Catalyst Policy Works menilai draf Rancangan Undang-Undang Keamanan dan Ketahanan Siber (RUU KKS) masih menyimpan persoalan mendasar pada pembatasan kewenangan lembaga dan perlindungan privasi. Organisasi ini melihat arah regulasinya sudah menuju penguatan keamanan siber nasional, tetapi desain kelembagaan dan rumusan sanksinya belum cukup jelas.
Dalam pembahasan awal, RUU KKS memang memuat kewajiban penyelenggara infrastruktur informasi untuk menjalankan tata kelola, identifikasi, proteksi, deteksi, tanggap insiden, dan pemulihan. Aturan itu juga memberi pengaturan khusus untuk Infrastruktur Informasi Kritikal, namun Catalyst menilai ketentuan tersebut bisa memunculkan kewenangan yang terlalu tersentralisasi bila batas mandat tidak ditulis tegas.
Kritik pada desain kelembagaan
Direktur Eksekutif Wahyudi Djafar menilai keamanan siber nasional memang memerlukan lembaga yang kuat. Namun, kekuatan itu harus diimbangi dengan mandat yang jelas, akuntabilitas yang terukur, dan pengawasan yang transparan.
Ia menyoroti naskah kiriman Presiden yang masih menyisakan ketidakpastian hukum bagi industri digital. Salah satu penyebabnya adalah rumusan lembaga siber yang belum menjelaskan status, struktur, independensi, hubungan dengan regulator sektor, dan mekanisme pertanggungjawaban secara eksplisit.
Menurut Wahyudi, isu kelembagaan pada undang-undang payung tidak semestinya dibiarkan bergantung penuh pada peraturan pemerintah. Ia menilai bentuk lembaga, tugas, fungsi, dan kewenangannya perlu diatur langsung di dalam undang-undang agar tidak menimbulkan tafsir berlapis di kemudian hari.
Risiko tumpang tindih fungsi
Catalyst juga menyoroti potensi benturan fungsi jika satu instansi diberi kewenangan terlalu luas. Dalam draf yang dibahas, instansi siber disebut memiliki peran dari standardisasi, audit, sertifikasi, hingga koordinasi krisis.
Kondisi itu dinilai berisiko memunculkan konflik kepentingan bila fungsi regulator, operator, auditor, dan koordinator digabung tanpa sekat pengawasan eksternal. Bagi sektor industri, situasi semacam ini bisa menciptakan ketidakpastian dalam menjalankan kepatuhan dan berpotensi mengganggu iklim investasi teknologi.
Meski begitu, Catalyst tetap mengapresiasi dimulainya pembahasan RUU KKS. Wahyudi menilai arah kebijakannya sudah tepat karena mengadopsi siklus manajemen keamanan siber modern dari hulu ke hilir.
“Pendekatan ini penting untuk memastikan organisasi tidak hanya bereaksi setelah insiden, tetapi membangun kemampuan pencegahan, deteksi diri, respons, dan pemulihan secara berkelanjutan,” kata Wahyudi.
Perlindungan pelapor insiden dan privasi warga
Selain soal kelembagaan, Catalyst juga menilai perlu ada jaminan safe harbour bagi pelapor insiden siber. Skema itu dinilai penting agar pelaku industri tidak memilih menutup-nutupi serangan digital karena takut terkena sanksi administratif.
Di sisi lain, pemantauan anomali trafik harus diberi pagar konstitusional yang kuat. Tanpa batas yang tegas, langkah pengawasan berisiko melebar menjadi akses massal terhadap isi komunikasi privat warga negara.
Sorotan ini menunjukkan bahwa efektivitas pengawasan siber tidak cukup hanya mengandalkan kewenangan teknis. Regulasi juga harus menjaga keseimbangan antara keamanan nasional, perlindungan hak privasi, dan kepastian hukum bagi pelaku usaha digital.
Tiga usulan utama Catalyst
Mencermati substansi draf tersebut, Catalyst Policy Works mengajukan tiga rekomendasi pokok. Pertama, RUU perlu secara eksplisit menetapkan Otoritas Keamanan dan Ketahanan Siber Nasional sebagai badan non-kementerian yang bertanggung jawab kepada Presiden dengan mandat sebagai regulator dan pengawas kepatuhan, bukan lembaga intelijen atau penyidik.
Kedua, RUU disarankan memakai model central coordinator with sectoral regulators. Dalam model ini, otoritas nasional menetapkan standar lintas sektor, sementara regulator teknis tetap mengawasi sektor masing-masing.
Ketiga, fungsi regulasi, operasi, audit, sertifikasi, dan penindakan harus dipisahkan. Pemisahan itu perlu disertai laporan tahunan kepada DPR dan audit independen agar akuntabilitas lembaga tetap terjaga.
Sanksi harus bertingkat dan proporsional
Catalyst juga menilai skema penegakan hukum dalam RUU KKS perlu dibuat bertingkat. Sanksi administratif sebaiknya dimulai dari teguran hingga denda administratif, sedangkan pidana tidak boleh langsung diarahkan pada pelanggaran administratif yang tidak disengaja oleh pelaku usaha.
Wahyudi menegaskan bahwa ancaman pidana berat hanya layak dipakai untuk tindakan dengan akibat serius, unsur kesengajaan yang jelas, hubungan sebab-akibat yang terbukti, dan dampak signifikan. Ia juga menilai batasan hukum pidana harus dirumuskan secara ketat agar tidak menimbulkan pasal karet.
“Menjadikan sanksi pidana sebagai ultimum remedium untuk serangan berat terhadap IIK, ransomware, sabotase, dan tindakan yang menimbulkan akibat serius, bukan ditegakkan terhadap kegagalan kepatuhan administratif,” ujar Wahyudi.
Catatan itu menempatkan RUU KKS pada titik penting antara kebutuhan memperkuat pertahanan siber dan keharusan menjaga desain kelembagaan yang seimbang. Bagi industri digital, kejelasan mandat, pemisahan fungsi, serta perlindungan terhadap pelapor dan privasi publik menjadi faktor penentu agar regulasi tidak berubah menjadi instrumen kewenangan yang terlalu tersentralisasi.