Pendahuluan: paradigma keamanan TI yang baru

‍

Petunjuk NIS2, yang mulai berlaku pada tanggal 17 Januari 2023 (16 Oktober di Italia), merupakan perubahan besar dari Petunjuk NIS sebelumnya. Kerangka kerja peraturan ini bertujuan untuk menciptakan strategi dunia maya yang sama untuk semua negara anggota UE, dengan tujuan utama untuk meningkatkan tingkat keamanan layanan digital di seluruh UE

‍

Musim implementasi arahan NIS2 Eropa telah resmi dimulai, mewakili perubahan yang lebih dari sekadar perubahan signifikan dalam pendekatan manajemen keamanan informasi.

‍

Meskipun menghargai upaya komunikatif dari National Cybersecurity Agency (NCA), yang menempatkan aspek proses represif dan pemberian sanksi di tempat kedua setelah promosi partisipasi aktif, terbukti bahwa proses penerapan tujuan Petunjuk ini tidak dapat diselesaikan hanya dengan ketaatan formal pada sistem manajemen keamanan - yang biasanya disebut sebagai 'keamanan kertas' - tetapi membutuhkan upaya substansial untuk mendefinisikan tujuan keamanan yang konkret dan berkelanjutan.

Perluasan perimeter: siapa saja yang terlibat dalam NIS2

Arahan NIS2 merupakan langkah signifikan menuju keamanan dan ketahanan siber yang lebih baik di seluruh Eropa. Dalam hal peraturan dan arahan, banyak perusahaan melihat kepatuhan sebagai tujuan akhir: sesuatu yang harus mereka patuhi dengan memenuhi persyaratan minimum. Namun, hal ini harus dilihat sebagai titik awal untuk mencapai tingkat keamanan siber yang lebih tinggi.

Arahan NIS2 berasal dari perombakan besar-besaran terhadap NIS dan menandai langkah penting lainnya menuju definisi penuh strategi siber Eropa, memberikan respons terkoordinasi dan inovatif yang memadai oleh Negara-negara Anggota untuk memastikan kelangsungan layanan digital jika terjadi insiden keamanan.

‍

NIS2 secara signifikan memperluas cakupan aplikasi dibandingkan dengan Petunjuk NIS sebelumnya, termasuk sektor-sektor penting seperti pengelolaan limbah, transportasi, industri makanan, pasokan dan distribusi air minum, infrastruktur digital, administrasi publik, produksi, penelitian dan pengembangan obat-obatan dan peralatan medis, dan sektor luar angkasa.

‍

Keputusan Legislatif 138/2024, yang mengubah Petunjuk NIS2 menjadi undang-undang Italia, menyatakan bahwa ketentuan tersebut akan berlaku mulai 16 Oktober 2024.

‍

Peraturan ini tidak akan berlaku untuk usaha kecil kecuali jika entitas tersebut diidentifikasi sebagai 'kritis' dalam arti Petunjuk RCE, penyedia jaringan komunikasi elektronik publik, penyedia layanan perwalian, atau termasuk dalam kategori spesifik lainnya yang dianggap penting.

‍

NIS2 juga berlaku untuk perusahaan dengan kurang dari 50 karyawan jika mereka menyediakan layanan penting di suatu Negara Anggota, jika layanan mereka sangat penting bagi keselamatan, keamanan, atau kesehatan masyarakat, atau jika mereka merupakan bagian dari rantai pasokan perusahaan yang penting atau penting.

‍

Isu-isu kritis utama bagi perusahaan

‍

1. Kompleksitas model berlapis dan masalah klasifikasi

Kompleksitas operasional ini tercermin dalam pilihan legislator Italia atas model 'berlapis'. Lapisan pertama adalah lapisan standar, yaitu subjek-subjek esensial atau penting, yang melebihi batas ukuran perusahaan kecil. Lapisan kedua terdiri dari entitas-entitas yang, terlepas dari ukuran atau omsetnya, termasuk dalam kategori tertentu yang ditentukan.

‍

Masalah yang signifikan menyangkut pengukuran aktual dari aspek ukuran, karena mengacu pada gagasan 'perusahaan terafiliasi' yang, dalam dunia bisnis, tidak selalu memiliki kejelasan yang mutlak.

‍

Hubungan antara dua atau lebih perusahaan, secara teori, tidak tergantung pada niat untuk membentuk kelompok formal yang nyata, dengan konsekuensi mengecualikan dari kelompok perusahaan kecil dan menengah entitas-entitas yang, bahkan jika dipertimbangkan secara individual, tidak akan mencapai batas ukuran yang ditentukan oleh peraturan.

‍

2. Beban ekonomi dan organisasi

Ketika kita beralih dari idealitas proses ke pendekatan konkret, masalahnya agak berbeda, karena berbenturan dengan dimensi ekonomi negara yang struktur fundamentalnya terdiri dari sejumlah besar perusahaan kecil dan menengah. Hal ini menjadi tantangan yang signifikan dalam implementasi NIS2, yang mungkin akan sangat membebani perusahaan-perusahaan kecil.

‍

Dibuat dengan tujuan untuk meningkatkan keamanan siber Uni Eropa, hukuman dari Petunjuk NIS2 murni bersifat administratif dan kriminal. Operator penting dapat dikenakan denda administratif hingga EUR 10 juta atau 2 persen dari total omset global. Di sisi lain, operator besar dapat dikenakan denda hingga EUR 7 juta atau 1,4 persen dari total omset global di seluruh dunia.

‍

3. Tanggung jawab manajemen

Keputusan legislatif memperkenalkan sebuah kepastian: akan ada tanggung jawab dari manajemen dan badan-badan pemerintahan. Badan-badan manajemen perusahaan akan diminta untuk memainkan peran aktif dalam kepatuhan terhadap undang-undang, mereka harus menyetujui penerapan langkah-langkah manajemen risiko keamanan, mengawasi pelaksanaan kewajiban yang ditetapkan dalam undang-undang, dan akan bertanggung jawab atas pelanggaran.

4. Pelaporan insiden dan manajemen risiko

Keputusan transposisi tersebut memperkuat persyaratan pelaporan insiden, yang menetapkan bahwa insiden yang memiliki dampak signifikan terhadap penyediaan layanan harus dilaporkan ke CSIRT Italia tanpa penundaan yang tidak semestinya. Proses pemberitahuan menyediakan jadwal yang ketat: pra-pemberitahuan dalam waktu 24 jam, pemberitahuan dalam waktu 72 jam setelah kejadian, dan laporan akhir dalam waktu satu bulan setelah kejadian.

‍

Arahan NIS2 menetapkan sejumlah persyaratan utama yang harus dipenuhi oleh organisasi untuk memastikan tingkat keamanan cyber yang tinggi. Persyaratan ini meliputi: analisis risiko dan kebijakan keamanan sistem informasi, strategi untuk menilai efektivitas tindakan manajemen risiko, dan praktik kebersihan digital dasar serta pelatihan keamanan siber.

‍

5. Fokus pada rantai pasokan

Tampak bahwa undang-undang yang mengubah Petunjuk NIS2 tidak hanya berfokus pada sektor-sektor yang dianggap sangat penting atau kritis, tetapi, dalam pandangan yang jauh ke depan, juga pada para pemasok mereka, sehingga sangat memperluas jumlah subjek yang kemungkinan besar akan terpengaruh oleh penerapan Keputusan Legislatif.

‍

Petunjuk NIS 2 menyatakan bahwa entitas yang diwajibkan harus mengambil langkah-langkah teknis, operasional, dan organisasi yang tepat dan proporsional untuk mengelola risiko keamanan yang ditimbulkan pada sistem informasi dan jaringan, juga mempertimbangkan keamanan rantai pasokan, termasuk aspek keamanan terkait hubungan antara setiap entitas dan pemasok langsung atau penyedia layanan.

‍

Tenggat waktu utama yang harus dipenuhi

Dengan demikian, dimulailah perlombaan untuk memenuhi persyaratan, yang harus selesai pada Oktober 2026. Pada awal tahun 2025, perusahaan yang diidentifikasi sebagai subjek NIS2 harus beroperasi dengan semua langkah yang direncanakan, termasuk sistem manajemen keamanan TI dan tanggung jawab manajemen. Pada Mei 2025, perusahaan harus memperbarui data mereka di platform kelembagaan. Pada Januari 2026, kewajiban formal untuk melaporkan insiden signifikan secara tepat waktu mulai berlaku, dan pada September 2026, organisasi harus sudah menerapkan semua langkah keamanan yang diperlukan.

‍

Mulai 16 Oktober 2024, peraturan Keamanan Jaringan dan Informasi (NIS) yang baru mulai berlaku. ACN adalah Otoritas Kompeten NIS dan titik kontak tunggal. Mulai 1 Desember 2024 hingga 28 Februari 2025, perusahaan menengah dan besar, dalam beberapa kasus juga perusahaan kecil dan mikro, dan administrasi publik yang menerapkan undang-undang baru harus mendaftar di portal layanan ACN.

‍

Kesimpulan: pergeseran paradigma yang diperlukan namun menantang

Meningkatnya keterhubungan dan digitalisasi masyarakat telah membuat institusi, bisnis, dan warga negara semakin terpapar ancaman siber.

‍

Manajemen puncak Badan Keamanan Siber Nasional telah membuat komitmen publik untuk membuat proses ini berkelanjutan, yang benar-benar dapat menandai titik balik bagi kemampuan negara untuk menghadapi ancaman yang terus meningkat. Kita harus menunggu dan melihat bagaimana struktur produktif dan administratif negara ini akan mampu merespons apa yang, cukup jelas, merupakan titik balik budaya yang mendalam dan yang, seperti yang dapat dipahami, tidak akan mudah untuk dilakukan dan juga tidak akan 'netral'.

‍

Oleh karena itu, adaptasi ke NIS2 bukan hanya masalah kepatuhan terhadap standar, tetapi juga bisa menjadi kesempatan yang baik untuk memperkenalkan budaya keamanan serta praktik terbaik teknis dan organisasi ke dalam perusahaan, yang dapat meningkatkan tingkat keamanan TI secara signifikan. Namun, penting untuk segera menyiapkan rencana adaptasi untuk menyelaraskan berbagai aset dan personil perusahaan secara bertahap dengan siklus pelatihan berkala yang sesuai.

Meskipun Anda bukan salah satu perusahaan yang diwajibkan untuk mematuhi Petunjuk NIS2, memulai kursus kesadaran tentang risiko dunia maya penting untuk melindungi masa depan bisnis Anda.

‍

Oleh karena itu, NIS2 merupakan tantangan yang kompleks namun penting bagi perusahaan-perusahaan Italia. Meskipun membebankan kewajiban dan tanggung jawab baru yang mungkin terlihat memberatkan, NIS2 juga menawarkan kesempatan untuk memikirkan kembali keamanan TI sebagai elemen strategis dan bukan sekadar biaya.