Pembahasan Rancangan Undang-Undang Keamanan dan Ketahanan Siber (RUU KKS) resmi memasuki tahap lanjutan setelah Komisi I DPR RI menetapkan Panitia Kerja (Panja) pada Senin (29/6/2026).
Langkah tersebut menjadi awal pembahasan intensif antara DPR dan pemerintah terhadap regulasi yang diproyeksikan menjadi payung hukum utama tata kelola keamanan siber nasional.
Lembaga kajian kebijakan publik Catalyst Policy-Works menilai substansi RUU KKS membawa kemajuan dibanding pengaturan sebelumnya karena mulai menempatkan keamanan siber sebagai bagian dari tata kelola risiko nasional, bukan semata persoalan teknis maupun penegakan hukum.
Namun, lembaga tersebut mengingatkan masih terdapat sejumlah kelemahan mendasar yang perlu diperbaiki agar regulasi tidak memunculkan ketidakpastian hukum, konsentrasi kewenangan yang berlebihan, maupun risiko terhadap perlindungan hak asasi manusia.
Dalam kajiannya, Catalyst Policy-Works menilai pendekatan yang diusung RUU sudah mengadopsi siklus manajemen keamanan siber modern, mulai dari tata kelola, identifikasi risiko, perlindungan sistem, deteksi ancaman, respons insiden hingga pemulihan.
Pendekatan tersebut dinilai penting untuk membangun sistem keamanan digital yang bersifat preventif dan berkelanjutan.
Selain itu, pengaturan mengenai Infrastruktur Informasi Kritikal (IIK) dipandang sebagai langkah strategis mengingat gangguan terhadap infrastruktur penting dapat berdampak luas terhadap pelayanan publik, stabilitas ekonomi, hingga keamanan nasional.
Meski demikian, Catalyst Policy-Works menilai sejumlah aspek masih memerlukan pengaturan yang lebih rinci, seperti kriteria penetapan IIK, mekanisme keberatan bagi penyelenggara, perlindungan terhadap informasi sensitif, serta evaluasi berkala terhadap status infrastruktur yang dikategorikan kritikal.
Sorotan utama lembaga tersebut tertuju pada desain kelembagaan dalam RUU. Naskah yang diajukan pemerintah disebut masih belum secara tegas menetapkan institusi yang akan menjadi otoritas utama keamanan dan ketahanan siber nasional.
RUU hanya menyebut “instansi pemerintah yang melaksanakan tugas dan fungsi di bidang keamanan dan ketahanan siber” tanpa menjelaskan apakah kewenangan tersebut akan berada di Badan Siber dan Sandi Negara (BSSN) atau justru dibentuk lembaga baru.
Menurut Catalyst Policy-Works, ketidakjelasan tersebut berpotensi menimbulkan persoalan tata kelola karena pengaturan mengenai bentuk kelembagaan, tugas, fungsi, kewenangan, independensi, hingga mekanisme pertanggungjawaban semestinya diatur secara eksplisit dalam undang-undang, bukan sepenuhnya diserahkan kepada peraturan pemerintah.
Lembaga tersebut juga mengingatkan adanya potensi tumpang tindih kewenangan apabila satu institusi merangkap berbagai fungsi sekaligus, mulai dari regulator, koordinator, auditor, operator, penyusun standar, lembaga sertifikasi, hingga pengelola pusat pemantauan keamanan siber nasional. Kondisi itu dinilai dapat memunculkan konflik kepentingan sekaligus mengurangi efektivitas pengawasan.
Di sisi lain, Catalyst Policy-Works menilai mekanisme pelaporan insiden siber dalam RUU perlu disertai skema perlindungan atau *safe harbour*.
Perlindungan tersebut dinilai penting agar penyelenggara sistem elektronik terdorong melaporkan insiden keamanan secara terbuka tanpa khawatir langsung dikenai sanksi administratif maupun pidana apabila bertindak dengan itikad baik.
Aspek lain yang menjadi perhatian adalah kewenangan pemantauan lalu lintas internet, integrasi pemantauan Infrastruktur Informasi Kritikal dengan National Security Operation Center (NSOC), serta akses terhadap data dalam proses audit teknis.
Menurut kajian tersebut, kewenangan tersebut harus dibatasi secara tegas hanya untuk kepentingan keamanan teknis serta dilengkapi mekanisme hukum, pengawasan, pencatatan, audit, dan prosedur keberatan guna menjamin perlindungan hak atas privasi masyarakat.
Catalyst Policy-Works juga mendorong agar ketentuan pidana dalam RUU dirumuskan secara proporsional. Ancaman pidana dinilai sebaiknya difokuskan pada serangan serius terhadap Infrastruktur Informasi Kritikal, ransomware, sabotase, maupun tindakan yang menimbulkan dampak besar terhadap kepentingan nasional. Sementara itu, pelanggaran administratif lebih tepat diselesaikan melalui mekanisme sanksi bertingkat.
Berdasarkan hasil analisisnya, Catalyst Policy-Works mengajukan sepuluh rekomendasi penyempurnaan RUU KKS. Salah satu usulan utamanya adalah pembentukan Otoritas Keamanan dan Ketahanan Siber Nasional sebagai lembaga nonkementerian yang bertanggung jawab langsung kepada Presiden dengan fungsi sebagai regulator, koordinator nasional, penyusun standar, pembina, pengelola Computer Security Incident Response Team (CSIRT) nasional, fasilitator berbagi informasi, serta pengawas kepatuhan. Lembaga tersebut diusulkan tidak menjalankan fungsi intelijen maupun penyidikan.
Selain itu, lembaga kajian tersebut merekomendasikan model tata kelola yang memisahkan kewenangan regulator nasional dengan regulator sektoral. Dalam skema tersebut, otoritas nasional bertugas menyusun kebijakan dan koordinasi lintas sektor, sementara pengawasan teknis tetap dilakukan oleh regulator sesuai bidang masing-masing.
Catalyst Policy-Works juga mengusulkan harmonisasi RUU KKS dengan berbagai regulasi yang telah berlaku, termasuk Undang-Undang Pelindungan Data Pribadi, Undang-Undang Informasi dan Transaksi Elektronik (UU ITE), Undang-Undang Telekomunikasi, Undang-Undang Keterbukaan Informasi Publik, hingga regulasi di sektor keuangan, administrasi pemerintahan, pertahanan, dan intelijen.
Selain harmonisasi regulasi, lembaga tersebut mendorong penguatan pengaturan terhadap produk yang memiliki elemen digital melalui kewajiban pembaruan keamanan sepanjang siklus hidup produk, pengungkapan kerentanan secara terkoordinasi, serta pengelolaan komponen perangkat lunak yang berisiko.
Catalyst Policy-Works berharap pembahasan RUU Keamanan dan Ketahanan Siber di DPR bersama pemerintah dapat menghasilkan regulasi yang tidak hanya memperkuat ketahanan siber nasional, tetapi juga menghadirkan kepastian hukum bagi dunia usaha, menjamin perlindungan data pribadi, menghormati hak asasi manusia, serta membangun sistem tata kelola keamanan digital yang transparan, akuntabel, dan sejalan dengan prinsip negara hukum demokratis.
