Pedoman NIS2: Memperkuat keamanan siber melawan kejahatan siber

Pada tahun 2024, kejahatan siber telah meningkat hingga titik tertinggi sepanjang masa sehingga berdampak pada pemerintahan dan industri secara global serta mengancam keamanan data dan infrastruktur yang penting. Menurut laporan Cybersecurity Ventures, kerugian akibat kejahatan siber diperkirakan mencapai $10,5 triliun secara tahunan pada 2025, meningkat dari angka $3 triliun pada 2015{{Footnote.A74148}}.

Lonjakan ini didorong oleh serangan siber yang makin canggih, insiden perangkat pemeras (ransomware), dan pembobolan data, dengan frekuensi dan tingkat keparahan serangan yang makin meningkat setiap tahunnya. Laporan Risiko Global 2023 dari Forum Ekonomi Dunia{{Footnote.A74149}} menyoroti bahwa ancaman siber termasuk salah satu risiko global utama dan menekankan kebutuhan mendesak untuk langkah keamanan siber yang kuat.

Untuk melawan ancaman yang meningkat ini, Uni Eropa telah memperkenalkan Pedoman NIS2, pembaruan yang signifikan dari Pedoman NIS (Pedoman Jaringan dan Sistem Informasi/Network and Information Systems Directive) 2016 yang asli, dengan peningkatan ruang lingkup yang mencakup infrastruktur yang lebih kritis dan penyedia layanan penting.

Pedoman NIS2 bertujuan untuk memperkuat keamanan siber bagi infrastruktur penting di seluruh UE serta memastikan peningkatan ketahanan dan perlindungan yang kuat dari pelanggaran data dan gangguan yang ditimbulkan oleh pelaku kejahatan.

Pakar keamanan David Clarke menjelaskan perbedaan utama antara NIS dan NIS2

Ruang lingkup dan cakupan: Pedoman NIS yang asli terutama difokuskan pada operator layanan penting dan penyedia layanan digital. NIS2 memperluas lingkup NIS sehingga mencakup entitas berskala menengah dan besar dari berbagai sektor, termasuk layanan kesehatan, transportasi, energi, perbankan, dan pemerintahan. Artinya, makin banyak organisasi dan instansi pemerintah yang kini diwajibkan untuk memenuhi standar keamanan siber yang ketat.

Persyaratan keamanan: NIS2 memperkenalkan persyaratan keamanan yang lebih terperinci. Organisasi harus melaksanakan tindakan manajemen risiko, melakukan penilaian keamanan secara teratur, serta menggunakan strategi respons terhadap insiden. Pedoman tersebut mengamanatkan penggunaan enkripsi dan kontrol akses untuk melindungi data sensitif.

Pelaporan insiden: Pedoman NIS yang asli mewajibkan entitas untuk melaporkan insiden yang signifikan tanpa penundaan yang tidak perlu. NIS2 memperketat persyaratan ini, dengan mengamanatkan agar insiden dilaporkan dalam waktu 24 jam setelah terdeteksi guna memastikan respons yang lebih cepat terhadap serangan dan gangguan terkait.

Pengawasan dan penegakan: NIS2 memperkuat peran otoritas nasional dalam mengawasi dan menegakkan kepatuhan. Hukuman atas ketidakpatuhan juga lebih berat, dengan potensi denda mencapai hingga €10 juta atau 2% dari penjualan total tahunan perusahaan secara global, dengan mengambil nilai yang lebih tinggi.

Keamanan rantai pasok: NIS2 menekankan pentingnya pengamanan rantai pasok yang penting, dengan mewajibkan perusahaan dan pemerintah untuk menilai dan mengelola risiko keamanan siber yang ditimbulkan oleh pemasok dan penyedia layanan mereka.

Siapa yang akan terdampak?

Perluasan lingkup NIS2 berarti akan memengaruhi berbagai jenis sektor. Sektor tersebut mencakup energi, transportasi, perbankan, infrastruktur pasar keuangan, layanan kesehatan, pasokan dan distribusi air minum, infrastruktur digital, pemerintahan, serta sektor dirgantara. Perusahaan menengah dan besar di berbagai sektor ini harus memastikan kepatuhan pada pedoman yang baru mulai tanggal 17 Oktober 2024.

Potensi denda dan hukuman

Ketidakpatuhan terhadap Pedoman NIS2 dapat mengakibatkan denda besar. Organisasi yang gagal memenuhi standar yang diwajibkan atau tidak melaporkan insiden dengan segera dapat dikenai hukuman hingga €10 juta atau 2% dari penjualan total tahunan global mereka. Hukuman yang berat tersebut menekankan pentingnya kepatuhan terhadap pedoman guna menghindari kerugian finansial dan reputasi.

Tidak berlokasi di UE?

Perusahaan yang tidak berbasis di UE sekalipun dapat terdampak oleh NIS2. Jika organisasi Anda beroperasi di, atau bekerja sama dengan entitas di UE – Anda harus mematuhi peraturan ini – dan segala hukuman yang diakibatkan oleh ketidakpatuhan.