue pode ser considerado publicidade de advogados. Se aplicável, tenha em atenção que resultados anteriores não garantem um resultado semelhante. As fotografias destinam-se apenas a fins de dramatização e podem incluir modelos. As imagens não implicam necessariamente o estatuto atual de cliente, parceiro ou empregado.