Keputusan pemerintah Inggris mengecualikan dirinya dari cakupan undang-undang siber merusak kepercayaan

 (theregister.com)
1 poin oleh GN⁺ 2026-01-12 | 1 komentar | Bagikan ke WhatsApp
  • RUU ‘Cyber Security and Resilience (CSR)’ Inggris mencakup infrastruktur nasional penting dan penyedia layanan terkelola sebagai pihak yang diatur, tetapi pemerintah pusat dan daerah dikecualikan
  • Pemerintah menyatakan akan menerapkan standar keamanan yang sama secara sukarela melalui ‘Government Cyber Action Plan’, namun tanpa kewajiban hukum
  • Sejumlah anggota parlemen dan pakar mengkritik bahwa meski sektor publik menjadi target utama serangan, sektor ini justru dikeluarkan dari cakupan undang-undang, dan menilai standar sukarela tanpa kekuatan hukum menimbulkan kurangnya kepercayaan
  • Menurut laporan National Audit Office (NAO), cacat keamanan dan lambatnya perbaikan pada sistem pemerintah berada pada tingkat yang serius, sehingga muncul kekhawatiran bahwa rencana saat ini tidak memadai
  • Keputusan mengecualikan sektor publik memunculkan pertanyaan atas keseriusan pemerintah terhadap keamanan siber, dan memperbesar kebutuhan akan penyempurnaan legislasi di masa depan

Cakupan RUU CSR dan pengecualian pemerintah untuk dirinya sendiri

  • RUU CSR bertujuan memodernisasi kerangka keamanan siber Inggris dengan menggantikan regulasi NIS 2018
    • Mencakup penyedia layanan terkelola dan data center, tetapi pemerintah pusat dan daerah dikecualikan
    • Berbeda dari direktif NIS2 Uni Eropa, yang memasukkan lembaga publik ke dalam cakupan regulasi
  • Sir Oliver Dowden mengkritik di House of Commons bahwa pemerintah mengecualikan dirinya sendiri dari penerapan undang-undang
    • Ia berpendapat sektor publik harus dikenai persyaratan yang lebih ketat
    • Ia menekankan bahwa harus ada kewajiban hukum agar para menteri benar-benar menjadikan keamanan siber sebagai prioritas

Respons pemerintah dan ‘Cyber Action Plan’

  • Menteri Ian Murray menjawab bahwa ia akan menerima usulan Dowden, sambil menyebut Government Cyber Action Plan
    • Rencana ini menerapkan standar keamanan setara dengan RUU CSR pada kementerian dan lembaga pemerintah, tetapi tidak mengikat secara hukum
    • Para pengkritik melihatnya sebagai langkah untuk menghindari kritik, dan mempertanyakan efektivitas nyatanya dalam memperkuat keamanan
  • Neil Brown (Decoded.legal) menyatakan, “Jika pemerintah akan mengikuti standar setingkat RUU, tidak ada alasan untuk menghindari penerapan undang-undang.”
    • Ia menilai pengecualian dari RUU tersebut sebagai keputusan yang tidak membangun kepercayaan

Realitas keamanan sektor publik dan kritik

  • Menurut laporan NCSC, di antara serangan yang ditangani dari September 2020 hingga Agustus 2021, 40% menargetkan sektor publik
    • Proporsi ini diperkirakan akan terus meningkat ke depan
  • Laporan NAO tahun 2025 memeriksa 58 dari 72 sistem inti pemerintah, dan menemukan banyak cacat keamanan serta lambatnya laju perbaikan
    • Ini menunjukkan bahwa sektor publik masih rentan terhadap serangan siber rutin
  • Dalam situasi seperti ini, keputusan pemerintah mengecualikan sektor publik dari RUU CSR dikritik sebagai kurangnya konsistensi kebijakan

Arah legislasi selanjutnya dan pembahasan

  • Anggota parlemen Partai Buruh Matt Western mengatakan RUU CSR bukan solusi lengkap, dan legislasi tambahan yang lebih disesuaikan akan menyusul
    • Ia juga menyebut kemungkinan pemerintah menyiapkan undang-undang keamanan siber khusus untuk sektor publik secara terpisah
  • Neil Brown menilai, “Pendekatan dengan menetapkan undang-undang yang kecil dan jelas secara lebih sering adalah pilihan yang lebih bijak.”
    • Ia menjelaskan bahwa legislasi yang dipisahkan per bidang, seperti Telecommunications (Security) Act 2021 dan Product Security and Telecommunications Infrastructure Act 2022, bisa lebih efektif

Kepercayaan dan dampak politik

  • Setiap kali lembaga publik, dewan daerah, atau NHS diserang, keputusan pengecualian dalam RUU menjadi bahan serangan politik dari oposisi
    • Juga disorot adanya preseden ketika rekomendasi peningkatan keamanan yang diajukan pada masa pemerintahan Konservatif (2022) tidak dilaksanakan selama lebih dari dua tahun
  • Selama pemerintah mempertahankan pengecualian untuk dirinya sendiri, kurangnya kepercayaan terhadap kemauan memperbaiki keamanan siber kemungkinan akan terus berlanjut
    • Agar RUU CSR benar-benar menjadi inti dari kerangka keamanan nasional, apakah sektor publik akan dimasukkan diperkirakan tetap menjadi isu kunci ke depan

Bacaan terkait

1 komentar

 
GN⁺ 2026-01-12
Komentar Hacker News

  • Saya sempat membaca sekilas RUU ini, dan menurut saya itu ditafsirkan terlalu sinis
    Inti utamanya adalah menetapkan pemasok inti dan penyedia layanan serta mengatur kewajiban keamanan mereka
    Pemerintah pusat biasanya bukan pemasok langsung, melainkan berperan sebagai pelanggan yang menggunakan berbagai pemasok eksternal
    Jadi menurut saya tidak aneh jika pada tahap awal pemerintah dikecualikan dari cakupan undang-undang. Menata pemasok lapis pertama lebih dulu, lalu menyusun regulasi untuk keseluruhan fungsi pemerintah, terasa seperti urutan yang masuk akal

    • Kalau mengikuti logika yang kamu sampaikan, pemerintah seharusnya secara alami berada di luar cakupan undang-undang tanpa perlu pengecualian eksplisit
      Namun, karena kali ini pengecualian itu sengaja dimasukkan, itu bisa dilihat sebagai bukti bahwa pada dasarnya pemerintah memang termasuk dalam cakupan undang-undang
    • Masalahnya, pendekatan seperti ini adalah salah satu cacat fatal dari upaya-upaya sebelumnya
      Kalau ini percobaan pertama, saya akan setuju, tetapi ini justru pendekatan yang sudah gagal berkali-kali
    • Saya rasa premis “pemerintah pusat adalah pelanggan” itu keliru
      Pemerintah memang bekerja sama dengan banyak vendor, tetapi pada saat yang sama lembaga keamanan siber nasional atau lembaga dukungan TI juga kadang berperan langsung sebagai penyedia layanan
      Misalnya dalam operasi SOC, konsultasi keamanan, berbagi informasi, dan berbagai peran lainnya, sehingga mengecualikan pemerintah terlihat tidak lebih dari langkah penghematan anggaran

  • Saya rasa akan ada peningkatan keamanan yang nyata jika lembaga-lembaga pemerintah Inggris secara bertahap mengadopsi pengungkapan kerentanan terkoordinasi (Coordinated Vulnerability Disclosure)
    Ini juga sejalan dengan isi artikel bahwa RUU UK CSR merupakan langkah awal menuju legislasi keamanan yang lebih terarah
    Saya bekerja di bidang rekayasa perangkat lunak yang berkaitan dengan informasi medis, jadi topik ini terasa sangat dekat dengan bidang saya
    Materi terkait bisa dilihat di tautan GitHub

  • Ini terlihat seperti para insinyur yang merancang perubahan duduk santai di belakang sambil bersikap, “lakukan seperti yang kami katakan, jangan seperti yang kami lakukan”

  • Ini mirip dengan situasi di Texas dan berbagai daerah lain, di mana lembaga pemerintah negara bagian tidak harus mematuhi kode bangunan
    Saat saya bekerja di lokasi pembangunan pusat data milik negara bagian, saya juga melihat kasus seperti itu — semacam, “Asbes? Itu apa?”

  • Ada alasan tersendiri untuk pengecualian seperti ini
    Misalnya agar tidak perlu menyerahkan laporan kepada diri sendiri atau mengungkap informasi sensitif
    Namun pendekatan yang benar adalah membuat kerangka hukum dasar lalu dalam peraturan pelaksana yang lebih rinci menyatakan hal seperti “lembaga XXX menerapkan NIS2 dengan pengecualian berikut”
    Dengan cara ini, kita bisa menghindari pengecualian yang berlebihan dan mencegah setiap lembaga membuat aturannya sendiri sesuka hati
    Cara seperti ini juga umum di industri nuklir dan pertahanan. Menyatakan pengecualian yang luas sejak awal adalah pendekatan yang keliru

  • Saya tidak mengerti kenapa Inggris sering mengambil sikap yang begitu otoriter dalam hal keamanan siber
    Sering terlihat undang-undang dengan nada “aturan ini untuk kalian, bukan untuk kami”

    • Ini membahas Cyber Security and Resilience Bill
      Tujuannya adalah memperkuat keamanan aset-aset penting dan memperketat kewajiban pelaporan insiden, jadi agak membingungkan jika langkah-langkah seperti ini disebut “otoriter”
      Saya penasaran bagian mana yang membuatmu merasa seperti itu
    • Undang-undang terkait komputer di Inggris memang otoriter, tetapi tidak terlalu berbeda dibanding negara-negara Barat lainnya
    • Inggris perlu memiliki aturan yang mirip regulasi Uni Eropa (NIS2) agar tetap menjaga pengakuan timbal balik dengan UE dan tidak menghambat perdagangan
      Tetapi pada saat yang sama mereka tidak mau mengakui bahwa mereka “mengikuti UE”
      Jadi saat ini mereka sedang menulis ulang undang-undang agar perusahaan teknik dan konsultan Inggris bisa menyusun dokumen regulasi dan mempertahankan monopoli kepatuhan
    • Ini bukan hanya soal keamanan siber. Di bidang lain pun terlihat sikap yang serupa

  • Sebagai orang Inggris, menurut saya ketika pemerintah berkata “tidak ada kewajiban hukum, tetapi kami akan mempertahankan standar yang setara melalui Cyber Action Plan”, itu pada akhirnya setara dengan mengatakan “percayalah pada PDF ini”
    Saya rasa kita sekarang perlu cepat beralih ke era non-repudiation

  • (Balasan untuk komentar sebelumnya)
    Saya ingin bertanya apakah orang sudah lupa siapa yang membuat komputer pertama di dunia, dan siapa yang menciptakan World Wide Web