Oscar Wong | Momen | Getty Images
Perusahaan dapat menghadapi denda besar atau bahkan penangguhan layanan di Uni Eropa berdasarkan peraturan keamanan siber baru yang ketat yang akan mulai berlaku bulan depan.
Arahan keamanan siber NIS 2 Uni Eropa akan mulai berlaku pada tanggal 17 Oktober oleh negara-negara anggota. Itu berarti perusahaan harus memastikan operasi mereka sesuai dengan kewajiban yang ditetapkan oleh undang-undang baru.
Aturan tersebut memberlakukan persyaratan yang lebih ketat pada perusahaan seputar strategi ketahanan siber internal dan praktik internal mereka.
CNBC mengulas semua yang perlu Anda ketahui tentang NIS 2 — mulai dari apa yang diwajibkan undang-undang hingga potensi sanksi yang dapat dihadapi bisnis jika melanggar.
Apa itu NIS 2?
NIS 2, yang merupakan singkatan dari Network and Information Security Directive 2, merupakan arahan Uni Eropa yang bertujuan untuk meningkatkan keamanan sistem dan jaringan TI di seluruh blok. Diperkenalkan pada tahun 2020, undang-undang ini berfungsi sebagai pemutakhiran dari arahan sebelumnya yang disebut NIS.
NIS 2 memperluas cakupan pendahulunya untuk mengatasi tantangan dan ancaman keamanan siber terkini yang muncul saat penjahat menemukan cara baru untuk meretas perusahaan dan membahayakan data sensitif mereka.
Arahan tersebut berlaku untuk organisasi yang beroperasi di dalam UE dan menyediakan layanan penting bagi konsumen, termasuk bank, pemasok energi, lembaga perawatan kesehatan, penyedia internet, perusahaan transportasi, dan pengolah limbah.
Bidang utama yang akan dibahas adalah manajemen risiko, akuntabilitas perusahaan, kewajiban pelaporan, dan perencanaan kesinambungan bisnis jika terjadi pelanggaran dunia maya.
Geert van der Linden, wakil presiden eksekutif layanan keamanan siber global di Capgemini, mengatakan kepada CNBC bahwa NIS 2 secara efektif telah menetapkan dasar baru bagi perusahaan tentang apa yang dapat diterima untuk melindungi warga negara, mempertahankan operasi, dan tetap tangguh dalam menghadapi serangan siber.
“NIS 2 akan dianggap sebagai standar global oleh para hakim” saat mulai dapat diberlakukan, Van der Linden menambahkan. “Bagi klien kami, terlepas dari apakah mereka dianggap penting atau tidak dalam peraturan tersebut, mereka harus melihat garis dasar tersebut dan memastikan bahwa mereka patuh.”
Dengan memenuhi standar ini, perusahaan akan secara efektif melindungi diri dari klaim, Van der Linden menambahkan. Ia membandingkannya dengan mengambil asuransi rumah untuk melindungi rumah Anda dari pencuri.
“Ke mana pencuri pergi? Itu selalu rumah yang paling tidak terlindungi. Mereka membuka setiap pintu untuk melihat ke mana mereka bisa masuk,” katanya. Hal yang sama juga berlaku bagi perusahaan yang ingin melindungi diri dari serangan siber, Van der Linden menambahkan.
Berdasarkan NIS 2, perusahaan juga harus memeriksa rantai pasokan digital mereka untuk mengetahui adanya ancaman dan kerentanan siber. Perusahaan saat ini menggunakan berbagai produk dan alat yang berbeda setiap hari, sehingga memberikan lebih banyak peluang bagi penjahat untuk melakukan serangan.
Chris Gow, kepala tim kebijakan publik Cisco di Uni Eropa, mengatakan kepada CNBC bahwa “latihan pemetaan” akan dilakukan di bawah NIS 2, di mana perusahaan harus memindai vendor teknologi mereka untuk mengevaluasi setiap potensi risiko.
Perusahaan juga akan memiliki “kewajiban untuk berhati-hati” dalam melaporkan dan berbagi informasi tentang kerentanan dan peretasan dunia maya dengan perusahaan lain berdasarkan NIS 2 — meskipun itu berarti harus mengakui bahwa mereka menjadi korban pelanggaran dunia maya.
Bagaimana jika perusahaan gagal mematuhinya?
Perusahaan yang gagal mematuhi undang-undang baru tersebut dapat menghadapi denda potensial yang besar, beserta tindakan hukuman lainnya.
Bagi entitas yang dianggap penting, seperti perusahaan transportasi, keuangan, dan air, kegagalan mematuhi NIS 2 dapat menyebabkan denda hingga 10 juta euro ($11,1 juta) atau 2% dari pendapatan tahunan global — mana pun yang jumlahnya lebih tinggi.
Sementara itu, perusahaan yang dianggap penting — seperti perusahaan makanan, perusahaan kimia, dan layanan pengelolaan limbah — menghadapi denda hingga 7 juta euro atau 1,4% dari pendapatan tahunan global mereka karena ketidakpatuhan.
Perusahaan juga dapat menghadapi kemungkinan penangguhan layanan jika mereka gagal mematuhi NIS 2, serta pengawasan yang lebih ketat untuk melihat apakah mereka telah patuh.
Jika suatu bisnis menjadi korban pelanggaran siber, mereka akan memiliki waktu 24 jam untuk mengajukan pemberitahuan peringatan dini kepada pihak berwenang. Ini lebih ketat daripada jangka waktu 72 jam yang harus diberikan perusahaan untuk memberi tahu pihak berwenang tentang pelanggaran data berdasarkan GDPR (General Data Protection Regulation), undang-undang privasi data terpisah di Uni Eropa.
“Persiapan untuk NIS 2 bukanlah perlombaan untuk melihat apa yang bisa Anda lakukan, melainkan perlombaan di mana organisasi terkuat berlomba melampaui batas dasar dan memanfaatkan upaya ini untuk mendapatkan keunggulan kompetitif,” kata Carl Leonard, ahli strategi keamanan siber EMEA untuk Proofpoint, kepada CNBC.
“Saya mengantisipasi organisasi akan mendapat dukungan yang lebih baik melalui upaya yang dikoordinasikan di tingkat Uni Eropa,” kata Leonard. “Ini akan mencakup intelijen ancaman bersama, tingkat keamanan siber yang lebih tinggi, dan mentalitas 'kita bersama-sama dalam hal ini'.”
Apakah bisnis sudah siap?
Para pelaku bisnis berlomba-lomba untuk menata proses dan kontrol internal mereka, serta budaya yang lebih luas seputar keamanan siber, agar siap menghadapi batas waktu 17 Oktober.
Gow dari Cisco mengatakan bahwa bahkan tanpa adanya ancaman regulasi baru, bisnis telah bekerja keras untuk mengubah budaya mereka secara internal untuk memastikan bahwa mereka menangani ancaman pelanggaran cyber dan insiden pemadaman dengan serius.
“Bahkan di luar apa yang terjadi di sisi regulasi, kami melihat bahwa pelaporan dilakukan mulai dari level CISO (kepala petugas keamanan informasi) hingga ke dewan dan manajemen.”
Ia menambahkan bahwa NIS 2 menyebabkan para pelaku bisnis bertindak lebih cepat dalam menyelaraskan kontrol dan praktik siber mereka dengan peraturan baru.
“Itu benar-benar berdampak,” katanya. “Saya melihatnya sendiri. Orang-orang di internal mengajukan pertanyaan dari bagian penjualan dan manajemen, menanyakan 'Bagaimana ini berdampak bagi kami?'” Ia menambahkan ada “persiapan yang harus dilakukan sekarang” bagi para pelaku bisnis untuk memastikan mereka memenuhi persyaratan NIS 2.
Meski begitu, meski keamanan siber menjadi fokus yang lebih menonjol di ruang rapat, hal ini tidak menghentikan terjadinya serangan siber.
Awal tahun ini, serangan ransomware terhadap Synnovis, penyedia layanan kesehatan swasta di Inggris, mengganggu lebih dari 3.000 janji temu di rumah sakit dan dokter umum. Penyerangnya, kelompok peretas berbasis di Rusia bernama Qilin, menuntut pembayaran tebusan sebesar £40 juta.
Gow mengatakan bahwa akan menjadi suatu kesalahan jika berasumsi bahwa peraturan baru dapat mencegah terjadinya insiden serupa di masa mendatang, tetapi menambahkan bahwa NIS 2 telah membantu “menciptakan pengawasan dan memfokuskan sumber daya untuk menunjukkan bagaimana Anda akan meningkatkan tingkat keamanan secara keseluruhan.”