Rancangan Undang-Undang Keamanan Siber dan Ketahanan Indonesia: Kemajuan, Hambatan, dan Hal-Hal yang Belum Terselesaikan
Christian Guntur LebangSenin, 18 Mei 2026
Penulis
Ketika pemerintahan Presiden Prabowo Subianto mengirimkan Surat Presiden ( Surpres No. R-07) kepada Dewan Perwakilan Rakyat mengenai Rancangan Undang-Undang Keamanan Siber dan Ketahanan (RUU KKS), yang secara resmi disahkan dalam Sidang Paripurna DPR ke-16 pada 12 Maret 2026, hal itu menandai dimulainya debat legislatif yang akan membentuk bagaimana Indonesia mengatur keamanan siber untuk masa mendatang (ANTARA, 2026). RUU tersebut telah ditetapkan sebagai prioritas Prolegnas untuk tahun 2026. Pembahasan kini sedang berlangsung dengan sungguh-sungguh.
Tulisan ini mengkaji draf November 2025, versi terbaru yang beredar di kalangan peneliti dan pakar kebijakan, dengan mempertimbangkan kekhawatiran yang muncul ketika versi sebelumnya pertama kali muncul pada awal tahun 2025. Gambaran yang didapat beragam. Beberapa masalah yang paling terlihat telah diatasi. Namun, proses pembahasan juga memperkenalkan kewajiban baru yang tidak ada dalam draf asli dan menghilangkan perlindungan yang sempat muncul. Memahami perubahan mana yang nyata dan mana yang hanya kosmetik sangat penting saat ini, sebelum teks tersebut dikunci di komite.
Apa yang Dijawab dengan Benar dan Apa yang Belum Terjawab dalam Pembenaran Akademik
Terdapat celah nyata dalam arsitektur hukum Indonesia yang coba diisi oleh RUU KKS. UU ITE (Undang-Undang Informasi dan Transaksi Elektronik) dibangun berdasarkan perilaku individu di ruang digital: konten, transaksi, dan pencemaran nama baik. KUHP mengatur kejahatan yang menggunakan alat digital. Baik UU ITE maupun KUHP tidak dirancang untuk melindungi infrastruktur informasi kritis, dan serangan ransomware pada Juni 2024 terhadap Pusat Data Nasional, yang melumpuhkan layanan imigrasi, pendidikan, dan layanan lainnya di lebih dari 200 instansi pemerintah, membuat celah tersebut tidak mungkin diabaikan.
Masalahnya bukan pada pembuatan undang-undang. Kerangka kerja yang ada di Indonesia berdasarkan Peraturan Presiden Nomor 82 Tahun 2022 (Perpres 82/2022) menetapkan jangka waktu pelaporan insiden dan struktur respons berjenjang, tetapi sebagai peraturan presiden, peraturan tersebut tidak mengandung sanksi penegakan hukum: operator tidak menghadapi konsekuensi hukum atas ketidakpatuhan. Kesenjangan tersebut merupakan alasan yang sah untuk adanya undang-undang. Yang tidak dijelaskan dalam makalah akademis tersebut adalah mengapa menutup kesenjangan penegakan hukum tersebut memerlukan konektivitas waktu nyata yang wajib dengan pusat operasi keamanan nasional, alih-alih hanya menambahkan sanksi pada kewajiban yang sudah ada.
Apa yang Telah Berubah dalam Draf: Membaca Arah Perkembangannya
Proses komite antar-kementerian antara Februari dan November 2025 menghasilkan perubahan nyata. Kewenangan BSSN untuk menyaring konten daring (Pasal 69g) dihapus pada bulan Oktober. Personel TNI sebagai penyidik kejahatan siber yang ditunjuk muncul dalam draf Oktober (Pasal 56(1)(d)) dan dihapus dalam Final setelah adanya penolakan publik (DW Indonesia, 2025). Kewenangan investigasi otonom BSSN, yang pada bulan Februari diperluas hingga penggeledahan, penyitaan, dan penyitaan aset (Pasal 82), sepenuhnya dicabut dalam Final, dengan kewenangan investigasi kriminal dikembalikan ke kerangka hukum pidana umum.
Perlakuan terhadap kecerdasan buatan juga mengalami evolusi. Draf bulan Februari memberikan wewenang eksklusif kepada BSSN atas penggunaan AI dalam infrastruktur informasi kritis (Pasal 43), yang secara langsung bertentangan dengan surat edaran etika AI Kemkomdigi tahun 2023. Pasal 36(2) dalam Final menugaskan tata kelola AI kepada "Pemerintah" secara luas tanpa menentukan kementerian mana, sehingga menciptakan kondisi untuk perselisihan antar lembaga. Namun Pasal 35(4) menambahkan persyaratan eksplisit bahwa penggunaan AI "tetap berada di bawah kendali dan pengawasan manusia," yang tidak ada dalam semua versi sebelumnya. Itu adalah tambahan yang bermakna.
Tabel tersebut mengungkapkan sebuah pola yang patut dicermati. Ketentuan yang dihapus semuanya mudah dipahami secara politis: penyaringan konten, penyelidik militer, BSSN bertindak sebagai polisi. Ketentuan yang bergerak ke arah sebaliknya secara teknis rumit: integrasi NSOC ditambahkan secara diam-diam pada bulan Oktober dan tidak pernah dihapus; pengawasan yudisial untuk langkah-langkah pembatasan akses sempat muncul dan kemudian dihapus secara diam-diam. Apa yang dihapus secara diam-diam lebih berdampak daripada apa yang dihapus secara publik.
Mandat NSOC: Sebuah Kewajiban Baru Tanpa Model
Pasal 15(c) dari draf November 2025 mewajibkan semua operator Infrastruktur Informasi Kritis (IIK), baik instansi pemerintah maupun perusahaan swasta, untuk menghubungkan sistem pemantauan keamanan mereka ke Pusat Operasi Keamanan Nasional (NSOC) BSSN secara real-time. Kewajiban ini diperkenalkan pada bulan Oktober dan tetap berlaku dalam versi final tanpa perubahan; hal ini tidak ada dalam draf Februari 2025.
Tidak satu pun dari kerangka kerja komparatif utama yang ditinjau untuk tulisan ini menggunakan konektivitas tetap sebagai kewajiban dasar. Singapura mensyaratkan pelaporan insiden dalam jangka waktu yang ditentukan untuk operator infrastruktur kritis yang ditunjuk, bukan akses terus menerus ke telemetri jaringan (Hogan Lovells, 2025). Direktif NIS2 Uni Eropa beroperasi pada peringatan dini 24 jam dan laporan lengkap 72 jam, yang dipicu oleh insiden tertentu (Direktif NIS2, Pasal 23). Undang-Undang Keamanan Infrastruktur Kritis Australia menggunakan berbagi informasi bertingkat yang dipicu oleh insiden, bukan koneksi tetap (Undang-Undang SOCI 2018). Amerika Serikat mempertahankan batasan hukum antara pengumpulan data keamanan siber dan penggunaan penegakan hukum, yang memerlukan otorisasi terpisah untuk melewatinya (PPD-41, 2016).
Yang membuat ketentuan Indonesia sulit dipertahankan adalah tidak adanya kerangka hukum mengenai apa yang terjadi pada data yang masuk ke NSOC. Draf akhir tidak menyebutkan batasan retensi, pembatasan tujuan, dan hak-hak entitas sektor swasta yang telemetri jaringannya masuk ke pusat tersebut. Persyaratan perlindungan data Pasal 9(2)(g) mengatur operator, bukan BSSN.
Yurisdiksi yang memperluas akses pemerintah terhadap data keamanan umumnya menyematkan perlindungan hukum dalam undang-undang yang sama. Undang-Undang Keamanan Siber Australia 2024 melarang penggunaan pengungkapan terkait insiden sebagai bukti dalam proses perdata atau pidana (Undang-Undang Keamanan Siber Australia 2024). Rancangan undang-undang Indonesia tidak memuat hal yang setara.
Sebagai perbandingan, pertimbangkan apa yang sudah dimiliki Indonesia. Perpres 82/2022 (Pasal 12–13) mewajibkan pelaporan insiden dalam waktu 24 jam dan memberikan peran koordinasi kepada BSSN, bukan peran pemantauan. Pergeseran ke integrasi waktu nyata permanen merupakan perubahan kualitatif dalam hubungan antara negara dan operator infrastruktur swasta, dan baik makalah akademis maupun draf teks tidak menawarkan alasan mengapa hal itu diperlukan.
PDED: Peminjaman yang Salah di Waktu yang Salah
Bab-bab tentang "Produk dengan Elemen Digital" (PDED) dalam Pasal 30–38 diambil dari kerangka Undang-Undang Ketahanan Siber Uni Eropa; definisi Pasal 1(14) secara fungsional identik dengan teks CRA Uni Eropa, dan Pasal 32(1) mereproduksi daftar periksa kepatuhan sebelas poin untuk produsen perangkat keras dan perangkat lunak yang menghadap jaringan (Peraturan Uni Eropa 2024/2847).
Undang-Undang Perlindungan Data (CRA) Uni Eropa dirancang untuk berfungsi dalam ekologi kelembagaan tertentu: badan penilaian kesesuaian independen, pengecualian eksplisit untuk perangkat lunak sumber terbuka dan usaha kecil, perlindungan kerahasiaan untuk daftar bahan perangkat lunak, dan ketentuan perlindungan bagi peneliti keamanan. Rancangan Indonesia membahas beberapa elemen ini tetapi hanya sebagian. Persyaratan sertifikasi muncul dalam Penjelasan Pasal 30(5) dan bukan dalam teks operatif undang-undang, tanpa rincian tentang struktur kelembagaan. Usaha kecil tidak menerima pengecualian atau masa transisi, dokumentasi yang setara dengan SBOM diwajibkan berdasarkan Pasal 32(1)(c) tanpa perlindungan kerahasiaan untuk isinya, dan kekebalan peneliti keamanan berdasarkan Pasal 60 terbatas pada pengujian infrastruktur kritis yang diizinkan dan bukan penelitian independen pada produk komersial.
Ada juga masalah waktu. Digital Omnibus Uni Eropa pada November 2025, yang menargetkan pengurangan biaya administrasi hampir €12 miliar, merupakan pengakuan langsung bahwa beban kepatuhan CRA telah menjadi tidak dapat dikelola (Komisi Eropa, 2025). Indonesia sedang mengkodifikasi model yang secara aktif ditarik kembali oleh yurisdiksi yang merancangnya.
Tidak ada negara anggota ASEAN lainnya yang menempuh jalur yang sama. Singapura, Jepang, dan Malaysia semuanya memilih kewajiban dari sisi operator atau skema pelabelan sukarela daripada mandat produsen, dan Indonesia akan menjadi satu-satunya negara di kawasan ini yang secara eksplisit mengimpor konstruksi sisi produsen dari CRA (CSA Singapura; METI Jepang, 2025).
Perlakuan terhadap penegakan PDED dalam draf final memperparah kekhawatiran. Versi Oktober mencakup penarikan produk wajib sebagai sanksi (Pasal 57(3)); versi final menghapus hal ini sepenuhnya, hanya menyisakan peringatan tertulis dan denda. Rezim peraturan yang tidak dapat memaksa produk yang tidak sesuai untuk keluar dari pasar tidak memiliki mekanisme penegakan yang kredibel.
Undang-Undang yang Mungkin Tidak Berlaku Saat Disahkan
Apa yang terjadi setelah RUU KKS diberlakukan kurang mendapat perhatian yang semestinya. RUU tersebut menggeser terminologi dari IIV (istilah yang digunakan dalam Perpres 82/2022) ke IIK, tetapi ketentuan transisi Pasal 62 menangani hubungan dengan hukum yang ada dalam satu klausul umum: peraturan sebelumnya "tetap berlaku sejauh tidak bertentangan" dengan hukum baru. Perpres 82/2022 tidak disebutkan namanya. Apakah model pelaporan berbasis kejadiannya "bertentangan" dengan mandat integrasi waktu nyata Pasal 15(c) diserahkan kepada siapa pun yang membaca undang-undang tersebut terlebih dahulu, dan lembaga tersebut hampir pasti adalah BSSN, tanpa mekanisme peninjauan apa pun.
Pasal 63 memberi pemerintah waktu dua tahun untuk menerbitkan semua peraturan pelaksana, tanpa urutan berdasarkan ketentuan dan tanpa konsekuensi jika melewatkan tenggat waktu. Ini bukan masalah abstrak. Undang-Undang Perlindungan Data Pribadi (UU PDP) mulai berlaku penuh pada Oktober 2024 setelah masa transisi dua tahun, dan hingga pertengahan 2025 belum ada satu pun PP pelaksana yang diterbitkan dan badan pengawas belum dibentuk (Hukumonline, 2025). Itu adalah kegagalan tata kelola; untuk undang-undang keamanan siber, itu juga akan menjadi risiko keamanan.
Rekomendasi
Pertama, kewajiban NSOC perlu direstrukturisasi, bukan hanya dipantau. Pasal 15(c) dalam bentuknya saat ini merupakan mandat pengumpulan data tanpa batas yang disamarkan sebagai ketentuan keamanan siber. Persyaratan konektivitas harus diaktifkan berdasarkan ambang batas insiden, konsisten dengan pendekatan Singapura, NIS2, dan Australia terhadap masalah ini, dan batasan penggunaan data yang mencakup retensi, berbagi, dan tujuan perlu dicantumkan dalam undang-undang, bukan diserahkan kepada peraturan pelaksana di masa mendatang.
Kedua, perluasan wewenang BSSN membutuhkan kerangka akuntabilitas yang sesuai. Draf akhir meningkatkan jangkauan BSSN atas pemantauan jaringan, kepatuhan PDED, dan penetapan IIK, sementara lembaga tersebut masih hanya melapor kepada Presiden berdasarkan Perpres 28/2021. Pelaporan parlemen, peninjauan independen atas keputusan yang secara signifikan memengaruhi entitas swasta, dan proses banding administratif harus dimasukkan ke dalam undang-undang. Akuntabilitas dalam skala sebesar ini, baik atas infrastruktur publik maupun swasta, membutuhkannya.
Ketiga, bab PDED (Protected Designation of Environmental Design) harus dipisahkan dari hukum inti. Melindungi infrastruktur kritis tidak memerlukan pengaturan siapa yang dapat memproduksi apa. Bab ini harus dikembangkan secara terpisah, setelah Indonesia memiliki kapasitas penilaian kesesuaian dan pengawasan pasar yang dibutuhkan oleh kerangka kerja tersebut.
Keempat, ketentuan transisi perlu spesifik. Klausul pengecualian Pasal 62 menciptakan kekosongan interpretasi atas hubungan dengan Perpres 82/2022 yang akan diisi oleh BSSN secara otomatis; hal ini harus dinyatakan secara eksplisit. Batas waktu dua tahun yang seragam dalam Pasal 63 harus diuraikan: peraturan yang mengatur apa yang dapat dilakukan BSSN dengan data NSOC harus ada sebelum Pasal 15(c) mulai berlaku. UU PDP telah resmi berlaku sejak Oktober 2024 dan masih belum memiliki peraturan pelaksana atau badan pengawas. Itulah yang dihasilkan oleh batas waktu dua tahun tanpa urutan yang jelas.
Kesimpulan
RUU KKS telah mengalami peningkatan sejak pertama kali diedarkan. Otoritas penyaringan konten telah dihapus. Penyidik militer ditambahkan dan kemudian dihapus. Kekuatan investigasi otonom BSSN tidak lolos proses penyusunan. Persyaratan keterlibatan manusia dalam sistem AI ditambahkan, padahal sebelumnya tidak ada. Proses legislatif yang mampu menanggapi kritik publik yang serius bukanlah hal yang sepele, dan akan tidak adil jika tidak mengatakannya.
Namun, perubahan yang membawa konsekuensi jangka panjang paling besar justru bergerak ke arah sebaliknya, dan bergerak secara diam-diam. Integrasi waktu nyata NSOC tidak ada dalam draf Februari. Hal itu muncul pada bulan Oktober, kurang mendapat perhatian publik dibandingkan ketentuan yang dihapus, dan sekarang ada dalam versi final. Pengawasan yudisial untuk langkah-langkah pembatasan akses sempat muncul sebentar pada bulan Oktober dan hilang pada bulan November. Kerangka kerja PDED mempertahankan ambisinya tanpa kekuatan penegakannya.
Draf yang sampai ke komite masih bisa diperbaiki. Apakah draf tersebut akan diperbaiki adalah pertanyaan lain, yang pada akhirnya bergantung pada apakah pembahasan cukup terbuka bagi publik untuk melihat apa yang sebenarnya diputuskan. Proses legislatif baru-baru ini di Indonesia tidak selalu memenuhi standar tersebut, dan masyarakat yang akan hidup di bawah hukum ini berhak mendapatkan yang lebih baik daripada hanya mengetahui isinya setelah disahkan.
Referensi
ANTARA (2026). DPR terima Surpres RUU PSDK hingga RUU Keamanan dan Ketahanan Siber. ANTARA. https://www.antaranews.com/berita/5469723/dpr-terima-surpres-ruu-psdk-hingga-ruu-keamanan-dan-ketahanan-siber
Undang-Undang Keamanan Siber Australia 2024. https://www.legislation.gov.au/Series/C2024A00098
CSA Singapura (tanpa tanggal). Skema Pelabelan Keamanan Siber . CSA Singapura. https://www.csa.gov.sg/our-programmes/technology-trust-safety/cybersecurity-labelling
DW Indonesia (2025). Draf RUU KKS: Peran TNI sebagai Penyidik Siber Tuai Kritik. DW Indonesia. https://www.dw.com/id/draf-ruu-kks-peran-tni-sebagai-penyidik-siber-tuai-kritik/a-74257750
Peraturan Uni Eropa 2024/2847 (Undang-Undang Ketahanan Siber). https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R2847
Komisi Eropa (2025). Siaran Pers Omnibus Digital . Komisi Eropa. https://ec.europa.eu/commission/presscorner/detail/en/ip_25_2718
Hogan Lovells ( 2025). Ketentuan dalam Undang-Undang (Amandemen) Keamanan Siber Singapura mulai berlaku pada 31 Oktober 2025. Hogan Lovells. https://www.hoganlovells.com/en/publications/provisions-in-singapores-cybersecurity-amendment-act-came-into-force-on-31-october-2025
Hukumonline (2025). Menanti Disahkannya Aturan Turunan UU PDP. Hukumonline. https://www.hukumonline.com/berita/a/menanti-disahkannya-aturan-turunan-uu-pdp-lt68fae7fbe057d
METI Jepang (2025). Peluncuran Skema JC-STAR . METI. https://www.meti.go.jp/press/2024/03/20250331004/20250331004.html
Petunjuk NIS2 (UE) 2022/2555. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022L2555
Peraturan Presiden No. 28 Tahun 2021 tentang Badan Siber dan Sandi Negara. https://peraturan.bpk.go.id/Details/163476/perpres-no-28-tahun-2021
Peraturan Presiden No. 82 Tahun 2022 tentang Pelindungan Infrastruktur Informasi Vital. https://peraturan.bpk.go.id/Details/208947
PPD-41 (2016). Koordinasi Insiden Siber Amerika Serikat . Gedung Putih. https://obamawhitehouse.archives.gov/the-press-office/2016/07/26/presidential-policy-directive-united-states-cyber-incident
Undang-Undang Keamanan Infrastruktur Kritis 2018 (Australia). https://www.legislation.gov.au/Series/C2018A00029
Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi. https://peraturan.bpk.go.id/Details/229798/uu-no-27-tahun-2022
