Pada 29 Juni 2026, Komisi I DPR dan perwakilan pemerintah menyepakati pembentukan panitia kerja untuk membahas Rancangan Undang-Undang Keamanan dan Ketahanan Siber atau RUU KKS. Keesokan harinya, beberapa pakar diundang untuk memberikan masukan di forum yang sama. Dalam rapat tersebut, salah seorang anggota panja menyinggung kembali insiden ransomware Pusat Data Nasional Sementara Juni 2024 dan mempertanyakan kewenangan koordinasi saat krisis terjadi. Hal ini menjadi indikasi awal bahwa isu tata kelola dan hubungan antarlembaga akan menjadi salah satu titik krusial dalam pembahasan panja.
Kejadian tersebut memang bisa dibilang menjadi salah satu insiden siber terburuk dalam sejarah Indonesia. Lumpuhnya Pusat Data Nasional Sementara (PDNS) mengganggu pelayanan publik seperti imigrasi, kesehatan, dan sistem penerimaan siswa, dengan disrupsi yang cukup berarti. Dua tahun berlalu, apakah RUU nantinya bisa membantu untuk menghindari terjadinya insiden serupa di masa yang akan datang? Apakah draf terkini betul-betul menyelesaikan masalah tata kelola yang gagal saat itu?
Jawabannya tidak sesimpel iya atau tidak. Draf terakhir yang beredar di lingkaran peneliti dan akademisi memperlihatkan bahwa RUU KKS mengadopsi pengaturan perlindungan infrastruktur informasi kritis (IIK) dan manajemen krisis siber yang masing-masing sebelumnya sudah diatur melalui Peraturan Presiden (Perpres) Nomor 82 Tahun 2022 dan No 47/2023. Hal ini tidak mengejutkan karena mandat Badan Siber dan Sandi Negara (BSSN) dianggap tidak cukup kuat untuk mengoordinasikan pengamanan siber akibat tidak adanya basis regulasi di level undang-undang.
Untuk insiden PDNS, BSSN menyampaikan telah memiliki aturan terkait keharusan melakukan rekam cadang (backup data), tetapi sifatnya rekomendasi dan tidak dapat memaksa instansi pemerintah untuk patuh. Kementerian Komdigi (sebelumnya Kominfo) selaku operator dari PDNS mestinya sudah terikat pada kewajiban manajemen risiko yang diatur dalam Perpres No 82/2022. Artinya, kewajiban yang sejatinya sudah ada tidak dijalankan karena kurangnya mekanisme pematuhannya.
RUU KKS lantas mewajibkan penyelenggara IIK untuk melakukan rekam cadang. Guna memastikan kepatuhan, terdapat ancaman hukuman administratif berupa denda. Selain itu, penyelenggara IIK juga diwajibkan melaporkan pengukuran tingkat keamanan siber kepada koordinator sektornya masing-masing, menaikkan pengaturan tersebut yang sebelumnya tertuang di perpres ke level undang-undang.
Di sisi lain, terdapat pasal yang mengatur kewajiban audit dan asesmen, baik internal maupun eksternal. Namun, tidak masuk ke dalam ketentuan yang mengatur daftar pelanggaran administratif selayaknya kewajiban rekam cadang ataupun pengukuran tingkat keamanan siber di atas. Artinya, pemerintah (dalam hal ini BSSN) tidak memiliki dasar hukum untuk menjatuhkan sanksi teguran hingga denda jika ada kementerian/lembaga atau entitas swasta yang menolak melakukan audit tersebut. Hal ini menunjukkan masih terdapat celah dalam draf RUU KKS yang berpotensi membuat regulasi ini tidak bisa sepenuhnya operasional. Pengaturan manajemen krisis siber dari Perpres No 47/2023 turut diadopsi, tetapi tanpa mekanisme penetapan gugus tugas yang berfungsi sebagai koordinator lapangan saat krisis terjadi.
Lebih dari isu insiden siber, RUU KKS juga belum secara menyeluruh menyebut isu tata kelola keamanan siber, bahkan bisa dibilang memilih menghindarinya. Sejak pembentukan BSSN tahun 2017, beragam otoritas di ruang siber sudah terdistribusikan ke berbagai institusi. Misalnya, Polri menjadi penjuru utama menghadapi kejahatan siber, sementara penapisan informasi di internet menjadi tanggung jawab Kementerian Komdigi. TNI mengembangkan kemampuan ofensif sembari melindungi infrastruktur pertahanan dari serangan lawan. BSSN sendiri mengemban tugas untuk sektor komunikasi strategis dan persandian, ditambah mengoordinasikan perlindungan IIK.
Pada draf awal, RUU KKS mengatur pembentukan Badan Siber Republik Indonesia yang diberikan berbagai wewenang, termasuk penegakan hukum ataupun penapisan konten. Ketetapan ini diketahui ditolak institusi lain dan akhirnya dihapus dari draf final. Nomenklatur lembaga yang melakukan koordinasi peran pemerintah lantas diubah menjadi frasa generik, yang tidak mengunci kewenangan pada satu institusi tertentu, tetapi secara umum dipahami sebagai BSSN. Meskipun demikian, pertentangan antarlembaga tidak tuntas diselesaikan.
Sebagai contoh, kewajiban penyelenggara IIK yang terhadap BSSN dikecualikan untuk penyelenggaraan fungsi intelijen, penegakan hukum, ataupun pertahanan negara. Kewajiban yang dimaksud adalah melaporkan informasi dan perbaikan kerentanan dalam produk dengan elemen digital (PDED) yang dipakai, kepatuhan terhadap standar keamanan rantai pasok, serta berbagai informasi keamanan siber. Padahal, ketiganya penting untuk memastikan ketahanan siber diterapkan secara konsisten. Apalagi, sebelumnya data TNI dan Polri sempat bocor dan dijual di forum peretas, sementara BIN pernah dilaporkan mengalami dugaan peretasan pada 2021.
Meskipun pengecualian semacam ini lazim ditemukan di berbagai rezim keamanan siber lain, RUU KKS tidak menyediakan mekanisme pengganti bagi institusi pertahanan dan keamanan untuk tetap diawasi soal keamanan siber di lingkungannya sendiri. Pengecualian tersebut menyisakan wilayah tanpa pengawasan yang bisa dibaca sebagai upaya menjaga hubungan dengan BSSN, lembaga yang notabene paling baru dibentuk.
Diskusi penegakan hukum juga berjalan cukup alot. Pada awal 2025, draf yang beredar memberikan mandat BSSN menjadi penyidik. Tidak heran, kondisi ini diberitakan mendapatkan penolakan dari Polri. Oktober 2025, beredar draf baru: selain BSSN, terdapat penyidik juga dari Kementerian Komdigi dan TNI. Tuntutan publik terutama terkait TNI menjadi penyidik kemudian bergulir, sehingga akhirnya draf terakhir yang beredar sejak akhir 2025 menetapkan penyidik sesuai dengan KUHAP yang berlaku.
Pertanyaan lebih besar mengenai desain tata kelola pada akhirnya tidak sepenuhnya terjawab di satu pun celah di atas, baik pada kewajiban pencegahan, desain kelembagaan, penanganan krisis, maupun mekanisme penegakan hukum yang kembali ke rezim umum.
Ada kemungkinan pembahasan poin-poin penting di atas tidak dapat diketahui publik secara terbuka. Ketua Komisi I sempat menyebutkan draf RUU KKS tidak disebar dan hanya dibuka ke publik jika diperlukan. Terlepas dari kemungkinan pelanggaran terhadap asas partisipasi publik yang bermakna seperti yang dikhawatirkan banyak pengamat, perubahan pada mekanisme penyidikan RUU KKS sebelumnya justru terjadi karena kedua draf sempat beredar dan menuai kritik terbuka. Kondisi di atas juga tidak optimal untuk sektor keamanan siber itu sendiri.
Pendekatan whole-of-society’yang banyak diadopsi negara demokrasi kerap diargumentasikan pentingnya tata kelola yang secara nyata membangun kepercayaan dengan entitas di luar pemerintahan, termasuk swasta yang justru banyak mengelola teknologi siber itu sendiri. Tanpa keterbukaan, kepercayaan itu sulit hadir, sehingga regulasi ini berisiko tidak optimal dalam praktiknya.
Selain itu, publik perlu tahu apakah setelah tujuh tahun sejak RUU ini pertama kali digulirkan serta serangkaian insiden siber yang merugikan masyarakat luas, persoalan tata kelola betul-betul diperbaiki atau dibiarkan. Proses yang tertutup membuat publik luas tidak akan mendapatkan jawabannya sampai pemerintah dan DPR menyetujui draf terakhir, pola yang familiar dalam pembahasan RUU lain di Komisi I, termasuk revisi UU TNI tahun lalu.
Christian Guntur Lebang, Koordinator Analis Laboratorium Indonesia 2045 (LAB 45)
Pada 29 Juni 2026, Komisi I DPR dan perwakilan pemerintah menyepakati pembentukan panitia kerja untuk membahas Rancangan Undang-Undang Keamanan dan Ketahanan Siber atau RUU KKS. Keesokan harinya, beberapa pakar diundang untuk memberikan masukan di forum yang sama. Dalam rapat tersebut, salah seorang anggota panja menyinggung kembali insiden ransomware Pusat Data Nasional Sementara Juni 2024 dan mempertanyakan kewenangan koordinasi saat krisis terjadi. Hal ini menjadi indikasi awal bahwa isu tata kelola dan hubungan antarlembaga akan menjadi salah satu titik krusial dalam pembahasan panja.
Kejadian tersebut memang bisa dibilang menjadi salah satu insiden siber terburuk dalam sejarah Indonesia. Lumpuhnya Pusat Data Nasional Sementara (PDNS) mengganggu pelayanan publik seperti imigrasi, kesehatan, dan sistem penerimaan siswa, dengan disrupsi yang cukup berarti. Dua tahun berlalu, apakah RUU nantinya bisa membantu untuk menghindari terjadinya insiden serupa di masa yang akan datang? Apakah draf terkini betul-betul menyelesaikan masalah tata kelola yang gagal saat itu?
Jawabannya tidak sesimpel iya atau tidak. Draf terakhir yang beredar di lingkaran peneliti dan akademisi memperlihatkan bahwa RUU KKS mengadopsi pengaturan perlindungan infrastruktur informasi kritis (IIK) dan manajemen krisis siber yang masing-masing sebelumnya sudah diatur melalui Peraturan Presiden (Perpres) Nomor 82 Tahun 2022 dan No 47/2023. Hal ini tidak mengejutkan karena mandat Badan Siber dan Sandi Negara (BSSN) dianggap tidak cukup kuat untuk mengoordinasikan pengamanan siber akibat tidak adanya basis regulasi di level undang-undang.
Untuk insiden PDNS, BSSN menyampaikan telah memiliki aturan terkait keharusan melakukan rekam cadang (backup data), tetapi sifatnya rekomendasi dan tidak dapat memaksa instansi pemerintah untuk patuh. Kementerian Komdigi (sebelumnya Kominfo) selaku operator dari PDNS mestinya sudah terikat pada kewajiban manajemen risiko yang diatur dalam Perpres No 82/2022. Artinya, kewajiban yang sejatinya sudah ada tidak dijalankan karena kurangnya mekanisme pematuhannya.

Serial Artikel


Baca Artikel
RUU KKS lantas mewajibkan penyelenggara IIK untuk melakukan rekam cadang. Guna memastikan kepatuhan, terdapat ancaman hukuman administratif berupa denda. Selain itu, penyelenggara IIK juga diwajibkan melaporkan pengukuran tingkat keamanan siber kepada koordinator sektornya masing-masing, menaikkan pengaturan tersebut yang sebelumnya tertuang di perpres ke level undang-undang.
Di sisi lain, terdapat pasal yang mengatur kewajiban audit dan asesmen, baik internal maupun eksternal. Namun, tidak masuk ke dalam ketentuan yang mengatur daftar pelanggaran administratif selayaknya kewajiban rekam cadang ataupun pengukuran tingkat keamanan siber di atas. Artinya, pemerintah (dalam hal ini BSSN) tidak memiliki dasar hukum untuk menjatuhkan sanksi teguran hingga denda jika ada kementerian/lembaga atau entitas swasta yang menolak melakukan audit tersebut. Hal ini menunjukkan masih terdapat celah dalam draf RUU KKS yang berpotensi membuat regulasi ini tidak bisa sepenuhnya operasional. Pengaturan manajemen krisis siber dari Perpres No 47/2023 turut diadopsi, tetapi tanpa mekanisme penetapan gugus tugas yang berfungsi sebagai koordinator lapangan saat krisis terjadi.
Lebih dari isu insiden siber, RUU KKS juga belum secara menyeluruh menyebut isu tata kelola keamanan siber, bahkan bisa dibilang memilih menghindarinya. Sejak pembentukan BSSN tahun 2017, beragam otoritas di ruang siber sudah terdistribusikan ke berbagai institusi. Misalnya, Polri menjadi penjuru utama menghadapi kejahatan siber, sementara penapisan informasi di internet menjadi tanggung jawab Kementerian Komdigi. TNI mengembangkan kemampuan ofensif sembari melindungi infrastruktur pertahanan dari serangan lawan. BSSN sendiri mengemban tugas untuk sektor komunikasi strategis dan persandian, ditambah mengoordinasikan perlindungan IIK.
Pada draf awal, RUU KKS mengatur pembentukan Badan Siber Republik Indonesia yang diberikan berbagai wewenang, termasuk penegakan hukum ataupun penapisan konten. Ketetapan ini diketahui ditolak institusi lain dan akhirnya dihapus dari draf final. Nomenklatur lembaga yang melakukan koordinasi peran pemerintah lantas diubah menjadi frasa generik, yang tidak mengunci kewenangan pada satu institusi tertentu, tetapi secara umum dipahami sebagai BSSN. Meskipun demikian, pertentangan antarlembaga tidak tuntas diselesaikan.
Sebagai contoh, kewajiban penyelenggara IIK yang terhadap BSSN dikecualikan untuk penyelenggaraan fungsi intelijen, penegakan hukum, ataupun pertahanan negara. Kewajiban yang dimaksud adalah melaporkan informasi dan perbaikan kerentanan dalam produk dengan elemen digital (PDED) yang dipakai, kepatuhan terhadap standar keamanan rantai pasok, serta berbagai informasi keamanan siber. Padahal, ketiganya penting untuk memastikan ketahanan siber diterapkan secara konsisten. Apalagi, sebelumnya data TNI dan Polri sempat bocor dan dijual di forum peretas, sementara BIN pernah dilaporkan mengalami dugaan peretasan pada 2021.


Serial Artikel


Baca Artikel
Meskipun pengecualian semacam ini lazim ditemukan di berbagai rezim keamanan siber lain, RUU KKS tidak menyediakan mekanisme pengganti bagi institusi pertahanan dan keamanan untuk tetap diawasi soal keamanan siber di lingkungannya sendiri. Pengecualian tersebut menyisakan wilayah tanpa pengawasan yang bisa dibaca sebagai upaya menjaga hubungan dengan BSSN, lembaga yang notabene paling baru dibentuk.
Diskusi penegakan hukum juga berjalan cukup alot. Pada awal 2025, draf yang beredar memberikan mandat BSSN menjadi penyidik. Tidak heran, kondisi ini diberitakan mendapatkan penolakan dari Polri. Oktober 2025, beredar draf baru: selain BSSN, terdapat penyidik juga dari Kementerian Komdigi dan TNI. Tuntutan publik terutama terkait TNI menjadi penyidik kemudian bergulir, sehingga akhirnya draf terakhir yang beredar sejak akhir 2025 menetapkan penyidik sesuai dengan KUHAP yang berlaku.
Pertanyaan lebih besar mengenai desain tata kelola pada akhirnya tidak sepenuhnya terjawab di satu pun celah di atas, baik pada kewajiban pencegahan, desain kelembagaan, penanganan krisis, maupun mekanisme penegakan hukum yang kembali ke rezim umum.
Ada kemungkinan pembahasan poin-poin penting di atas tidak dapat diketahui publik secara terbuka. Ketua Komisi I sempat menyebutkan draf RUU KKS tidak disebar dan hanya dibuka ke publik jika diperlukan. Terlepas dari kemungkinan pelanggaran terhadap asas partisipasi publik yang bermakna seperti yang dikhawatirkan banyak pengamat, perubahan pada mekanisme penyidikan RUU KKS sebelumnya justru terjadi karena kedua draf sempat beredar dan menuai kritik terbuka. Kondisi di atas juga tidak optimal untuk sektor keamanan siber itu sendiri.
Pendekatan whole-of-society’yang banyak diadopsi negara demokrasi kerap diargumentasikan pentingnya tata kelola yang secara nyata membangun kepercayaan dengan entitas di luar pemerintahan, termasuk swasta yang justru banyak mengelola teknologi siber itu sendiri. Tanpa keterbukaan, kepercayaan itu sulit hadir, sehingga regulasi ini berisiko tidak optimal dalam praktiknya.
Selain itu, publik perlu tahu apakah setelah tujuh tahun sejak RUU ini pertama kali digulirkan serta serangkaian insiden siber yang merugikan masyarakat luas, persoalan tata kelola betul-betul diperbaiki atau dibiarkan. Proses yang tertutup membuat publik luas tidak akan mendapatkan jawabannya sampai pemerintah dan DPR menyetujui draf terakhir, pola yang familiar dalam pembahasan RUU lain di Komisi I, termasuk revisi UU TNI tahun lalu.
Christian Guntur Lebang, Koordinator Analis Laboratorium Indonesia 2045 (LAB 45)