Ketika ISO 27001 Saja Mungkin Tidak Cukup
ISO/IEC 27001:2022 adalah standar internasional, bukan undang-undang. Sertifikasi ISO 27001 tidak menjamin kepatuhan terhadap NIS2. Tiga bidang – keamanan rantai pasokan, akuntabilitas manajemen, dan kewajiban hukum untuk melaporkan insiden keamanan – umumnya memerlukan langkah-langkah dan bukti yang melampaui apa yang dapat ditunjukkan oleh sertifikat ISO 27001 saja.
ISO 27001 adalah standar internasional sukarela, sedangkan NIS2 adalah undang-undang Eropa yang mengikat. Oleh karena itu, sertifikasi tidak secara otomatis menggantikan kepatuhan terhadap semua kewajiban NIS2, terutama terkait keamanan rantai pasokan, kewajiban pelaporan, dan akuntabilitas manajemen.
Pasal 21(2) NIS2 mendefinisikan sepuluh kategori langkah-langkah manajemen risiko keamanan siber yang secara hukum wajib diterapkan oleh organisasi yang terkena dampak. Isi standar ISO/IEC 27001:2022 dan pengendalian yang tercantum dalam Lampiran A dapat dipetakan ke sebagian besar kategori ini – meskipun tidak sesuai satu per satu sebagai persyaratan hukum:
Keamanan Rantai Pasokan
Petunjuk NIS2 mewajibkan organisasi untuk menilai dan mengelola risiko keamanan siber di seluruh rantai pasokannya – bukan hanya di dalam batas-batas perusahaannya sendiri.
Insiden keamanan siber baru-baru ini telah berulang kali menunjukkan bahwa penyerang memanfaatkan rantai pasokan untuk mendapatkan akses tidak sah ke jaringan pelanggan yang lebih besar. Bagaimanapun, prinsip efisiensi – ‘mencapai jangkauan maksimum dengan upaya minimum!’ – juga berlaku di sini.
Akibatnya, Pasal 21(2)(d) NIS2 mewajibkan keamanan rantai pasokan, yang sejalan dengan persyaratan 5.19–5.23 Lampiran A ISO 27001:
- Keamanan informasi dalam hubungan dengan pemasok
- Menangani keamanan informasi dalam perjanjian pemasok
- Pengelolaan keamanan informasi dalam rantai pasokan TIK
- Pemantauan, audit, dan pengelolaan perubahan layanan pemasok
- Keamanan informasi dalam penggunaan layanan awan
Tanggung Jawab Eksekutif
Berdasarkan NIS2, keamanan siber tidak lagi dianggap sebagai masalah teknis semata yang dapat didelegasikan kepada departemen TI.
Direktif tersebut menetapkan bahwa badan manajemen organisasi harus bertanggung jawab atas persetujuan, pemantauan, dan peninjauan berkala terhadap pelaksanaan langkah-langkah manajemen risiko keamanan siber. Dalam praktiknya, manajemen senior diharapkan untuk:
- Memahami risiko siber dan secara aktif terlibat dalam mengatasinya,
- Berpartisipasi dalam kegiatan tata kelola dan proses pengambilan keputusan yang berkaitan dengan keamanan siber,
- Menyediakan sumber daya yang memadai untuk langkah-langkah ketahanan, dan
- Memantau kesiapan tanggap insiden dan kewajiban pelaporan.
Tergantung pada implementasi NIS2 di tingkat nasional serta peraturan perusahaan dan pertanggungjawaban yang relevan, anggota badan manajemen juga dapat menghadapi konsekuensi pribadi jika mereka gagal memenuhi tugas keamanan siber mereka secara memadai. Dengan demikian, tata kelola keamanan siber menjadi tanggung jawab manajemen yang utama – dengan potensi implikasi regulasi dan keuangan jika pengawasan yang memadai tidak dapat ditunjukkan secara meyakinkan.
Pelaporan Insiden
NIS2 memperkenalkan batas waktu yang mengikat secara hukum: organisasi harus menyerahkan pemberitahuan peringatan dini awal kepada otoritas yang berwenang dalam waktu 24 jam setelah mengetahui adanya insiden signifikan, diikuti dengan laporan yang lebih rinci dalam waktu 72 jam, serta laporan akhir pada tahap selanjutnya sebagaimana ditetapkan dalam undang-undang.
Saat ini, banyak organisasi yang belum memiliki proses yang terdokumentasi, tanggung jawab yang ditetapkan dengan jelas, dan prosedur yang telah diuji yang diperlukan untuk memenuhi batas waktu ini secara andal. Kerangka kerja manajemen insiden yang ada dalam ISMS sering kali memerlukan penyesuaian yang ditargetkan untuk mencerminkan batas waktu regulasi dan kewajiban pelaporan eksternal yang diperkenalkan oleh NIS2.
Dalam praktiknya, hal ini biasanya berarti menutup tiga celah spesifik. Pertama, mendefinisikan dan mendokumentasikan pemicu yang jelas mengenai kapan “menyadari” adanya insiden signifikan memicu dimulainya hitungan waktu 24 jam – sebagian besar prosedur ISMS berfokus pada klasifikasi tingkat keparahan internal daripada tenggat waktu regulasi. Kedua, menunjuk peran spesifik yang bertanggung jawab atas pemberitahuan peringatan dini dan koordinasi langsung dengan CSIRT nasional atau otoritas yang berwenang, terpisah dari peran yang memimpin tanggapan internal. Ketiga, membuat jejak bukti yang dapat diaudit – termasuk log bertanda waktu, salinan pemberitahuan, dan alasan di balik penilaian tingkat keparahan awal – yang dapat ditunjukkan jika otoritas pengawas kemudian meninjau bagaimana batas waktu 24 dan 72 jam berdasarkan NIS2 dipenuhi.
Ketahanan Operasional
Regulator dan pelanggan semakin mengharapkan bukti bahwa langkah-langkah ketahanan telah diuji — bukan hanya didokumentasikan di atas kertas.
Oleh karena itu, organisasi diharapkan dapat menunjukkan bahwa mereka dapat mempertahankan atau dengan cepat memulihkan operasi kritis selama peristiwa yang mengganggu, bukan sekadar menyajikan rencana tertulis. Hal ini biasanya mencakup:
- Perencanaan kelangsungan bisnis dan pengujian rutin
- Latihan pemulihan bencana untuk sistem dan data kritis
- Simulasi tanggapan insiden yang realistis
- Prosedur manajemen krisis yang telah ditetapkan dan dilatih
Secara keseluruhan, unsur-unsur ini menunjukkan apakah ketahanan benar-benar tertanam dalam operasi sehari-hari.