Komisi merujuk Irlandia ke CJEU karena gagal menerapkan aturan siber

Rizal Santoso
Rizal Santoso

Sebagai jurnalis yang berpengalaman lebih dari 15 tahun di media Indonesia, saya berkomitmen untuk menyajikan informasi yang relevan dan otentik agar pembaca lebih dekat dengan keragaman Indonesia.

Irlandia, Spanyol, Perancis dan Belanda adalah satu-satunya negara anggota yang belum memasukkan arahan NIS2 ke dalam hukum nasional.

Irlandia adalah satu dari empat negara yang dirujuk ke pengadilan tertinggi di Uni Eropa karena gagal menerapkan arahan keamanan siber ke dalam undang-undang. Langkah Komisi Eropa ini dilakukan ketika Irlandia memulai masa jabatan presiden bergilir selama enam bulan sebagai ketua Dewan Uni Eropa.

Petunjuk Keamanan Jaringan dan Informasi 2 (NIS2) mulai berlaku pada bulan Januari 2023 dan menetapkan standar keamanan yang tinggi di 18 sektor penting, termasuk kesehatan, energi, transportasi, dan sektor publik, yang mewajibkan organisasi untuk menerapkan langkah-langkah keamanan yang tepat dan melaporkan setiap insiden yang relevan kepada pihak berwenang.

Namun, arahan tersebut harus dimasukkan ke dalam undang-undang nasional oleh negara-negara anggota UE sebelum dapat diterapkan. Negara-negara anggota memiliki waktu hingga Oktober 2024 untuk melakukan transposisi.

Namun pada akhir bulan November 2024, 23 negara anggota, termasuk Denmark, Jerman, Finlandia dan Swedia, belum mengubah peraturan tersebut, sementara pada bulan Mei 2025, 19 negara masih belum melakukan perubahan.

Dalam rujukannya kemarin (8 Juli), yang juga mencakup Spanyol, Perancis dan Belanda, Komisi meminta Pengadilan Kehakiman Uni Eropa untuk menjatuhkan sanksi keuangan terhadap negara-negara anggota yang melakukan pelanggaran, yang terdiri dari denda sekaligus dan denda harian hingga NIS2 dimasukkan ke dalam undang-undang nasional.

Lanskap ancaman keamanan siber berkembang pesat, seiring dengan teknologi baru seperti AI yang menyediakan alat canggih bagi pelaku kejahatan untuk melakukan serangan phishing, penipuan, dan pembobolan infrastruktur, sementara pelanggaran tidak dilaporkan di Irlandia, menurut laporan Compliance Institute baru-baru ini.

“Meskipun Irlandia bukan satu-satunya yang melewatkan tenggat waktu, ini bukanlah awal yang baik bagi Irlandia untuk menjadi presiden Dewan Uni Eropa,” kata mitra Dentons, David Kirton.

“Pemerintah telah mencantumkan daya saing dan keamanan sebagai dua dari tiga pilar utama pemerintahannya, sehingga pemberlakuan undang-undang ini akan menjadi simbol kuat dari komitmen tersebut.”

Pemerintah menerbitkan skema umum RUU Keamanan Siber Nasional pada bulan Agustus 2024, dan Strategi Digital dan AI Nasional pada bulan Februari ini, di mana pemerintah berkomitmen untuk “memprioritaskan undang-undang untuk menerapkan Petunjuk NIS2 UE”, namun tidak memberikan batas waktunya.

RUU tersebut masih dalam pengawasan pra-legislatif dan diperkirakan baru akan diajukan ke Oireachtas paling cepat pada bulan September.

Mengubah arahan tersebut tidak akan mudah, kata Kirton, “karena sebagian dari undang-undang tersebut bersifat teknis dan memberikan perubahan besar dalam memberdayakan Pusat Keamanan Siber Nasional untuk bertindak dalam peran penegakan hukum bersama dengan otoritas kompeten lainnya”.

“Pemerintah perlu memprioritaskan persiapan rancangan undang-undang, yang telah dijanjikan oleh Menteri Kehakiman pada akhir tahun ini, yang tentunya akan memicu perdebatan lebih lanjut seiring dengan proses legislasi sebelum diberlakukan,” tambahnya.

Awal tahun ini, Komisi Eropa mengusulkan amandemen untuk menyederhanakan NIS2 sebagai bagian dari perombakan omnibus digital yang bertujuan untuk memotong birokrasi peraturan dan membuat bisnis di blok tersebut lebih mudah.

Amandemen NIS2 bertujuan untuk meningkatkan kejelasan hukum dengan menyederhanakan aturan yurisdiksi, menyederhanakan pengumpulan data tentang serangan ransomware, dan memfasilitasi pengawasan entitas lintas batas, menurut pendapat UE.