Author: Alqadri Rahman S.H. & Ghian Grimaldi Hamid, Editor: Joseph Fajar Simatupang S.H.
Kondisi infrastruktur negara tentunya akan semakin memadai apabila didukung oleh teknologi informasi. Namun, perlu diingat bahwa apabila terjadi penyalahgunaan informasi elektronik dan transaksi elektronik, maka hal tersebut dapat berdampak pada gangguan, kerusakan, dan/atau kehancuran pada infrastruktur. Hal ini tentunya akan menimbulkan kerugian dan dampak yang serius terhadap kepentingan umum, pelayanan publik, pertahanan dan keamanan, serta perekonomian nasional. Oleh karenanya, sebagai upaya dalam melindungi kepentingan umum, Presiden Republik Indonesia telah mengeluarkan Peraturan Presiden Nomor 82 Tahun 2022 Tentang Pelindungan Infrastruktur Informasi Vital (Perpres 82/2022). Kehadiran regulasi ini penting guna dapat memberikan arah, landasan, dan kepastian hukum dalam melindungi Infrastruktur Informasi Vital.1
Adapun cakupan pembahasan pada Perpres 82/2022 meliputi identifikasi sektor Infrastruktur Informasi Vital, penyelenggaraan pelindungan Infrastruktur Informasi Vital, pembinaan dan pengawasan penyelenggaran pelindungan Infrastruktur Informasi Vital, dan koordinasi penyelenggaran pelindungan Infrastruktur Informasi Vital. Berikut adalah ketentuan yang ditetapkan dalam Perpres 82/2022:
Identifikasi Sektor Infrastruktur Informasi Vital
Berdasarkan Pasal 4 Ayat (1) Perpres 82/2022, sektor Infrastruktur Informasi Vital meliputi administrasi pemerintahan, energi dan sumber daya mineral, transportasi, keuangan, kesehatan, teknologi informasi dan komunikasi, pangan, pertahanan, dan sektor lain yang ditetapkan Presiden. Terkait sektor-sektor tersebut, Perpres 82/2022 telah menetapkan Kementerian atau Lembaga pemerintah tekait untuk bertanggung jawab terhadap bidangnya masing-masing. Sebagai contoh, Kementerian Perhubungan akan bertanggung jawab atas bidang transportasi, Otoritas Jasa Keuangan (OJK) akan bertanggung jawab atas bidang keuangan, dan Menteri Kesehatan akan bertanggung jawab atas bidang kesehatan. Sementara untuk sektor lain yang ditetapkan Presiden, telah dijelaskan dalam Pasal 5 Perpres 82/2022 bahwa atas usulan kepala Badan Siber dan Sandi Negara (BSSN), Presiden dapat menetapkan sektor lain yang dikategorikan sebagai sektor strategis yang dapat melindungi kepentingan umum. Usulan tersebut disampaikan kepada Presiden berdasarkan hasil rapat koordinasi penyelenggaraan pelindungan Infrastruktur Informasi Vital.
Kemudian menurut Pasal 6 Perpres 82/2022, setiap penyelenggara sistem elektronik lingkup sektor Infrastruktur Informasi Vital wajib melakukan identifikasi Infrastruktur Informasi Vital secara berkala paling sedikit 1 (satu) kali dalam 1 (satu) tahun. Dalam hal ini setiap penyelenggara sistem elektronik lingkup sektor Infrastruktur Informasi Vital harus memberikan laporan hasil identifikasi yang disertai dengan informasi yang relevan kepada Kementerian atau Lembaga terkait agar dapat dilakukan verifikasi. Berdasarkan hasil verifikasi, Kementerian atau Lembaga kemudian menetapkan sistem elektronik menjadi Infrastruktur Informasi Vital dan penyelenggara sistem elektronik pada lingkup sektor Infrastruktur Informasi Vital sebagai penyelenggara Infrastruktur Informasi Vital.
Penyelenggaraan Pelindungan Infrastruktur Informasi Vital
Terkait kerangka kerja pelindungan Infrastruktur Informasi Vital, telah ditetapkan dalam Pasal 7 Perpres 82/2022 bahwa BSSN berkoordinasi dengan Kementerian atau Lembaga, adalah pihak yang akan menyusun kerangka kerja pelindungan Infrastruktur Informasi Vital sebagai pedoman, yang mencakup penyelenggaraan, pembinaan dan pengawasan, serta teknologi pelindungan. Untuk melakukan hal ini, Kementerian atau Lembaga namun perlu membuat peta jalan pelindungan Infrastruktur Informasi Vital untuk jangka waktu 5 (Iima) tahun dengan mengacu pada kerangka kerja yang telah disusun. Peta jalan yang dimaksud harus memuat sasaran dan rencana kerja penyelenggaraan pelindungan Infrastruktur Informasi Vital. Apabila peta jalan sudah ada, maka Kementerian atau Lembaga bersama dengan BSSN akan melakukan reviu setiap tahunnya. Dalam hal berdasarkan hasil reviu diperlukan perubahan, maka Kementerian atau Lembaga akan menetapkan perubahan peta jalan pelindungan Infrastruktur Informasi Vital.2
Selain itu, ketentuan penerapan standar keamanan siber juga telah diatur dalam Pasal 9 Perpres 82/2022, yang menyatakan bahwa penyelenggara Infrastruktur Informasi Vital harus menyelenggarakan pelindungan Infrastruktur Informasi Vital secara andal dan aman serta bertanggung jawab terhadap beroperasinya Infrastruktur Informasi Vital sebagaimana mestinya. Dalam menyelenggarakan pelindungan Infrastruktur Informasi Vital, penyelenggara Infrastruktur Informasi Vital diwajibkan menerapkan standar keamanan informasi dan/atau standar keamanan lain yang ditetapkan oleh Kementerian atau lembaga dan/atau BSSN. Lalu mengenai manajemen risiko keamanan siber, Pasal 10 Perpres 82/2022 menetapkan bahwa setiap penyelenggara Infrastruktur Informasi Vital wajib menerapkan manajemen risiko keamanan siber secara efektif. Beberapa persyaratan dalam hal ini harus dipenuhi, seperti kepatuhan terhadap peraturan perundang undangan, kesesuaian dengan standar yang berlaku pada masing-masing sektor, dan sistem pengendalian intern yang berlaku pada penyelenggara Infrastruktur Informasi Vital. Penyelenggara Infrastruktur Informasi Vital selain itu juga wajib melaporkan hasil penerapan manajemen risiko keamanan siber kepada Kementerian atau Lembaga. Apabila Kementerian atau Lembaga merupakan penyelenggara, maka hasil penerapan manajemen risiko keamanan siber wajib dilaporkan kepada BSSN.
Lalu terkait pengelolaan insiden siber, Pasal 11 Perpres 82/2022 menyatakan bahwa penanganan insiden siber dilaksanakan oleh tim tanggap insiden siber yang terdiri atas nasional, sektoral, dan organisasi. Untuk tim tanggap insiden siber nasional, pembentukannya akan dilakukan oleh BSSN. Untuk tim tanggap insiden siber sektoral, pembentukannya akan dilakukan oleh Kementerian atau Lembaga. Sementara untuk tim tanggap insiden siber organisasi, pembentukannya dilakukan oleh penyelenggara Infrastruktur Informasi Vital.3 Terkait ketiga tim tersebut, Pasal 13 Perpres 82/2022 menjelaskan bahwa tim tanggap insiden siber organisasi wajib melaporkan insiden siber pada Infrastruktur Informasi Vital lingkup organisasinya kepada tim tanggap insiden siber sektoral dengan tembusan kepada tim tanggap insiden siber nasional paling lambat 1 x 24 (satu kali dua puluh empat) jam setelah ditemukan adanya insiden siber.
Insiden siber yang dilaporkan dalam hal ini mengacu kepada hasil penerapan manajemen risiko. Dalam hal belum dibentuk tim tanggap insiden siber sektoral yang melingkupinya, tim tanggap insiden siber organisasi wajib melaporkannya kepada Kementerian atau Lembaga sesuai sektornya dengan tembusan kepada tim tanggap insiden siber nasional paling lambat 1 x 24 (satu kali dua puluh empat) jam setelah ditemukan adanya insiden siber. Tim tanggap insiden siber organisasi lalu juga wajib melakukan penanganan insiden siber pada Infrastruktur Informasi Vital lingkup organisasinya. Hal ini dilakukan paling sedikit melalui penanggulangan dan pemulihan, penyampaian informasi insiden siber kepada pihak terkait, dan diseminasi informasi untuk mencegah dan/atau mengurangi dampak dari insiden siber. Dalam hal diperlukan, tim tanggap insiden siber sektoral dan/atau tim tanggap insiden siber nasional memberikan bantuan atau mengoordinasikan bantuan dalam rangka penanganan insiden siber pada Infrastruktur Informasi Vital.4
Di sisi lain, penyelenggara Infrastruktur Informasi Vital, Kementerian atau Lembaga, dan BSSN juga harus memastikan persiapannya terhadap insiden siber, yang dapat dilakukan melalui penyusunan rencana dan pelaksanaan simulasi.5 Mengenai insiden siber, dalam hal insiden siber pada Infrastruktur Informasi Vital terus meningkat dan berpotensi menjadi krisis maka diberlakukan manajemen krisis siber, yang harus dilaksanakan sesuai dengan ketentuan peraturan perundang-undangan.6 Perlu diketahui juga bahwa BSSN, Kementerian atau Lembaga, dan/atau penyelenggara Infrastruktur Informasi Vital dapat menyelenggarakan forum analisis dan berbagi informasi keamanan siber dengan melibatkan pihak lain yang diperlukan.7
Pembinaan dan Pengawasan Penyelenggaran Pelindungan Infrastruktur Informasi Vital
Menurut Pasal 19 Perpres 82/2022, setiap penyelenggara Infrastruktur Informasi Vital bertanggung jawab melakukan peningkatan kapasitas sumber daya manusia. Peningkatan yang dimaksud dapat dilakukan melalui peningkatan kompetensi dan/atau sertifikasi, alih teknologi dan alih keahlian, dan peningkatan budaya kesadaran keamanan informasi. Proses peningkatan yang dilakukan juga dapat dilaksanakan dengan bekerja sama dengan BSSN, yang menyusun dan menetapkan pedoman peningkatan kapasitas sumber daya manusia di bidang keamanan siber. Kemudian dari Pasal 20 Perpres 82/2022, dapat diketahui bahwa setiap penyelenggara Infrastruktur Informasi Vital wajib mengutamakan penggunaan tenaga kerja Indonesia dalam menyelenggarakan Infrastruktur Informasi Vital. Namun apabila belum dapat dipenuhi, maka tenaga kerja asing dapat digunakan sesuai dengan ketentuan peraturan perundang-undangan. Baik tenaga kerja Indonesia maupun tenaga kerja asing, keduanya namun diharuskan untuk menjaga kerahasiaan atas informasi yang diketahuinya.
Lalu dalam rangka penyelenggaraan pelindungan Infrastruktur Informasi Vital, Pasal 21 Perpres 82/2022 menyatakan bahwa Kementerian atau Lembaga dan penyelenggara Infrastruktur Informasi Vital dapat melakukan kerja sama baik dalam negeri maupun luar negeri. Untuk kerja sama luar negeri, hal ini dapat dilakukan dengan berkonsultasi dan berkoordinasi dengan kementerian yang menyelenggarakan urusan pemerintahan di bidang luar negeri, dengan catatan harus sesuai dengan ketentuan peraturan perundang-undangan yang mengatur mengenai hubungan luar negeri dan perjanjian internasional. Apabila kerja sama luar negeri telah dilakukan, maka Kementerian atau Lembaga dan penyelenggara Infrastruktur Informasi Vital harus menginformasikan pelaksanaan kerja sama tersebut kepada BSSN.
Tidak hanya itu, Perpres 82/2022 juga mengatur pengukuran tingkat kematangan keamanan siber. Menurut Pasal 22 Perpres 82/2022, penyelenggara Infrastruktur Informasi Vital harus melakukan pengukuran tingkat kematangan keamanan siber secara mandiri paling sedikit 1 (satu) kali dalam 1 (satu) tahun. Hasil pengukuran tersebut kemudian harus dituangkan ke dalam laporan yang harus disampaikan kepada Kementerian atau Lembaga. Kementerian atau Lembaga dengan begitu memiliki tugas untuk memverifikasi hasil pengukuran tingkat kematangan keamanan siber. Dalam hal Kementerian atau Lembaga merupakan penyelenggara Infrastruktur Informasi Vital, maka laporan harus disampaikan kepada BSSN, yang akan memverifikasi hasil pengukuran tingkat kematangan keamanan siber. Kementerian atau Lembaga namun juga wajib menginformasikan hasil pengukuran tingkat kematangan keamanan siber yang dilakukan kepada BSSN secara berkala paling sedikit 1 (satu) kali dalam 1 (satu) tahun.
Koordinasi Penyelenggaran Pelindungan Infrastruktur Informasi Vital
Mengenai koordinasi, Pasal 23 Perpres 82/2022 menyatakan bahwa BSSN berkedudukan sebagai koordinator penyelenggaraan pelindungan Infrastruktur Informasi Vital, yang memiliki tugas antara lain:
- Mengevaluasi pelaksanaan penetapan sektor Infrastruktur Informasi Vital;
- Mengevaluasi penetapan Infrastruktur Informasi Vital;
- Mengusulkan penetapan dan perubahan sektor Infrastruktur Informasi Vital kepada Presiden;
- Menetapkan kerangka kerja pelindungan Infrastruktur Informasi Vital;
- Memberikan himbauan keamanan siber Infrastruktur Informasi Vital kepada Kementerian atau Lembaga berdasarkan data dan informasi yang diperoleh BSSN; dan
- Mengevaluasi implementasi kebijakan pelindungan Infrastruktur Informasi Vital.
Sebagai koordinator, BSSN harus melaksanakan rapat koordinasi paling sedikit 1 (satu) kali dalam 1 (satu) tahun atau sewaktu-waktu jika diperlukan. Dalam melaksanakan rapat koordinasi tersebut, BSSN dapat melibatkan Kementerian atau Lembaga terkait dan/atau pihak lain yang diperlukan.8 Apabila sudah memiliki hasil pelaksanaan tugas sebagai koordinator penyelenggaraan pelindungan Infrastruktur Informasi Vital, kepala BSSN akan menyampaikannya kepada Presiden 1 (satu) kali dalam 1 (satu) tahun atau sewaktu-waktu jika diperlukan.9
Adapun berdasarkan uraian diatas, dapat disimpulkan bahwa penerbitan Perpres 82/2022 merupakan bukti kehadiran pemerintah dalam memberikan perlindungan terhadap Infrastruktur Informasi Vital. Terlebih regulasi yang dikeluarkan merupakan peraturan presiden, yang berarti pelindungan Infrastruktur Informasi Vital adalah salah satu visi Presiden pada saat ini. Dengan diberlakukannya Perpres 82/2022, Presiden mengharapkan dapat melindungi kepentingan umum, mengingat Infrastruktur Informasi Vital secara tidak langsung dapat meningkatkan kesejahteraan dan kualitas hidup masyarakat Indonesia.
1 Bagian “Menimbang” Huruf a-c, Perpres 82/2022
2 Pasal 8, Perpres 82/2022.
3 Pasal 12, Perpres 82/2022.
4 Pasal 14, Perpres 82/2022.
5 Pasal 15, Perpres 82/2022
6 Pasal 16, Perpres 82/2022
7 Pasal 18, Perpres 82/2022.
8 Pasal 24, Perpres 82/2022.
9 Pasal 25, Perpres 82/2022.