Uni Eropa telah mengadopsi Cyber Resilience Act (CRA), regulasi keamanan siber baru untuk produk digital. Diusulkan pada tahun 2022, CRA didorong oleh kekhawatiran yang meningkat atas serangan siber pada perangkat perangkat keras dan perangkat lunak, yang menyebabkan kerugian global diperkirakan mencapai €5,5 triliun pada tahun 2021. Undang-undang ini bertujuan untuk memastikan produsen membangun keamanan ke dalam produk sejak awal, sehingga melindungi konsumen dan bisnis dari ancaman siber di era digital.
Latar Belakang
Serangan siber pada infrastruktur kritis dan sistem industri telah menyoroti perlunya aturan keamanan siber yang lebih kuat di UE. Seiring dengan semakin banyaknya peralatan industri, gawai rumah tangga, dan perangkat Internet of Things (IoT) yang terhubung secara daring, kerentanan keamanan pun berlipat ganda. Konsumen semakin banyak yang menjadi korban peretasan yang mengeksploitasi kelemahan pada perangkat pintar sehari-hari. Insiden siber dapat menyebabkan gangguan ekonomi dan sosial yang parah, bahkan membahayakan nyawa, yang menggarisbawahi urgensi untuk bertindak.
Sebelum adanya CRA, banyak produk digital memiliki pengamanan keamanan siber yang minimal. Kerentanan yang meluas sering kali tidak diperbaiki karena produsen gagal memberikan pembaruan keamanan yang konsisten. Di saat yang sama, pengguna kekurangan informasi yang memadai untuk menilai atau mengonfigurasi keamanan perangkat yang mereka gunakan. Selain itu, sebagian besar produk perangkat keras dan perangkat lunak tidak tunduk pada regulasi keamanan siber tingkat UE, sehingga menciptakan celah perlindungan di mana perusahaan memiliki sedikit insentif untuk memprioritaskan keamanan. Cyber Resilience Act diperkenalkan untuk mengatasi masalah ini dengan menetapkan standar keamanan siber yang seragam untuk semua produk digital di pasar UE.
Tujuan
Cyber Resilience Act dirancang untuk meningkatkan ketahanan siber ekosistem digital Eropa. Secara khusus, ia memiliki dua tujuan utama:
- Menciptakan kondisi untuk mengembangkan produk digital yang aman – memastikan perangkat keras dan perangkat lunak yang ditempatkan di pasar memiliki lebih sedikit kerentanan, dan produsen memprioritaskan keamanan sepanjang siklus hidup produk.
- Memberdayakan pengguna (baik konsumen maupun bisnis) untuk mempertimbangkan keamanan siber dalam keputusan mereka saat memilih dan menggunakan produk dengan elemen digital.
Selain itu, Undang-Undang ini menguraikan empat tujuan khusus untuk mendukung sasaran tersebut:
- Memastikan produsen meningkatkan keamanan produk mulai dari fase desain dan pengembangan hingga seluruh masa pakai produk (secure by design dan secure by default).
- Menetapkan kerangka kerja keamanan siber yang koheren sehingga memudahkan produsen perangkat keras dan perangkat lunak untuk mematuhi persyaratan.
- Meningkatkan transparansi fitur keamanan siber produk digital (sehingga pengguna dapat mengetahui tingkat keamanan produk).
- Memungkinkan bisnis dan konsumen menggunakan produk digital dengan aman.
Implikasi bagi Perusahaan Teknologi
CRA memiliki implikasi yang luas bagi perusahaan teknologi. Regulasi ini mencakup hampir semua produk dengan elemen digital yang dijual di pasar tunggal UE – mulai dari perangkat keras dan perangkat lunak komputer hingga perangkat IoT seperti jam tangan pintar dan peralatan rumah tangga pintar, bahkan sistem infrastruktur kritis yang terhubung jaringan di bidang energi, transportasi, kesehatan, dan keuangan. Dengan cakupan yang begitu luas, undang-undang ini berlaku bagi produsen, pemasok, importir, dan distributor produk teknologi apa pun yang mengandung komponen digital di UE.
Undang-Undang ini secara signifikan menggeser tanggung jawab keamanan siber kepada produsen. Perusahaan harus memastikan produk mereka memenuhi persyaratan keamanan baru sebelum memasuki pasar. Produsen diwajibkan melakukan penilaian risiko siber, menerbitkan deklarasi kesesuaian UE, dan bekerja sama dengan pihak berwenang untuk menunjukkan kepatuhan. Importir dan distributor juga harus memverifikasi bahwa produk yang mereka perdagangkan sesuai dengan standar keamanan CRA.
Selain itu, produsen harus menerapkan proses penanganan kerentanan sepanjang siklus hidup produk. Mereka diharapkan untuk mengatasi setiap kelemahan keamanan yang ditemukan melalui pembaruan dan melaporkan insiden siber yang serius dalam waktu 24 jam kepada otoritas UE yang relevan. CRA juga menekankan transparansi: pengguna akan menerima informasi yang lebih jelas tentang properti keamanan siber produk, sehingga memungkinkan mereka membuat keputusan pembelian yang lebih cerdas. Regulator UE akan melakukan pengawasan pasar (market surveillance) untuk menegakkan aturan-aturan ini dan memastikan kepatuhan industri.
Perusahaan diberikan periode transisi untuk beradaptasi dengan aturan baru. Setelah CRA berlaku, produsen akan memiliki waktu sekitar dua tahun untuk memenuhi persyaratan keamanan baru, dan satu tahun untuk mematuhi kewajiban pelaporan kerentanan dan insiden. Ketidakpatuhan akan dikenakan sanksi berat:
- Hingga €15 juta atau 2,5% dari omzet tahunan global (mana yang lebih tinggi) jika gagal memenuhi persyaratan keamanan siber.
- Hingga €10 juta atau 2% dari omzet dunia untuk pelanggaran yang lebih ringan (seperti kegagalan melaporkan insiden dengan benar).
Penalti yang tinggi ini menggarisbawahi keseriusan UE dalam menegakkan CRA.
Keamanan Siber dan Konsumen
Bagi konsumen, CRA menjanjikan produk digital yang lebih aman. Perangkat sehari-hari – mulai dari ponsel, komputer, dan gawai rumah pintar hingga mainan yang terhubung internet – harus memenuhi standar keamanan minimum sebelum dapat dijual. Produsen harus memperbaiki kerentanan dan menyediakan pembaruan keamanan rutin, sehingga mengurangi risiko peretasan, malware, dan kebocoran data. Secara keseluruhan, Undang-Undang ini melindungi konsumen dan bisnis dari produk dengan fitur keamanan yang tidak memadai.
CRA juga memberdayakan pengguna dengan informasi yang lebih baik. Perusahaan perlu lebih transparan tentang aspek keamanan produk mereka, misalnya, melalui label atau dokumentasi yang merinci tingkat perlindungan produk. Hal ini memungkinkan konsumen untuk mempertimbangkan keamanan siber saat memilih produk. Pembeli akan lebih mudah mengidentifikasi produk yang memiliki fitur keamanan yang tepat dan memenuhi standar. Langkah ini diharapkan dapat mendorong produsen untuk bersaing dalam hal keamanan, sehingga menaikkan standar perlindungan pengguna secara keseluruhan.
Dampak pada Bisnis dan Industri Teknologi
Dalam jangka pendek, perusahaan teknologi di Eropa perlu berinvestasi dalam kepatuhan – menyesuaikan proses pengembangan produk, melatih staf, dan mungkin mendesain ulang produk untuk memenuhi persyaratan CRA. Hal ini dapat meningkatkan biaya dan kompleksitas, terutama bagi startup dan bisnis kecil. Namun, dalam jangka panjang, standar keamanan yang seragam menciptakan lapangan permainan yang lebih adil bagi perusahaan. Keamanan siber menjadi ekspektasi dasar untuk semua produk, yang dapat meningkatkan kepercayaan konsumen terhadap teknologi.
Berinvestasi dalam keamanan yang lebih baik juga dapat menyelamatkan perusahaan dari biaya besar insiden siber – bahkan, manajemen kerentanan wajib di bawah CRA diperkirakan dapat menyelamatkan perusahaan dan konsumen Eropa sebesar miliaran euro dengan mencegah serangan siber dalam rantai pasok.
Pengaruh Global
Secara global, Cyber Resilience Act siap untuk meningkatkan standar keamanan siber di seluruh dunia. Sebagai undang-undang pertama sejenisnya yang secara komprehensif mengatur keamanan produk digital, CRA memantapkan UE sebagai pemimpin dalam regulasi keamanan siber. Bahkan dikatakan bahwa undang-undang ini dapat "mengubah aturan main" secara global dalam hal tata kelola keamanan produk.
Perusahaan teknologi di luar Eropa yang ingin mengakses pasar UE harus mematuhi CRA, yang berpotensi mengadopsi praktik serupa dalam operasional mereka di seluruh dunia. Kemungkinan juga negara atau wilayah lain akan mengikuti jejak UE dengan memperkenalkan regulasi serupa untuk melindungi konsumen dan sistem kritis mereka dari ancaman siber.
Kesimpulan
Cyber Resilience Act menggarisbawahi bahwa keamanan siber kini menjadi persyaratan mendasar dalam lanskap produk digital. Regulasi ini diharapkan tidak hanya melindungi konsumen dan bisnis Eropa dari ancaman siber, tetapi juga mendorong standar keamanan yang lebih tinggi secara global untuk ekosistem digital yang lebih aman.