Track: Keduanya (K); untuk Direksi/Manajer dan Praktisi TI.
Intisari Keputusan: Tiga Bekal untuk Bertahan
Sebelum menyusuri peta regulasi yang panjang, tiga pegangan ini yang paling menentukan apakah Anda membaca lanskap hukum dengan benar atau salah kamar:
- Regulasi bukan hambatan; ia peta batas risiko. UU SDA, UU PDP, PP PSTE, regulasi sektor SPAM, regulasi sistem pembayaran, dan aturan BUMD/KPBU menentukan batas minimum; tata kelola TI yang baik adalah cara memenuhinya secara berkelanjutan, bukan sekadar saat audit.
- Sebuah aturan mengikat karena salah satu dari tiga dasar: peran atau aktivitas yang dijalankan (UU PDP, UU ITE, PP PSTE), status kepemilikan (aturan BUMD/PDAM), atau kontrak kerja sama dengan pemerintah. Salah membaca dasar ini membuat organisasi mematuhi aturan yang tak relevan sambil melewatkan yang justru mengikat.
- Mulai dari inventaris, bukan dari proyek besar. Langkah pertama bukan transformasi sistem; melainkan tahu regulasi mana yang berlaku umum, mana yang khusus BUMD/PDAM, mana yang muncul dari kontrak kerja sama dengan pemerintah, dan mana yang belum punya respons internal.
Panduan Membaca Bab Ini Bab ini menyatukan lanskap hukum yang tersebar menjadi satu peta kerja. Tidak perlu dibaca seperti novel dari awal sampai akhir. Gunakan sebagai ensiklopedia referensi: baca pembuka naratifnya, lalu lompat ke regulasi yang sedang menjadi prioritas audit atau kepatuhan (compliance) di organisasi Anda. Cara menjalankan kepatuhannya, lengkap dengan pola kasus dan rencana 90 hari, dibahas tuntas di Bab 3.
⏱️ Jika Anda hanya punya 10 menit
Baca Tabel 2.0 di bawah (5 regulasi paling kritis), lalu §2.1-§2.2 untuk detail aturan dan regulatornya. Cara memenuhinya, contoh kasus terverifikasi, dan rencana 90 hari ada di Bab 3. Simpan sisanya sebagai referensi saat auditor datang atau kontrak kerja sama dinegosiasikan.
5 Regulasi yang Paling Mungkin Menjerat Anda
Tabel ringkasan berikut untuk Direksi yang hanya punya 10 menit. Lima regulasi ini adalah yang paling mungkin memicu sanksi, teguran, atau embarrassment cycle bila diabaikan. Detail masing-masing ada di bagian 2.1 dan 2.2.
Tabel 2.0 Lima regulasi paling kritis untuk perusahaan utilitas air
| Regulasi | Pasal Kunci | Kewajiban Inti | Risiko Jika Melanggar | Lembaga Penegak | Estimasi Biaya Kepatuhan |
|---|---|---|---|---|---|
| UU 27/2022 PDP | Ps. 20-26, 34-35, 46 | Lindungi data pribadi pelanggan; tunjuk pejabat pelindungan data; laporkan insiden kebocoran data dalam 3×24 jam | Denda administratif hingga 2% pendapatan tahunan; pidana penjara hingga 5 tahun; gugatan perdata dari pelanggan | Kominfo (administratif); Kepolisian & Kejaksaan (pidana); Pengadilan Negeri (gugatan perdata) | Rp 300–800 juta/tahun (pejabat, sistem, audit) |
| UU 11/2008 ITE + perubahan (UU 19/2016, UU 1/2024) | Ps. 15-16, 27-30 | Operasikan sistem elektronik secara andal dan aman; pastikan kontrak elektronik sah; jangan sampai sistem disalahgunakan | Pidana penjara 4–8 tahun untuk pelanggaran berat; pemblokiran sistem oleh Kominfo; gugatan perdata | Kominfo (pemblokiran, administrasi); Polri & Kejaksaan (pidana); BSSN (insiden siber) | Rp 500 juta–2 miliar untuk sertifikasi dan tata kelola sistem |
| PP 71/2019 PSTE | Ps. 4, 14, 18, 20 | Daftarkan sistem elektronik; lakukan manajemen risiko dan manajemen keamanan; dapatkan sertifikat kelaikan untuk sistem strategis | Sanksi administratif dari Kominfo; sistem tidak boleh beroperasi tanpa registrasi; kehilangan kepercayaan mitra pembayaran | Kominfo (registrasi & sanksi administratif); BSSN (keamanan sistem strategis) | Rp 300–600 juta (registrasi, asesmen, sertifikasi) |
| PP 122/2015 SPAM | Ps. 8-12, 55-56 | Penuhi standar penyelenggaraan SPAM; pastikan kualitas, kuantitas, kontinuitas air; laporkan kinerja ke pemerintah | Sanksi administratif dari Kementerian PUPR; penghentian bantuan pusat; pencabutan izin operasi | Kementerian PUPR (pengawasan & sanksi); Kemendagri (BUMD); Bappenas (proyek pusat) | Biaya sudah termasuk operasional; tambahan TI ~Rp 200–500 juta/tahun |
| PP 54/2017 BUMD (khusus BUMD/PDAM) | Ps. 88-95 | Bentuk satuan pengawas intern; terapkan tata kelola perusahaan yang baik; lapor kinerja ke pemegang saham daerah | Teguran Kemendagri; rekomendasi pemberhentian Direksi; temuan material BPK | Kemendagri (pengawasan BUMD); BPK (audit keuangan negara); BPKP (audit kinerja) | Rp 400–800 juta (SPI, audit eksternal, sistem pelaporan) |
Catatan: Estimasi biaya bersifat ilustratif untuk BUMD/operator skala menengah (150.000–300.000 SR). Angka aktual bergantung pada skala, kondisi awal, dan pilihan vendor.
Khusus BUMD Pemilik Aset yang Mengontrakkan Operasi
Jika BUMD Anda mengontrakkan operasi penuh ke operator swasta (seperti dalam skema kerja sama pemerintah-swasta yang umum di kota besar), Anda tidak beroperasi, tetapi Anda tetap bertanggung jawab secara hukum. UU PDP menetapkan Anda sebagai Pengendali Data Pribadi; operator Anda hanyalah Prosesor. UU ITE melekat pada sistem elektronik milik BUMD, bukan milik operator. BPK mengaudit BUMD, bukan operator.
Implikasinya langsung pada Tabel 2.0 di atas:
- Biaya kepatuhan tidak bisa sekadar “didelegasikan ke operator.” Anda harus mengontrakkan kepatuhan itu: SLA, hak audit, laporan bulanan, dan denda.
- Kolom “Lembaga Penegak” menjadi kritis karena ketika surat dari Kominfo atau BSSN tiba, surat itu ditujukan ke BUMD, bukan ke operator Anda.
- Jika kontrak kerja sama tidak memuat klausul kepatuhan regulasi secara eksplisit, Anda membayar kepatuhan dua kali: operator membangun sistemnya sendiri, dan Anda membangun sistem bayangan untuk keperluan audit.
Rujuk Bab 6 §6.3.9 untuk pembahasan lengkap tata kelola TI dalam skema pemilik-operator.
Ketika Pengendali Tidak Menjalankan Perannya: Panduan untuk Prosesor
Skenario ini umum terjadi: PDAM sebagai Pengendali Data Pribadi belum menunjuk Pejabat Pelindungan Data, belum memiliki kebijakan privasi, dan belum pernah menanggapi permintaan akses data dari pelanggan. Sementara itu, operator swasta sebagai Prosesor menerima keluhan pelanggan setiap hari di call center. Pelanggan tidak peduli siapa Pengendali siapa Prosesor; mereka ingin data mereka dilindungi.
Dalam situasi ini, Prosesor tidak bisa sekadar menunggu. Langkah perlindungan minimum yang bisa diambil:
Dokumentasikan ketidakpatuhan Pengendali secara tertulis. Surat resmi dari operator ke PDAM yang menyatakan: “Berdasarkan UU PDP Pasal 20-26, PDAM sebagai Pengendali memiliki kewajiban X, Y, Z. Saat ini kewajiban tersebut belum terpenuhi. Kami sebagai Prosesor merekomendasikan tindakan berikut.” Simpan salinan dan tanda terima.
Jalankan langkah keamanan minimum secara mandiri. Meskipun Pengendali belum menetapkan standar, Prosesor bisa dan harus: (a) mengenkripsi data pelanggan saat disimpan dan dikirim, (b) membatasi akses ke data pelanggan hanya untuk staf yang bertugas, (c) mencatat setiap akses ke data pelanggan (audit trail).
Siapkan klausul kontrak. Saat kontrak kerja sama diperbarui, masukkan klausul eksplisit yang menyatakan bahwa: (a) PDAM adalah Pengendali dan bertanggung jawab atas pemenuhan kewajiban UU PDP, (b) PDAM akan menanggung biaya dan risiko hukum yang timbul dari ketidakpatuhan di sisi Pengendali, (c) operator berhak menangguhkan pemrosesan data tertentu jika instruksi Pengendali melanggar UU PDP.
Jangan membuat keputusan atas nama Pengendali tanpa instruksi. Menerapkan kebijakan privasi, menunjuk Pejabat Pelindungan Data, atau menentukan tujuan pemrosesan data adalah kewenangan Pengendali. Prosesor yang mengambil alih peran ini tanpa instruksi justru berisiko dianggap sebagai Pengendali; dan ikut menanggung seluruh kewajiban hukum yang menyertainya.
Navigasi Bab: Apa yang Akan Anda Hadapi?
Diagram 2.1 menunjukkan cara membaca bab ini: mulai dari regulasi nasional yang relevan, lalu kenali regulator kunci dan peran mereka. Penerjemahan kewajiban menjadi kontrol TI dan rencana kepatuhan yang bisa dibahas di rapat Direksi dilanjutkan di Bab 3.

Diagram 2.1 Peta Konsep Bab 2
Pembuka: Pukul 00.54, Pusat Data Nasional
Pukul 00.54 dini hari, Kamis 20 Juni 2024, server Pusat Data Nasional di Surabaya mulai dienkripsi. Ransomware varian Brain Cipher, turunan LockBit 3.0, bergerak cepat: menginstal file berbahaya, menghapus file sistem penting, menonaktifkan layanan yang sedang berjalan. Beberapa jam kemudian, 210 instansi pemerintah kehilangan akses ke data mereka. Layanan imigrasi lumpuh total. Paspor tidak bisa diproses. Antrean di bandara menumpuk. Berita utama nasional hari itu hanya satu: Indonesia diserang siber.
Pemicunya bukan zero-day exploit canggih. Investigasi BSSN menemukan akar yang jauh lebih sederhana: fitur keamanan Windows Defender dinonaktifkan. Dimulai 17 Juni 2024 pukul 23.15 WIB; tiga hari penuh sebelum serangan. Tiga hari di mana satu kontrol keamanan dasar mati, tanpa ada yang mendeteksi, tanpa ada yang mengeskalasi, tanpa ada peringatan ke pimpinan.
Insiden ini bukan komposit dan bukan fiksi. Ini kejadian nyata yang terdokumentasi dalam catatan publik: diinvestigasi oleh Badan Siber dan Sandi Negara, dijelaskan oleh Menteri Komunikasi dan Informatika dalam konferensi pers, dilaporkan oleh BBC Indonesia, Antara, Kompas, dan media nasional lainnya. Pelajaran tata kelolanya sangat jelas.
Bagi jajaran eksekutif utilitas air, mungkin pagi itu Anda menerima telepon: data organisasi Anda ikut terdampak. Atau mungkin organisasi Anda cukup beruntung tidak terdampak langsung, tapi Anda menyaksikan 210 institusi (dari imigrasi sampai kependudukan) tidak bisa mengakses data mereka sendiri. Apa yang terjadi di Surabaya Juni 2024 bukan sekadar serangan siber. Ia adalah kegagalan kepatuhan terhadap satu kontrol keamanan paling dasar; kontrol yang seharusnya tidak pernah boleh dinonaktifkan tanpa otorisasi, tanpa pemantauan, tanpa eskalasi. Satu orang menonaktifkan satu fitur. Dua ratus sepuluh institusi terdampak. Itulah konsekuensi ketika kepatuhan dianggap formalitas.
Dalam konteks utilitas air di Indonesia, ekosistem regulasi semakin berlapis. Tidak hanya regulasi sektor utilitas yang perlu diperhatikan, tetapi juga regulasi lintas sektor seperti pelindungan data pribadi, transaksi elektronik, keamanan siber, dan sistem pembayaran digital. Memahami ekosistem regulasi ini adalah langkah pertama yang tidak dapat ditawar untuk membangun tata kelola TI yang efektif.
Lapisnya perlu dibaca dengan tertib. Ada regulasi yang berlaku untuk semua organisasi utilitas air karena menyangkut hak atas air, sistem elektronik, data pribadi, keamanan, dan pembayaran; lapis ini mengikat operator swasta secara langsung, lahir dari aktivitas yang dijalankan, bukan dari hubungan dengan pemerintah. Ada regulasi yang khusus melekat pada BUMD/PDAM karena status kepemilikan daerah. Ada pula kewajiban yang lahir dari kontrak kerja sama, KPBU, SLA, dan penugasan layanan publik bagi operator swasta mitra pemerintah. Jika tiga lapis ini dicampur, organisasi bisa salah membaca kewajiban. Pertama, operator swasta bisa dituntut mematuhi aturan khusus BUMD. Kedua, operator swasta mungkin mengabaikan hukum universal seperti UU PDP dengan dalih itu “urusan BUMD”. Padahal regulasi tersebut mengikat siapa pun pengelola data pelanggan.
Lima hal yang harus dipetakan: regulasi nasional mana yang relevan, kewajiban mana yang melekat pada pimpinan organisasi, mana yang khusus BUMD/PDAM, mana yang muncul dari kontrak kerja sama dengan pemerintah, dan bagaimana menerjemahkannya ke persyaratan implementasi TI yang konkret. Peta regulasi ini adalah dasar gap analysis yang tidak bisa diabaikan.
2.1 Regulasi Nasional yang Relevan
Lanskap regulasi Indonesia yang berkaitan dengan tata kelola TI dapat dibagi menjadi beberapa kategori: regulasi fundamental, regulasi sektor utilitas, regulasi BUMD dan kerja sama infrastruktur, regulasi teknologi informasi, regulasi sistem pembayaran, keamanan siber, dan pelindungan data. Memahami kategori-kategori ini membantu organisasi membangun kerangka kepatuhan yang komprehensif tanpa mencampuradukkan kewajiban yang berbeda.
2.1.1 Regulasi Fundamental: Dasar Konstitusional
UU No. 17 Tahun 2019 tentang Sumber Daya Air
Undang-undang ini adalah fondasi konstitusional bagi seluruh sektor utilitas air di Indonesia. Tiga pasal kuncinya: Pasal 5 menjamin hak setiap orang atas air untuk kebutuhan pokok sehari-hari; Pasal 8 menegaskan penguasaan negara atas sumber daya air untuk kemakmuran rakyat; Pasal 46 mengatur kerja sama antara pemerintah dan badan usaha dalam pengelolaan air. Konsekuensinya jelas: ketersediaan layanan bukan sekadar target bisnis; ia bagian dari pemenuhan hak dasar masyarakat yang dijamin konstitusi.
Dari perspektif tata kelola TI, undang-undang ini memiliki implikasi signifikan. Jika sistem TI yang mendukung operasi layanan mengalami gangguan, organisasi tidak hanya menghadapi risiko finansial, tetapi juga potensi pelanggaran hak konstitusional. Ini adalah alasan kuat mengapa availability dan business continuity sistem TI harus dianggap sebagai prioritas tertinggi, bukan sekadar aspek teknis operasional.
UU No. 23 Tahun 2014 tentang Pemerintahan Daerah
Undang-undang ini mengatur hubungan antara pemerintah pusat dan pemerintah daerah, termasuk peran BUMD sebagai instrumen pemerintah daerah untuk mempercepat pembangunan dan pelayanan publik. Bagi perusahaan utilitas yang berstatus BUMD, undang-undang ini menjadi rujukan untuk tata kelola korporasi, hubungan dengan pemegang saham pemerintah daerah, dan kewajiban pelaporan. Bagi operator swasta mitra pemerintah, relevansinya biasanya tidak langsung: ia muncul melalui hubungan dengan pemerintah daerah, BUMD mitra, perizinan, dan dokumen kerja sama yang menjadi dasar layanan.
Dari perspektif TI, implikasinya meliputi kewajiban pelaporan kinerja ke pemerintah daerah yang memerlukan sistem informasi manajemen yang memadai, koordinasi dengan berbagai unit kerja daerah yang memerlukan interoperability sistem, dan kewajiban transparansi yang mendorong pengembangan sistem pelaporan terbuka.
PP No. 54 Tahun 2017 tentang Badan Usaha Milik Daerah
Peraturan pemerintah ini memberikan panduan lebih rinci mengenai tata kelola BUMD, termasuk struktur organisasi, organ perusahaan, satuan pengawas intern, komite audit, komite lain, perencanaan, operasional, pelaporan, tata kelola perusahaan yang baik, kerja sama, dan pengawasan. Pasal 88-95 mewajibkan BUMD membentuk Satuan Pengawas Intern (SPI) yang bertanggung jawab langsung ke Direktur Utama dan Dewan Pengawas; fungsi ini menjadi garis pertahanan pertama sebelum audit BPK. Ini adalah rujukan utama untuk PDAM/BUMD air minum, bukan untuk semua operator swasta.
Dalam konteks tata kelola TI, peraturan ini mendorong BUMD utilitas untuk menetapkan struktur tata kelola yang jelas, termasuk komite teknologi informasi. Aset dan risiko TI wajib diintegrasikan ke laporan kinerja korporasi. Selain itu, investasi TI harus dipastikan mendukung tujuan strategis BUMD. SPI wajib menjalankan audit internal berkala terhadap pengelolaan sistem, keamanan data, dan kepatuhan prosedur TI.
Perpres No. 38 Tahun 2015 tentang Kerja Sama Pemerintah dengan Badan Usaha dalam Penyediaan Infrastruktur
Perpres ini penting untuk membaca posisi operator swasta utilitas air yang bekerja sama dengan pemerintah. Kerja sama pemerintah dengan badan usaha bukan sekadar hubungan komersial biasa; ia membawa kewajiban layanan, pembagian risiko, indikator kinerja, tata kelola kontrak, dan mekanisme pelaporan yang harus diterjemahkan ke sistem TI.
Dari perspektif tata kelola TI, implikasinya jelas: SLA layanan, data operasional, data pelanggan, rekonsiliasi kinerja, pelaporan kepada mitra pemerintah, dan keamanan integrasi sistem harus dirancang sebagai bagian dari tata kelola kontrak. Operator swasta tidak otomatis berada di bawah seluruh rezim BUMD, tetapi kewajiban publiknya tetap nyata karena layanan yang dijalankan menyentuh hak dasar masyarakat.
2.1.2 Regulasi Sektor Utilitas
PP No. 122 Tahun 2015 tentang Sistem Penyediaan Air Minum
Peraturan Pemerintah ini menjadi salah satu rujukan utama penyelenggaraan Sistem Penyediaan Air Minum (SPAM). Pasal 8-12 menetapkan standar penyelenggaraan SPAM meliputi kualitas, kuantitas, kontinuitas, dan keterjangkauan air. Pasal 55-56 mengatur kewajiban pelaporan kinerja penyelenggara kepada pemerintah. Bagi perusahaan utilitas air, PP ini penting karena menghubungkan kewajiban layanan, pengembangan jaringan, standar penyelenggaraan, dan pembagian peran antar pemerintah, penyelenggara, serta pihak yang bekerja sama dalam penyediaan air minum.
Dari perspektif tata kelola TI, implikasinya bukan hanya pelaporan teknis. Sistem informasi operasional, data pelanggan, pemantauan kualitas layanan, pengelolaan aset jaringan, dan dokumentasi perizinan harus mendukung standar penyelenggaraan SPAM. Untuk operator swasta mitra pemerintah, kewajiban operasional biasanya dibaca bersama dokumen kerja sama, perjanjian layanan, dan target kinerja yang ditetapkan dalam kontrak.
Permen ESDM No. 14 Tahun 2024 tentang Izin Pengusahaan Air Tanah dan Persetujuan Penggunaan Air Tanah
Peraturan Menteri ESDM ini memuat ketentuan tentang Izin Pengusahaan Air Tanah dan Persetujuan Penggunaan Air Tanah. Dampaknya tidak hanya untuk BUMD/PDAM. Setiap organisasi utilitas air yang memanfaatkan air tanah perlu membaca kewajiban ini sesuai statusnya: siapa pemegang izin, siapa pengelola titik pengambilan, siapa penanggung jawab dokumen teknis, dan siapa yang wajib melaporkan atau memperpanjang izin.
Dari perspektif tata kelola TI, regulasi ini menuntut sistem pelacakan perizinan yang terintegrasi dengan manajemen aset, sistem dokumentasi untuk membuktikan kepatuhan, dan integrasi data perizinan ke dalam perencanaan operasional. Untuk operator swasta mitra pemerintah, pembagian peran ini harus tertulis jelas dalam kontrak kerja sama agar tidak ada izin yang “dianggap urusan pihak lain” sampai regulator bertanya.
Peraturan Menteri PUPR tentang SPAM
Kementerian Pekerjaan Umum dan Perumahan Rakyat menerbitkan berbagai peraturan terkait Sistem Penyediaan Air Minum (SPAM), termasuk standar pelayanan, panduan perencanaan, dan persyaratan teknis. Program 100-0-100 yang menjadi fokus nasional juga diatur melalui berbagai regulasi teknis ini.
Implikasi terhadap tata kelola TI meliputi kebutuhan sistem pemantauan kinerja operasional untuk memenuhi standar pelayanan yang ditetapkan, sistem pelaporan ke Kementerian PUPR sebagai syarat penyaluran bantuan atau pendanaan, serta integrasi data spasial untuk perencanaan jaringan distribusi yang sesuai standar.
Permendagri No. 118 Tahun 2018 tentang Rencana Bisnis, RKAP, Kerja Sama, Pelaporan, dan Evaluasi BUMD
Regulasi ini adalah rujukan BUMD-only. Ia mengatur rencana bisnis, rencana kerja dan anggaran, kerja sama, pelaporan, serta evaluasi Badan Usaha Milik Daerah. Bagi BUMD/PDAM, aspek penting bagi tata kelola TI adalah kewajiban membuat rencana bisnis dan anggaran yang terukur, termasuk bagaimana investasi TI dijustifikasi, disetujui, dipantau, dan dilaporkan.
Dalam praktiknya, sistem TI harus mampu mendukung penyusunan rencana bisnis dengan data yang akurat, investasi TI harus dijustifikasi dalam rencana bisnis dengan business case yang jelas, dan kinerja TI harus dapat diukur sebagai bagian dari evaluasi kinerja keseluruhan. Untuk operator swasta, rujukan sepadan biasanya bukan Permendagri ini, melainkan rencana usaha internal, kontrak kerja sama, kewajiban pelaporan kepada mitra pemerintah, dan mekanisme evaluasi kinerja dalam perjanjian.
Mengapa Permendagri 118/2018 Penting untuk PDAM
Di antara seluruh regulasi yang disebut dalam bab ini, Permendagri 118/2018 adalah salah satu yang paling langsung menyentuh operasional harian PDAM; tetapi paling sering diabaikan oleh fungsi TI. Peraturan ini mengatur secara rinci: (a) Rencana Bisnis (Renbis) lima tahunan; yang di dalamnya harus ada rencana investasi TI yang terukur, (b) RKAP tahunan; tempat anggaran TI dijustifikasi, (c) tata cara kerja sama; termasuk kerja sama dengan penyedia jasa TI, (d) pelaporan dan evaluasi kinerja; yang mencakup indikator layanan yang didukung TI.
Implikasinya untuk tata kelola TI sangat langsung. Jika investasi TI tidak muncul di Renbis, ia tidak akan muncul di RKAP. Jika tidak muncul di RKAP, ia tidak bisa dianggarkan. Jika tidak dianggarkan, ia tidak bisa diadakan secara sah. Banyak “proyek TI mendadak” di PDAM sebenarnya melanggar siklus perencanaan ini; dan di situlah celah temuan BPK dan BPKP muncul.
Untuk Kepala TI PDAM: pastikan Anda diundang ke rapat penyusunan Renbis dan RKAP. Jika tidak, investasi TI yang Anda usulkan akan selalu dianggap “di luar siklus”; dan itu posisi yang sangat sulit dibela di depan auditor.
2.1.3 Regulasi Teknologi Informasi dan Transaksi Elektronik
UU No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE), beserta perubahannya melalui UU No. 19 Tahun 2016 dan UU No. 1 Tahun 2024
Undang-undang ini adalah kerangka hukum fundamental untuk segala aktivitas yang menggunakan teknologi informasi di Indonesia. Versi awal tahun 2008 telah diubah dua kali. Pertama, UU 19/2016 menyesuaikan sanksi pidana dan kebebasan berekspresi. Kedua, UU 1/2024 memperkuat perlindungan masyarakat di ruang digital, mewajibkan moderasi konten, serta mengklarifikasi tanggung jawab penyelenggara sistem elektronik. Bagi perusahaan utilitas, ketiga lapisan ini saling melengkapi dan harus dirujuk bersama.
Beberapa ketentuan penting bagi perusahaan utilitas dapat diterjemahkan ke tiga kewajiban praktis.
Pertama, penyelenggara sistem elektronik harus menjalankan sistem secara andal, aman, dan bertanggung jawab. Kewajiban ini melekat pada setiap penyelenggara sistem elektronik, termasuk badan usaha swasta. Bagi perusahaan utilitas air yang mengoperasikan sistem billing, sistem pelanggan, dan portal layanan online, kewajiban ini berarti kontrol keamanan informasi harus nyata, bukan hanya tertulis.
Kedua, aktivitas elektronik harus meninggalkan bukti yang dapat diperiksa. Organisasi perlu memastikan transaksi, perubahan data, dan akses ke sistem penting memiliki jejak audit yang memadai.
Ketiga, penggunaan data pribadi dalam layanan digital harus selaras dengan prinsip pelindungan data. Setelah UU PDP berlaku, rujukan pelindungan data pelanggan perlu dibaca terutama melalui UU PDP, sementara UU ITE dan PP PSTE tetap menjadi kerangka penyelenggaraan sistem elektronik.
Implikasi praktis bagi tata kelola TI
- kebijakan keamanan informasi harus disusun dan diimplementasikan
- sistem harus memiliki kontrol akses yang jelas
- audit keamanan harus dilakukan secara berkala
- incident response untuk pelanggaran data harus dipersiapkan
UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (PDP)
Undang-undang ini merupakan tonggak penting dalam lanskap regulasi Indonesia. Sebagai undang-undang sektoral yang secara khusus mengatur pelindungan data pribadi, UU PDP menetapkan hak-hak subjek data (pelanggan), kewajiban pengendali data, kewajiban prosesor data, dan sanksi untuk pelanggaran.
Satu hal mendasar perlu ditegaskan sejak awal: kewajiban dalam UU PDP melekat pada peran, bukan pada status kepemilikan. UU PDP menempatkan setiap pihak yang menentukan tujuan dan mengendalikan pemrosesan data pribadi sebagai Pengendali Data Pribadi, dan istilah “Setiap Orang” dalam undang-undang ini mencakup korporasi, termasuk badan usaha swasta. Konsekuensinya, UU PDP mengikat BUMD/PDAM, operator swasta mitra pemerintah, dan operator swasta utilitas air yang menjalankan penagihan langsung ke pelanggan, secara setara. Selama sebuah organisasi memegang nama, alamat, nomor telepon, dan riwayat pembayaran pelanggan, ia pengendali data penuh; status badan usaha atau ada-tidaknya kerja sama dengan pemerintah tidak menciptakan pengecualian.
Bagi perusahaan utilitas yang mengelola data ratusan ribu bahkan jutaan pelanggan, implikasi UU PDP sangat signifikan:
Kewajiban pertama menyangkut transparansi: pengendali data perlu menyediakan kebijakan privasi yang jelas dan mudah diakses. Ini berarti setiap perusahaan utilitas harus memiliki dokumen kebijakan privasi yang menjelaskan jenis data yang dikumpulkan, tujuan pengumpulan, cara pengolahan, hak-hak pelanggan, dan kontak untuk pertanyaan atau keluhan.
Kewajiban keamanan. UU PDP menuntut pengendali data menjaga keamanan data pribadi. Dari perspektif TI, ini berarti sistem harus memiliki autentikasi yang kuat; data sensitif harus dilindungi saat diam maupun saat transmisi; audit trail untuk akses data harus tersedia; dan pengujian keamanan harus dilakukan secara berkala.
Status Peraturan Pelaksana (per Juni 2026)
UU PDP memberikan kerangka hukum, tetapi beberapa ketentuan operasional masih menunggu peraturan pelaksana. Peraturan Pemerintah tentang Pelindungan Data Pribadi (amanat Pasal 60 UU PDP) belum diterbitkan. Demikian pula, lembaga pengawas PDP yang akan menjatuhkan denda administratif masih dalam tahap pembentukan; fungsi ini untuk sementara berada dalam proses transisi kelembagaan. Kewajiban hukum UU PDP tetap berlaku. Ketidaklengkapan peraturan pelaksana tidak menghapuskan kewajiban pengendali dan prosesor data. Namun, pembaca perlu memantau pembaruan melalui kanal resmi Kominfo/Komdigi dan menyesuaikan program kepatuhan seiring terbitnya aturan turunan. Pembaruan signifikan akan dicatat di itgbook.com/errata.
Hak subjek data. Pelanggan memiliki hak untuk: (a) mengakses data mereka, (b) memperbaiki data yang tidak akurat, (c) menghapus data dalam kondisi tertentu, (d) menarik persetujuan, dan (e) membatasi pemrosesan. Untuk memenuhi hak-hak ini, sistem TI harus memiliki modul akses data pelanggan di portal layanan, prosedur perbaikan data yang terdokumentasi, kebijakan retensi data yang jelas, dan sistem manajemen persetujuan (consent management).
Kewajiban pelaporan. Jika terjadi pelanggaran data pribadi, organisasi perlu memiliki dasar untuk menilai, mencatat, dan melaporkan insiden sesuai ketentuan yang berlaku. Ini memerlukan sistem deteksi insiden yang memadai, prosedur incident response yang terdokumentasi, dan mekanisme komunikasi yang cepat dan akurat.
PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE)
Peraturan Pemerintah ini adalah aturan pelaksana UU ITE yang menggantikan PP 82/2012. PSTE menerjemahkan kewajiban abstrak UU ITE menjadi ketentuan teknis yang dapat diaudit, termasuk klasifikasi penyelenggara sistem elektronik, kewajiban registrasi, persyaratan keandalan dan keamanan sistem, serta tata cara penyelesaian gangguan. Banyak perusahaan utilitas air mengoperasikan sistem billing, layanan pelanggan, dan kanal pembayaran. Mereka wajib membaca PP PSTE untuk menilai posisinya. Sistem-sistem tersebut biasanya masuk cakupan penyelenggaraan sistem elektronik yang wajib dikelola, didaftarkan, diamankan, dan dipulihkan sesuai aturan.
Implikasi praktis bagi tata kelola TI:
- nilai status setiap sistem elektronik penting, termasuk billing, layanan pelanggan, integrasi pembayaran, dan SCADA gateway
- pastikan kebijakan penempatan dan pelindungan data terdokumentasi serta dipatuhi pemasok cloud
- uji DRP/BCP secara berkala dengan bukti yang dapat diperiksa
- siapkan alur eskalasi dan pelaporan insiden sesuai status organisasi, jenis sistem, dan kewajiban kontrak
Perpres No. 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik (SPBE)
Perpres SPBE adalah kerangka tata kelola TI yang paling spesifik untuk institusi pemerintah. Pasal-pasal utamanya: Pasal 3-4 menetapkan asas dan tujuan SPBE; Pasal 14-19 mengatur tata kelola SPBE (termasuk komite pengarah, rencana induk, dan arsitektur); Pasal 22-30 mengatur manajemen risiko, keamanan informasi, manajemen data, dan audit TIK; Pasal 34-42 mengatur evaluasi melalui indeks SPBE dengan skala 1-5. Bagi BUMD yang menjalankan layanan publik, SPBE relevan ketika layanan digitalnya beririsan dengan ekosistem pemerintah daerah, pelaporan publik, integrasi data, atau layanan lintas instansi. Bagi operator swasta mitra pemerintah, SPBE tidak otomatis berarti seluruh organisasi tunduk pada evaluasi SPBE seperti instansi pemerintah; relevansinya muncul ketika sistem operator terhubung dengan layanan pemerintah, kewajiban pelaporan daerah, integrasi data publik, atau persyaratan kontrak kerja sama. Perpres ini menetapkan arsitektur SPBE nasional, manajemen SPBE (tata kelola, manajemen risiko, manajemen keamanan informasi, manajemen data, audit TIK), evaluasi kematangan SPBE melalui indeks SPBE, serta keterpaduan layanan antar instansi.
Tiga implikasi praktis bagi perusahaan utilitas air:
Kebutuhan tata kelola TI formal. Jika layanan digital organisasi terhubung dengan ekosistem pemerintah daerah, struktur tata kelola, kebijakan TI tertulis, dan forum pengarah TI menjadi kebutuhan praktis. Ini selaras dengan prinsip-prinsip COBIT 2019 dan dapat dipakai sebagai baseline minimum.
Kesiapan terhadap indikator SPBE. Evaluasi indeks SPBE dilakukan pada instansi pemerintah. BUMD layanan publik dan operator swasta mitra pemerintah tetap perlu memahami indikatornya ketika sistemnya menjadi bagian dari pelaporan, integrasi data, atau layanan digital pemerintah daerah. Indikator yang dinilai dalam SPBE, seperti kebijakan internal, tata kelola, manajemen, layanan, dan domain pendukung, dapat menjadi rujukan praktis untuk menilai kesiapan internal.
Keterpaduan data dengan instansi lain. SPBE mendorong satu data, satu identitas, dan satu portal layanan. Perusahaan utilitas air yang ingin berintegrasi dengan layanan publik daerah (mis. Mall pelayanan publik, satu data daerah) harus mengikuti standar interoperabilitas yang ditetapkan dalam arsitektur SPBE.
Catatan operasional: dokumen acuan teknis pelaksanaan SPBE tersedia melalui portal Kementerian PANRB dan Kementerian Kominfo, dengan pembaruan berkala. Tim TI organisasi disarankan menugaskan satu single point of contact yang memantau perubahan acuan tersebut.
2.1.4 Regulasi Sistem Pembayaran Digital
POJK No. 13 Tahun 2018 tentang Inovasi Keuangan Digital
Peraturan OJK ini mengatur inovasi keuangan digital di sektor jasa keuangan. Bagi perusahaan utilitas air, rujukannya tidak langsung: regulasi OJK menjadi relevan ketika organisasi bermitra dengan pelaku jasa keuangan digital atau produk yang berada dalam pengawasan OJK. Untuk penyelenggaraan sistem pembayaran, rujukan utama tetap Bank Indonesia.
Konsekuensinya, utilitas perlu melakukan penilaian kelayakan (due diligence) terhadap mitra, memastikan mitra memiliki izin yang sesuai, memahami standar keamanan mitra, dan mengatur mekanisme penyelesaian sengketa dalam kontrak.
Implikasi tata kelola TI sangat jelas. Sistem billing harus terintegrasi dengan kanal pembayaran legal dan aman. Sistem rekonsiliasi wajib akurat untuk mendeteksi transaksi bermasalah. Selain itu, audit trail transaksi harus lengkap, dan kontrol deteksi penipuan harus sesuai dengan profil risiko.
Regulasi BI terkait QRIS dan Pembayaran Retail
Bank Indonesia sebagai otoritas sistem pembayaran menerbitkan regulasi terkait penyedia jasa pembayaran, penyelenggara infrastruktur sistem pembayaran, QRIS, switching, dan standar pembayaran retail. Bagi perusahaan utilitas yang menerima pembayaran melalui kanal digital, kepatuhan terhadap standar BI terutama dilakukan melalui pemilihan mitra pembayaran yang berizin, integrasi teknis yang aman, rekonsiliasi transaksi yang kuat, dan kontrak layanan yang jelas.
2.1.5 Regulasi Keamanan Siber
Peraturan BSSN tentang Keamanan Informasi Siber
Badan Siber dan Sandi Negara (BSSN) sebagai otoritas nasional keamanan siber menerbitkan berbagai regulasi, pedoman, dan layanan pembinaan terkait keamanan informasi dan keamanan siber. Untuk standar teknis, rujukan yang lebih aman adalah Standar Nasional Indonesia (SNI) di bidang keamanan informasi dan keamanan siber, termasuk adopsi SNI ISO/IEC 27001:2022 untuk Sistem Manajemen Keamanan Informasi (Information Security Management System). Standar ini berlaku menurut tingkat risiko, bukan menurut status kepemilikan; operator swasta utilitas air yang mengelola sistem berisiko tinggi tidak dikecualikan hanya karena bukan badan publik. Untuk instansi publik dan ekosistem SPBE, rujukan praktis lain yang perlu diperhatikan adalah Peraturan BSSN tentang manajemen keamanan informasi dan standar teknis keamanan SPBE, serta instrumen evaluasi seperti Indeks KAMI.
Bagi perusahaan utilitas yang mengoperasikan sistem kritis (mission-critical) seperti SCADA, rujukan BSSN dan standar keamanan informasi yang relevan perlu diterjemahkan menjadi kontrol operasional. Ini termasuk
- segmentasi jaringan antara sistem TI dan OT
- kontrol akses fisik dan logis ke control room
- pemantauan ancaman siber secara berkelanjutan
- pelatihan awareness keamanan bagi seluruh karyawan
SPBE (Sistem Pemerintahan Berbasis Elektronik); Perpres 95/2018
Peraturan Presiden No. 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik (SPBE) sering dianggap hanya relevan untuk kementerian dan lembaga pemerintah pusat. Kenyataannya, SPBE juga menjangkau pemerintah daerah; dan PDAM sebagai BUMD yang melayani publik berada dalam ekosistem yang sama.
Mengapa SPBE relevan untuk PDAM:
Arsitektur SPBE nasional menentukan standar interoperabilitas. Jika PDAM ingin sistem billing-nya terhubung dengan sistem kependudukan (Dukcapil) untuk verifikasi data pelanggan, atau dengan sistem pembayaran non-tunai pemerintah; standar teknisnya mengacu pada arsitektur SPBE. Sistem yang tidak mengikuti arsitektur ini berisiko tidak bisa beroperasi dalam ekosistem digital pemerintah.
Integrasi data. Banyak PDAM sudah diwajibkan melaporkan data kinerja ke pemerintah daerah dan pusat. Jika format dan protokol pelaporan PDAM tidak selaras dengan standar SPBE, pelaporan menjadi duplikatif: satu untuk BPPSPAM, satu untuk Pemda, satu untuk Kemendagri. SPBE seharusnya menyatukan kanal-kanal ini.
Audit SPBE. Pemerintah daerah diaudit terhadap penerapan SPBE. PDAM sebagai bagian dari ekosistem Pemda dapat terkena dampak tidak langsung: jika sistem PDAM tidak bisa diintegrasikan ke dalam dashboard SPBE Pemda, nilainya adalah nol untuk domain terkait; dan pertanyaan akan muncul di meja Bupati.
Untuk Kepala TI PDAM: Periksa arsitektur SPBE daerah Anda. Tanyakan ke Dinas Kominfo setempat: standar interoperabilitas apa yang berlaku? Format pelaporan apa yang dipakai? Jika jawabannya “belum ada,” dokumentasikan bahwa Anda sudah bertanya; dan tawarkan untuk terlibat dalam penyusunannya. Lebih baik memengaruhi arsitektur sejak awal daripada dipaksa menyesuaikan nanti.
2.2 Regulator Kunci dan Peran Mereka
Memahami regulasi saja tidak cukup. Organisasi juga perlu memahami siapa regulator utama, apa peran mereka, dan bagaimana berinteraksi dengan mereka secara efektif.
2.2.1 Kementerian PUPR: Regulator Teknis
Kementerian Pekerjaan Umum dan Perumahan Rakyat adalah regulator teknis utama untuk sektor utilitas air. Peran Kementerian PUPR meliputi penetapan standar teknis pelayanan, evaluasi kinerja perusahaan utilitas, penyaluran bantuan atau pendanaan untuk pengembangan infrastruktur, serta pengembangan kebijakan nasional sektor air.
Dari perspektif tata kelola TI, interaksi dengan Kementerian PUPR memerlukan sistem pelaporan kinerja yang sesuai format yang ditetapkan, sistem informasi manajemen aset untuk mendukung pengajuan proposal pendanaan, dan integrasi data operasional untuk memenuhi standar pelayanan yang ditetapkan.
Pola yang berulang di banyak perusahaan utilitas air: anggaran TI besar tidak otomatis menghasilkan tata kelola yang baik. Organisasi dengan anggaran TI terbatas bisa memiliki disiplin keputusan yang lebih kuat daripada organisasi dengan anggaran jauh lebih besar. Uang tidak membeli governance; disiplin dan keberanian yang membelinya. Itu kabar baik bagi organisasi dengan ruang fiskal sempit dan peringatan bagi organisasi dengan anggaran besar: investasi TI tanpa tata kelola hanya akan mendigitalkan kekacauan yang sudah ada.
Kementerian PUPR juga menerbitkan berbagai panduan teknis yang dapat dijadikan rujukan untuk pengembangan sistem informasi, termasuk panduan penggunaan teknologi untuk penurunan NRW dan panduan implementasi smart metering.
2.2.2 Kementerian Dalam Negeri: Pengawasan BUMD
Kementerian Dalam Negeri memiliki peran penting dalam pengawasan BUMD, termasuk PDAM/BUMD air minum. Peran Kemendagri meliputi evaluasi rencana bisnis, penetapan dan evaluasi tarif untuk konteks yang relevan, pengawasan kinerja keuangan dan operasional, serta pembinaan manajemen BUMD.
Bagi tata kelola TI BUMD/PDAM, peran Kemendagri sangat penting. Investasi TI perlu dijustifikasi dalam rencana bisnis dan RKAP. Selain itu, pelaporan kinerja harus mematuhi format yang berlaku, dan perubahan struktur tata kelola TI dapat memerlukan persetujuan khusus. Bagi operator swasta mitra pemerintah, pengaruh Kemendagri biasanya muncul tidak langsung melalui pemerintah daerah, BUMD mitra, atau dokumen kerja sama.
Membedakan BPK dan BPKP; Dua Lembaga, Dua Standar, Dua Konsekuensi
Buku ini menyebut BPK dan BPKP berkali-kali. Keduanya mengaudit, tetapi peran, standar, dan konsekuensinya berbeda secara fundamental:
BPK (Badan Pemeriksa Keuangan): Auditor keuangan negara. Standarnya adalah Standar Pemeriksaan Keuangan Negara (SPKN). Temuannya bisa berupa opini (WTP/WDP/TMP/TW) dan rekomendasi. Konsekuensi: temuan BPK dilaporkan ke DPR/DPRD dan dipublikasikan; repeat finding dari BPK adalah salah satu indikator paling merusak dalam laporan pengawasan. Untuk PDAM, audit BPK melihat keuangan BUMD secara keseluruhan; termasuk pengadaan TI dalam laporan keuangan.
BPKP (Badan Pengawasan Keuangan dan Pembangunan): Auditor kinerja dan tata kelola. Standarnya adalah Standar Audit Intern Pemerintah (SAIP). Fokusnya bukan opini keuangan, melainkan efektivitas sistem pengendalian intern, tata kelola, dan manajemen risiko. Konsekuensi: rekomendasi BPKP bersifat pembinaan; tindak lanjutnya dipantau dan menjadi bagian dari evaluasi kinerja manajemen. Untuk PDAM, audit BPKP sering kali masuk ke evaluasi SPI, manajemen risiko, dan tata kelola TI sebagai bagian dari tata kelola korporat.
Dalam praktik: BPK memeriksa “apakah uangnya benar.” BPKP memeriksa “apakah sistemnya berfungsi.” Keduanya bisa hadir di organisasi yang sama dalam tahun yang sama. Menyiapkan dokumentasi untuk BPK tidak otomatis berarti siap untuk BPKP, dan sebaliknya; karena fokus dan standar auditnya berbeda.
2.2.3 BPKP: Audit Kinerja dan Tata Kelola
Badan Pengawasan Keuangan dan Pembangunan (BPKP) memiliki peran dalam audit kinerja BUMD. Dalam konteks PDAM/BUMD air minum, penilaian kinerja lazim dibaca melalui indikator yang mencakup aspek keuangan, operasional, pelayanan, dan administrasi.
Dari perspektif TI, peran BPKP sangat relevan. Audit BPKP menilai kematangan tata kelola TI sebagai bagian dari tata kelola korporasi. Rekomendasi mereka sering mencakup perbaikan sistem informasi. Implementasi rekomendasi ini bahkan menjadi salah satu ukuran keberhasilan manajemen.
Untuk operator swasta mitra pemerintah, audit BPKP tidak otomatis menjadi kanal evaluasi langsung. Namun, rekomendasi atau temuan pada pemerintah daerah, BUMD mitra, atau proyek kerja sama dapat berdampak pada kewajiban pelaporan, pembuktian kinerja, dan perbaikan kontrol TI yang harus disediakan operator.
2.2.4 Bank Indonesia dan OJK: Ekosistem Pembayaran Digital
Bank Indonesia adalah otoritas utama sistem pembayaran. Perannya meliputi pengaturan penyedia jasa pembayaran, penyelenggara infrastruktur sistem pembayaran, standar nasional sistem pembayaran, QRIS, serta prinsip keamanan dan kelancaran pemrosesan transaksi.
Bagi perusahaan utilitas, interaksi dengan Bank Indonesia biasanya tidak langsung karena utilitas bukan penyedia jasa pembayaran. Interaksi terjadi melalui bank, payment gateway, penyedia QRIS, atau mitra pembayaran lain. Namun, Direksi tetap perlu memastikan mitra yang dipakai berizin, kontrak layanan jelas, rekonsiliasi transaksi kuat, dan tanggung jawab saat transaksi gagal tidak kabur.
OJK tetap relevan ketika mitra berada dalam ekosistem jasa keuangan digital atau inovasi teknologi sektor keuangan. Karena itu, pertanyaan tata kelolanya bukan “OJK atau BI”, melainkan: mitra pembayaran berada di bawah pengawasan siapa, izin apa yang dimiliki, dan kontrol apa yang wajib masuk ke kontrak serta integrasi teknis.
2.2.5 BSSN: Otoritas Keamanan Siber
Badan Siber dan Sandi Negara (BSSN) adalah otoritas nasional untuk keamanan siber. Peran BSSN meliputi penetapan standar keamanan siber, pelatihan dan capacity building, pemantauan ancaman siber nasional, serta respons terhadap insiden siber besar.
Bagi perusahaan utilitas air, BSSN menjadi rujukan untuk standar keamanan yang perlu diterjemahkan sesuai status organisasi dan tingkat risiko, pelatihan awareness keamanan siber bagi karyawan, serta alur penanganan insiden siber yang signifikan.
2.2.6 PERPAMSI: Asosiasi dan Penguatan Kapasitas
Persatuan Perusahaan Air Minum Seluruh Indonesia (PERPAMSI) adalah asosiasi sektor air minum yang sangat relevan bagi BUMD/PDAM dan ekosistem layanan air minum. Meskipun bukan regulator, PERPAMSI memainkan peran penting dalam advokasi kebijakan, penguatan kapasitas (capacity building) dan pelatihan, pengumpulan dan analisis data sektor, serta fasilitasi berbagi praktik terbaik.
Dari perspektif tata kelola TI, PERPAMSI menjadi penting karena asosiasi sering mengadakan pelatihan terkait transformasi digital dan smart metering, data sektor yang dikumpulkan PERPAMSI dapat dijadikan pembanding (benchmark), dan kerja sama antar-perusahaan untuk solusi TI dapat difasilitasi melalui asosiasi. Bagi operator swasta mitra pemerintah, PERPAMSI tetap berguna sebagai konteks ekosistem, terutama ketika bekerja dengan BUMD/PDAM atau pemerintah daerah.
Ringkas Eksekutif: Siapa Mengawasi Apa? Jika Anda hanya punya waktu 1 menit untuk memahami regulator Anda:
- PUPR & Kemendagri: Mengatur operasional teknis SPAM dan menuntut justifikasi investasi TI BUMD dalam Rencana Bisnis.
- Kominfo & BSSN: Mengawasi Penyelenggara Sistem Elektronik (PSE). Portal pelanggan dan aplikasi operasi Anda masuk radar mereka.
- BI & OJK: Mengatur jalur uang. Pastikan penyedia gerbang pembayaran (payment gateway) atau bank mitra legal dan proses rekonsiliasinya teraudit.
- BPKP: Auditor kinerja yang akan mengecek tata kelola korporat, termasuk aspek TI.
Catatan Akhir: Mengikat Makna
Bila peta regulasi ini diperas menjadi beberapa kalimat yang layak dibawa pulang, inilah simpulnya:
- Regulasi bukan hambatan; ia peta batas risiko yang sudah disepakati negara. Memahami regulasi adalah langkah pertama yang tidak bisa ditawar sebelum membangun tata kelola TI.
- Sebuah aturan mengikat karena peran, kepemilikan, atau kontrak; tidak selalu ketiganya sekaligus untuk setiap organisasi. Operator swasta yang menagih pelanggan tetap Pengendali Data Pribadi penuh, sekalipun bukan BUMD.
- Kenali regulatornya, bukan hanya regulasinya. PUPR, Kemendagri, BPKP, Bank Indonesia, OJK, BSSN, dan PERPAMSI memiliki kewenangan, standar, dan konsekuensi yang berbeda.
- Kepatuhan adalah pekerjaan Direksi. Regulasi dan kontrak layanan publik melekatkan tanggung jawab pada organisasi dan, dalam kondisi tertentu, pada pimpinan puncak.
Untuk Disampaikan ke Direksi
Rangkuman untuk manajer TI yang perlu menyampaikan isi bab ini ke pimpinan dalam 3 menit:
- Lima regulasi paling kritis sudah dipetakan di Tabel 2.0. UU PDP, UU ITE, PP PSTE, PP SPAM, dan PP BUMD; lengkap dengan pasal kunci, risiko pelanggaran, dan estimasi biaya kepatuhan. Gunakan tabel ini sebagai one-pager untuk rapat Direksi.
- Biaya ketidakpatuhan jauh lebih mahal daripada biaya kepatuhan. Denda administratif bisa mencapai 2% pendapatan tahunan (UU PDP), ditambah risiko pidana dan gugatan perdata. Satu kontrol keamanan dimatikan = 210 institusi terdampak (insiden PDN 2024).
- Regulasi melekat pada pimpinan, bukan hanya pada divisi hukum. Ketika surat dari Kominfo atau BSSN tiba, surat itu ditujukan ke organisasi, bukan ke konsultan. Pastikan Direksi tahu regulasi mana yang berlaku dan siapa penanggung jawab kepatuhannya.
Gunakan Tabel 2.0 sebagai slide satu halaman. Detail ada di §2.1 dan §2.2.
Menuju Bab 3: Dari Aturan ke Kepatuhan yang Berjalan
Mengetahui aturan dan para pengawasnya baru separuh pekerjaan. Separuh lainnya, yang sering lebih sulit, adalah menerjemahkan kewajiban hukum menjadi kontrol TI yang benar-benar berjalan setiap hari, bukan sekadar dokumen yang dirapikan menjelang audit.
Bab 3 melanjutkan peta ini ke tanah lapang: bagaimana memenuhi tiap kelompok regulasi secara konkret, pola kasus nyata yang terverifikasi dalam catatan publik, kerangka kematangan kepatuhan, dan rencana 90 hari pertama yang bisa langsung dijalankan.
Lanjutkan ke Bab 3: Menghindari Ranjau, Mewujudkan Kepatuhan dan Lulus Audit.
Referensi & Eksplorasi Lanjutan
UU No. 17 Tahun 2019 tentang Sumber Daya Air
- Dasar konstitusional hak rakyat atas air dan fondasi hukum sektor utilitas.
- 🔗 JDIH Setneg
UU No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE)
- Kerangka hukum fundamental untuk aktivitas elektronik dan transaksi digital di Indonesia.
- 🔗 JDIH Kominfo
UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi
- Regulasi komprehensif pelindungan data pribadi dengan implikasi signifikan terhadap tata kelola TI.
- 🔗 JDIH BPK - UU 27/2022
PP No. 54 Tahun 2017 tentang Badan Usaha Milik Daerah
- Pedoman tata kelola BUMD termasuk struktur organisasi dan kewajiban pelaporan.
- 🔗 JDIH Setneg
POJK No. 13 Tahun 2018 tentang Inovasi Keuangan Digital
- Regulasi inovasi keuangan digital di sektor jasa keuangan, termasuk aspek tata kelola, manajemen risiko, dan perlindungan konsumen.
- 🔗 JDIH BPK - POJK 13/2018
Permendagri No. 21 Tahun 2020 tentang Penetapan dan Evaluasi Rencana Bisnis PDAM
- Regulasi perencanaan bisnis dan evaluasi kinerja perusahaan utilitas daerah.
- 🔗 JDIH Kemendagri
Permen ESDM No. 14 Tahun 2024
- Regulasi terkait izin air tanah yang berlaku bagi penyelenggara yang memanfaatkan air tanah, termasuk BUMD Air Minum.
- 🔗 JDIH ESDM - Permen ESDM 14/2024
BUMD AM Didorong Segera Urus Izin Air Tanah, Sanksi Pidana Mengintai
- Artikel himbauan PERPAMSI terkait kewajiban pengurusan izin air tanah bagi BUMD Air Minum.
- 🔗 PERPAMSI
PBI No. 23/6/PBI/2021 tentang Penyedia Jasa Pembayaran
- Kerangka Bank Indonesia untuk penyedia jasa pembayaran, termasuk tanggung jawab keamanan, kelancaran pemrosesan transaksi, manajemen risiko, dan perlindungan data.
- 🔗 Bank Indonesia
PADG No. 24/7/PADG/2022 tentang Penyelenggaraan Sistem Pembayaran
- Aturan teknis Bank Indonesia untuk penyelenggaraan sistem pembayaran oleh penyedia jasa pembayaran dan penyelenggara infrastruktur sistem pembayaran.
- 🔗 Bank Indonesia
- Dirjen Aptika Pastikan UU PDP Sudah Berlaku Sepenuhnya
- Berita Antara mengenai berakhirnya masa transisi UU PDP dan pemberlakuan penuh sejak 17 Oktober 2024.
- 🔗 ANTARA
- Kementerian ESDM Sederhanakan Perizinan Penggunaan Air Tanah
- Berita Antara mengenai penyederhanaan perizinan air tanah berdasarkan Permen ESDM No. 14 Tahun 2024.
- 🔗 ANTARA
Perpres No. 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik (SPBE)
- Kerangka tata kelola TI nasional untuk instansi pemerintah; relevan bagi BUMD layanan publik ketika beririsan dengan layanan digital pemerintah daerah.
- 🔗 JDIH BPK - Perpres 95/2018
PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE)
- Peraturan pelaksana UU ITE; mengatur klasifikasi penyelenggara, registrasi, dan kewajiban teknis sistem elektronik.
- 🔗 JDIH BPK - PP 71/2019
UU No. 19 Tahun 2016 dan UU No. 1 Tahun 2024 (Perubahan UU ITE)
- Perubahan atas UU 11/2008 ITE: penyesuaian sanksi pidana dan penguatan perlindungan masyarakat di ruang digital.
- 🔗 JDIH BPK - UU 1/2024
Indeks SPBE dan Pedoman Evaluasi SPBE
- Pedoman penilaian indeks SPBE dari Kementerian PANRB; sumber acuan domain dan indikator yang dinilai.
- 🔗 Portal SPBE - Kementerian PANRB
Catatan akses sumber: Tautan di atas mengarah ke portal resmi pemerintah dan standar internasional. Sebagian dokumen dapat diakses bebas; standar ISO bersifat berbayar di situs resmi tetapi sering tersedia melalui perpustakaan lembaga atau adopsi nasional (SNI). Apabila tautan tidak dapat diakses karena pembaruan portal, gunakan judul resmi dan nomor regulasi sebagai dasar pencarian.
Penafian: Tulisan ini adalah pandangan pribadi penulis berdasarkan pengalaman praktis dan studi independen. Bukan merupakan pandangan institusional atau komitmen formal dari organisasi mana pun. Pembaca diharapkan melakukan verifikasi independen dan berkonsultasi dengan ahli hukum sebelum mengimplementasikan rekomendasi apa pun. Regulasi yang disebutkan dapat berubah sewaktu-waktu, dan pembaca bertanggung jawab untuk memastikan keakuratan informasi regulasi terkini. Semua contoh dan studi kasus bersifat ilustratif.