Track: Keduanya (K); untuk Direksi/Manajer dan Praktisi TI.

Intisari Eksekutif: Tiga Bekal untuk Bertahan

Bab 2 memetakan aturan dan pengawasnya; bab ini soal menjalankannya. Tiga pegangan agar kepatuhan benar-benar berjalan, bukan sekadar rapi saat audit:

  • Ketidakpatuhan dapat jauh lebih mahal daripada kepatuhan. Denda, sanksi, dan kerusakan reputasi yang muncul dari pelanggaran regulasi sering melampaui biaya membangun sistem kepatuhan dari awal.
  • Kepatuhan yang berjalan adalah kontrol harian, bukan dokumen audit. Kebijakan privasi, audit trail, enkripsi, dan rekonsiliasi pembayaran harus hidup sebagai proses, bukan map yang baru dibuka saat auditor datang.
  • Mulai dari 90 hari, bukan dari kesempurnaan. Satu rencana implementasi bertahap dengan pemilik yang jelas lebih berharga daripada peta kepatuhan menyeluruh yang tidak pernah dieksekusi.

Insiden Pusat Data Nasional pada Juni 2024 yang dibuka di Bab 2 adalah kejadian nyata yang terdokumentasi dalam catatan publik: satu kontrol keamanan dasar dinonaktifkan, 210 institusi kehilangan akses data. Pelajarannya bukan soal mengenal regulasi, melainkan soal menjalankannya. Aturan keamanannya sudah ada; yang gagal adalah pelaksanaan dan pengawasannya sehari-hari.

Bab ini menempuh empat langkah: memenuhi tiap kelompok regulasi secara konkret (§3.1), membaca pola kasus terverifikasi dan skenario komposit (§3.2), menyusun kerangka kematangan kepatuhan (§3.3), lalu menutup dengan jalan dari kepatuhan menuju kematangan (§3.4). Diagram 3.1 merangkum keempat langkah itu sebagai satu peta kerja yang saling terkait.

Peta Konsep Bab 3

Diagram 3.1 Peta Konsep Bab 3

3.1 Kepatuhan Regulasi untuk Utilitas

Memahami regulasi dan regulator adalah langkah pertama. Langkah kedua adalah menerjemahkan pemahaman tersebut menjadi persyaratan implementasi yang konkret, sesuai status organisasi dan kontrak layanan yang berlaku.

3.1.1 Kepatuhan Regulasi Sektor Utilitas

Kepatuhan terhadap regulasi sektor utilitas meliputi tiga aspek kunci:

Kewajiban pertama adalah pelaporan kinerja. BUMD/PDAM melaporkan kinerja operasional dan finansial kepada pemegang saham daerah, pembina, dan regulator sesuai ketentuan. Operator swasta mitra pemerintah melaporkan kinerja sesuai kontrak kerja sama, SLA, perizinan, dan mekanisme evaluasi yang disepakati dengan mitra pemerintah. Keduanya memerlukan sistem informasi manajemen terintegrasi, indikator kinerja yang terukur, prosedur validasi data, dan modul pelaporan sesuai format pihak yang berwenang.

Kewajiban perizinan. Izin air tanah, izin usaha, dan perizinan lainnya harus dikelola secara sistematis melalui sistem manajemen dokumen yang melacak tanggal kedaluwarsa, integrasi dengan perencanaan operasional, dan peringatan dini (early warning).

Kewajiban pelayanan. Standar pelayanan minimum memerlukan sistem pemantauan kualitas produk secara real-time, sistem penanganan keluhan pelanggan yang terdokumentasi, dan dashboard kinerja pelayanan yang dapat diakses manajemen.

3.1.2 Kepatuhan Regulasi Teknologi Informasi

UU ITE dan Keamanan Informasi

Kepatuhan terhadap UU ITE memerlukan

  • pemenuhan standar keamanan informasi melalui kebijakan, kontrol teknis (firewall, antivirus, IDS/IPS), dan audit berkala
  • pelindungan data pribadi melalui kebijakan privasi, kontrol akses, enkripsi, dan audit trail
  • transaksi elektronik yang dapat dibuktikan melalui pencatatan yang memadai, mekanisme autentikasi yang tepat, penyimpanan bukti transaksi, dan mekanisme penyelesaian sengketa; jika menggunakan tanda tangan elektronik, pastikan status dan penyelenggaranya sesuai ketentuan

UU PDP dan Pelindungan Data Pelanggan

Kebijakan dan Persetujuan. UU PDP menambah berbagai kewajiban spesifik. Kebijakan privasi wajib memuat jenis data, tujuan, dan hak subjek data. Persetujuan harus sukarela, spesifik, dan dapat ditarik. Sistem TI juga wajib mendukung hak akses, perbaikan, dan penghapusan data pelanggan.

Keamanan Data. Standar keamanan yang harus diimplementasikan meliputi: (a) enkripsi data sensitif, (b) kontrol akses berbasis peran, (c) autentikasi kuat, (d) audit trail akses data, dan (e) penetration testing berkala.

Pelaporan Insiden. Kewajiban pelaporan insiden pelanggaran data pribadi memerlukan: (a) sistem deteksi insiden, (b) prosedur incident response, (c) mekanisme pelaporan cepat ke otoritas, dan (d) komunikasi kepada subjek data yang terdampak.

3.1.3 Kepatuhan Regulasi Pembayaran Digital

Kepatuhan terhadap regulasi pembayaran digital, terutama regulasi Bank Indonesia dan regulasi OJK yang relevan dengan mitra jasa keuangan, mencakup tiga elemen utama:

Penilaian kelayakan mitra (due diligence). Sebelum bermitra dengan penyedia layanan pembayaran, organisasi harus menilai reputasi dan lisensi mitra, memahami standar keamanan mitra, mengevaluasi service level agreement, dan memahami mekanisme penyelesaian sengketa.

Integrasi Teknis yang Aman. Integrasi sistem billing dengan kanal pembayaran digital harus menggunakan protokol komunikasi yang aman (HTTPS/TLS), mengimplementasikan mutual authentication, menyimpan audit trail transaksi, dan memiliki sistem reconciliation otomatis.

Penanganan Transaksi Bermasalah. Organisasi harus memiliki prosedur penanganan transaksi gagal, mekanisme refund yang jelas, sistem pelacakan transaksi bermasalah, dan prosedur eskalasi ke penyedia layanan pembayaran.

3.1.4 Kepatuhan Regulasi Keamanan Siber

Kepatuhan terhadap rujukan keamanan siber nasional dan standar keamanan informasi yang relevan meliputi empat elemen utama:

Manajemen Risiko Siber. Organisasi harus melakukan risk assessment secara berkala, menetapkan risk appetite untuk risiko siber, mengimplementasikan kontrol mitigasi, dan memantau risiko secara berkelanjutan.

Keamanan Infrastruktur. Ini mencakup segmentasi jaringan (pemisahan zona TI dan OT), kontrol akses fisik ke fasilitas TI, patch management yang teratur, dan implementasi defense in depth.

Keamanan Aplikasi. Untuk aplikasi yang dikembangkan sendiri atau di-custom: secure coding practices, security testing sebelum deployment, vulnerability scanning berkala, dan prosedur patch untuk kerentanan yang ditemukan.

Kesadaran (awareness) dan Pelatihan. Organisasi harus menyelenggarakan pelatihan keamanan siber bagi semua karyawan, mengadakan phishing simulation, menerbitkan panduan keamanan untuk karyawan, dan memasukkan aspek keamanan dalam onboarding karyawan baru.

3.1.5 Matriks Kepatuhan: Regulasi ke Implementasi

Untuk membantu memahami hubungan antara regulasi dan implementasi TI, Tabel 3.1 menyajikan matriks ringkas. Sebelum membacanya, satu hal perlu dipegang: sebuah regulasi mengikat organisasi karena salah satu dari tiga dasar yang berbeda. Pertama, karena peran atau aktivitas yang dijalankan; mengelola data pribadi pelanggan menundukkan organisasi pada UU PDP, mengoperasikan sistem billing dan portal layanan menundukkannya pada UU ITE dan PP PSTE, dan menerima pembayaran digital menariknya ke ekosistem yang diatur Bank Indonesia. Kedua, karena status kepemilikan; UU Pemerintahan Daerah, PP BUMD, dan Permendagri tentang rencana bisnis BUMD melekat khusus pada BUMD/PDAM. Ketiga, karena kontrak kerja sama; KPBU, SLA, dan penugasan layanan publik melahirkan kewajiban bagi operator swasta mitra pemerintah. Dasar pertama tidak memandang kepemilikan. Operator swasta utilitas air yang menagih pelanggan langsung adalah Pengendali Data Pribadi sama penuhnya dengan BUMD/PDAM, karena kewajiban itu lahir dari aktivitas mengelola data pelanggan, bukan dari status badan usaha atau hubungan dengan pemerintah. Kolom Cakupan Utama pada tabel menandai dasar mana yang berlaku untuk tiap regulasi:

Tabel 3.1 Matriks kepatuhan regulasi ke implementasi TI

RegulasiCakupan UtamaArea KepatuhanImplementasi TI
UU 17/2019 SDASemua penyelenggara layanan air yang relevanHak atas airAvailability sistem, Business Continuity
UU 23/2014 PemdaBUMD/PDAM dan relasi dengan pemerintah daerahUrusan pemerintahan daerah dan pelayanan publikSistem pelaporan, interoperability
PP 54/2017 BUMDBUMD/PDAMTata kelola BUMDStruktur tata kelola TI, pelaporan kinerja
Perpres 38/2015 KPBUOperator swasta dan proyek kerja sama pemerintahTata kelola kontrak, pembagian risiko, SLAPelaporan kinerja, rekonsiliasi data, kontrol integrasi
PP 122/2015 SPAMPenyelenggara SPAM dan pihak yang bekerja samaStandar penyelenggaraan air minumSistem pemantauan kinerja operasional
Permen ESDM 14/2024Pemegang atau pengguna izin air tanahIzin air tanahSistem manajemen dokumen, early warning
Permendagri 118/2018BUMDRencana bisnis, RKAP, kerja sama, pelaporan, evaluasiSistem perencanaan dan budgeting TI
UU ITE dan PP PSTESemua pengelola sistem elektronik (publik dan swasta)Keamanan dan keandalan sistem elektronikKontrol akses, incident response, DRP/BCP
UU 27/2022 PDPSemua pengelola data pribadi pelanggan (BUMD/PDAM dan swasta)Data pribadiKebijakan privasi, hak subjek data, enkripsi
PBI/PADG sistem pembayaran + regulasi OJK terkait mitra jasa keuanganMitra pembayaran dan integrasi pembayaranPembayaran digitalIntegrasi aman, rekonsiliasi (reconciliation), fraud detection
BSSN, SNI, ISO/IECOrganisasi sesuai status dan risikoKeamanan siber dan keamanan informasiRisk assessment, segmentasi jaringan, pelatihan

Matriks ini menunjukkan bahwa setiap regulasi memiliki implikasi spesifik terhadap implementasi TI. Tantangan bagi organisasi adalah memastikan bahwa semua persyaratan ini dipenuhi secara holistik, bukan sebagai silo-silo terpisah.

3.1.6 Pendekatan Praktis untuk Kepatuhan

Menghadapi kompleksitas ekosistem regulasi, organisasi memerlukan pendekatan yang terstruktur. Enam langkah berikut cukup untuk memulai tanpa menunggu sistem besar:

  1. Pemetaan regulasi (regulatory mapping). Identifikasi seluruh regulasi yang relevan untuk organisasi, lalu tandai cakupannya: berlaku umum, BUMD-only, kontrak kerja sama, atau kewajiban mitra. Dokumen hasil pemetaan ini harus menjadi rujukan utama untuk semua inisiatif TI dan diperbarui secara berkala.

  2. Analisis kesenjangan (gap analysis). Bandingkan keadaan saat ini dengan persyaratan regulasi. Identifikasi area yang sudah patuh (comply), area yang perlu perbaikan, dan area yang belum disentuh sama sekali.

  3. Prioritas (prioritization). Tidak semua persyaratan dapat dipenuhi sekaligus. Prioritaskan berdasarkan risiko sanksi atau denda, dampak pada operasi bisnis, dan kompleksitas implementasi.

  4. Pengembangan peta jalan (roadmap development). Susun rencana implementasi jangka menengah 12 sampai 24 bulan dengan prioritas yang jelas. Roadmap ini harus divalidasi oleh manajemen puncak dan fungsi hukum/kepatuhan.

  5. Implementasi dan pemantauan (implementation and monitoring). Implementasikan persyaratan satu per satu dengan pemantauan berkala. Tetapkan owner untuk setiap area kepatuhan dan lakukan review kinerja secara berkala.

  6. Perbaikan berkelanjutan (continuous improvement). Regulasi terus berubah. Organisasi harus memiliki mekanisme untuk memantau perubahan regulasi, mengevaluasi dampaknya terhadap operasi, dan menyesuaikan implementasi TI sesuai kebutuhan.

3.1.7 Realitas Lapangan: Keseimbangan Investasi TI dan Fisik

Bagi jajaran Direksi, daftar regulasi di atas sering kali memunculkan dilema alokasi anggaran. Saat menyusun rencana bisnis, usulan investasi untuk infrastruktur teknologi seperti disaster recovery center (DRC) atau peningkatan keamanan siber kerap harus bersaing ketat dengan kebutuhan infrastruktur fisik yang sangat mendesak, seperti penggantian pompa dorong atau perbaikan jaringan pipa.

Dalam diskusi dengan pemangku kepentingan (Dewan Pengawas, komisaris, pemilik modal, atau mitra pemerintah), investasi fisik memang lebih mudah diukur dan terlihat wujudnya secara langsung. Karena itulah usulan kepatuhan TI perlu dikomunikasikan bukan sekadar sebagai “kebutuhan teknologi”, melainkan sebagai instrumen tata kelola untuk memitigasi risiko kelangsungan layanan publik:

  1. Keberlangsungan Pendapatan dan Operasional: Gangguan pada sistem billing atau operasional akibat insiden siber dapat secara langsung menghentikan penerimaan kas perusahaan. Hal ini berpotensi memicu temuan audit terkait belum memadainya sistem pengendalian internal dalam melindungi aset perusahaan.
  2. Pelindungan Reputasi dan Kepercayaan Publik: Insiden pelanggaran data (seperti kebocoran data pelanggan) tidak hanya berdampak pada sanksi administratif menurut regulasi pelindungan data pribadi, tetapi juga berisiko menggerus kepercayaan publik terhadap kapabilitas layanan institusi.

Dengan pendekatan komunikasi ini, kepatuhan regulasi TI dapat diposisikan secara proporsional sebagai pilar perlindungan operasional yang esensial, sejajar dengan pentingnya menjaga ketersediaan distribusi air secara fisik.

3.2 Pola Kasus Terverifikasi dan Skenario Komposit Kepatuhan Regulasi

Regulasi bukan hanya dokumen hukum; pelanggaran dan kepatuhan memiliki konsekuensi nyata pada operasi, keuangan, dan reputasi. Tiga contoh berikut menunjukkan bagaimana ketentuan di atas kertas bertemu dengan realitas lapangan: dari gangguan pembayaran digital yang memutus penerimaan kas, isu kebocoran data yang menguji kesiapan organisasi, sampai izin yang terlambat diperpanjang dan mengancam operasi.

Ketiga contoh ini berbeda jenis, dan perbedaan itu sengaja. Contoh pertama adalah skenario komposit: pola yang berulang di banyak organisasi, disusun dari beberapa sumber publik. Contoh kedua adalah kasus publik yang masih berupa dugaan, dan justru di situlah pelajaran tata kelola muncul. Contoh ketiga adalah kewajiban regulasi yang sudah terdokumentasi, sehingga pembaca dapat memverifikasi sendiri ketentuan dan tenggatnya.

3.2.1 Skenario Komposit 1: Integrasi Pembayaran Digital dan Rekonsiliasi Tagihan

Status sumber: skenario komposit. Yang dapat ditelusuri dari sumber publik adalah pola gangguan pembayaran online perusahaan utilitas air dan kewajiban regulasi sistem pembayaran, bukan teguran regulator kepada satu organisasi tertentu.

Berita lokal pernah mencatat gangguan pembayaran online salah satu PDAM di Kalimantan melalui m-banking pada 9 Juni 2023; selama perbaikan, pelanggan diarahkan membayar lewat loket kantor. Polanya sederhana, tetapi risikonya besar: ketika sistem pembayaran digital tidak tersambung rapi dengan sistem billing, pelanggan merasa sudah membayar, sementara sistem utilitas air belum tentu langsung mencatat pelunasan.

Dari sudut tata kelola, masalah utama bukan sekadar aplikasi pembayaran yang sedang gangguan. Direksi perlu memastikan tiga kontrol dasar tersedia sebelum kanal pembayaran digital dibuka luas:

  1. Rekonsiliasi otomatis antara sistem billing, bank, loket, dan mitra pembayaran.
  2. Audit trail transaksi yang dapat diperiksa dari sisi utilitas, bukan hanya dari sisi mitra.
  3. Perjanjian layanan dengan mitra yang mengatur keamanan, ketersediaan layanan, penanganan gagal bayar, dan tanggung jawab komunikasi kepada pelanggan.

Konteks regulasinya juga perlu tepat. OJK mengatur inovasi teknologi sektor jasa keuangan, tetapi penyelenggaraan sistem pembayaran berada dalam ruang pengaturan Bank Indonesia. PBI No. 23/6/PBI/2021 tentang Penyedia Jasa Pembayaran menekankan tanggung jawab keamanan dan kelancaran pemrosesan transaksi, manajemen risiko, serta perlindungan data pribadi dalam ekosistem pembayaran.

Pelajarannya jelas: digitalisasi pembayaran bukan proyek kanal bayar semata. Ia adalah proyek tata kelola transaksi. Tanpa rekonsiliasi, audit trail, dan pemilihan mitra yang disiplin, kanal digital dapat mempercepat pembayaran sekaligus mempercepat akumulasi komplain.

3.2.2 Kasus Publik 2: Dugaan Kebocoran Data Pelanggan dan Respons UU PDP

Status sumber: kasus publik, tetapi bukan kebocoran yang sudah terbukti final. Pada 16 Mei 2026, sebuah portal berita regional Sumatera memberitakan isu dugaan kebocoran data pelanggan salah satu PDAM di Sumatera. Berita tersebut mencatat klaim bahwa ratusan ribu catatan pelanggan, termasuk nama, alamat, dan nomor telepon, disebut beredar. Perusahaan kemudian membantah adanya pembobolan dan menyatakan hasil pemeriksaan internal tidak menemukan indikasi kebocoran.

Justru di sinilah pelajaran tata kelola muncul. Dalam era UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi yang berlaku penuh sejak 17 Oktober 2024, organisasi pengelola data pelanggan tidak cukup hanya berkata “data aman”. Ia harus dapat menunjukkan bukti pengelolaan data: siapa yang dapat mengakses data, apa dasar pemrosesannya, kapan akses dicatat, bagaimana data lama dihapus atau diarsipkan, dan bagaimana insiden ditangani bila terjadi.

Untuk perusahaan utilitas air yang mengelola data pelanggan, apa pun status kepemilikannya (BUMD/PDAM, operator swasta mitra pemerintah, maupun operator swasta yang menjalankan penagihan langsung ke pelanggan), risiko data pelanggan biasanya muncul dari lima titik:

  1. Data pelanggan tersebar di sistem billing, pelayanan pelanggan, pembacaan meter, aplikasi pengaduan, dan arsip manual.
  2. Kontrol akses belum selalu berbasis peran dan kebutuhan kerja.
  3. Log akses belum cukup rinci untuk membedakan akses sah, akses berlebihan, dan akses mencurigakan.
  4. Kontrak dengan vendor aplikasi, mitra operasi, atau penyedia layanan belum selalu mengatur peran sebagai pengendali atau prosesor data pribadi.
  5. Prosedur komunikasi insiden belum disiapkan sebelum isu muncul di media sosial.

Respons yang matang bukan hanya pernyataan bantahan. Respons yang matang mencakup pemeriksaan teknis, pencatatan keputusan, komunikasi publik yang hati-hati, serta rencana perbaikan kontrol. Jika dugaan tidak terbukti, organisasi tetap memperoleh pelajaran untuk memperkuat tata kelola data. Jika dugaan terbukti, organisasi sudah memiliki dasar untuk melaporkan, memulihkan, dan mencegah pengulangan.

3.2.3 Kasus Regulasi 3: Izin Air Tanah dan Sistem Manajemen Perizinan

Status sumber: regulasi dan berita sektor yang dapat ditelusuri. Permen ESDM No. 14 Tahun 2024 mengatur penyelenggaraan Izin Pengusahaan Air Tanah dan Persetujuan Penggunaan Air Tanah. Antara memberitakan bahwa Kementerian ESDM menyederhanakan persyaratan perizinan air tanah, sedangkan PERPAMSI pada 24 September 2025 mengingatkan BUMD Air Minum untuk segera mengurus izin air tanah karena risiko sanksi administratif hingga pidana.

Artinya, contoh yang aman bukan klaim bahwa sebuah organisasi memiliki jumlah sumur tertentu dan seluruh izinnya berhasil diperpanjang, kecuali bukti publiknya tersedia. Contoh yang lebih dapat dipertanggungjawabkan adalah pola kewajiban: organisasi utilitas air yang memanfaatkan air tanah perlu mengetahui titik sumber, status izin, tanggal berlaku, dokumen teknis, kapasitas pengambilan, dan kewajiban pelaporan. Pada BUMD/PDAM, tanggung jawab ini biasanya melekat pada struktur internal dan pembinaan pemerintah daerah. Pada operator swasta mitra pemerintah, pembagian tanggung jawab harus dibaca dari izin, aset yang dikelola, dan kontrak kerja sama.

Sistem Manajemen Perizinan yang relevan minimal memuat:

  1. Master data seluruh izin air tanah dan air permukaan, termasuk status, masa berlaku, lokasi, dan dokumen pendukung.
  2. Peringatan dini untuk izin yang akan berakhir dalam 12, 6, dan 3 bulan.
  3. Arsip dokumen teknis yang mudah ditelusuri saat pengajuan atau pemeriksaan.
  4. Penanggung jawab per izin, bukan hanya folder dokumen tanpa pemilik.
  5. Catatan pengawasan, korespondensi regulator, dan tindak lanjut temuan.

Dampaknya bukan dijanjikan sebagai “semua izin pasti selesai tepat waktu”. Dampak yang realistis adalah penurunan risiko keterlambatan, peningkatan kesiapan dokumen, dan kemampuan Direksi melihat status kepatuhan perizinan tanpa menunggu masalah muncul dari regulator.

Ringkas Eksekutif: Jangan Tersandung di Garis Start Kasus-kasus di atas menegaskan satu hal: celah terbesar biasanya bukan serangan siber canggih, melainkan kelalaian administratif. Kebocoran data terjadi karena akses tidak dibatasi. Dana tertahan karena rekonsiliasi manual tidak sinkron. Mulai pembenahan dari hal yang paling mendasar: kendali akses dan rekonsiliasi pembayaran.

3.3 Kerangka Kerja Implementasi Kepatuhan Regulasi

Mengetahui regulasi tidak cukup; organisasi perlu kerangka kerja untuk menerjemahkan persyaratan hukum menjadi kebijakan, kontrol, dan proses yang dapat diaudit. Bagian ini menyusun kerangka kerja implementasi yang dapat langsung disesuaikan dengan skala dan tingkat kematangan organisasi Anda.

3.3.1 Prinsip Dasar Implementasi

Prinsip 1: Kepatuhan adalah Proses, Bukan Proyek

Regulasi berubah, interpretasi berkembang, dan ekspektasi regulator naik seiring waktu. Organisasi harus membangun kemampuan untuk beradaptasi secara terus-menerus. Praktik yang disarankan: tetapkan fungsi regulatory monitoring, jadwalkan review kepatuhan minimal dua kali setahun, dan langganan informasi resmi regulator dan asosiasi industri.

Prinsip 2: Kepatuhan Harus Terukur

Tanpa pengukuran, kepatuhan menjadi pernyataan niat tanpa bukti. Indikator yang disarankan

  • persentase perizinan tanpa temuan overdue
  • jumlah temuan audit yang ditutup tepat waktu
  • skor maturity keamanan informasi
  • jumlah insiden kebocoran data per bulan
  • waktu respon terhadap permintaan hak subjek data

Prinsip 3: Kepatuhan Adalah Investasi, Bukan Biaya

Biaya pelanggaran regulasi (denda, perbaikan terburu-buru, kerugian reputasi, waktu manajemen untuk krisis, potensi pembatasan operasi) jauh lebih besar daripada investasi dalam sistem kepatuhan yang terstruktur.

Prinsip 4: Kepatuhan Memerlukan Kolaborasi Lintas Fungsi

Kepatuhan regulasi TI memerlukan kolaborasi antara fungsi hukum (memahami persyaratan), TI (mengimplementasikan kontrol teknis), operasi (menjalankan prosedur), keuangan (menganggarkan investasi), dan SDM (melatih karyawan).

Tanpa kolaborasi, organisasi mudah terjebak dalam silo: hukum mengeluarkan kebijakan yang tidak dipahami TI, TI mengimplementasikan sistem tanpa mempertimbangkan aspek hukum, dan operasi menjalankan prosedur yang tidak konsisten.

3.3.2 Lima Pilar Kematangan Kepatuhan

Berikut adalah lima pilar kematangan kepatuhan yang dapat dijadikan kerangka penilaian dan perencanaan:

Pilar 1: Kebijakan dan Prosedur Tertulis

Kebijakan dan prosedur harus ditetapkan secara tertulis, disahkan oleh manajemen, dan dikomunikasikan ke seluruh pihak terkait. Tanpa dokumentasi, kepatuhan menjadi persepsi individual.

Praktik yang disarankan sangat konkret. Organisasi perlu memiliki kebijakan minimal keamanan informasi dan privasi. Kebijakan ini harus ditinjau setiap 18-24 bulan atau saat ada regulasi baru. Pastikan juga aturan ditulis dalam bahasa yang mudah dipahami, bukan sekadar jargon teknis.

Pilar 2: Kontrol Teknis yang Sesuai

Kebijakan harus didukung kontrol teknis yang memadai. Kebijakan tanpa implementasi teknis hanya menjadi dokumen yang tidak efektif.

Praktik yang disarankan mencakup lima kontrol inti. Pertama, kontrol akses berbasis peran untuk semua aplikasi. Kedua, enkripsi data sensitif di segala kondisi. Ketiga, sistem audit trail untuk merekam perubahan data. Keempat, pemantauan ancaman keamanan. Kelima, pengujian backup secara berkala.

Pilar 3: Pelatihan dan Kesadaran (Awareness)

Karyawan adalah garis terdepan pertahanan keamanan dan kepatuhan. Tanpa pelatihan, investasi teknis akan kurang menghasilkan nilai.

Praktik yang disarankan: pelatihan keamanan siber untuk karyawan baru saat onboarding; pelatihan penyegaran minimal setahun sekali untuk seluruh karyawan; pelatihan khusus untuk peran yang menangani data sensitif; simulasi phishing berkala; dan komunikasi reguler tentang insiden keamanan terkini.

Pilar 4: Pemantauan (Monitoring) dan Pengukuran

Kepatuhan harus dipantau dan diukur secara teratur untuk memastikan kontrol yang diimplementasikan efektif.

Praktik yang disarankan: audit internal minimal setahun sekali; penetration testing untuk sistem eksternal setiap 6-12 bulan; review log keamanan secara berkala; survei kepatuhan kepada karyawan; dan dashboard indikator kepatuhan yang dilaporkan ke manajemen puncak.

Pilar 5: Respons dan Perbaikan Berkelanjutan

Ketika ditemukan ketidakpatuhan atau insiden, organisasi harus merespons dengan cepat dan belajar dari kejadian tersebut.

Praktik yang disarankan: prosedur incident response yang terdokumentasi dan diuji; tim respons insiden dengan peran dan tanggung jawab yang jelas; post-incident review untuk menghasilkan pembelajaran; tracking rekomendasi perbaikan sampai selesai; dan komunikasi dengan stakeholder sesuai kebutuhan regulasi.

3.3.3 Rencana Implementasi 90 Hari Pertama

Untuk organisasi yang baru memulai perbaikan kepatuhan regulasi, berikut adalah rencana implementasi 90 hari yang realistis:

Hari 1-30: Asesmen dan Perencanaan

Kegiatan yang harus dilakukan adalah regulatory mapping dan gap analysis. Ini penting untuk memahami posisi kepatuhan saat ini. Tetapkan prioritas perbaikan berdasarkan risiko sanksi dan operasi. Jika belum ada, segera bentuk tim kepatuhan lintas fungsi yang dilengkapi mandat tertulis.

Keluaran: dokumen analisis kesenjangan regulasi (regulatory gap analysis), daftar prioritas, struktur tim kepatuhan

Hari 31-60: Perbaikan Gap Prioritas Tinggi

Kegiatan: implementasi perbaikan untuk gap yang dikategorikan prioritas tinggi; susun atau perbarui kebijakan minimal yang dibutuhkan; implementasi kontrol teknis dasar (jika belum ada); dan mulai pelatihan awareness untuk seluruh karyawan.

Keluaran: beberapa kebijakan disahkan, kontrol teknis dasar terpasang, pelatihan perdana dilaksanakan

Hari 61-90: Sistem dan Proses

Kegiatan: implementasi sistem pemantauan dan reporting; susun prosedur operasional standar untuk kepatuhan; jalankan simulasi insiden untuk menguji incident response; dan tetapkan indikator kepatuhan dan mekanisme pelaporan.

Keluaran: sistem pemantauan berjalan, SOP kepatuhan terdokumentasi, simulasi insiden selesai, indikator kepatuhan ditetapkan

Hari 91 dan seterusnya: Perbaikan Berkelanjutan

Setelah 90 hari, organisasi seharusnya telah memiliki fondasi kepatuhan yang memadai. Perbaikan berikutnya bersifat inkremental berdasarkan indikator dan temuan audit.

3.3.4 Daftar Periksa Kepatuhan Regulasi TI

Berikut adalah daftar periksa untuk menilai kematangan kepatuhan regulasi TI:

Untuk panduan implementasi, perhatikan hal-hal berikut:

Area Kepatuhan: UU ITE dan Keamanan Informasi

  • Kebijakan keamanan informasi telah disahkan dan dikomunikasikan
  • Sertifikasi standar keamanan informasi telah dipenuhi (atau dalam proses)
  • Kontrol akses berbasis peran telah diimplementasikan
  • Sistem audit trail merekam akses dan perubahan data
  • Audit keamanan informasi dilakukan secara berkala
  • Prosedur incident response telah disusun dan diuji

Area Kepatuhan: UU PDP dan Pelindungan Data Pribadi

  • Kebijakan privasi telah disusun dan dipublikasikan
  • Persetujuan subjek data didokumentasikan untuk pengumpulan data baru
  • Prosedur untuk hak subjek data (akses, perbaikan, hapus) telah diimplementasikan
  • Enkripsi data sensitif telah diimplementasikan
  • Prosedur pelaporan insiden pelanggaran data telah disusun
  • Pelatihan pelindungan data pribadi diberikan kepada staf yang relevan

Area Kepatuhan: Regulasi Pembayaran Digital

  • Penilaian kelayakan (due diligence) terhadap mitra penyedia layanan pembayaran telah dilakukan
  • Integrasi sistem menggunakan protokol aman (HTTPS/TLS)
  • Sistem reconciliation otomatis telah diimplementasikan
  • Audit trail transaksi tersedia untuk pemeriksaan
  • Prosedur penanganan transaksi bermasalah telah disusun
  • Sistem deteksi penipuan (fraud detection) telah diimplementasikan

Area Kepatuhan: Regulasi Sektor Utilitas

  • Sistem pelaporan kinerja operasional dan finansial terintegrasi
  • Sistem manajemen perizinan memantau tanggal berlaku dan peringatan dini
  • Sistem pemantauan kinerja pelayanan memenuhi standar yang ditetapkan
  • Integrasi data perizinan dengan sistem perencanaan operasional
  • Rencana bisnis dan investasi TI memasukkan justifikasi regulasi

Area Kepatuhan: Regulasi Keamanan Siber

  • Risk assessment keamanan siber dilakukan secara berkala
  • Segmentasi jaringan antara sistem TI dan OT telah diimplementasikan
  • Kontrol akses fisik ke fasilitas TI telah diterapkan
  • Patch management dilakukan secara teratur
  • Pelatihan awareness keamanan siber dilakukan berkala
  • Prosedur pelaporan insiden siber ke BSSN telah disusun

Daftar periksa ini adalah alat ukur kemajuan, bukan instrumen sertifikasi.

3.4 Penutup Bab: Dari Kepatuhan ke Kematangan

Regulasi bukan rintangan, melainkan panduan yang memberi arah pada bagaimana TI harus dikelola demi keamanan, keadilan, dan keberlanjutan layanan publik.

Di antara seluruh bab dalam panduan ini, bab regulasi mungkin terasa paling tidak menarik bagi sebagian praktisi TI. Sebagian melihatnya sebagai urusan administrasi, padahal konsekuensinya sangat operasional. Pola yang berulang: organisasi dengan sistem canggih dan tim kompeten tetap terganggu serius hanya karena satu izin terlambat diperpanjang. Kepatuhan regulasi bukan formalitas; ia adalah prasyarat agar layanan bisa berjalan dengan legitimasi yang kuat.

Pekerjaan kepatuhan bukan tugas divisi hukum sendirian, dan bukan urusan yang bisa didelegasikan Direksi sepenuhnya ke lapisan teknis. UU PDP, UU ITE, ketentuan BUMD, perizinan sektor, dan kontrak kerja sama layanan publik membentuk tanggung jawab organisasi yang dalam banyak kasus harus diketahui pimpinan puncak. Tidak tahu regulasi bukan posisi pembelaan yang kuat. Karena itu, mengelola kepatuhan adalah salah satu dimensi tata kelola TI yang paling langsung menyentuh kursi Direksi.

Lanskap regulasi di Indonesia memang kompleks, namun organisasi yang berhasil adalah yang memecahnya menjadi langkah praktis dan melaksanakannya secara konsisten.

💡 Angka yang mengubah keputusan: 210. Jumlah instansi yang kehilangan akses data saat PDN diserang ransomware Juni 2024. Satu kontrol keamanan dimatikan; 210 institusi terdampak.

Catatan Akhir: Mengikat Makna

Bila seluruh bab ini diperas menjadi beberapa kalimat yang layak dibawa pulang, inilah simpulnya:

  • Regulasi bukan hambatan; ia peta batas risiko yang sudah disepakati negara. Memahami regulasi adalah langkah pertama yang tidak bisa ditawar sebelum membangun tata kelola TI.
  • Kepatuhan adalah investasi, bukan biaya. Biaya pelanggaran (denda, perbaikan terburu-buru, kerugian reputasi, krisis waktu manajemen) jauh melampaui biaya membangun sistem kepatuhan dari awal.
  • Setiap regulasi punya implikasi spesifik terhadap implementasi TI. Matriks kepatuhan (Tabel 3.1) adalah alat bantu untuk memetakan “regulasi mana → kontrol TI apa”.
  • Kepatuhan adalah pekerjaan Direksi. Regulasi dan kontrak layanan publik melekatkan tanggung jawab pada organisasi dan, dalam kondisi tertentu, pada pimpinan puncak; ini bukan urusan yang bisa diserahkan seluruhnya ke divisi hukum atau TI.

Uji Nyali Eksekutif: Lima Pertanyaan yang Harus Bisa Anda Jawab

  1. Apakah organisasi Anda memiliki regulatory mapping yang lengkap dan terkini?
  2. Regulasi mana yang memiliki gap kepatuhan terbesar di organisasi Anda?
  3. Siapa nama orang yang bertanggung jawab atas kepatuhan di setiap area regulasi, dan apakah orang itu tahu?
  4. Apa indikator yang digunakan untuk mengukur tingkat kepatuhan organisasi Anda?
  5. Kapan terakhir kali Direksi menerima laporan kepatuhan regulasi TI yang dibahas sebagai bahan keputusan, bukan lampiran rapat?

Aksi Instan: Tiga Gebrakan untuk Minggu Ini

  1. Buat inventaris satu halaman: regulasi apa yang secara eksplisit menyebut TI, data, transaksi digital, BUMD, SPAM, KPBU, atau kontrak layanan publik? Tandai dasar keberlakuan tiap regulasi: berlaku karena peran atau aktivitas (mis. mengelola data pelanggan menundukkan organisasi pada UU PDP, tak peduli status kepemilikan), berlaku khusus BUMD, atau lahir dari kontrak kerja sama; lalu tandai mana yang sudah punya kebijakan internal.
  2. Identifikasi satu sistem yang paling berisiko melanggar regulasi aktif; tunjuk satu PIC dari sisi bisnis (bukan hanya TI) untuk memimpin perbaikannya.
  3. Jadwalkan compliance scan kuartalan 2 jam, dihadiri TI dan tim hukum/kepatuhan; masukkan ke kalender tetap sekarang, bukan saat insiden.

Daftar Periksa Cepat Kepatuhan Regulasi TI (versi cetak: tools.itgbook.com)

Gunakan daftar ini sebagai alat diagnosis awal, bukan instrumen sertifikasi. Cukup centang yang sudah ada; sisanya jadi prioritas perbaikan.

  • Kebijakan keamanan informasi telah disahkan dan dikomunikasikan
  • Kebijakan privasi telah disusun dan dipublikasikan (UU PDP)
  • Prosedur pelaporan insiden pelanggaran data telah disusun
  • Penilaian kelayakan (due diligence) terhadap mitra penyedia layanan pembayaran telah dilakukan
  • Sistem manajemen perizinan memantau tanggal berlaku dan peringatan dini
  • Risk assessment keamanan siber dilakukan secara berkala
  • Pelatihan perlindungan data pribadi diberikan kepada staf yang relevan
  • Prosedur incident response telah disusun dan diuji
  • Enkripsi data sensitif telah diimplementasikan
  • Sistem audit trail merekam akses dan perubahan data

🛠️ Besok pagi, coba ini: Ambil satu halaman kosong. Tiga kolom: Regulasi, Pasal Kunci, Status Kepatuhan. Isi 5 regulasi pertama. Yang statusnya “Tidak Tahu”, itulah prioritas minggu ini.

Untuk Disampaikan ke Direksi

Rangkuman untuk manajer TI yang perlu menyampaikan isi bab ini ke pimpinan dalam 3 menit:

  1. Kepatuhan yang berjalan adalah kontrol harian, bukan dokumen audit. Kebijakan privasi, enkripsi, audit trail, dan rekonsiliasi pembayaran harus hidup sebagai proses; bukan map yang baru dibuka saat auditor datang.
  2. Pola kasus nyata sudah memetakan ranjaunya. Gangguan pembayaran digital, dugaan kebocoran data pelanggan, dan kelalaian izin adalah kejadian terverifikasi yang berulang di sektor ini; ketiganya bisa dihindari dengan kontrol yang sudah dibahas di bab ini.
  3. Minta rencana 90 hari, bukan janji kepatuhan menyeluruh. Satu rencana bertahap dengan pemilik yang jelas dan tenggat nyata lebih bisa dipertanggungjawabkan di depan auditor daripada peta kepatuhan sempurna yang tak pernah jalan.

Gunakan Matriks Kepatuhan (Tabel 3.1) dan rencana 90 hari (§3.3) sebagai lampiran keputusan.

Amunisi Rapat: Satu Pertanyaan Penguji Pimpinan

Apakah ada regulasi yang sudah berlaku hari ini tapi belum ada satu pun kebijakan internal tertulis yang meresponsnya, dan siapa yang tahu jawaban pertanyaan ini?

Kalau tidak ada satu orang pun di ruang rapat yang bisa menjawab dengan yakin, itulah gap yang harus ditutup lebih dulu sebelum membahas sistem baru manapun.

Setelah memahami regulasi yang membentuk batas wajib tata kelola TI, pertanyaan berikutnya adalah: bagaimana menyusun tata kelola itu sendiri? Anda mungkin berharap langsung ke struktur organisasi (Bab 6) atau implementasi praktis (Bab 11-12). Urutannya sengaja tidak begitu.

Sebelum membahas siapa duduk di komite mana atau bagaimana menyusun SOP, Direksi dan tim TI perlu satu hal lebih dulu: bahasa bersama. Tanpa bahasa yang sama, diskusi tentang prioritas, risiko, dan hasil investasi TI akan berlangsung dalam bahasa yang berbeda antara Dewan Pengawas, Direksi, Kepala Divisi TI, dan auditor.

Ada tiga alasan COBIT datang setelah regulasi dan sebelum implementasi.

Pertama, COBIT menyediakan struktur berpikir yang menerjemahkan tuntutan regulasi menjadi domain tata kelola yang bisa dikelola. Regulasi adalah apa yang harus dipenuhi; COBIT adalah bagaimana menyusun pengelolaannya secara sistematis. Tanpa kerangka, organisasi hanya akan mengejar kepatuhan satu per satu secara reaktif; sebuah pendekatan yang mahal dan tidak berkelanjutan.

Kedua, COBIT memberi peta peran dan tanggung jawab yang menjadi dasar pembentukan struktur organisasi TI (Bab 6). Keputusan tentang siapa yang berwenang menyetujui investasi TI, siapa pemilik risiko, dan siapa yang mengukur manfaat, semuanya berakar dari kerangka tata kelola, bukan dari bagan organisasi yang sudah ada.

Ketiga, COBIT membangun bahasa yang sama dari Dewan Pengawas sampai teknisi; persis seperti yang disinggung di Bab 1. Tanpa bahasa bersama, diskusi kepatuhan menjadi diskusi dua bahasa: hukum berbicara pasal, TI berbicara konfigurasi, dan Direksi terjebak di tengah menerjemahkan keduanya. COBIT adalah penerjemah itu.

Lanjutkan ke Bab 4: Kerangka COBIT sebagai Bahasa Bersama Tata Kelola TI.

Pola yang sama berlaku lintas industri. Perusahaan utilitas energi yang pembayaran digitalnya bergantung pada mitra berizin, koperasi simpan pinjam yang data anggotanya dilindungi UU PDP, atau puskesmas dan RSUD yang sistem rekam medisnya diaudit, semua menghadapi tantangan yang sama: regulasi datang sebelum organisasi siap, dan kepatuhan adalah urusan pimpinan puncak, bukan divisi hukum semata.

Referensi & Eksplorasi Lanjutan

  1. Gangguan Pembayaran Online BUMD Air Minum di Kalimantan

    • Contoh berita gangguan pembayaran online salah satu BUMD Air Minum di Kalimantan yang menunjukkan pentingnya rekonsiliasi, kanal cadangan, dan komunikasi layanan.
    • 🔗 Portal berita regional Kalimantan

  2. Isu Dugaan Kebocoran Data Pelanggan BUMD Air Minum di Sumatera

    • Contoh isu publik dugaan kebocoran data pelanggan salah satu BUMD Air Minum di Sumatera; perlu dibaca bersama bantahan resmi perusahaan pada berita lanjutan.
    • 🔗 Portal berita regional Sumatera

  3. Bantahan Resmi atas Isu Kebocoran Data Pelanggan BUMD Air Minum di Sumatera

  4. Sistem Manajemen Keamanan Informasi (Information Security Management) ISO/IEC 27001:2022

    • Standar internasional sistem manajemen keamanan informasi.
    • 🔗 ISO.org

  5. Keamanan dan Ketahanan (Security and Resilience) serta Kelangsungan Bisnis (Business Continuity) ISO/IEC 22301:2019

    • Standar internasional manajemen kelangsungan bisnis.
    • 🔗 ISO.org

  6. SNI ISO/IEC 27001:2022 untuk Sistem Manajemen Keamanan Informasi

Catatan akses sumber: Tautan di atas mengarah ke portal resmi pemerintah dan standar internasional. Sebagian dokumen dapat diakses bebas; standar ISO bersifat berbayar di situs resmi tetapi sering tersedia melalui perpustakaan lembaga atau adopsi nasional (SNI). Apabila tautan tidak dapat diakses karena pembaruan portal, gunakan judul resmi dan nomor regulasi sebagai dasar pencarian.

Penafian: Tulisan ini adalah pandangan pribadi penulis berdasarkan pengalaman praktis dan studi independen. Bukan merupakan pandangan institusional atau komitmen formal dari organisasi mana pun. Pembaca diharapkan melakukan verifikasi independen dan berkonsultasi dengan ahli hukum sebelum mengimplementasikan rekomendasi apa pun. Regulasi yang disebutkan dapat berubah sewaktu-waktu, dan pembaca bertanggung jawab untuk memastikan keakuratan informasi regulasi terkini. Semua contoh dan studi kasus bersifat ilustratif.