Ini Syarat Selisih Jumlah Suara Cakada Bisa Ajukan Gugatan ke MK Palang Merah Indonesia Pecah, JK Polisikan Agung Laksono Hakordia 2024, Jaksa Agung Soroti Melorotnya Peringkat Indeks Persepsi Korupsi Indonesia Diduga Pengadaan Matsus Intel Kejagung Sudah Dilakukan Reda Manthovani Sejak Jabat Karocana BNPB: ‎Semua Jalan di Sukabumi Sudah Bisa Dilalui, Jangan Ada Warga Terisolir Timnas Indonesia Vs Myanmar, Ini Hitungan Poin FIFA bagi Timnas jika Menang, Seri, dan Kalah

Opini

Membaca EU CRA, UU Baru Uni Eropa Hadapi Peretasan Siber Global

Avatarbadge-check


					Prof. Ahmad Ramli (Doc. MUI) Perbesar

Prof. Ahmad Ramli (Doc. MUI)

Membaca EU CRA, UU Baru Uni Eropa Hadapi Peretasan Siber Global

Oleh: Prof. Ahmad M. Ramli*

 

Uni Eropa telah mengesahkan UU Resiliensi Siber sebagai regulasi baru untuk menghadapi ancaman siber global. Komunitas negara-negara dengan netizen terbesar dan paling berpotensi di dunia ini, rupanya tak cukup jika hanya mengandalkan UU Keamanan Siber yang telah ada. Hal ini berawal pada 12 Maret 2024, di mana Parlemen Eropa menyetujui Undang-Undang Resiliensi Siber Uni Eropa atau yang dikenal dengan EU Cyber Resilience Act (CRA) dengan suara mayoritas 517 mendukung, 12 menolak, dan 78 abstain.

EU CRA bertujuan memastikan ketangguhan produk dengan elemen digital (Products with Digital Elements) atau PDE dalam menghadapi ancaman siber global. UU ini sebagai kelanjutan dari regulasi sebelumnya. Seperti diketahui, Uni Eropa telah mengesahkan EU Cybersecurity Act pada Juni 2019, dan berlaku penuh mulai 28 Juni 2021.

Sebagai gambaran, EU Cybersecurity Act yang ada lebih dulu, telah menetapkan Kerangka Kerja Keamanan Siber Uni Eropa. UU ini juga menjadi dasar pembentukan European Cybersecurity Agency (ENISA) yang berperan besar dalam menghadapi ancaman peretasan dan kejahatan siber lainnya. Sementara itu, EU Cyber Resilience Act (EU CRA) adalah regulasi baru yang bertujuan meningkatkan ketahanan siber dari produk dan layanan yang dijual di pasar Uni Eropa. EU Cyber Resilience Act dan EU Cybersecurity Act, beroperasi bersamaan dan saling melengkapi.

EU Cyber Resilience Act mengatur ketahanan dan desain keamanan produk, sementara EU Cybersecurity Act menitikberatkan pada kerangka kerja umum dan sertifikasi di tingkat Uni Eropa. EU CRA Dalam artikel ini, saya akan fokus membahas EU CRA sebagai regulasi baru Uni Eropa. Pembahasan ini relevan sebagai komparasi, jika dikaitkan dengan upaya Indonesia dalam menghadapi ancaman siber global.

EU CRA fokus pada kewajiban produsen dan penyedia layanan. Mereka harus memastikan bahwa produk dan layanannya telah dirancang dengan mempertimbangkan keamanan siber sejak awal atau security by design. Hal menarik adalah, UU ini tidak hanya memberikan kewajiban di awal produk, tetapi juga mengamanatkan agar produk terus-menerus dikelola untuk menghadapi ancaman siber.

Dilansir siaran resmi Komisi Eropa berjudul “EU Cyber Resilience Act” (8/07/2024), tujuan UU ini adalah untuk memastikan hadirnya infrastruktur perangkat keras, dan perangkat lunak yang lebih aman. EU CRA selain membangun ekosistem yang baik lahirnya produk terpercaya yang bisa memacu pertumbuhan industri, juga dimaksudkan untuk melindungi konsumen atau pengguna.

Dengan identitas produk yang jelas, konsumen tak akan salah pilih dan salah beli, atau menggunakan produk dengan komponen digital yang tidak aman. Oleh karena itu, produsen dan pengecer diwajibkan memenuhi persyaratan keamanan siber. Hal yang luar biasa adalah, masa pelindungan produk ditetapkan sepanjang siklus hidupnya.

Mencermati UU ini, sampai pada kesimpulan bahwa EU CRA juga menerapkan model “Digital Upstream Regulation” dengan pendekatan berbasis risiko. EU CRA mengkategorikan PDE menjadi kategori PDE Default, dan kedua, PDE kategori Kritis. Kategori Kritis kemudian dibagi menjadi dua subkategori, kritis kelas I dan kritis kelas II. Uni Eropa menyatakan, pendekatan regulasi ini dilakukan mengingat banyak produk atau pembaruan keamanan yang tidak memadai.

Namun, Uni Eropa menepis kekhawatiran industri dengan mengatakan bahwa 90 persen produk PDE termasuk ke dalam Kategori Default yang cukup menerapkan self asesmen. UU ini tak berdiri sendiri karena dirancang memiliki konektivitas dengan regulasi terkait produk atau perangkat lunak, dengan komponen digital di pasar terkait yang sudah ada dan berlaku.

Materi muatan yang diatur dalam EU CRA antara lain: Pertama, aturan mengenai persyaratan keamanan siber sejak perencanaan, desain, pengembangan, dan pemeliharaan produk. Hal ini diikuti dengan kewajiban yang harus dipenuhi, pada setiap tahap rantai nilai. Menetapkan kewajiban untuk menyediakan layanan perawatan selama siklus hidup produk tersebut.

Kedua, PDE perangkat lunak dan produk yang terhubung ke internet yang telah memenuhi persyaratan, akan memiliki tanda “CE”, sebagai bukti bahwa produk ini telah mematuhi standar baru. Hal ini berlaku untuk semua produk yang terhubung langsung atau tidak langsung ke perangkat, atau jaringan lain.

Ketiga, produsen dan pengecer diwajibkan memprioritaskan keamanan siber. Dampak positifnya, maka pelanggan dan bisnis bisa membuat pilihan lebih tepat. Keempat, perlakuan khusus pun diterapkan. Misalnya, untuk perangkat lunak atau layanan open source yang sudah tercakup oleh regulasi yang eksisting. Pengecualian juga diberlakukan untuk perangkat medis, penerbangan, dan mobil.

Kelima, EU CRA mengancam setiap pelanggaran atau ketidakpatuhan dengan sanksi denda dan penalti tinggi. Denda bervariasi untuk satu negara dan negara lainnya. Setiap negara Anggota EU dapat menentukan nilai dendanya sendiri dan melaporkannya ke ENISA. Namun sebagai patokan, denda ditetapkan berkisar antara 5-15 juta Euro, atau 1 persen hingga 2,5 persen dari omzet tahunan di seluruh dunia (mana yang tertinggi), tergantung pada keseriusan pelanggaran.

Terdapat masa transisi tiga tahun bagi produsen untuk menempatkan produk yang sesuai EU CRA di pasar Uni Eropa sampai 2027. Model pendekatan EU CRA lekat dengan model pendekatan regulasi upstream, dan menata ekosistem ketangguhan siber dengan melibatkan korporasi sebagai pengembang dan produsen.

Mengatur sejak tahap awal atau sebelum suatu produk dan layanan tersedia bagi pengguna akhir. Model ini membuat negara tidak sendirian dalam menghadapi persoalan siber, karena sejak tahap awal melibatkan pengembang, produsen dan pemangku kepentingan lain, sejalan dengan praktik dan dinamika cyberlaw modern.

Model ini bermanfaat untuk meminimalkan risiko dan kerentanan keamanan, sebelum produk digital dieksploitasi dengan melibatkan entitas yang memproduksi, menyediakan, atau mengelola infrastruktur teknologi ini. Targetnya juga untuk memastikan keamanan, resiliensi, dan integritas data, sepanjang rantai pasokan digital.

Semua entitas yang terlibat dalam ekosistem digital, data dan infrastruktur kritis diharuskan untuk mematuhi standar keamanan dan resiliensi di level hulu. Model regulasi ini memungkinkan upaya sistemik pencegahan kejahatan dan membantu menutup celah yang dapat dimanfaatkan peretas.

Langkahnya adalah dengan menetapkan standar keamanan yang tinggi bagi entitas penyedia layanan, dan infrastruktur teknologi di level upstream. Pendekatan hukum seperti yang diterapkan EU CRA akan menciptakan kepastian hukum bagi semua pemangku kepentingan. Juga mendorong kolaborasi aktif antara pemerintah, sektor swasta, para ahli, dan akademisi, dalam meningkatkan keamanan dan resiliensi siber secara komprehensif.

 

*Penulis adalah Guru Besar Cyber Law, Digital Policy-Regulation & Kekayaan Intelektual Fakultas Hukum Universitas Padjadjaran

Berita Terbaru

Ini Syarat Selisih Jumlah Suara Cakada Bisa Ajukan Gugatan ke MK

9 December 2024 - 19:05 WIB

MK Putuskan Polisi, TNI & Pejabat Daerah Bisa Dipidana Jika Tidak Netral di Pilkada

Palang Merah Indonesia Pecah, JK Polisikan Agung Laksono

9 December 2024 - 16:46 WIB

Jusuf Kalla dan Agung Laksono berebut Palang Merah Indonesia.

Hakordia 2024, Jaksa Agung Soroti Melorotnya Peringkat Indeks Persepsi Korupsi Indonesia

9 December 2024 - 16:10 WIB

Wakil Jaksa Agung, Feri Wibisono, membacakan sambutan Jaksa Agung ST Burhanuddin dalam Hakordia 2024 yang merespons melorotnya perimgkat IPK Indonesia. (Indonesiawatch.id/Dok. Kejagung)

Diduga Pengadaan Matsus Intel Kejagung Sudah Dilakukan Reda Manthovani Sejak Jabat Karocana

9 December 2024 - 15:17 WIB

Jamintel Kejagung Reda Manthovani

BNPB: ‎Semua Jalan di Sukabumi Sudah Bisa Dilalui, Jangan Ada Warga Terisolir

9 December 2024 - 12:55 WIB

Kepala BNPB, Suharyanto, mengatakan, semua jalan di Sukabumi sudah bisa dilalui dan jangan ada warga yang masih terisolir. (Indonesiawatch.id/Dok. BNPB)
Populer Berita Daerah