Lawrence Lessig seorang Guru Besar Hukum dari Harvard Law School dengan teorinya “pathetic dot” menyatakan bahwa hukum dan teknologi sama-sama merupakan modalitas untuk mengatur masyarakat, sehingga hukum siber harus menggunakan pendekatan hukum dan teknologi. Lebih lanjut, dalam buku keduanya berjudul “Code Version 2.0” hukum harus mengatur teknologi karena daya berlaku hukum yang lebih luas dan kuat dibanding teknologi. Bertitik tolak dari teori tersebut, dalam hukum keamanan siber juga diperlukan hukum yang mengatur teknologi dengan tujuan kemanfaatan selain kepastian hukum dalam mengamankan sistem, data, dan transaksi elektronik. Salah satu instrumen teknologi yang wajib digunakan untuk menjaga keamanan siber adalah Sertifikat Keandalan terkait Keamanan Sistem Elektronik sebagaimana diatur dalam Pasal 10 ayat (1) UU ITE, Pasal 74 PP PSTE serta Pasal 9 Peraturan BSSN No. 8 Tahun 2020 tentang Sistem Pengamanan dalam Penyelenggaraan Sistem Elektronik. Uraian mengenai hal ini telah dikemukakan pada artikel kami berjudul Samakah “Sertifikat Keandalan Keamanan Sistem Elektronik” dengan “Sistem Manajemen Pengamanan Informasi” dan “Sistem Manajemen Keamanan Informasi”? « Muhamad Amirulloh’s Blog, dan Urgensi Sertifikat Keandalan Bagi Lembaga Keuangan di Indonesia « Muhamad Amirulloh’s Blog
Dalam ruang lingkup hukum siber, ada satu instrumen hukum yang sangat penting dan perlu diperhatikan yaitu UU Nomor 20 Tahun 2014 tentang Standardisasi dan Penilaian Kesesuaian (UU SPK). Dalam perspektif UU SPK, sertifikat keandalan merupakan salah satu bentuk standardisasi dalam bidang “keamanan” siber. Standardisasi atau sertifikasi itu sendiri pada prinsipnya bersifat sukarela (voluntary), namun berdasarkan Pasal 24 UU SPK, sifat norma hukumnya dapat menjadi wajib (compulsary), dengan syarat:
- Termasuk dalam bidang pertahanan, keamanan, kesehatan, dan/atau pelestarian fungsi lingkungan hidup; dan
- Ditetapkan dengan peraturan menteri atau peraturan kepala lembaga pemerintah non kementerian.
Dengan adanya Pasal 9 PBSSN 8/2020 yang mewajibkan penggunaan teknologi keamanan sistem elektronik SNI ISO/IEC 27001, maka sifat norma hukum terhadap sertifikat keandalan terkait keamanan sistem elektronik menjadi wajib (compulsary). Sanksi administratif terhadap pelanggaran kewajiban implementasi SNI ISO/IEC 27001 dapat ditemukan pada PBSSN 8/2020. Namun, dalam perspektif UU SPK, sanksi hukumnya dapat berupa sanksi pidana penjaran paling lama 5 tahun dan/atau denda paling banyak 35 milyar rupiah, sebagaimana diatur pada Pasal 65 UU SPK. Sanksi pidana ini harus diwaspadai dan diantisipasi pencegahannya terutama oleh para pelaku e-commerce, selain gugatan ganti rugi perdata yang diberikan dasar hukumnya pada Pasal 38 UU ITE.
Namun demikian, sanksi teknologi berupa rusak, hilang atau hancur serta bobolnya sistem dan dana elektroni justru harus menjadi pertimbangan utama untuk menciptakan sistem elektronik yang andal dan aman di dunia digital saat ini.
Wallohu a’lam.