12 Februari 2026

Penulis

Oleh Louis Paganuzzi, Paralegal, Sedgwick Legal Services

Kredit tambahan untuk penulis: Paul Squires – Mitra, Sedgwick Legal Services & Luke Moore – Kepala Divisi Forensik Digital dan Tanggap Insiden, Sedgwick International UK

Wawasan strategis tentang sistem keamanan siber Inggris dan apa yang akan datang.

Ringkasan eksekutif

Rancangan Undang-Undang Keamanan Siber dan Ketahanan (Sistem Jaringan dan Informasi) Pemerintah Inggris (Rancangan Undang-Undang) merupakan pembaruan signifikan terhadap kerangka kerja keamanan siber lintas sektor di Inggris sejak Peraturan Sistem Jaringan dan Informasi 2018 (Peraturan NIS). Rancangan Undang-Undang ini memperluas cakupan regulasi, meningkatkan persyaratan pelaporan insiden, menetapkan tanggung jawab rantai pasokan yang lebih ketat, dan memperkuat wewenang penegakan hukum. 

Hal ini merupakan bagian dari agenda keamanan nasional yang lebih luas dari pemerintah, serta upayanya untuk menutup kesenjangan antara ancaman siber yang semakin meningkat dan kemampuan respons yang ada.

Wawasan ini menjelaskan alasan di balik reformasi, perubahan utama yang diusulkan, siapa yang akan terdampak, dan bagaimana organisasi harus mempersiapkan diri.

Mengapa sistem NIS sedang diperbarui? 

Lingkungan ancaman siber yang dihadapi oleh organisasi di Inggris telah meningkat secara signifikan, di tengah laju perkembangan teknologi yang cepat dan meningkatnya aktor yang didukung oleh negara. Pusat Keamanan Siber Nasional Inggris (NCSC) telah melaporkan lonjakan insiden siber, dengan insiden-insiden berprofil tinggi yang semakin parah yang mempengaruhi layanan-layanan esensial.

Pada saat yang sama, regulator seperti ICO telah menekankan perlunya mempercepat perbaikan dalam ketahanan rantai pasokan – menyadari bahwa ketergantungan dalam rantai pasokan yang panjang dan saling terhubung merupakan sumber risiko yang signifikan. Hal ini merupakan salah satu kekhawatiran yang berulang kali diangkat dalam pembahasan kebijakan pemerintah, bahwa persyaratan pelaporan insiden saat ini tidak memberikan visibilitas yang cukup terhadap risiko sistemik yang dihadapi oleh layanan yang paling terdampak.

Rancangan Undang-Undang ini bertujuan untuk memastikan bahwa peraturan-peraturan tersebut diperbarui dan mencerminkan realitas struktural infrastruktur digital saat ini, di mana gangguan pada satu penyedia layanan dapat berdampak luas dan meluas ke berbagai sektor.

Ruang lingkup yang diperluas

Rancangan Undang-Undang ini secara signifikan memperluas cakupan organisasi yang tunduk pada regulasi. Selain operator layanan esensial dan penyedia layanan digital yang sudah ada, regulasi ini juga menyoroti keamanan rantai pasokan, serupa dengan EU NIS2. Misalnya, mencakup:

  • Penyedia Layanan Terkelola (MSP) – penyedia menengah dan besar (yang ditunjuk sebagai Penyedia Layanan Terkelola yang Relevan)
  • Penyedia Layanan Pusat Data – termasuk yang melebihi ambang batas kapasitas yang telah ditentukan.
  • Pengendali Beban Besar Tertentu
  • Pemasok Kritis yang Ditunjuk – di mana gangguan layanan dapat secara signifikan mempengaruhi layanan esensial atau layanan digital.

Ruang lingkupnya akan fleksibel, dengan regulator diberi wewenang untuk memperluas kerangka kerja, memungkinkan mereka untuk menunjuk organisasi yang dianggap sebagai pemasok kritis.

Peningkatan pelaporan insiden

Rancangan Undang-Undang ini memperkenalkan pelaporan insiden yang lebih awal, ambang batas pelaporan yang lebih luas, dan peningkatan berbagi informasi.

Berdasarkan peraturan NIS yang berlaku saat ini, insiden yang memenuhi ambang batas pelaporan harus dilaporkan kepada regulator dalam waktu 72 jam. Rancangan Undang-Undang baru ini akan mengubah ketentuan tersebut (sejauh tertentu), sejalan dengan persyaratan yang terdapat dalam Direktif NIS2 Uni Eropa, yang mengatur pemberitahuan awal dalam waktu 24 jam dan tindak lanjut dalam waktu 72 jam.

Terkait pemberitahuan kepada pelanggan, berdasarkan Peraturan NIS yang berlaku saat ini, penyedia layanan diwajibkan untuk memberitahukan regulator yang berwenang. Regulator tersebut kemudian dapat memberitahukan publik atau mewajibkan penyedia layanan untuk melakukannya. Rancangan Undang-Undang ini mengusulkan perubahan, dengan menempatkan kewajiban tersebut pada penyedia layanan sendiri untuk memberitahukan pelanggan secara langsung.

Mekanisme penegakan hukum dan wewenang Menteri Luar Negeri

Menteri Luar Negeri juga akan memiliki wewenang tambahan. Hal ini meliputi kemampuan untuk menerbitkan Kode Praktik yang diatur oleh undang-undang, serta Pernyataan Prioritas Strategis, yang menjelaskan tujuan pemerintah dalam memperkuat ketahanan dan keamanan di sektor-sektor layanan vital.

Selain itu, RUU ini memperkenalkan sistem penegakan hukum yang lebih ketat. Regulator akan memiliki wewenang penyelidikan yang diperluas, mekanisme pemulihan biaya yang diatur oleh undang-undang melalui skema penagihan, dan akses ke struktur denda yang direvisi yang terkait dengan omzet organisasi. Denda maksimum meningkat secara signifikan, dengan pelanggaran serius dikenakan denda hingga £17 juta atau 4% dari omzet global (mana yang lebih tinggi), serta denda harian tambahan untuk pelanggaran yang terus berlanjut dan ketidakpatuhan.

Implikasi praktis

Organisasi yang sudah diatur dalam kerangka kerja NIS harus mengevaluasi bagaimana RUU ini dapat mengubah kewajiban operasional, tata kelola, dan pelaporan mereka, terutama layanan yang disediakan melalui Penyedia Layanan Terkelola. 

Luke Moore, Kepala Layanan Forensik Digital dan Tanggap Insiden di Sedgwick, berkomentar bahwa “Peraturan baru ini menegaskan bahwa keamanan siber kini, lebih dari sebelumnya, merupakan tanggung jawab tingkat dewan direksi. Mematuhi persyaratan ini dimulai dengan pemahaman yang jelas tentang infrastruktur dan data yang Anda miliki, karena Anda tidak dapat mematuhi tanpa mengetahui apa yang Anda operasikan dan lindungi. Rancangan Undang-Undang ini menyoroti pergeseran menuju tindakan dini, pemantauan yang lebih kuat, dan kemampuan tanggap yang teruji.”

Kami bekerja sama dengan klien kami untuk mengambil langkah-langkah sekarang, untuk memverifikasi sistem pengendalian mereka dan memahami infrastruktur serta risiko operasional mereka, sehingga mereka akan berada dalam posisi yang jauh lebih kuat ketika kewajiban regulasi baru mulai berlaku.

Tentu saja, RUU ini baru saja memulai perjalanan legislatifnya di parlemen, dengan pembacaan kedua selesai pada awal Januari 2026. RUU ini kini akan masuk ke tahap komite, di mana akan dilakukan pemeriksaan rinci per pasal. Kami mendorong organisasi untuk memantau perkembangan RUU ini seiring perjalanannya di parlemen, memastikan mereka siap menghadapi reformasi yang diusulkan dan bersiap untuk lingkungan kepatuhan yang lebih ketat di masa depan.

Bagaimana kami dapat membantu

Sedgwick menyarankan organisasi untuk tidak hanya memandang RUU ini sebagai hambatan kepatuhan, tetapi sebagai peluang strategis untuk memperkuat ketahanan, tata kelola, dan kepercayaan di tengah risiko yang muncul. Tim ahli forensik digital dan hukum kami membantu dalam:

  • Audit ketahanan terhadap kerangka kerja tata kelola siber dan pelaporan
  • Peninjauan kontrak terkait klausul keamanan rantai pasok dan pemicu eskalasi
  • Pengembangan pedoman penanganan insiden dan protokol pelaporan tingkat dewan direksi
  • Penafsiran kewajiban dan ambang batas yang spesifik untuk setiap sektor

Selain itu, kami menyediakan layanan hukum dan kepatuhan terintegrasi yang memungkinkan perusahaan untuk:

  • Secara proaktif memenuhi harapan regulasi.
  • Berkomunikasi mengenai kesiapan kepada klien, dewan direksi, dan pemangku kepentingan.
  • Selaraskan investasi teknologi dengan kewajiban hukum yang sedang berkembang.
  • Meningkatkan ketahanan di seluruh operasi, teknologi, dan rantai pasok.

Selain dukungan hukum dan regulasi yang disediakan oleh Sedgwick Legal Services, Anda dapat memperkuat posisi Anda dengan menerapkan langkah-langkah operasional pelengkap yang membantu menunjukkan kemampuan nyata di dunia nyata melalui layanan Sedgwick Digital Forensics & Incident Response Services:

  • Audit penilaian siber independen yang memvalidasi efektivitas pengendalian dan mengidentifikasi kelemahan. 
  • Pengujian proaktif dan pemantauan berkelanjutan untuk menunjukkan ketahanan terhadap ancaman yang muncul. 
  • Penilaian penambangan data yang ditargetkan untuk memetakan data yang Anda miliki, di mana data tersebut disimpan, dan di mana potensi paparan data mungkin terjadi. 
  • Peningkatan pelaporan internal sehingga temuan teknis dapat diubah menjadi informasi yang jelas dan dapat ditindaklanjuti untuk tata kelola.

Ketahanan siber kini menjadi persyaratan bisnis. RUU ini menandakan pergeseran dari kepatuhan pasif menjadi kemampuan aktif. Organisasi yang menggabungkan panduan hukum yang kuat dengan wawasan operasional berbasis bukti akan lebih siap untuk memimpin dengan keyakinan, kelangsungan, dan kendali.

Untuk informasi lebih lanjut, silakan hubungi:

Tag: cyber kejahatan siber Ketahanan siber Risiko siber Keamanan siber

Lebih banyak artikel seperti ini

Menavigasi Perubahan Regulasi dan Politik dalam Lingkungan WFA yang Kompleks Wawasan

Menavigasi Perubahan Regulasi dan Politik dalam Lingkungan WFA yang Kompleks

Mengapa 14 hari pertama paling penting dalam klaim tanggung jawab? Wawasan

Mengapa 14 hari pertama paling penting dalam klaim tanggung jawab?

Memenuhi kebutuhan pekerja saat ini: Mengapa intervensi dini perawat menjadi pintu masuk baru untuk hasil klaim yang lebih baik Wawasan

Memenuhi kebutuhan pekerja saat ini: Mengapa intervensi dini perawat menjadi pintu masuk baru untuk hasil klaim yang lebih baik

Bahasa