Ketahanan siber sebagai fondasi tata kelola negara digital

Gelombang kebocoran data dan serangan siber dalam beberapa tahun terakhir tidak lagi dapat dipahami sebagai gangguan teknis semata. Fenomena tersebut mencerminkan tantangan mendasar dalam tata kelola negara di era digital. 

Ketika layanan publik lumpuh akibat serangan ransomware atau data warga tersebar tanpa kendali, yang dipertaruhkan bukan sekadar sistem komputer, melainkan kepercayaan publik dan legitimasi institusi negara. 

Dalam konteks itulah perdebatan mengenai perlunya Undang-Undang Keamanan dan Ketahanan Siber (UU KKS) perlu ditempatkan secara proporsional.  

Isu ini bukan sekadar persoalan teknokratis, melainkan persoalan konstitusional: bagaimana negara menjamin perlindungan warga di ruang digital secara sistemik, terkoordinasi, dan akuntabel. 

Setidaknya terdapat tiga urgensi mendasar UU KKS. 

Minimnya tata kelola pelaporan untuk insiden siber 

Pertama, kekosongan tata kelola pelaporan insiden siber yang wajib dan terstandardisasi. 

Ambang batas pelaporan yang tidak jelas dapat menghambat pemerintah untuk memahami gambaran utuh mengenai lanskap ancaman, menurut penelitian terbaru mengenai Directive on Security of Network and Information Systems (NIS Directive) di Uni Eropa.

Ketika hanya insiden yang dinilai “berdampak besar” yang wajib dilaporkan, kesadaran situasional menjadi tidak komprehensif. Akibatnya, kebijakan dan kesiapsiagaan nasional dibangun di atas informasi yang parsial dan tidak sepenuhnya merefleksikan dinamika ancaman yang sebenarnya. 

Risiko yang sama dihadapi Indonesia. Hingga kini belum terdapat standar nasional yang tegas mengenai jenis insiden yang wajib dilaporkan, definisi insiden signifikan, serta mekanisme pelaporan bertingkat antara peringatan dini dan pelanggaran besar.  

Banyak insiden masih tersebar dalam pelaporan sektoral tanpa integrasi nasional yang memadai.

Dalam riset yang penulis lakukan bersama kolega dan dipublikasikan di IEEE Transactions on Emerging Topics in Computing, ditemukan bahwa kebutuhan pertahanan siber negara tidak dapat dirumuskan secara parsial.  

Melalui pendekatan konsensus lintas pemangku kepentingan, penelitian tersebut menegaskan pentingnya kapasitas nasional yang terintegrasi, termasuk sistem deteksi dini dan koordinasi respons terpadu.  

Tanpa arsitektur pelaporan dan koordinasi yang jelas, ketahanan siber sulit dibangun secara berbasis risiko dan berbasis bukti. 

Karena itu, UU KKS diperlukan untuk menetapkan kewajiban pelaporan insiden secara proporsional, ambang batas yang terdefinisi dengan jelas, mekanisme pelaporan satu pintu melalui pusat operasi keamanan nasional, serta sanksi administratif yang adil. 

Ketahanan siber tidak mungkin dibangun tanpa pemahaman ancaman yang utuh. 

Kurangnya kerangka pelindungan infrastruktur informasi kritis 

Kedua, absennya kerangka hukum yang kokoh untuk melindungi infrastruktur informasi kritis (critical information infrastructure).

Penelitian dalam lima tahun terakhir menunjukkan bahwa batas antara infrastruktur kritis dan infrastruktur informasi kritis kerap kabur dalam praktik regulasi.

Ketidakjelasan tersebut berpotensi menimbulkan dua risiko sekaligus: perlindungan yang tidak memadai terhadap sektor vital atau, sebaliknya, pengaturan yang berlebihan tetapi tidak efektif dalam memperkuat ketahanan sistem. 

Indonesia telah mengalami gangguan pada pusat data nasional, layanan publik, dan sektor keuangan.

Namun, penetapan formal mengenai infrastruktur informasi kritis pada tingkat undang-undang belum tersedia secara komprehensif. Belum terdapat kewajiban audit keamanan berkala serta standar minimum keamanan yang berlaku lintas sektor. 

Praktik global menunjukkan pendekatan berbasis penunjukan (designation-based model). Uni Eropa melalui NIS2 dan Singapura melalui Cybersecurity Act menetapkan kewajiban lebih ketat hanya pada sistem elektronik atau entitas yang memiliki kepentingan strategis nasional.  

Model ini memungkinkan regulasi yang terfokus dan proporsional tanpa menyamaratakan kewajiban kepada seluruh penyelenggara sistem elektronik. 

Dalam penelitian sebelumnya, penulis juga menegaskan bahwa pelindungan sistem elektronik strategis negara perlu diprioritaskan berdasarkan tingkat risiko dan dampaknya terhadap keamanan nasional.  

Tidak semua sistem elektronik memerlukan intervensi regulatif yang sama, tetapi sistem yang menopang layanan vital membutuhkan standar hukum dan tata kelola yang lebih kuat. 

UU KKS perlu memberikan dasar hukum yang jelas bagi penetapan infrastruktur kritis, kewajiban penilaian risiko, audit berkala, serta mekanisme koordinasi lintas sektor yang transparan dan akuntabel. 

Transformasi paradigma keamanan 

Ketiga, perubahan karakter ancaman yang menuntut transformasi paradigma keamanan. 

Sejumlah peneliti mengkritik pendekatan keamanan berbasis castle model yang mengandalkan tembok pertahanan dan asumsi batas tegas antara “dalam” dan “luar”.

Dalam ekosistem digital yang saling terhubung, asumsi bahwa sistem elektronik dapat sepenuhnya tertutup dari luar semakin tidak realistis. Sistem elektronik harus diasumsikan dapat ditembus. Fokus kebijakan tidak lagi semata membangun pertahanan perimeter, melainkan memperkuat kemampuan bertahan dan pulih. 

Kajian lain menunjukkan bahwa jejaring berbagi informasi lintas sektor hanya efektif apabila didukung aturan institusional yang jelas. Tanpa dasar hukum, kolaborasi cenderung bersifat sukarela dan tidak konsisten. 

Penelitian penulis sebelumnya juga menekankan pentingnya pendekatan adaptif dan kolaboratif dalam pertahanan siber negara. Ketahanan bukan semata persoalan teknologi, melainkan persoalan tata kelola yang menuntut koordinasi antarlembaga, pembelajaran berkelanjutan, dan konsensus strategis. 

Indonesia masih cenderung memperkuat perimeter teknis. Padahal, keamanan modern menuntut pemantauan berkelanjutan, berbagi intelijen ancaman, serta tata kelola krisis yang terkoordinasi.  

UU KKS diperlukan untuk menggeser paradigma dari keamanan berbasis tembok menuju ketahanan sistemik yang adaptif dan terkoordinasi. 

Belajar secara proporsional 

Pengalaman Singapura dapat menjadi pembanding yang relevan. Cybersecurity Act di negara tersebut bukan hukum pidana siber dan bukan pula hukum pengaturan konten.

Undang-undang tersebut dirancang sebagai kerangka tata kelola ketahanan siber yang berfokus pada pelindungan infrastruktur kritis dan koordinasi administratif. Hukum pidana siber dan pelindungan data pribadi diatur dalam regulasi terpisah. 

Pemisahan domain ini menjaga kejelasan fungsi dan mencegah tumpang tindih regulasi. Pendekatannya berbasis risiko dan proporsional, bukan represif. 

Indonesia telah memiliki Undang-Undang Informasi dan Transaksi Elektronik (UU ITE) yang mengatur perbuatan yang dilarang di ruang digital serta UU Pelindungan Data Pribadi yang mengatur hak subjek data dan tata kelola pemrosesan data pribadi.  

Namun, arsitektur ketahanan siber nasional secara komprehensif belum terbentuk pada tingkat undang-undang. Di sinilah ruang penguatan diperlukan. 

Tentu, UU KKS harus dirancang dalam semangat demokrasi digital. Kewenangannya harus jelas dan terbatas, mekanisme pengawasannya transparan, serta menghormati hak asasi manusia.  

Tujuannya bukan memperluas kriminalisasi, melainkan memperkuat kapasitas negara dalam melindungi kepentingan publik. 

Ketahanan siber pada akhirnya bukan sekadar urusan teknologi. Ia merupakan bagian dari tanggung jawab konstitusional negara untuk menjamin rasa aman warga dalam ruang hidup baru bernama ruang digital.  

Di era ketika data menjadi infrastruktur sosial dan ekonomi, pelindungan terhadap sistem digital berarti pelindungan terhadap kehidupan publik itu sendiri. 

Merancang UU KKS yang tepat, proporsional, dan demokratis merupakan langkah menuju tata kelola negara digital yang matang, bukan untuk kontrol, melainkan untuk perlindungan dan keberlanjutan bangsa.

Penulis adalah teknokrat dan pengajar. Saat ini merupakan Kepala Pusat Data dan Teknologi Informasi Kementerian Pendidikan Dasar dan Menengah Indonesia dan memimpin Jakarta Smart City (2019-2023). Ia mendapatkan gelar Doctor of Philosophy di bidang Keamanan Siber pada Universitas Oxford, Inggris dan saat ini aktif sebagai pengajar di Telkom University.

Baca juga: Menjaga mesin GovTech tetap hidup di sektor pendidikan