Bab 2: Landasan Regulasi di Indonesia

Track: Keduanya (K); untuk Direksi/Manajer dan Praktisi TI.

Tiga Hal yang Wajib Dibawa Pulang

• Regulasi bukan hambatan; ia peta batas risiko. UU SDA, UU PDP, PP PSTE, regulasi sektor SPAM, regulasi sistem pembayaran, dan aturan BUMD/KPBU menentukan batas minimum; tata kelola TI yang baik adalah cara memenuhinya secara berkelanjutan, bukan sekadar saat audit.
• Ketidakpatuhan dapat jauh lebih mahal daripada kepatuhan. Denda, sanksi, dan kerusakan reputasi yang muncul dari pelanggaran regulasi sering melampaui biaya membangun sistem kepatuhan dari awal.
• Mulai dari inventaris, bukan dari proyek besar. Langkah pertama bukan transformasi sistem; melainkan tahu regulasi mana yang berlaku umum, mana yang khusus BUMD/PDAM, mana yang muncul dari kontrak kerja sama dengan pemerintah, dan mana yang belum punya respons internal.

[!TIP] Panduan Membaca Bab Ini Bab ini adalah bab terpanjang dalam panduan ini karena menyatukan lanskap hukum yang tersebar menjadi satu peta kerja. Jangan membacanya seperti novel dari awal sampai akhir. Gunakan sebagai ensiklopedia referensi: baca pembuka naratifnya, lalu lompat ke regulasi yang sedang menjadi prioritas audit atau kepatuhan (compliance) di organisasi Anda bulan ini.

Peta Konsep Bab Ini

Diagram 2.1 menunjukkan cara membaca bab ini: mulai dari regulasi nasional, kenali regulator kunci, terjemahkan kewajiban menjadi kontrol TI, lalu susun rencana kepatuhan yang bisa dibahas di rapat Direksi.

Pembuka: Pukul 00.54, Pusat Data Nasional

Pukul 00.54 dini hari, Kamis 20 Juni 2024, server Pusat Data Nasional di Surabaya mulai dienkripsi. Ransomware varian Brain Cipher, turunan LockBit 3.0, bergerak cepat: menginstal file berbahaya, menghapus file sistem penting, menonaktifkan layanan yang sedang berjalan. Beberapa jam kemudian, 210 instansi pemerintah kehilangan akses ke data mereka. Layanan imigrasi lumpuh total. Paspor tidak bisa diproses. Antrean di bandara menumpuk. Berita utama nasional hari itu hanya satu: Indonesia diserang siber.

Pemicunya bukan zero-day exploit canggih. Investigasi BSSN menemukan akar yang jauh lebih sederhana: fitur keamanan Windows Defender dinonaktifkan. Dimulai 17 Juni 2024 pukul 23.15 WIB; tiga hari penuh sebelum serangan. Tiga hari di mana satu kontrol keamanan dasar mati, tanpa ada yang mendeteksi, tanpa ada yang mengeskalasi, tanpa ada peringatan ke pimpinan.

Insiden ini bukan komposit dan bukan fiksi. Ini kejadian nyata yang terdokumentasi dalam catatan publik: diinvestigasi oleh Badan Siber dan Sandi Negara, dijelaskan oleh Menteri Komunikasi dan Informatika dalam konferensi pers, dilaporkan oleh BBC Indonesia, Antara, Kompas, dan media nasional lainnya. Pelajaran tata kelolanya sangat jelas.

Bagi jajaran eksekutif utilitas air, mungkin pagi itu Anda menerima telepon: data organisasi Anda ikut terdampak. Atau mungkin organisasi Anda cukup beruntung tidak terdampak langsung, tapi Anda menyaksikan 210 institusi (dari imigrasi sampai kependudukan) tidak bisa mengakses data mereka sendiri. Apa yang terjadi di Surabaya Juni 2024 bukan sekadar serangan siber. Ia adalah kegagalan kepatuhan terhadap satu kontrol keamanan paling dasar; kontrol yang seharusnya tidak pernah boleh dinonaktifkan tanpa otorisasi, tanpa pemantauan, tanpa eskalasi. Satu orang menonaktifkan satu fitur. Dua ratus sepuluh institusi terdampak. Itulah konsekuensi ketika kepatuhan dianggap formalitas.

Dalam konteks utilitas air di Indonesia, ekosistem regulasi semakin berlapis. Tidak hanya regulasi sektor utilitas yang perlu diperhatikan, tetapi juga regulasi lintas sektor seperti pelindungan data pribadi, transaksi elektronik, keamanan siber, dan sistem pembayaran digital. Memahami ekosistem regulasi ini adalah langkah pertama yang tidak dapat ditawar untuk membangun tata kelola TI yang efektif.

Lapisnya perlu dibaca dengan tertib. Ada regulasi yang berlaku untuk semua organisasi utilitas air karena menyangkut hak atas air, sistem elektronik, data pribadi, keamanan, dan pembayaran; lapis ini mengikat operator swasta secara langsung, lahir dari aktivitas yang dijalankan, bukan dari hubungan dengan pemerintah. Ada regulasi yang khusus melekat pada BUMD/PDAM karena status kepemilikan daerah. Ada pula kewajiban yang lahir dari kontrak kerja sama, KPBU, SLA, dan penugasan layanan publik bagi operator swasta mitra pemerintah. Jika tiga lapis ini dicampur, organisasi salah membaca kewajiban dari dua arah: operator swasta diseret ke aturan yang sebenarnya khusus BUMD, atau sebaliknya, operator swasta menganggap hukum universal seperti UU PDP sebagai “urusan BUMD” padahal ia mengikat siapa pun yang mengelola data pelanggan.

Lima hal yang harus dipetakan: regulasi nasional mana yang relevan, kewajiban mana yang melekat pada pimpinan organisasi, mana yang khusus BUMD/PDAM, mana yang muncul dari kontrak kerja sama dengan pemerintah, dan bagaimana menerjemahkannya ke persyaratan implementasi TI yang konkret. Peta regulasi ini adalah dasar gap analysis yang tidak bisa diabaikan.

2.1 Regulasi Nasional yang Relevan

Lanskap regulasi Indonesia yang berkaitan dengan tata kelola TI dapat dibagi menjadi beberapa kategori: regulasi fundamental, regulasi sektor utilitas, regulasi BUMD dan kerja sama infrastruktur, regulasi teknologi informasi, regulasi sistem pembayaran, keamanan siber, dan pelindungan data. Memahami kategori-kategori ini membantu organisasi membangun kerangka kepatuhan yang komprehensif tanpa mencampuradukkan kewajiban yang berbeda.

2.1.1 Regulasi Fundamental: Dasar Konstitusional

UU No. 17 Tahun 2019 tentang Sumber Daya Air

Undang-undang ini adalah fondasi konstitusional bagi seluruh sektor utilitas air di Indonesia. Salah satu ketentuan paling penting adalah Pasal 5 yang menjamin bahwa setiap orang berhak atas air untuk memenuhi kebutuhan pokok sehari-hari minimal untuk keperluan rumah tangga. Konsekuensinya jelas: ketersediaan layanan bukan sekadar target bisnis; ia bagian dari pemenuhan hak dasar masyarakat.

Dari perspektif tata kelola TI, undang-undang ini memiliki implikasi signifikan. Jika sistem TI yang mendukung operasi layanan mengalami gangguan, organisasi tidak hanya menghadapi risiko finansial, tetapi juga potensi pelanggaran hak konstitusional. Ini adalah alasan kuat mengapa availability dan business continuity sistem TI harus dianggap sebagai prioritas tertinggi, bukan sekadar aspek teknis operasional.

UU No. 23 Tahun 2014 tentang Pemerintahan Daerah

Undang-undang ini mengatur hubungan antara pemerintah pusat dan pemerintah daerah, termasuk peran BUMD sebagai instrumen pemerintah daerah untuk mempercepat pembangunan dan pelayanan publik. Bagi perusahaan utilitas yang berstatus BUMD, undang-undang ini menjadi rujukan untuk tata kelola korporasi, hubungan dengan pemegang saham pemerintah daerah, dan kewajiban pelaporan. Bagi operator swasta mitra pemerintah, relevansinya biasanya tidak langsung: ia muncul melalui hubungan dengan pemerintah daerah, BUMD mitra, perizinan, dan dokumen kerja sama yang menjadi dasar layanan.

Dari perspektif TI, implikasinya meliputi kewajiban pelaporan kinerja ke pemerintah daerah yang memerlukan sistem informasi manajemen yang memadai, koordinasi dengan berbagai unit kerja daerah yang memerlukan interoperability sistem, dan kewajiban transparansi yang mendorong pengembangan sistem pelaporan terbuka.

PP No. 54 Tahun 2017 tentang Badan Usaha Milik Daerah

Peraturan pemerintah ini memberikan panduan lebih rinci mengenai tata kelola BUMD, termasuk struktur organisasi, organ perusahaan, satuan pengawas intern, komite audit, komite lain, perencanaan, operasional, pelaporan, tata kelola perusahaan yang baik, kerja sama, dan pengawasan. Ini adalah rujukan utama untuk PDAM/BUMD air minum, bukan untuk semua operator swasta.

Dalam konteks tata kelola TI, peraturan ini mendorong BUMD utilitas untuk menetapkan struktur tata kelola yang jelas termasuk komite teknologi informasi jika diperlukan, mengintegrasikan aset dan risiko TI ke dalam laporan kinerja korporasi, dan memastikan bahwa investasi TI mendukung tujuan strategis BUMD sesuai arahan pemegang saham.

Perpres No. 38 Tahun 2015 tentang Kerja Sama Pemerintah dengan Badan Usaha dalam Penyediaan Infrastruktur

Perpres ini penting untuk membaca posisi operator swasta utilitas air yang bekerja sama dengan pemerintah. Kerja sama pemerintah dengan badan usaha bukan sekadar hubungan komersial biasa; ia membawa kewajiban layanan, pembagian risiko, indikator kinerja, tata kelola kontrak, dan mekanisme pelaporan yang harus diterjemahkan ke sistem TI.

Dari perspektif tata kelola TI, implikasinya jelas: SLA layanan, data operasional, data pelanggan, rekonsiliasi kinerja, pelaporan kepada mitra pemerintah, dan keamanan integrasi sistem harus dirancang sebagai bagian dari tata kelola kontrak. Operator swasta tidak otomatis berada di bawah seluruh rezim BUMD, tetapi kewajiban publiknya tetap nyata karena layanan yang dijalankan menyentuh hak dasar masyarakat.

2.1.2 Regulasi Sektor Utilitas

PP No. 122 Tahun 2015 tentang Sistem Penyediaan Air Minum

Peraturan Pemerintah ini menjadi salah satu rujukan utama penyelenggaraan Sistem Penyediaan Air Minum (SPAM). Bagi perusahaan utilitas air, PP ini penting karena menghubungkan kewajiban layanan, pengembangan jaringan, standar penyelenggaraan, dan pembagian peran antar pemerintah, penyelenggara, serta pihak yang bekerja sama dalam penyediaan air minum.

Dari perspektif tata kelola TI, implikasinya bukan hanya pelaporan teknis. Sistem informasi operasional, data pelanggan, pemantauan kualitas layanan, pengelolaan aset jaringan, dan dokumentasi perizinan harus mendukung standar penyelenggaraan SPAM. Untuk operator swasta mitra pemerintah, kewajiban operasional biasanya dibaca bersama dokumen kerja sama, perjanjian layanan, dan target kinerja yang ditetapkan dalam kontrak.

Permen ESDM No. 14 Tahun 2024 tentang Izin Pengusahaan Air Tanah dan Persetujuan Penggunaan Air Tanah

Peraturan Menteri ESDM ini memuat ketentuan tentang Izin Pengusahaan Air Tanah dan Persetujuan Penggunaan Air Tanah. Dampaknya tidak hanya untuk BUMD/PDAM. Setiap organisasi utilitas air yang memanfaatkan air tanah perlu membaca kewajiban ini sesuai statusnya: siapa pemegang izin, siapa pengelola titik pengambilan, siapa penanggung jawab dokumen teknis, dan siapa yang wajib melaporkan atau memperpanjang izin.

Dari perspektif tata kelola TI, regulasi ini menuntut sistem pelacakan perizinan yang terintegrasi dengan manajemen aset, sistem dokumentasi untuk membuktikan kepatuhan, dan integrasi data perizinan ke dalam perencanaan operasional. Untuk operator swasta mitra pemerintah, pembagian peran ini harus tertulis jelas dalam kontrak kerja sama agar tidak ada izin yang “dianggap urusan pihak lain” sampai regulator bertanya.

Peraturan Menteri PUPR tentang SPAM

Kementerian Pekerjaan Umum dan Perumahan Rakyat menerbitkan berbagai peraturan terkait Sistem Penyediaan Air Minum (SPAM), termasuk standar pelayanan, panduan perencanaan, dan persyaratan teknis. Program 100-0-100 yang menjadi fokus nasional juga diatur melalui berbagai regulasi teknis ini.

Implikasi terhadap tata kelola TI meliputi kebutuhan sistem pemantauan kinerja operasional untuk memenuhi standar pelayanan yang ditetapkan, sistem pelaporan ke Kementerian PUPR sebagai syarat penyaluran bantuan atau pendanaan, serta integrasi data spasial untuk perencanaan jaringan distribusi yang sesuai standar.

Permendagri No. 118 Tahun 2018 tentang Rencana Bisnis, RKAP, Kerja Sama, Pelaporan, dan Evaluasi BUMD

Regulasi ini adalah rujukan BUMD-only. Ia mengatur rencana bisnis, rencana kerja dan anggaran, kerja sama, pelaporan, serta evaluasi Badan Usaha Milik Daerah. Bagi BUMD/PDAM, aspek penting bagi tata kelola TI adalah kewajiban membuat rencana bisnis dan anggaran yang terukur, termasuk bagaimana investasi TI dijustifikasi, disetujui, dipantau, dan dilaporkan.

Dalam praktiknya, sistem TI harus mampu mendukung penyusunan rencana bisnis dengan data yang akurat, investasi TI harus dijustifikasi dalam rencana bisnis dengan business case yang jelas, dan kinerja TI harus dapat diukur sebagai bagian dari evaluasi kinerja keseluruhan. Untuk operator swasta, rujukan sepadan biasanya bukan Permendagri ini, melainkan rencana usaha internal, kontrak kerja sama, kewajiban pelaporan kepada mitra pemerintah, dan mekanisme evaluasi kinerja dalam perjanjian.

2.1.3 Regulasi Teknologi Informasi dan Transaksi Elektronik

UU No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE), beserta perubahannya melalui UU No. 19 Tahun 2016 dan UU No. 1 Tahun 2024

Undang-undang ini adalah kerangka hukum fundamental untuk segala aktivitas yang menggunakan teknologi informasi di Indonesia. Versi awal tahun 2008 telah diubah dua kali: pertama melalui UU 19/2016 (penyesuaian sanksi pidana dan ketentuan kebebasan berekspresi), kemudian melalui UU 1/2024 (penguatan perlindungan masyarakat di ruang digital, kewajiban moderasi konten, dan klarifikasi tanggung jawab penyelenggara sistem elektronik). Bagi perusahaan utilitas, ketiga lapisan ini saling melengkapi dan harus dirujuk bersama.

Beberapa ketentuan penting bagi perusahaan utilitas dapat diterjemahkan ke tiga kewajiban praktis.

Pertama, penyelenggara sistem elektronik harus menjalankan sistem secara andal, aman, dan bertanggung jawab. Kewajiban ini melekat pada setiap penyelenggara sistem elektronik, termasuk badan usaha swasta. Bagi perusahaan utilitas air yang mengoperasikan sistem billing, sistem pelanggan, dan portal layanan online, kewajiban ini berarti kontrol keamanan informasi harus nyata, bukan hanya tertulis.

Kedua, aktivitas elektronik harus meninggalkan bukti yang dapat diperiksa. Organisasi perlu memastikan transaksi, perubahan data, dan akses ke sistem penting memiliki jejak audit yang memadai.

Ketiga, penggunaan data pribadi dalam layanan digital harus selaras dengan prinsip pelindungan data. Setelah UU PDP berlaku, rujukan pelindungan data pelanggan perlu dibaca terutama melalui UU PDP, sementara UU ITE dan PP PSTE tetap menjadi kerangka penyelenggaraan sistem elektronik.

Implikasi praktis bagi tata kelola TI

• kebijakan keamanan informasi harus disusun dan diimplementasikan
• sistem harus memiliki kontrol akses yang jelas
• audit keamanan harus dilakukan secara berkala
• incident response untuk pelanggaran data harus dipersiapkan

UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (PDP)

Undang-undang ini merupakan tonggak penting dalam lanskap regulasi Indonesia. Sebagai undang-undang sektoral yang secara khusus mengatur pelindungan data pribadi, UU PDP menetapkan hak-hak subjek data (pelanggan), kewajiban pengendali data, kewajiban prosesor data, dan sanksi untuk pelanggaran.

Satu hal mendasar perlu ditegaskan sejak awal: kewajiban dalam UU PDP melekat pada peran, bukan pada status kepemilikan. UU PDP menempatkan setiap pihak yang menentukan tujuan dan mengendalikan pemrosesan data pribadi sebagai Pengendali Data Pribadi, dan istilah “Setiap Orang” dalam undang-undang ini mencakup korporasi, termasuk badan usaha swasta. Konsekuensinya, UU PDP mengikat BUMD/PDAM, operator swasta mitra pemerintah, dan operator swasta utilitas air yang menjalankan penagihan langsung ke pelanggan, secara setara. Selama sebuah organisasi memegang nama, alamat, nomor telepon, dan riwayat pembayaran pelanggan, ia pengendali data penuh; status badan usaha atau ada-tidaknya kerja sama dengan pemerintah tidak menciptakan pengecualian.

Bagi perusahaan utilitas yang mengelola data ratusan ribu bahkan jutaan pelanggan, implikasi UU PDP sangat signifikan:

Kewajiban pertama menyangkut transparansi: pengendali data perlu menyediakan kebijakan privasi yang jelas dan mudah diakses. Ini berarti setiap perusahaan utilitas harus memiliki dokumen kebijakan privasi yang menjelaskan jenis data yang dikumpulkan, tujuan pengumpulan, cara pengolahan, hak-hak pelanggan, dan kontak untuk pertanyaan atau keluhan.

Kewajiban keamanan. UU PDP menuntut pengendali data menjaga keamanan data pribadi. Dari perspektif TI, ini berarti sistem harus memiliki autentikasi yang kuat; data sensitif harus dilindungi saat diam maupun saat transmisi; audit trail untuk akses data harus tersedia; dan pengujian keamanan harus dilakukan secara berkala.

Hak subjek data. Pelanggan memiliki hak untuk: (a) mengakses data mereka, (b) memperbaiki data yang tidak akurat, (c) menghapus data dalam kondisi tertentu, (d) menarik persetujuan, dan (e) membatasi pemrosesan. Untuk memenuhi hak-hak ini, sistem TI harus memiliki modul akses data pelanggan di portal layanan, prosedur perbaikan data yang terdokumentasi, kebijakan retensi data yang jelas, dan sistem manajemen persetujuan (consent management).

Kewajiban pelaporan. Jika terjadi pelanggaran data pribadi, organisasi perlu memiliki dasar untuk menilai, mencatat, dan melaporkan insiden sesuai ketentuan yang berlaku. Ini memerlukan sistem deteksi insiden yang memadai, prosedur incident response yang terdokumentasi, dan mekanisme komunikasi yang cepat dan akurat.

PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE)

Peraturan Pemerintah ini adalah aturan pelaksana UU ITE yang menggantikan PP 82/2012. PSTE menerjemahkan kewajiban abstrak UU ITE menjadi ketentuan teknis yang dapat diaudit, termasuk klasifikasi penyelenggara sistem elektronik, kewajiban registrasi, persyaratan keandalan dan keamanan sistem, serta tata cara penyelesaian gangguan. Bagi perusahaan utilitas air yang mengoperasikan sistem billing, layanan pelanggan, kanal pembayaran, integrasi operasional, atau portal digital, PP PSTE perlu dibaca untuk menilai apakah sistem tersebut masuk cakupan penyelenggaraan sistem elektronik yang wajib dikelola, didaftarkan, diamankan, dan dipulihkan sesuai ketentuan yang berlaku.

Implikasi praktis bagi tata kelola TI:

• nilai status setiap sistem elektronik penting, termasuk billing, layanan pelanggan, integrasi pembayaran, dan SCADA gateway
• pastikan kebijakan penempatan dan pelindungan data terdokumentasi serta dipatuhi pemasok cloud
• uji DRP/BCP secara berkala dengan bukti yang dapat diperiksa
• siapkan alur eskalasi dan pelaporan insiden sesuai status organisasi, jenis sistem, dan kewajiban kontrak

Perpres No. 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik (SPBE)

Perpres SPBE adalah kerangka tata kelola TI yang paling spesifik untuk institusi pemerintah. Bagi BUMD yang menjalankan layanan publik, SPBE relevan ketika layanan digitalnya beririsan dengan ekosistem pemerintah daerah, pelaporan publik, integrasi data, atau layanan lintas instansi. Bagi operator swasta mitra pemerintah, SPBE tidak otomatis berarti seluruh organisasi tunduk pada evaluasi SPBE seperti instansi pemerintah; relevansinya muncul ketika sistem operator terhubung dengan layanan pemerintah, kewajiban pelaporan daerah, integrasi data publik, atau persyaratan kontrak kerja sama. Perpres ini menetapkan arsitektur SPBE nasional, manajemen SPBE (tata kelola, manajemen risiko, manajemen keamanan informasi, manajemen data, audit TIK), evaluasi kematangan SPBE melalui indeks SPBE, serta keterpaduan layanan antar instansi.

Tiga implikasi praktis bagi perusahaan utilitas air:

Kebutuhan tata kelola TI formal. Jika layanan digital organisasi terhubung dengan ekosistem pemerintah daerah, struktur tata kelola, kebijakan TI tertulis, dan forum pengarah TI menjadi kebutuhan praktis. Ini selaras dengan prinsip-prinsip COBIT 2019 dan dapat dipakai sebagai baseline minimum.

Kesiapan terhadap indikator SPBE. Evaluasi indeks SPBE dilakukan pada instansi pemerintah. BUMD layanan publik dan operator swasta mitra pemerintah tetap perlu memahami indikatornya ketika sistemnya menjadi bagian dari pelaporan, integrasi data, atau layanan digital pemerintah daerah. Indikator yang dinilai dalam SPBE, seperti kebijakan internal, tata kelola, manajemen, layanan, dan domain pendukung, dapat menjadi rujukan praktis untuk menilai kesiapan internal.

Keterpaduan data dengan instansi lain. SPBE mendorong satu data, satu identitas, dan satu portal layanan. Perusahaan utilitas air yang ingin berintegrasi dengan layanan publik daerah (mis. Mall pelayanan publik, satu data daerah) harus mengikuti standar interoperabilitas yang ditetapkan dalam arsitektur SPBE.

Catatan operasional: dokumen acuan teknis pelaksanaan SPBE tersedia melalui portal Kementerian PANRB dan Kementerian Kominfo, dengan pembaruan berkala. Tim TI organisasi disarankan menugaskan satu single point of contact yang memantau perubahan acuan tersebut.

2.1.4 Regulasi Sistem Pembayaran Digital

POJK No. 13 Tahun 2018 tentang Inovasi Keuangan Digital

Peraturan OJK ini mengatur inovasi keuangan digital di sektor jasa keuangan. Bagi perusahaan utilitas air, rujukannya tidak langsung: regulasi OJK menjadi relevan ketika organisasi bermitra dengan pelaku jasa keuangan digital atau produk yang berada dalam pengawasan OJK. Untuk penyelenggaraan sistem pembayaran, rujukan utama tetap Bank Indonesia.

Konsekuensinya, utilitas perlu melakukan penilaian kelayakan (due diligence) terhadap mitra, memastikan mitra memiliki izin yang sesuai, memahami standar keamanan mitra, dan mengatur mekanisme penyelesaian sengketa dalam kontrak.

Implikasi bagi tata kelola TI: sistem billing harus terintegrasi dengan kanal pembayaran yang legal dan aman; sistem rekonsiliasi (reconciliation) harus akurat untuk mendeteksi dan mengatasi transaksi bermasalah; audit trail transaksi harus lengkap dan tersedia untuk pemeriksaan; dan kontrol deteksi penipuan (fraud detection) harus disesuaikan dengan risiko transaksi.

Regulasi BI terkait QRIS dan Pembayaran Retail

Bank Indonesia sebagai otoritas sistem pembayaran menerbitkan regulasi terkait penyedia jasa pembayaran, penyelenggara infrastruktur sistem pembayaran, QRIS, switching, dan standar pembayaran retail. Bagi perusahaan utilitas yang menerima pembayaran melalui kanal digital, kepatuhan terhadap standar BI terutama dilakukan melalui pemilihan mitra pembayaran yang berizin, integrasi teknis yang aman, rekonsiliasi transaksi yang kuat, dan kontrak layanan yang jelas.

2.1.5 Regulasi Keamanan Siber

Peraturan BSSN tentang Keamanan Informasi Siber

Badan Siber dan Sandi Negara (BSSN) sebagai otoritas nasional keamanan siber menerbitkan berbagai regulasi, pedoman, dan layanan pembinaan terkait keamanan informasi dan keamanan siber. Untuk standar teknis, rujukan yang lebih aman adalah Standar Nasional Indonesia (SNI) di bidang keamanan informasi dan keamanan siber, termasuk adopsi SNI ISO/IEC 27001:2022 untuk Sistem Manajemen Keamanan Informasi (Information Security Management System). Standar ini berlaku menurut tingkat risiko, bukan menurut status kepemilikan; operator swasta utilitas air yang mengelola sistem berisiko tinggi tidak dikecualikan hanya karena bukan badan publik. Untuk instansi publik dan ekosistem SPBE, rujukan praktis lain yang perlu diperhatikan adalah Peraturan BSSN tentang manajemen keamanan informasi dan standar teknis keamanan SPBE, serta instrumen evaluasi seperti Indeks KAMI.

Bagi perusahaan utilitas yang mengoperasikan sistem kritis (mission-critical) seperti SCADA, rujukan BSSN dan standar keamanan informasi yang relevan perlu diterjemahkan menjadi kontrol operasional. Ini termasuk

• segmentasi jaringan antara sistem TI dan OT
• kontrol akses fisik dan logis ke control room
• pemantauan ancaman siber secara berkelanjutan
• pelatihan awareness keamanan bagi seluruh karyawan

2.2 Regulator Kunci dan Peran Mereka

Memahami regulasi saja tidak cukup. Organisasi juga perlu memahami siapa regulator utama, apa peran mereka, dan bagaimana berinteraksi dengan mereka secara efektif.

2.2.1 Kementerian PUPR: Regulator Teknis

Kementerian Pekerjaan Umum dan Perumahan Rakyat adalah regulator teknis utama untuk sektor utilitas air. Peran Kementerian PUPR meliputi penetapan standar teknis pelayanan, evaluasi kinerja perusahaan utilitas, penyaluran bantuan atau pendanaan untuk pengembangan infrastruktur, serta pengembangan kebijakan nasional sektor air.

Dari perspektif tata kelola TI, interaksi dengan Kementerian PUPR memerlukan sistem pelaporan kinerja yang sesuai format yang ditetapkan, sistem informasi manajemen aset untuk mendukung pengajuan proposal pendanaan, dan integrasi data operasional untuk memenuhi standar pelayanan yang ditetapkan.

Pola yang berulang di banyak perusahaan utilitas air: anggaran TI besar tidak otomatis menghasilkan tata kelola yang baik. Organisasi dengan anggaran TI terbatas bisa memiliki disiplin keputusan yang lebih kuat daripada organisasi dengan anggaran jauh lebih besar. Uang tidak membeli governance; disiplin dan keberanian yang membelinya. Itu kabar baik bagi organisasi dengan ruang fiskal sempit dan peringatan bagi organisasi dengan anggaran besar: investasi TI tanpa tata kelola hanya akan mendigitalkan kekacauan yang sudah ada.

Perlu dicatat bahwa Kementerian PUPR juga menerbitkan berbagai panduan teknis yang dapat dijadikan rujukan untuk pengembangan sistem informasi, termasuk panduan penggunaan teknologi untuk penurunan NRW dan panduan implementasi smart metering.

2.2.2 Kementerian Dalam Negeri: Pengawasan BUMD

Kementerian Dalam Negeri memiliki peran penting dalam pengawasan BUMD, termasuk PDAM/BUMD air minum. Peran Kemendagri meliputi evaluasi rencana bisnis, penetapan dan evaluasi tarif untuk konteks yang relevan, pengawasan kinerja keuangan dan operasional, serta pembinaan manajemen BUMD.

Bagi tata kelola TI BUMD/PDAM, Kemendagri menjadi penting karena investasi TI harus dijustifikasi dalam rencana bisnis dan RKAP, sistem pelaporan kinerja harus sesuai format yang diminta, dan perubahan organisasi yang memengaruhi struktur tata kelola TI mungkin memerlukan persetujuan sesuai ketentuan yang berlaku. Bagi operator swasta mitra pemerintah, pengaruh Kemendagri biasanya muncul tidak langsung melalui pemerintah daerah, BUMD mitra, atau dokumen kerja sama.

2.2.3 BPKP: Audit Kinerja dan Tata Kelola

Badan Pengawasan Keuangan dan Pembangunan (BPKP) memiliki peran dalam audit kinerja BUMD. Dalam konteks PDAM/BUMD air minum, penilaian kinerja lazim dibaca melalui indikator yang mencakup aspek keuangan, operasional, pelayanan, dan administrasi.

Dari perspektif tata kelola TI, BPKP menjadi relevan karena audit BPKP dapat menilai kematangan tata kelola TI sebagai bagian dari penilaian tata kelola korporasi secara keseluruhan, rekomendasi audit BPKP seringkali mencakup aspek perbaikan sistem informasi dan teknologi, dan implementasi rekomendasi audit BPKP menjadi salah satu ukuran keberhasilan manajemen.

Untuk operator swasta mitra pemerintah, audit BPKP tidak otomatis menjadi kanal evaluasi langsung. Namun, rekomendasi atau temuan pada pemerintah daerah, BUMD mitra, atau proyek kerja sama dapat berdampak pada kewajiban pelaporan, pembuktian kinerja, dan perbaikan kontrol TI yang harus disediakan operator.

2.2.4 Bank Indonesia dan OJK: Ekosistem Pembayaran Digital

Bank Indonesia adalah otoritas utama sistem pembayaran. Perannya meliputi pengaturan penyedia jasa pembayaran, penyelenggara infrastruktur sistem pembayaran, standar nasional sistem pembayaran, QRIS, serta prinsip keamanan dan kelancaran pemrosesan transaksi.

Bagi perusahaan utilitas, interaksi dengan Bank Indonesia biasanya tidak langsung karena utilitas bukan penyedia jasa pembayaran. Interaksi terjadi melalui bank, payment gateway, penyedia QRIS, atau mitra pembayaran lain. Namun, Direksi tetap perlu memastikan mitra yang dipakai berizin, kontrak layanan jelas, rekonsiliasi transaksi kuat, dan tanggung jawab saat transaksi gagal tidak kabur.

OJK tetap relevan ketika mitra berada dalam ekosistem jasa keuangan digital atau inovasi teknologi sektor keuangan. Karena itu, pertanyaan tata kelolanya bukan “OJK atau BI”, melainkan: mitra pembayaran berada di bawah pengawasan siapa, izin apa yang dimiliki, dan kontrol apa yang wajib masuk ke kontrak serta integrasi teknis.

2.2.5 BSSN: Otoritas Keamanan Siber

Badan Siber dan Sandi Negara (BSSN) adalah otoritas nasional untuk keamanan siber. Peran BSSN meliputi penetapan standar keamanan siber, pelatihan dan capacity building, pemantauan ancaman siber nasional, serta respons terhadap insiden siber besar.

Bagi perusahaan utilitas air, BSSN menjadi rujukan untuk standar keamanan yang perlu diterjemahkan sesuai status organisasi dan tingkat risiko, pelatihan awareness keamanan siber bagi karyawan, serta alur penanganan insiden siber yang signifikan.

2.2.6 PERPAMSI: Asosiasi dan Penguatan Kapasitas

Persatuan Perusahaan Air Minum Seluruh Indonesia (PERPAMSI) adalah asosiasi sektor air minum yang sangat relevan bagi BUMD/PDAM dan ekosistem layanan air minum. Meskipun bukan regulator, PERPAMSI memainkan peran penting dalam advokasi kebijakan, penguatan kapasitas (capacity building) dan pelatihan, pengumpulan dan analisis data sektor, serta fasilitasi berbagi praktik terbaik.

Dari perspektif tata kelola TI, PERPAMSI menjadi penting karena asosiasi sering mengadakan pelatihan terkait transformasi digital dan smart metering, data sektor yang dikumpulkan PERPAMSI dapat dijadikan pembanding (benchmark), dan kerja sama antar-perusahaan untuk solusi TI dapat difasilitasi melalui asosiasi. Bagi operator swasta mitra pemerintah, PERPAMSI tetap berguna sebagai konteks ekosistem, terutama ketika bekerja dengan BUMD/PDAM atau pemerintah daerah.

2.3 Kepatuhan Regulasi untuk Utilitas

Memahami regulasi dan regulator adalah langkah pertama. Langkah kedua adalah menerjemahkan pemahaman tersebut menjadi persyaratan implementasi yang konkret, sesuai status organisasi dan kontrak layanan yang berlaku.

2.3.1 Kepatuhan Regulasi Sektor Utilitas

Kepatuhan terhadap regulasi sektor utilitas meliputi tiga aspek kunci:

Kewajiban pertama adalah pelaporan kinerja. BUMD/PDAM melaporkan kinerja operasional dan finansial kepada pemegang saham daerah, pembina, dan regulator sesuai ketentuan. Operator swasta mitra pemerintah melaporkan kinerja sesuai kontrak kerja sama, SLA, perizinan, dan mekanisme evaluasi yang disepakati dengan mitra pemerintah. Keduanya memerlukan sistem informasi manajemen terintegrasi, indikator kinerja yang terukur, prosedur validasi data, dan modul pelaporan sesuai format pihak yang berwenang.

Kewajiban perizinan. Izin air tanah, izin usaha, dan perizinan lainnya harus dikelola secara sistematis melalui sistem manajemen dokumen yang melacak tanggal kedaluwarsa, integrasi dengan perencanaan operasional, dan peringatan dini (early warning).

Kewajiban pelayanan. Standar pelayanan minimum memerlukan sistem pemantauan kualitas produk secara real-time, sistem penanganan keluhan pelanggan yang terdokumentasi, dan dashboard kinerja pelayanan yang dapat diakses manajemen.

2.3.2 Kepatuhan Regulasi Teknologi Informasi

UU ITE dan Keamanan Informasi

Kepatuhan terhadap UU ITE memerlukan

• pemenuhan standar keamanan informasi melalui kebijakan, kontrol teknis (firewall, antivirus, IDS/IPS), dan audit berkala
• pelindungan data pribadi melalui kebijakan privasi, kontrol akses, enkripsi, dan audit trail
• transaksi elektronik yang dapat dibuktikan melalui pencatatan yang memadai, mekanisme autentikasi yang tepat, penyimpanan bukti transaksi, dan mekanisme penyelesaian sengketa; jika menggunakan tanda tangan elektronik, pastikan status dan penyelenggaranya sesuai ketentuan

UU PDP dan Pelindungan Data Pelanggan

Kebijakan dan Persetujuan. UU Pelindungan Data Pribadi menambah kewajiban spesifik: kebijakan privasi yang memuat jenis data, tujuan, dasar hukum, hak subjek data, dan kontak; persetujuan subjek data yang sukarela, spesifik, dapat ditarik, dan terdokumentasi; dan dukungan sistem untuk hak akses, perbaikan, penghapusan, penarikan persetujuan, dan pembatasan pemrosesan data.

Keamanan Data. Standar keamanan yang harus diimplementasikan meliputi: (a) enkripsi data sensitif, (b) kontrol akses berbasis peran, (c) autentikasi kuat, (d) audit trail akses data, dan (e) penetration testing berkala.

Pelaporan Insiden. Kewajiban pelaporan insiden pelanggaran data pribadi memerlukan: (a) sistem deteksi insiden, (b) prosedur incident response, (c) mekanisme pelaporan cepat ke otoritas, dan (d) komunikasi kepada subjek data yang terdampak.

2.3.3 Kepatuhan Regulasi Pembayaran Digital

Kepatuhan terhadap regulasi pembayaran digital, terutama regulasi Bank Indonesia dan regulasi OJK yang relevan dengan mitra jasa keuangan, mencakup tiga elemen utama:

Penilaian kelayakan mitra (due diligence). Sebelum bermitra dengan penyedia layanan pembayaran, organisasi harus menilai reputasi dan lisensi mitra, memahami standar keamanan mitra, mengevaluasi service level agreement, dan memahami mekanisme penyelesaian sengketa.

Integrasi Teknis yang Aman. Integrasi sistem billing dengan kanal pembayaran digital harus menggunakan protokol komunikasi yang aman (HTTPS/TLS), mengimplementasikan mutual authentication, menyimpan audit trail transaksi, dan memiliki sistem reconciliation otomatis.

Penanganan Transaksi Bermasalah. Organisasi harus memiliki prosedur penanganan transaksi gagal, mekanisme refund yang jelas, sistem pelacakan transaksi bermasalah, dan prosedur eskalasi ke penyedia layanan pembayaran.

2.3.4 Kepatuhan Regulasi Keamanan Siber

Kepatuhan terhadap rujukan keamanan siber nasional dan standar keamanan informasi yang relevan meliputi empat elemen utama:

Manajemen Risiko Siber. Organisasi harus melakukan risk assessment secara berkala, menetapkan risk appetite untuk risiko siber, mengimplementasikan kontrol mitigasi, dan memantau risiko secara berkelanjutan.

Keamanan Infrastruktur. Ini mencakup segmentasi jaringan (pemisahan zona TI dan OT), kontrol akses fisik ke fasilitas TI, patch management yang teratur, dan implementasi defense in depth.

Keamanan Aplikasi. Untuk aplikasi yang dikembangkan sendiri atau di-custom: secure coding practices, security testing sebelum deployment, vulnerability scanning berkala, dan prosedur patch untuk kerentanan yang ditemukan.

Kesadaran (awareness) dan Pelatihan. Organisasi harus menyelenggarakan pelatihan keamanan siber bagi semua karyawan, mengadakan phishing simulation, menerbitkan panduan keamanan untuk karyawan, dan memasukkan aspek keamanan dalam onboarding karyawan baru.

2.3.5 Matriks Kepatuhan: Regulasi ke Implementasi

Untuk membantu memahami hubungan antara regulasi dan implementasi TI, Tabel 2.1 menyajikan matriks ringkas. Sebelum membacanya, satu hal perlu dipegang: sebuah regulasi mengikat organisasi karena salah satu dari tiga dasar yang berbeda. Pertama, karena peran atau aktivitas yang dijalankan; mengelola data pribadi pelanggan menundukkan organisasi pada UU PDP, mengoperasikan sistem billing dan portal layanan menundukkannya pada UU ITE dan PP PSTE, dan menerima pembayaran digital menariknya ke ekosistem yang diatur Bank Indonesia. Kedua, karena status kepemilikan; UU Pemerintahan Daerah, PP BUMD, dan Permendagri tentang rencana bisnis BUMD melekat khusus pada BUMD/PDAM. Ketiga, karena kontrak kerja sama; KPBU, SLA, dan penugasan layanan publik melahirkan kewajiban bagi operator swasta mitra pemerintah. Dasar pertama tidak memandang kepemilikan. Operator swasta utilitas air yang menagih pelanggan langsung adalah Pengendali Data Pribadi sama penuhnya dengan BUMD/PDAM, karena kewajiban itu lahir dari aktivitas mengelola data pelanggan, bukan dari status badan usaha atau hubungan dengan pemerintah. Kolom Cakupan Utama pada tabel menandai dasar mana yang berlaku untuk tiap regulasi:

Tabel 2.1 Matriks kepatuhan regulasi ke implementasi TI

Matriks ini menunjukkan bahwa setiap regulasi memiliki implikasi spesifik terhadap implementasi TI. Tantangan bagi organisasi adalah memastikan bahwa semua persyaratan ini dipenuhi secara holistik, bukan sebagai silo-silo terpisah.

2.3.6 Pendekatan Praktis untuk Kepatuhan

Menghadapi kompleksitas ekosistem regulasi, organisasi memerlukan pendekatan yang terstruktur. Enam langkah berikut cukup untuk memulai tanpa menunggu sistem besar:

1. Pemetaan regulasi (regulatory mapping). Identifikasi seluruh regulasi yang relevan untuk organisasi, lalu tandai cakupannya: berlaku umum, BUMD-only, kontrak kerja sama, atau kewajiban mitra. Dokumen hasil pemetaan ini harus menjadi rujukan utama untuk semua inisiatif TI dan diperbarui secara berkala.

2. Analisis kesenjangan (gap analysis). Bandingkan keadaan saat ini dengan persyaratan regulasi. Identifikasi area yang sudah patuh (comply), area yang perlu perbaikan, dan area yang belum disentuh sama sekali.

3. Prioritas (prioritization). Tidak semua persyaratan dapat dipenuhi sekaligus. Prioritaskan berdasarkan risiko sanksi atau denda, dampak pada operasi bisnis, dan kompleksitas implementasi.

4. Pengembangan peta jalan (roadmap development). Susun rencana implementasi jangka menengah 12 sampai 24 bulan dengan prioritas yang jelas. Roadmap ini harus divalidasi oleh manajemen puncak dan fungsi hukum/kepatuhan.

5. Implementasi dan pemantauan (implementation and monitoring). Implementasikan persyaratan satu per satu dengan pemantauan berkala. Tetapkan owner untuk setiap area kepatuhan dan lakukan review kinerja secara berkala.

6. Perbaikan berkelanjutan (continuous improvement). Regulasi terus berubah. Organisasi harus memiliki mekanisme untuk memantau perubahan regulasi, mengevaluasi dampaknya terhadap operasi, dan menyesuaikan implementasi TI sesuai kebutuhan.

2.3.7 Realitas Lapangan: Keseimbangan Investasi TI dan Fisik

Bagi jajaran Direksi, daftar regulasi di atas sering kali memunculkan dilema alokasi anggaran. Saat menyusun rencana bisnis, usulan investasi untuk infrastruktur teknologi seperti disaster recovery center (DRC) atau peningkatan keamanan siber kerap harus bersaing ketat dengan kebutuhan infrastruktur fisik yang sangat mendesak, seperti penggantian pompa dorong atau perbaikan jaringan pipa.

Dalam diskusi dengan pemangku kepentingan (Dewan Pengawas, komisaris, pemilik modal, atau mitra pemerintah), investasi fisik memang lebih mudah diukur dan terlihat wujudnya secara langsung. Oleh karena itu, usulan kepatuhan TI perlu dikomunikasikan bukan sekadar sebagai “kebutuhan teknologi”, melainkan sebagai instrumen tata kelola untuk memitigasi risiko kelangsungan layanan publik:

1. Keberlangsungan Pendapatan dan Operasional: Gangguan pada sistem billing atau operasional akibat insiden siber dapat secara langsung menghentikan penerimaan kas perusahaan. Hal ini berpotensi memicu temuan audit terkait belum memadainya sistem pengendalian internal dalam melindungi aset perusahaan.
2. Pelindungan Reputasi dan Kepercayaan Publik: Insiden pelanggaran data (seperti kebocoran data pelanggan) tidak hanya berdampak pada sanksi administratif menurut regulasi pelindungan data pribadi, tetapi juga berisiko menggerus kepercayaan publik terhadap kapabilitas layanan institusi.

Dengan pendekatan komunikasi ini, kepatuhan regulasi TI dapat diposisikan secara proporsional sebagai pilar perlindungan operasional yang esensial, sejajar dengan pentingnya menjaga ketersediaan distribusi air secara fisik.

2.4 Pola Kasus Terverifikasi dan Skenario Komposit Kepatuhan Regulasi

Regulasi bukan hanya dokumen hukum; pelanggaran dan kepatuhan memiliki konsekuensi nyata pada operasi, keuangan, dan reputasi. Tiga contoh berikut menunjukkan bagaimana ketentuan di atas kertas bertemu dengan realitas lapangan: dari gangguan pembayaran digital yang memutus penerimaan kas, isu kebocoran data yang menguji kesiapan organisasi, sampai izin yang terlambat diperpanjang dan mengancam operasi.

Ketiga contoh ini berbeda jenis, dan perbedaan itu sengaja. Contoh pertama adalah skenario komposit: pola yang berulang di banyak organisasi, disusun dari beberapa sumber publik. Contoh kedua adalah kasus publik yang masih berupa dugaan, dan justru di situlah pelajaran tata kelola muncul. Contoh ketiga adalah kewajiban regulasi yang sudah terdokumentasi, sehingga pembaca dapat memverifikasi sendiri ketentuan dan tenggatnya.

2.4.1 Skenario Komposit 1: Integrasi Pembayaran Digital dan Rekonsiliasi Tagihan

Status sumber: skenario komposit. Yang dapat ditelusuri dari sumber publik adalah pola gangguan pembayaran online perusahaan utilitas air dan kewajiban regulasi sistem pembayaran, bukan teguran regulator kepada satu organisasi tertentu.

Berita lokal pernah mencatat gangguan pembayaran online salah satu PDAM di Kalimantan melalui m-banking pada 9 Juni 2023; selama perbaikan, pelanggan diarahkan membayar lewat loket kantor. Polanya sederhana, tetapi risikonya besar: ketika sistem pembayaran digital tidak tersambung rapi dengan sistem billing, pelanggan merasa sudah membayar, sementara sistem utilitas air belum tentu langsung mencatat pelunasan.

Dari sudut tata kelola, masalah utama bukan sekadar aplikasi pembayaran yang sedang gangguan. Direksi perlu memastikan tiga kontrol dasar tersedia sebelum kanal pembayaran digital dibuka luas:

1. Rekonsiliasi otomatis antara sistem billing, bank, loket, dan mitra pembayaran.
2. Audit trail transaksi yang dapat diperiksa dari sisi utilitas, bukan hanya dari sisi mitra.
3. Perjanjian layanan dengan mitra yang mengatur keamanan, ketersediaan layanan, penanganan gagal bayar, dan tanggung jawab komunikasi kepada pelanggan.

Konteks regulasinya juga perlu tepat. OJK mengatur inovasi teknologi sektor jasa keuangan, tetapi penyelenggaraan sistem pembayaran berada dalam ruang pengaturan Bank Indonesia. PBI No. 23/6/PBI/2021 tentang Penyedia Jasa Pembayaran menekankan tanggung jawab keamanan dan kelancaran pemrosesan transaksi, manajemen risiko, serta perlindungan data pribadi dalam ekosistem pembayaran.

Pelajarannya jelas: digitalisasi pembayaran bukan proyek kanal bayar semata. Ia adalah proyek tata kelola transaksi. Tanpa rekonsiliasi, audit trail, dan pemilihan mitra yang disiplin, kanal digital dapat mempercepat pembayaran sekaligus mempercepat akumulasi komplain.

2.4.2 Kasus Publik 2: Dugaan Kebocoran Data Pelanggan dan Respons UU PDP

Status sumber: kasus publik, tetapi bukan kebocoran yang sudah terbukti final. Pada 16 Mei 2026, sebuah portal berita regional Sumatera memberitakan isu dugaan kebocoran data pelanggan salah satu PDAM di Sumatera. Berita tersebut mencatat klaim bahwa ratusan ribu catatan pelanggan, termasuk nama, alamat, dan nomor telepon, disebut beredar. Perusahaan kemudian membantah adanya pembobolan dan menyatakan hasil pemeriksaan internal tidak menemukan indikasi kebocoran.

Justru di sinilah pelajaran tata kelola muncul. Dalam era UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi yang berlaku penuh sejak 17 Oktober 2024, organisasi pengelola data pelanggan tidak cukup hanya berkata “data aman”. Ia harus dapat menunjukkan bukti pengelolaan data: siapa yang dapat mengakses data, apa dasar pemrosesannya, kapan akses dicatat, bagaimana data lama dihapus atau diarsipkan, dan bagaimana insiden ditangani bila terjadi.

Untuk perusahaan utilitas air yang mengelola data pelanggan, apa pun status kepemilikannya (BUMD/PDAM, operator swasta mitra pemerintah, maupun operator swasta yang menjalankan penagihan langsung ke pelanggan), risiko data pelanggan biasanya muncul dari lima titik:

1. Data pelanggan tersebar di sistem billing, pelayanan pelanggan, pembacaan meter, aplikasi pengaduan, dan arsip manual.
2. Kontrol akses belum selalu berbasis peran dan kebutuhan kerja.
3. Log akses belum cukup rinci untuk membedakan akses sah, akses berlebihan, dan akses mencurigakan.
4. Kontrak dengan vendor aplikasi, mitra operasi, atau penyedia layanan belum selalu mengatur peran sebagai pengendali atau prosesor data pribadi.
5. Prosedur komunikasi insiden belum disiapkan sebelum isu muncul di media sosial.

Respons yang matang bukan hanya pernyataan bantahan. Respons yang matang mencakup pemeriksaan teknis, pencatatan keputusan, komunikasi publik yang hati-hati, serta rencana perbaikan kontrol. Jika dugaan tidak terbukti, organisasi tetap memperoleh pelajaran untuk memperkuat tata kelola data. Jika dugaan terbukti, organisasi sudah memiliki dasar untuk melaporkan, memulihkan, dan mencegah pengulangan.

2.4.3 Kasus Regulasi 3: Izin Air Tanah dan Sistem Manajemen Perizinan

Status sumber: regulasi dan berita sektor yang dapat ditelusuri. Permen ESDM No. 14 Tahun 2024 mengatur penyelenggaraan Izin Pengusahaan Air Tanah dan Persetujuan Penggunaan Air Tanah. Antara memberitakan bahwa Kementerian ESDM menyederhanakan persyaratan perizinan air tanah, sedangkan PERPAMSI pada 24 September 2025 mengingatkan BUMD Air Minum untuk segera mengurus izin air tanah karena risiko sanksi administratif hingga pidana.

Artinya, contoh yang aman bukan klaim bahwa sebuah organisasi memiliki jumlah sumur tertentu dan seluruh izinnya berhasil diperpanjang, kecuali bukti publiknya tersedia. Contoh yang lebih dapat dipertanggungjawabkan adalah pola kewajiban: organisasi utilitas air yang memanfaatkan air tanah perlu mengetahui titik sumber, status izin, tanggal berlaku, dokumen teknis, kapasitas pengambilan, dan kewajiban pelaporan. Pada BUMD/PDAM, tanggung jawab ini biasanya melekat pada struktur internal dan pembinaan pemerintah daerah. Pada operator swasta mitra pemerintah, pembagian tanggung jawab harus dibaca dari izin, aset yang dikelola, dan kontrak kerja sama.

Sistem Manajemen Perizinan yang relevan minimal memuat:

1. Master data seluruh izin air tanah dan air permukaan, termasuk status, masa berlaku, lokasi, dan dokumen pendukung.
2. Peringatan dini untuk izin yang akan berakhir dalam 12, 6, dan 3 bulan.
3. Arsip dokumen teknis yang mudah ditelusuri saat pengajuan atau pemeriksaan.
4. Penanggung jawab per izin, bukan hanya folder dokumen tanpa pemilik.
5. Catatan pengawasan, korespondensi regulator, dan tindak lanjut temuan.

Dampaknya bukan dijanjikan sebagai “semua izin pasti selesai tepat waktu”. Dampak yang realistis adalah penurunan risiko keterlambatan, peningkatan kesiapan dokumen, dan kemampuan Direksi melihat status kepatuhan perizinan tanpa menunggu masalah muncul dari regulator.

2.5 Kerangka Kerja Implementasi Kepatuhan Regulasi

Mengetahui regulasi tidak cukup; organisasi perlu kerangka kerja untuk menerjemahkan persyaratan hukum menjadi kebijakan, kontrol, dan proses yang dapat diaudit. Bagian ini menyusun kerangka kerja implementasi yang dapat langsung disesuaikan dengan skala dan tingkat kematangan organisasi Anda.

2.5.1 Prinsip Dasar Implementasi

Prinsip 1: Kepatuhan adalah Proses, Bukan Proyek

Regulasi berubah, interpretasi berkembang, dan ekspektasi regulator naik seiring waktu. Organisasi harus membangun kemampuan untuk beradaptasi secara terus-menerus. Praktik yang disarankan: tetapkan fungsi regulatory monitoring, jadwalkan review kepatuhan minimal dua kali setahun, dan langganan informasi resmi regulator dan asosiasi industri.

Prinsip 2: Kepatuhan Harus Terukur

Tanpa pengukuran, kepatuhan menjadi pernyataan niat tanpa bukti. Indikator yang disarankan

• persentase perizinan tanpa temuan overdue
• jumlah temuan audit yang ditutup tepat waktu
• skor maturity keamanan informasi
• jumlah insiden kebocoran data per bulan
• waktu respon terhadap permintaan hak subjek data

Prinsip 3: Kepatuhan Adalah Investasi, Bukan Biaya

Biaya pelanggaran regulasi (denda, perbaikan terburu-buru, kerugian reputasi, waktu manajemen untuk krisis, potensi pembatasan operasi) jauh lebih besar daripada investasi dalam sistem kepatuhan yang terstruktur.

Prinsip 4: Kepatuhan Memerlukan Kolaborasi Lintas Fungsi

Kepatuhan regulasi TI memerlukan kolaborasi antara fungsi hukum (memahami persyaratan), TI (mengimplementasikan kontrol teknis), operasi (menjalankan prosedur), keuangan (menganggarkan investasi), dan SDM (melatih karyawan).

Tanpa kolaborasi, organisasi mudah terjebak dalam silo: hukum mengeluarkan kebijakan yang tidak dipahami TI, TI mengimplementasikan sistem tanpa mempertimbangkan aspek hukum, dan operasi menjalankan prosedur yang tidak konsisten.

2.5.2 Lima Pilar Kematangan Kepatuhan

Berikut adalah lima pilar kematangan kepatuhan yang dapat dijadikan kerangka penilaian dan perencanaan:

Pilar 1: Kebijakan dan Prosedur Tertulis

Kebijakan dan prosedur harus ditetapkan secara tertulis, disahkan oleh manajemen, dan dikomunikasikan ke seluruh pihak terkait. Tanpa dokumentasi, kepatuhan menjadi persepsi individual.

Praktik yang disarankan: miliki kebijakan minimal (keamanan informasi, privasi, penggunaan aset TI, acceptable use, incident response), tinjau kebijakan setiap 18-24 bulan atau ketika ada perubahan regulasi signifikan, dan tulis kebijakan dalam bahasa yang dapat dipahami pengguna, bukan hanya bahasa teknis.

Pilar 2: Kontrol Teknis yang Sesuai

Kebijakan harus didukung kontrol teknis yang memadai. Kebijakan tanpa implementasi teknis hanya menjadi dokumen yang tidak efektif.

Praktik yang disarankan: kontrol akses berbasis peran untuk seluruh aplikasi; enkripsi data sensitif saat diam maupun saat transmisi; sistem audit trail yang merekam akses dan perubahan data; pemantauan ancaman keamanan secara berkelanjutan; dan sistem backup dan disaster recovery yang diuji berkala.

Pilar 3: Pelatihan dan Kesadaran (Awareness)

Karyawan adalah garis terdepan pertahanan keamanan dan kepatuhan. Tanpa pelatihan, investasi teknis akan kurang menghasilkan nilai.

Praktik yang disarankan: pelatihan keamanan siber untuk karyawan baru saat onboarding; pelatihan penyegaran minimal setahun sekali untuk seluruh karyawan; pelatihan khusus untuk peran yang menangani data sensitif; simulasi phishing berkala; dan komunikasi reguler tentang insiden keamanan terkini.

Pilar 4: Pemantauan (Monitoring) dan Pengukuran

Kepatuhan harus dipantau dan diukur secara teratur untuk memastikan kontrol yang diimplementasikan efektif.

Praktik yang disarankan: audit internal minimal setahun sekali; penetration testing untuk sistem eksternal setiap 6-12 bulan; review log keamanan secara berkala; survei kepatuhan kepada karyawan; dan dashboard indikator kepatuhan yang dilaporkan ke manajemen puncak.

Pilar 5: Respons dan Perbaikan Berkelanjutan

Ketika ditemukan ketidakpatuhan atau insiden, organisasi harus merespons dengan cepat dan belajar dari kejadian tersebut.

Praktik yang disarankan: prosedur incident response yang terdokumentasi dan diuji; tim respons insiden dengan peran dan tanggung jawab yang jelas; post-incident review untuk menghasilkan pembelajaran; tracking rekomendasi perbaikan sampai selesai; dan komunikasi dengan stakeholder sesuai kebutuhan regulasi.

2.5.3 Rencana Implementasi 90 Hari Pertama

Untuk organisasi yang baru memulai perbaikan kepatuhan regulasi, berikut adalah rencana implementasi 90 hari yang realistis:

Hari 1-30: Asesmen dan Perencanaan

Kegiatan: lakukan regulatory mapping untuk identifikasi seluruh regulasi yang relevan; lakukan gap analysis untuk memahami posisi saat ini vs persyaratan; tetapkan prioritas berdasarkan risiko (sanksi, dampak operasi, kompleksitas); bentuk tim kepatuhan lintas fungsi jika belum ada; dan tetapkan charter tim dan tanggung jawab masing-masing.

Output: dokumen analisis kesenjangan regulasi (regulatory gap analysis), daftar prioritas, struktur tim kepatuhan

Hari 31-60: Perbaikan Gap Prioritas Tinggi

Kegiatan: implementasi perbaikan untuk gap yang dikategorikan prioritas tinggi; susun atau perbarui kebijakan minimal yang dibutuhkan; implementasi kontrol teknis dasar (jika belum ada); dan mulai pelatihan awareness untuk seluruh karyawan.

Output: beberapa kebijakan disahkan, kontrol teknis dasar terpasang, pelatihan perdana dilaksanakan

Hari 61-90: Sistem dan Proses

Kegiatan: implementasi sistem pemantauan dan reporting; susun prosedur operasional standar untuk kepatuhan; jalankan simulasi insiden untuk menguji incident response; dan tetapkan indikator kepatuhan dan mekanisme pelaporan.

Output: sistem pemantauan berjalan, SOP kepatuhan terdokumentasi, simulasi insiden selesai, indikator kepatuhan ditetapkan

Hari 91 dan seterusnya: Perbaikan Berkelanjutan

Setelah 90 hari, organisasi seharusnya telah memiliki fondasi kepatuhan yang memadai. Perbaikan berikutnya bersifat inkremental berdasarkan indikator dan temuan audit.

2.5.4 Daftar Periksa Kepatuhan Regulasi TI

Berikut adalah daftar periksa untuk menilai kematangan kepatuhan regulasi TI:

Untuk panduan implementasi, perhatikan hal-hal berikut:

Area Kepatuhan: UU ITE dan Keamanan Informasi

• Kebijakan keamanan informasi telah disahkan dan dikomunikasikan
• Sertifikasi standar keamanan informasi telah dipenuhi (atau dalam proses)
• Kontrol akses berbasis peran telah diimplementasikan
• Sistem audit trail merekam akses dan perubahan data
• Audit keamanan informasi dilakukan secara berkala
• Prosedur incident response telah disusun dan diuji

Area Kepatuhan: UU PDP dan Pelindungan Data Pribadi

• Kebijakan privasi telah disusun dan dipublikasikan
• Persetujuan subjek data didokumentasikan untuk pengumpulan data baru
• Prosedur untuk hak subjek data (akses, perbaikan, hapus) telah diimplementasikan
• Enkripsi data sensitif telah diimplementasikan
• Prosedur pelaporan insiden pelanggaran data telah disusun
• Pelatihan pelindungan data pribadi diberikan kepada staf yang relevan

Area Kepatuhan: Regulasi Pembayaran Digital

• Penilaian kelayakan (due diligence) terhadap mitra penyedia layanan pembayaran telah dilakukan
• Integrasi sistem menggunakan protokol aman (HTTPS/TLS)
• Sistem reconciliation otomatis telah diimplementasikan
• Audit trail transaksi tersedia untuk pemeriksaan
• Prosedur penanganan transaksi bermasalah telah disusun
• Sistem deteksi penipuan (fraud detection) telah diimplementasikan

Area Kepatuhan: Regulasi Sektor Utilitas

• Sistem pelaporan kinerja operasional dan finansial terintegrasi
• Sistem manajemen perizinan memantau tanggal berlaku dan peringatan dini
• Sistem pemantauan kinerja pelayanan memenuhi standar yang ditetapkan
• Integrasi data perizinan dengan sistem perencanaan operasional
• Rencana bisnis dan investasi TI memasukkan justifikasi regulasi

Area Kepatuhan: Regulasi Keamanan Siber

• Risk assessment keamanan siber dilakukan secara berkala
• Segmentasi jaringan antara sistem TI dan OT telah diimplementasikan
• Kontrol akses fisik ke fasilitas TI telah diterapkan
• Patch management dilakukan secara teratur
• Pelatihan awareness keamanan siber dilakukan berkala
• Prosedur pelaporan insiden siber ke BSSN telah disusun

Daftar periksa ini adalah alat ukur kemajuan, bukan instrumen sertifikasi.

2.6 Penutup Bab: Dari Kepatuhan ke Kematangan

Regulasi bukan rintangan, melainkan panduan yang memberi arah pada bagaimana TI harus dikelola demi keamanan, keadilan, dan keberlanjutan layanan publik.

Di antara seluruh bab dalam panduan ini, bab regulasi mungkin terasa paling tidak menarik bagi sebagian praktisi TI. Sebagian melihatnya sebagai urusan administrasi, padahal konsekuensinya sangat operasional. Pola yang berulang: organisasi dengan sistem canggih dan tim kompeten tetap terganggu serius hanya karena satu izin terlambat diperpanjang. Kepatuhan regulasi bukan formalitas; ia adalah prasyarat agar layanan bisa berjalan dengan legitimasi yang kuat.

Pekerjaan kepatuhan bukan tugas divisi hukum sendirian, dan bukan urusan yang bisa didelegasikan Direksi sepenuhnya ke lapisan teknis. UU PDP, UU ITE, ketentuan BUMD, perizinan sektor, dan kontrak kerja sama layanan publik membentuk tanggung jawab organisasi yang dalam banyak kasus harus diketahui pimpinan puncak. Tidak tahu regulasi bukan posisi pembelaan yang kuat. Karena itu, mengelola kepatuhan adalah salah satu dimensi tata kelola TI yang paling langsung menyentuh kursi Direksi.

Lanskap regulasi di Indonesia memang kompleks, namun organisasi yang berhasil adalah yang memecahnya menjadi langkah praktis dan melaksanakannya secara konsisten.

Ringkasan Bab

• Regulasi bukan hambatan; ia peta batas risiko yang sudah disepakati negara. Memahami regulasi adalah langkah pertama yang tidak bisa ditawar sebelum membangun tata kelola TI.
• Kepatuhan adalah investasi, bukan biaya. Biaya pelanggaran (denda, perbaikan terburu-buru, kerugian reputasi, krisis waktu manajemen) jauh melampaui biaya membangun sistem kepatuhan dari awal.
• Setiap regulasi punya implikasi spesifik terhadap implementasi TI. Matriks kepatuhan (Tabel 2.1) adalah alat bantu untuk memetakan “regulasi mana → kontrol TI apa”.
• Kepatuhan adalah pekerjaan Direksi. Regulasi dan kontrak layanan publik melekatkan tanggung jawab pada organisasi dan, dalam kondisi tertentu, pada pimpinan puncak; ini bukan urusan yang bisa diserahkan seluruhnya ke divisi hukum atau TI.

Lima Pertanyaan Refleksi untuk Direksi

1. Apakah organisasi Anda memiliki regulatory mapping yang lengkap dan terkini?
2. Regulasi mana yang memiliki gap kepatuhan terbesar di organisasi Anda?
3. Siapa nama orang yang bertanggung jawab atas kepatuhan di setiap area regulasi, dan apakah orang itu tahu?
4. Apa indikator yang digunakan untuk mengukur tingkat kepatuhan organisasi Anda?
5. Kapan terakhir kali Direksi menerima laporan kepatuhan regulasi TI yang dibahas sebagai bahan keputusan, bukan lampiran rapat?

Tiga Langkah yang Bisa Dimulai Minggu Ini

1. Buat inventaris satu halaman: regulasi apa yang secara eksplisit menyebut TI, data, transaksi digital, BUMD, SPAM, KPBU, atau kontrak layanan publik? Tandai dasar keberlakuan tiap regulasi: berlaku karena peran atau aktivitas (mis. mengelola data pelanggan menundukkan organisasi pada UU PDP, tak peduli status kepemilikan), berlaku khusus BUMD, atau lahir dari kontrak kerja sama; lalu tandai mana yang sudah punya kebijakan internal.
2. Identifikasi satu sistem yang paling berisiko melanggar regulasi aktif; tunjuk satu PIC dari sisi bisnis (bukan hanya TI) untuk memimpin perbaikannya.
3. Jadwalkan compliance scan kuartalan 2 jam, dihadiri TI dan tim hukum/kepatuhan; masukkan ke kalender tetap sekarang, bukan saat insiden.

Daftar Periksa Cepat Kepatuhan Regulasi TI

Gunakan daftar ini sebagai alat diagnosis awal, bukan instrumen sertifikasi. Cukup centang yang sudah ada; sisanya jadi prioritas perbaikan.

• Kebijakan keamanan informasi telah disahkan dan dikomunikasikan
• Kebijakan privasi telah disusun dan dipublikasikan (UU PDP)
• Prosedur pelaporan insiden pelanggaran data telah disusun
• Penilaian kelayakan (due diligence) terhadap mitra penyedia layanan pembayaran telah dilakukan
• Sistem manajemen perizinan memantau tanggal berlaku dan peringatan dini
• Risk assessment keamanan siber dilakukan secara berkala
• Pelatihan perlindungan data pribadi diberikan kepada staf yang relevan
• Prosedur incident response telah disusun dan diuji
• Enkripsi data sensitif telah diimplementasikan
• Sistem audit trail merekam akses dan perubahan data

Satu Pertanyaan untuk Dibawa ke Rapat Direksi Berikutnya

Apakah ada regulasi yang sudah berlaku hari ini tapi belum ada satu pun kebijakan internal tertulis yang meresponsnya, dan siapa yang tahu jawaban pertanyaan ini?

Kalau tidak ada satu orang pun di ruang rapat yang bisa menjawab dengan yakin, itulah gap yang harus ditutup lebih dulu sebelum membahas sistem baru manapun.

Menuju Bab 3: Mengapa Kerangka COBIT Lebih Dulu

Setelah memahami regulasi yang membentuk batas wajib tata kelola TI, pertanyaan berikutnya adalah: bagaimana menyusun tata kelola itu sendiri? Anda mungkin berharap langsung ke struktur organisasi (Bab 5) atau implementasi praktis (Bab 10-11). Urutannya sengaja tidak begitu.

Sebelum membahas siapa duduk di komite mana atau bagaimana menyusun SOP, Direksi dan tim TI perlu satu hal lebih dulu: bahasa bersama. Tanpa bahasa yang sama, diskusi tentang prioritas, risiko, dan hasil investasi TI akan berlangsung dalam bahasa yang berbeda antara Dewan Pengawas, Direksi, Kepala Divisi TI, dan auditor.

Ada tiga alasan COBIT datang setelah regulasi dan sebelum implementasi.

Pertama, COBIT menyediakan struktur berpikir yang menerjemahkan tuntutan regulasi menjadi domain tata kelola yang bisa dikelola. Regulasi adalah apa yang harus dipenuhi; COBIT adalah bagaimana menyusun pengelolaannya secara sistematis. Tanpa kerangka, organisasi hanya akan mengejar kepatuhan satu per satu secara reaktif; sebuah pendekatan yang mahal dan tidak berkelanjutan.

Kedua, COBIT memberi peta peran dan tanggung jawab yang menjadi dasar pembentukan struktur organisasi TI (Bab 5). Keputusan tentang siapa yang berwenang menyetujui investasi TI, siapa pemilik risiko, dan siapa yang mengukur manfaat, semuanya berakar dari kerangka tata kelola, bukan dari bagan organisasi yang sudah ada.

Ketiga, COBIT membangun bahasa yang sama dari Dewan Pengawas sampai teknisi; persis seperti yang disinggung di Bab 1. Tanpa bahasa bersama, diskusi kepatuhan menjadi diskusi dua bahasa: hukum berbicara pasal, TI berbicara konfigurasi, dan Direksi terjebak di tengah menerjemahkan keduanya. COBIT adalah penerjemah itu.

Lanjutkan ke Bab 3: Kerangka COBIT sebagai Bahasa Bersama Tata Kelola TI.

Pola yang sama berlaku lintas industri. Perusahaan utilitas energi yang pembayaran digitalnya bergantung pada mitra berizin, koperasi simpan pinjam yang data anggotanya dilindungi UU PDP, atau puskesmas dan RSUD yang sistem rekam medisnya diaudit, semua menghadapi tantangan yang sama: regulasi datang sebelum organisasi siap, dan kepatuhan adalah urusan pimpinan puncak, bukan divisi hukum semata.

Referensi & Bacaan Lanjutan

1. UU No. 17 Tahun 2019 tentang Sumber Daya Air

   • Dasar konstitusional hak rakyat atas air dan fondasi hukum sektor utilitas.
   • 🔗 JDIH Setneg

2. UU No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE)

   • Kerangka hukum fundamental untuk aktivitas elektronik dan transaksi digital di Indonesia.
   • 🔗 JDIH Kominfo

3. UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi

   • Regulasi komprehensif pelindungan data pribadi dengan implikasi signifikan terhadap tata kelola TI.
   • 🔗 JDIH BPK - UU 27/2022

4. PP No. 54 Tahun 2017 tentang Badan Usaha Milik Daerah

   • Pedoman tata kelola BUMD termasuk struktur organisasi dan kewajiban pelaporan.
   • 🔗 JDIH Setneg

5. POJK No. 13 Tahun 2018 tentang Inovasi Keuangan Digital

   • Regulasi inovasi keuangan digital di sektor jasa keuangan, termasuk aspek tata kelola, manajemen risiko, dan perlindungan konsumen.
   • 🔗 JDIH BPK - POJK 13/2018

6. Permendagri No. 21 Tahun 2020 tentang Penetapan dan Evaluasi Rencana Bisnis PDAM

   • Regulasi perencanaan bisnis dan evaluasi kinerja perusahaan utilitas daerah.
   • 🔗 JDIH Kemendagri

7. Permen ESDM No. 14 Tahun 2024

   • Regulasi terkait izin air tanah yang berlaku bagi penyelenggara yang memanfaatkan air tanah, termasuk BUMD Air Minum.
   • 🔗 JDIH ESDM - Permen ESDM 14/2024

8. BUMD AM Didorong Segera Urus Izin Air Tanah, Sanksi Pidana Mengintai

   • Artikel himbauan PERPAMSI terkait kewajiban pengurusan izin air tanah bagi BUMD Air Minum.
   • 🔗 PERPAMSI

9. PBI No. 23/6/PBI/2021 tentang Penyedia Jasa Pembayaran

   • Kerangka Bank Indonesia untuk penyedia jasa pembayaran, termasuk tanggung jawab keamanan, kelancaran pemrosesan transaksi, manajemen risiko, dan perlindungan data.
   • 🔗 Bank Indonesia

10. PADG No. 24/7/PADG/2022 tentang Penyelenggaraan Sistem Pembayaran

• Aturan teknis Bank Indonesia untuk penyelenggaraan sistem pembayaran oleh penyedia jasa pembayaran dan penyelenggara infrastruktur sistem pembayaran.
• 🔗 Bank Indonesia

11. Gangguan Pembayaran Online BUMD Air Minum di Kalimantan

• Contoh berita gangguan pembayaran online salah satu BUMD Air Minum di Kalimantan yang menunjukkan pentingnya rekonsiliasi, kanal cadangan, dan komunikasi layanan.
• 🔗 Portal berita regional Kalimantan

12. Isu Dugaan Kebocoran Data Pelanggan BUMD Air Minum di Sumatera

• Contoh isu publik dugaan kebocoran data pelanggan salah satu BUMD Air Minum di Sumatera; perlu dibaca bersama bantahan resmi perusahaan pada berita lanjutan.
• 🔗 Portal berita regional Sumatera

13. Bantahan Resmi atas Isu Kebocoran Data Pelanggan BUMD Air Minum di Sumatera

• Bantahan dan penjelasan perusahaan atas isu dugaan kebocoran data pelanggan salah satu BUMD Air Minum di Sumatera.
• 🔗 Portal berita regional Sumatera

14. Dirjen Aptika Pastikan UU PDP Sudah Berlaku Sepenuhnya

• Berita Antara mengenai berakhirnya masa transisi UU PDP dan pemberlakuan penuh sejak 17 Oktober 2024.
• 🔗 ANTARA

15. Kementerian ESDM Sederhanakan Perizinan Penggunaan Air Tanah

• Berita Antara mengenai penyederhanaan perizinan air tanah berdasarkan Permen ESDM No. 14 Tahun 2024.
• 🔗 ANTARA

16. Sistem Manajemen Keamanan Informasi (Information Security Management) ISO/IEC 27001:2022

• Standar internasional sistem manajemen keamanan informasi.
• 🔗 ISO.org

17. Keamanan dan Ketahanan (Security and Resilience) serta Kelangsungan Bisnis (Business Continuity) ISO/IEC 22301:2019

    • Standar internasional manajemen kelangsungan bisnis.
    • 🔗 ISO.org

18. Perpres No. 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik (SPBE)

    • Kerangka tata kelola TI nasional untuk instansi pemerintah; relevan bagi BUMD layanan publik ketika beririsan dengan layanan digital pemerintah daerah.
    • 🔗 JDIH BPK - Perpres 95/2018

19. PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE)

    • Peraturan pelaksana UU ITE; mengatur klasifikasi penyelenggara, registrasi, dan kewajiban teknis sistem elektronik.
    • 🔗 JDIH BPK - PP 71/2019

20. UU No. 19 Tahun 2016 dan UU No. 1 Tahun 2024 (Perubahan UU ITE)

    • Perubahan atas UU 11/2008 ITE: penyesuaian sanksi pidana dan penguatan perlindungan masyarakat di ruang digital.
    • 🔗 JDIH BPK - UU 1/2024

21. Indeks SPBE dan Pedoman Evaluasi SPBE

    • Pedoman penilaian indeks SPBE dari Kementerian PANRB; sumber acuan domain dan indikator yang dinilai.
    • 🔗 Portal SPBE - Kementerian PANRB

22. SNI ISO/IEC 27001:2022 untuk Sistem Manajemen Keamanan Informasi

    • Adopsi Standar Nasional Indonesia untuk keamanan informasi, keamanan siber, dan proteksi privasi.
    • 🔗 BSN - SNI ISO/IEC 27001:2022

Catatan akses sumber: Tautan di atas mengarah ke portal resmi pemerintah dan standar internasional. Sebagian dokumen dapat diakses bebas; standar ISO bersifat berbayar di situs resmi tetapi sering tersedia melalui perpustakaan lembaga atau adopsi nasional (SNI). Apabila tautan tidak dapat diakses karena pembaruan portal, gunakan judul resmi dan nomor regulasi sebagai dasar pencarian.

Penafian: Tulisan ini adalah pandangan pribadi penulis berdasarkan pengalaman praktis dan studi independen. Bukan merupakan pandangan institusional atau komitmen formal dari organisasi mana pun. Pembaca diharapkan melakukan verifikasi independen dan berkonsultasi dengan ahli hukum sebelum mengimplementasikan rekomendasi apa pun. Regulasi yang disebutkan dapat berubah sewaktu-waktu, dan pembaca bertanggung jawab untuk memastikan keakuratan informasi regulasi terkini. Semua contoh dan studi kasus bersifat ilustratif.