Di Jakarta, wacana revisi dan penyusunan undang-undang baru tentang keamanan siber kembali menguat ketika DPR RI mulai membuka ruang pembahasan yang lebih serius. Dorongan ini muncul di tengah lanskap cybersecurity yang makin kompleks: serangan ransomware pada layanan publik, kebocoran data pelanggan di sektor keuangan, hingga sabotase sistem industri yang mengandalkan teknologi informasi. Namun, yang membuat agenda ini berbeda adalah tarik-menarik definisi dan kewenangan—apakah regulasi akan berfokus pada perlindungan warga dan infrastruktur digital, atau bergeser menjadi perangkat “pertahanan” negara yang memberi ruang lebih luas bagi aktor keamanan. Di sisi lain, pemerintah menyatakan draf telah disiapkan sejak akhir 2025, sementara Komisi I DPR sebelumnya menegaskan belum menerima naskah resmi untuk mulai membedah pasal demi pasal. Di tengah simpang siur itu, publik menuntut satu hal: legislasi yang tegas, transparan, dan tidak membuka celah kriminalisasi berlebihan. Pertanyaan besarnya, ketika pembahasan resmi benar-benar dimulai, apakah Indonesia akan mendapatkan kerangka hukum yang memperkuat ketahanan digital tanpa mengorbankan kebebasan sipil?
Pembahasan DPR RI di Jakarta: Arah revisi undang-undang keamanan siber nasional dan peta aktor
Di ruang-ruang rapat Jakarta, kata “mulai dibahas” sering kali berarti satu hal: jam politik berjalan, tetapi jam teknis belum tentu sinkron. Komisi I DPR, yang secara tradisional membidangi pertahanan, komunikasi, dan isu strategis, pada periode sebelumnya sempat menyatakan bahwa RUU Keamanan dan Ketahanan Siber belum bisa digelar pembahasannya karena usulan pemerintah belum resmi masuk. Pernyataan itu penting karena menjadi garis pembatas antara diskusi publik—yang sudah ramai sejak 2025—dan pembahasan formal yang menuntut adanya naskah serta penunjukan wakil pemerintah.
Ketika DPR RI mulai membuka pembahasan revisi kerangka hukum keamanan siber nasional, fokus pertama biasanya bukan langsung pada pasal pidana, melainkan pada arsitektur tata kelola: siapa memimpin, siapa mengoordinasikan, dan siapa menjadi operator respons insiden. Di sinilah peran lembaga seperti BSSN, kementerian yang menangani ranah digital (sering disebut sebagai Komdigi), serta Polri berpotensi bersinggungan. Pengalaman banyak negara menunjukkan, semakin banyak “komandan” dalam satu regulasi, semakin lambat respons saat krisis digital terjadi.
Untuk menggambarkan dampaknya secara konkret, bayangkan sebuah BUMN energi fiktif bernama PT Garuda Daya yang mengoperasikan jaringan sensor di kilang. Ketika terjadi serangan yang mematikan sistem pemantauan, tim TI internal melapor ke regulator sektor, lalu ke unit tanggap siber nasional, dan akhirnya ke aparat penegak hukum. Jika undang-undang tidak memperjelas jalur koordinasi, kebijakan bisa tumpang tindih: satu pihak meminta bukti digital diamankan untuk penyidikan, pihak lain meminta sistem segera dipulihkan untuk keselamatan operasional. Dalam insiden nyata di berbagai negara, tarik-menarik seperti ini bisa memperpanjang downtime dan memperbesar kerugian.
Karena itu, pembahasan di DPR seharusnya membedah “rantai komando” secara teliti: mandat, ambang batas insiden, standar pelaporan, serta mekanisme audit. Bukan semata-mata membuat daftar kewajiban baru bagi operator sistem elektronik. Di sisi lain, pembentukan norma juga harus berpijak pada kenyataan ekosistem teknologi informasi Indonesia: ribuan penyelenggara sistem skala kecil-menengah, layanan pemerintah daerah yang infrastrukturnya beragam, dan rantai pasok perangkat yang sering kali bergantung pada vendor luar.
Dalam tahap awal, indikator keseriusan pembahasan terlihat dari apakah rapat-rapat kerja menghasilkan peta isu yang terbuka untuk publik, termasuk daftar pasal yang menjadi perhatian. Ketika jalur pembahasan jelas, publik bisa mengawal: apakah tujuan undang-undang tetap memprioritaskan perlindungan pengguna, integritas sistem, dan keandalan layanan; atau justru melebar menjadi instrumen dengan definisi yang elastis. Insight kuncinya: kejelasan mandat antar-aktor lebih menentukan ketahanan digital daripada menambah pasal baru.
Draf pemerintah dan dinamika legislasi: dari draf 2025 ke pembahasan resmi revisi undang-undang keamanan siber
Pemerintah sempat menyampaikan bahwa draf RUU Keamanan dan Ketahanan Siber telah dirampungkan pada awal Oktober 2025 dan siap dibahas. Akan tetapi, dinamika legislasi tidak berhenti pada ketersediaan naskah; ada prosedur politik-administratif yang menentukan kapan naskah itu “hidup” di DPR. Salah satu simpul penting adalah penunjukan perwakilan pemerintah untuk menjadi inisiator atau pemegang prakarsa, yang kerap dikaitkan dengan lembaga yang paling relevan secara tugas dan kewenangan, seperti BSSN atau kementerian yang mengurusi ruang digital.
Di balik layar, draf yang beredar terbatas pada periode itu disebut memuat catatan bahwa ada instansi yang keberatan terhadap ketentuan penyidikan dan pasal pidana. Perspektif tersebut dapat dibaca sebagai alarm: ketika lembaga penegak hukum dan regulator digital saja belum selaras, pembahasan di DPR harus ekstra disiplin agar tidak menghasilkan norma yang sulit dieksekusi. Pada praktiknya, pasal yang “terlalu cepat” dipidana akan menimbulkan dua risiko: pelaku industri enggan melapor insiden karena takut sanksi, dan penegakan hukum menjadi fokus utama, sementara pencegahan dan pemulihan tertinggal.
Kasus hipotetis dapat menjelaskan. Misalkan startup logistik KirimCepat mengalami kebocoran token API akibat kesalahan konfigurasi. Jika undang-undang menempatkan kejadian seperti ini dalam kategori tindak pidana tanpa pembedaan antara kelalaian, kesengajaan, dan standar kewajaran (due diligence), perusahaan cenderung menutup-nutupi insiden. Akibatnya, pengguna tidak segera mengganti kata sandi atau memantau aktivitas akun, dan dampak menyebar. Dalam kerangka cybersecurity modern, pelaporan cepat dan mekanisme “safe harbor” sering kali lebih efektif untuk memperkecil kerugian publik.
Karena itu, salah satu pekerjaan rumah DPR dalam pembahasan adalah menilai apakah draf menempatkan kewajiban pelaporan insiden sebagai mekanisme perbaikan, bukan jerat. Selain itu, draf perlu selaras dengan rezim hukum yang sudah ada, seperti aturan terkait transaksi elektronik dan perlindungan data. Masyarakat juga menunggu apakah revisi ini akan memberikan standar minimum pengamanan, misalnya untuk enkripsi, manajemen akses, pencatatan log, hingga pengujian kerentanan, tanpa membuat kewajiban yang mustahil dipenuhi pemerintah daerah atau UMKM digital.
Untuk menjaga konsistensi, pembahasan bisa menekankan beberapa prinsip desain regulasi yang lazim dipakai lintas negara. Prinsip-prinsip itu bukan slogan; ia harus turun menjadi frasa pasal dan mekanisme pengawasan yang bisa diaudit. Di titik ini, DPR dapat menguji setiap pasal dengan pertanyaan sederhana: apakah norma ini meningkatkan keamanan nyata, atau hanya menambah birokrasi dan kewenangan?
- Kejelasan definisi: bedakan keamanan sistem, ketahanan layanan, dan pertahanan negara agar tidak tumpang tindih.
- Proporsionalitas sanksi: pisahkan pelanggaran administratif dari tindak pidana, serta bedakan kelalaian dan kesengajaan.
- Insentif pelaporan: buat mekanisme yang mendorong transparansi insiden, bukan budaya menutup diri.
- Koordinasi satu pintu saat krisis: tetapkan pemimpin respons insiden untuk menghindari konflik instruksi.
- Akuntabilitas pengawasan: pastikan ada audit, batas waktu, dan pelaporan berkala kepada publik.
Jika prinsip-prinsip ini menjadi tulang punggung pembahasan, revisi undang-undang keamanan siber berpeluang menghasilkan aturan yang bukan hanya “tegas”, tetapi juga bisa dijalankan dan dipercaya. Insight kuncinya: kualitas legislasi siber diukur dari kepatuhan yang meningkat dan insiden yang lebih cepat tertangani, bukan dari banyaknya pasal pidana.
Kontroversi penyidik TNI dalam RUU KKS: batas kewenangan, kasus militer, dan desain akuntabilitas
Salah satu topik yang paling memantik perhatian publik adalah kemungkinan adanya ketentuan yang memasukkan penyidik dari TNI dalam skema penegakan hukum bidang siber. Pemerintah, melalui Menteri Hukum Supratman Andi Agtas, menekankan bahwa peran penyidik TNI dimaksudkan semata-mata untuk menangani perkara pidana yang melibatkan anggota militer. Penegasan ini penting karena memperlihatkan niat untuk membatasi ruang lingkup, bukan membuka kewenangan umum di ruang sipil.
Namun, dalam praktik keamanan siber, garis antara “melibatkan anggota militer” dan “berdampak pada sistem sipil” bisa kabur. Misalnya, seorang prajurit yang diduga melakukan akses tidak sah ke sistem tiket transportasi publik menggunakan perangkat dinas. Perkaranya melibatkan anggota militer, tetapi korbannya adalah operator sipil dan jutaan pengguna. Jika undang-undang tidak memberikan mekanisme koordinasi yang ketat, penyidikan bisa menimbulkan konflik yurisdiksi, termasuk soal penyitaan server, pengambilan log, atau pengelolaan barang bukti digital yang sangat sensitif.
Karena itulah, DPR perlu menguji desain pasal terkait penyidikan dari dua sisi sekaligus. Pertama, sisi legal certainty: kapan suatu perkara dianggap masuk ranah militer, kapan ranah sipil, dan bagaimana prosedur serah-terima berkas atau koordinasi. Kedua, sisi akuntabilitas: siapa mengawasi penggunaan kewenangan, bagaimana mekanisme pengaduan, dan bagaimana publik bisa memastikan proses tidak merembet menjadi kontrol berlebihan terhadap aktivitas online yang sah.
Untuk memberi ilustrasi, anggap ada insiden “phishing” yang menargetkan keluarga prajurit melalui pesan yang meniru portal internal. Jika investigasi dilakukan, akan ada kebutuhan menelusuri domain, jalur pembayaran, hingga forensik perangkat. Sebagian bukti mungkin berada di penyedia layanan sipil, sebagian pada jaringan internal. Tanpa aturan yang memaksa koordinasi tertulis dan batasan penggunaan data, ruang penyidikan bisa meluas dan menimbulkan kekhawatiran kebocoran bukti, pelanggaran privasi, atau pengambilan data yang tidak relevan.
Di sisi lain, tidak adil juga menutup mata terhadap kenyataan bahwa institusi militer memiliki aset digital yang menjadi target serangan serius. Ketika kejadian menyangkut sistem pertahanan atau informasi rahasia, kebutuhan penanganan khusus memang ada. Di titik ini, pembuat undang-undang harus membangun “jembatan” yang memastikan perlindungan negara tidak mengorbankan prinsip negara hukum. Dengan kata lain, ketegasan batas tidak melemahkan keamanan; justru memperkuat legitimasi penegakan.
Yang dapat diuji DPR dalam pembahasan revisi undang-undang antara lain: apakah ketentuan penyidik TNI dirumuskan sempit (case-based) atau melebar (domain-based). Rumusan sempit membatasi pada pelaku/tersangka anggota militer dan lokasi tertentu; rumusan melebar bisa mengklaim seluruh “ruang siber” sebagai medan yang dapat dimasuki. Dalam konteks demokrasi modern, pilihan pertama cenderung lebih kompatibel dengan prinsip kontrol sipil dan perlindungan hak.
Karena pemerintah juga menegaskan bahwa penyusunan naskah dilakukan lintas kementerian/lembaga—bukan oleh Kementerian Hukum sendiri—maka DPR punya peluang untuk meminta notulensi, matriks perubahan, dan alasan kebijakan (policy rationale) atas pasal sensitif. Insight kuncinya: kewenangan penyidikan yang jelas batasnya bukan kompromi, melainkan syarat agar penegakan siber dipercaya publik.
Meluruskan konsep: bedakan keamanan siber, ketahanan layanan, pertahanan negara, dan kejahatan siber dalam legislasi
Salah satu kritik kuat dari kalangan masyarakat sipil dan peneliti kebijakan adalah adanya kecenderungan rancu: draf menggabungkan definisi keamanan dan pertahanan siber, serta mencampurkan norma tata kelola dengan kriminalisasi tindakan di internet. Kerancuan ini bukan sekadar perdebatan akademik. Dalam praktik, definisi akan menentukan siapa yang memegang otoritas, bagaimana standar diterapkan, dan ruang apa yang dianggap “ancaman”.
Keamanan siber pada dasarnya berkaitan dengan perlindungan perangkat, jaringan, aplikasi, dan data agar layanan tetap berjalan dan pengguna terlindungi. Ketahanan (resilience) lebih menekankan kemampuan sistem untuk bertahan, pulih, dan beradaptasi ketika serangan terjadi. Sementara pertahanan negara menyangkut ancaman terhadap kedaulatan dan keamanan nasional dalam arti strategis. Ketika tiga domain ini disatukan tanpa pagar, sebuah insiden kebocoran data pelanggan e-commerce bisa diperlakukan seolah ancaman geopolitik, sehingga responsnya cenderung berat, tertutup, dan didominasi aparat—padahal yang paling dibutuhkan korban adalah pemberitahuan cepat, mitigasi, dan pemulihan.
Kritik lain yang relevan adalah soal pencampuran “kejahatan siber” ke dalam undang-undang yang seharusnya fokus pada tata kelola keamanan. Banyak tindakan kriminal berbasis internet sudah memiliki payung di regulasi lain. Jika RUU KKS kembali memuat pasal pidana konten yang definisinya terlalu luas, risiko yang muncul adalah kriminalisasi aktivitas sah, termasuk riset keamanan, jurnalisme investigatif, atau ekspresi digital. Di dunia cybersecurity, peneliti yang melaporkan celah (responsible disclosure) sering kali justru membantu negara dan industri. Regulasi yang tidak membedakan riset dan serangan dapat “mendinginkan” ekosistem, membuat kerentanan dibiarkan sampai dimanfaatkan pihak jahat.
Contoh sederhana: seorang peneliti menemukan kelemahan pada sistem pendaftaran sekolah online milik pemda. Ia menguji dengan akun uji dan menemukan bahwa NIK dan alamat bisa diakses tanpa otentikasi memadai. Jika undang-undang mendefinisikan “akses” tanpa pengecualian untuk pengujian yang bertanggung jawab, peneliti bisa dipidana. Akibatnya, tahun depan kerentanan yang sama dipakai untuk pemerasan. Di sinilah peran legislasi: membangun pagar agar yang dilindungi adalah warga, bukan sekadar reputasi institusi.
Pembahasan di DPR seharusnya mendorong pemisahan yang rapi: (1) norma tata kelola keamanan dan ketahanan layanan; (2) norma koordinasi respons insiden; (3) norma penegakan hukum untuk tindak pidana yang benar-benar perlu. Bahkan bila pasal pidana tetap ada, perlu “definisi kerja” yang ketat, unsur kesengajaan, dan jaminan kebebasan sipil. Selain itu, konsep keamanan yang berorientasi pada perlindungan individu, perangkat, dan jaringan perlu tampak jelas di tujuan dan konsiderans, bukan hanya di penjelasan umum.
Di Jakarta, ketika pembahasan revisi undang-undang berlangsung, publik sebaiknya tidak hanya menunggu hasil akhir. Pertanyaan yang perlu terus diajukan: apakah draf membedakan risiko teknis dari ancaman politik, dan apakah perlindungan warga ditempatkan sebagai manfaat utama. Insight kuncinya: definisi yang bersih adalah fondasi, karena di ruang siber, salah definisi berarti salah kewenangan.
Partisipasi publik bermakna dan dampak ke sektor teknologi informasi: dari UMKM digital hingga infrastruktur kritis nasional
Seruan agar pembahasan dilakukan dengan partisipasi publik yang bermakna bukanlah formalitas. Di bidang teknologi informasi, aturan yang baik lahir dari dialog antara pembuat kebijakan, operator sistem, peneliti keamanan, dan kelompok masyarakat sipil yang memahami dampak pada hak-hak warga. Apalagi jika undang-undang menargetkan “nasional”, ia akan menyentuh banyak lapisan: perusahaan telekomunikasi, bank, rumah sakit, marketplace, perguruan tinggi, hingga kantor desa yang menjalankan aplikasi administrasi berbasis cloud.
Partisipasi yang bermakna berarti warga tidak sekadar diundang setelah draf final. Prosesnya perlu membuka ruang untuk memberi masukan pada definisi, mekanisme audit, standar minimum, dan jaminan hak. Misalnya, ketika operator diminta memenuhi kewajiban tertentu, publik berhak tahu apakah pemerintah juga menyediakan dukungan: pedoman teknis, program peningkatan kapasitas, serta skema insentif bagi organisasi yang meningkatkan keamanan. Tanpa itu, undang-undang berubah menjadi daftar kewajiban yang menghukum pihak yang paling lemah, sementara pelaku besar mampu “membeli kepatuhan” lewat konsultan.
Ambil contoh UMKM aplikasi kasir bernama WarungPintar POS yang melayani ribuan pedagang. Mereka menyimpan data transaksi, nomor telepon pelanggan, dan integrasi pembayaran. Jika undang-undang mewajibkan audit keamanan berkala tanpa skala risiko, biaya audit bisa melampaui pendapatan. Akibatnya, pelaku kecil gulung tikar atau pindah ke praktik tidak aman. Sebaliknya, bila undang-undang menerapkan pendekatan berbasis risiko—kewajiban lebih ketat untuk infrastruktur kritis dan penyedia layanan skala besar, serta pedoman ringan untuk pelaku kecil—maka keamanan meningkat tanpa membunuh inovasi.
Partisipasi juga penting untuk merumuskan mekanisme pelaporan insiden yang realistis. Rumah sakit, misalnya, butuh protokol ketika sistem rekam medis terganggu: siapa yang dihubungi, berapa lama batas pelaporan, dan bagaimana memastikan layanan tetap berjalan. Dalam konteks nasional, koordinasi perlu memikirkan perbedaan kapasitas antar daerah. Apa gunanya kewajiban 24 jam jika banyak instansi belum memiliki SOC, belum punya petugas keamanan khusus, atau bahkan masih bergantung pada vendor?
Dari sisi hak warga, pembahasan harus memastikan ada standar pemberitahuan kepada korban jika terjadi kebocoran data, serta mekanisme pengaduan yang dapat diakses. Warga sering menjadi pihak terakhir yang tahu, padahal mereka yang menanggung risiko penipuan, pembajakan akun, hingga pemerasan. Jika undang-undang hanya menekankan “kedaulatan” tanpa jalur pemulihan bagi warga, maka tujuannya melenceng dari kebutuhan sehari-hari masyarakat yang hidup di ekonomi digital.
Praktik baiknya adalah menghadirkan forum dengar pendapat yang benar-benar substantif: publik diberi matriks perubahan pasal, alasan pemilihan istilah, dan simulasi dampak regulasi. Dengan begitu, pembahasan tidak menjadi perlombaan narasi, tetapi pengujian kebijakan. Insight kuncinya: undang-undang keamanan siber yang efektif lahir dari keterbukaan proses, karena ancaman digital menyerang semua orang—bukan hanya negara.
