Catalyst Policy Works menilai rancangan Undang-Undang Keamanan dan Ketahanan Siber menyimpan risiko besar jika kewenangan lembaga siber dipusatkan terlalu kuat. Menurut organisasi ini, desain kelembagaan yang belum tegas bisa memunculkan tumpang tindih fungsi, ketidakpastian hukum, dan masalah perlindungan privasi.
Direktur Eksekutif Wahyudi Djafar menyebut keamanan siber nasional memang membutuhkan lembaga yang kuat. Namun, kekuatan itu harus disertai mandat yang jelas, akuntabilitas terukur, dan pengawasan yang transparan agar tidak berubah menjadi kewenangan yang terlalu luas.
Mandat lembaga masih dinilai kabur
Dalam naskah yang dibahas, RUU KKS memuat kewajiban bagi penyelenggara infrastruktur informasi untuk menjalankan tata kelola, identifikasi, proteksi, deteksi, tanggap insiden, dan pemulihan. Aturan itu juga memberi pengaturan khusus bagi Infrastruktur Informasi Kritikal, tetapi Catalyst menilai batas kewenangan belum ditulis secara tegas.
Wahyudi menyoroti bahwa naskah kiriman Presiden masih menyisakan ketidakpastian hukum bagi industri digital. Status lembaga siber, struktur organisasi, tingkat independensi, hubungan dengan regulator sektor, dan mekanisme pertanggungjawaban disebut belum dijelaskan secara eksplisit.
Ia menilai bentuk lembaga, tugas, fungsi, dan kewenangannya perlu diatur langsung dalam undang-undang. Jika dibiarkan bergantung pada peraturan pemerintah, tafsir berlapis dikhawatirkan muncul pada tahap implementasi.
Fungsi regulator dan operator berisiko berbenturan
Catalyst juga menyoroti potensi benturan fungsi bila satu instansi diberi kewenangan terlalu luas. Dalam draf yang dibahas, instansi siber disebut memiliki peran mulai dari standardisasi, audit, sertifikasi, hingga koordinasi krisis.
Kondisi itu dinilai berisiko memunculkan konflik kepentingan apabila fungsi regulator, operator, auditor, dan koordinator digabung tanpa sekat pengawasan eksternal. Bagi industri, situasi semacam ini dapat menimbulkan ketidakpastian saat memenuhi kewajiban kepatuhan dan berpotensi mengganggu iklim investasi teknologi.
Tiga usulan utama untuk desain kelembagaan
Untuk menjawab persoalan itu, Catalyst Policy Works mengajukan tiga rekomendasi pokok. Pertama, RUU perlu secara eksplisit menetapkan Otoritas Keamanan dan Ketahanan Siber Nasional sebagai badan non-kementerian yang bertanggung jawab kepada Presiden, dengan mandat sebagai regulator dan pengawas kepatuhan, bukan lembaga intelijen atau penyidik.
Kedua, RUU disarankan memakai model central coordinator with sectoral regulators. Dalam model ini, otoritas nasional menetapkan standar lintas sektor, sementara regulator teknis tetap mengawasi sektor masing-masing.
Ketiga, fungsi regulasi, operasi, audit, sertifikasi, dan penindakan harus dipisahkan. Pemisahan itu perlu disertai laporan tahunan kepada DPR dan audit independen agar akuntabilitas lembaga tetap terjaga.
Perlindungan pelapor insiden dan privasi publik
Selain soal kelembagaan, Catalyst meminta adanya jaminan safe harbour bagi pelapor insiden siber. Skema ini dinilai penting agar pelaku industri tidak memilih menutup-nutupi serangan digital karena takut terkena sanksi administratif.
Di sisi lain, pemantauan anomali trafik harus diberi pagar konstitusional yang kuat. Tanpa batas yang tegas, pengawasan berisiko melebar menjadi akses massal terhadap isi komunikasi privat warga negara.
Sorotan itu menegaskan bahwa efektivitas pengawasan siber tidak cukup hanya mengandalkan kewenangan teknis. Regulasi juga harus menjaga keseimbangan antara keamanan nasional, perlindungan hak privasi, dan kepastian hukum bagi pelaku usaha digital.
Sanksi diminta bertingkat dan proporsional
Catalyst menilai skema penegakan hukum dalam RUU KKS juga perlu dibuat bertingkat. Sanksi administratif sebaiknya dimulai dari teguran hingga denda administratif, sedangkan pidana tidak boleh langsung diarahkan pada pelanggaran administratif yang tidak disengaja oleh pelaku usaha.
Wahyudi menegaskan bahwa ancaman pidana berat hanya layak dipakai untuk tindakan dengan akibat serius, unsur kesengajaan yang jelas, hubungan sebab-akibat yang terbukti, dan dampak signifikan. Ia juga menilai batasan hukum pidana harus dirumuskan secara ketat agar tidak menimbulkan pasal karet.
“Menjadikan sanksi pidana sebagai ultimum remedium untuk serangan berat terhadap IIK, ransomware, sabotase, dan tindakan yang menimbulkan akibat serius, bukan ditegakkan terhadap kegagalan kepatuhan administratif,” ujar Wahyudi.
Meski memberi catatan kritis, Catalyst tetap mengapresiasi dimulainya pembahasan RUU KKS. Wahyudi menilai arah kebijakannya sudah tepat karena mengadopsi siklus manajemen keamanan siber modern dari hulu ke hilir.
“Pendekatan ini penting untuk memastikan organisasi tidak hanya bereaksi setelah insiden, tetapi membangun kemampuan pencegahan, deteksi diri, respons, dan pemulihan secara berkelanjutan,” kata Wahyudi.
