Regulasi hulu MODEL merupakan pendekatan hukum transformatif untuk mengatasi dampak transformasi digital yang luar biasa dan seringkali tidak dapat diprediksi.

Oleh karena itu, teori hukum transformatif yang saya kembangkan menekankan pentingnya pendekatan dan analisis risiko dalam pembuatan undang-undang.

Konteks yang dibangun berdasarkan prinsip hukum transformatif mencakup perubahan kelembagaan, penguatan keadilan, pengembangan pemikiran dan perilaku masyarakat, serta pengaturan perilaku industri demi keberlanjutan masyarakat dan ekosistemnya.

Baca artikel sebelumnya: Keamanan siber dan urgensi regulasi di hulu (Bagian I)

Hukum tidak hanya berperan dalam menciptakan ketertiban, keadilan, keamanan dan kemaslahatan, namun juga menjadi infrastruktur transformasi.

Undang-undang harus berupaya mendorong lahirnya produk digital yang efektif dan aman. Undang-undang juga harus mendukung transformasi tanpa mengorbankan prinsip perlindungan demokrasi terhadap negara dan masyarakat.

Undang-undang harus beradaptasi dengan elemen perubahan teknologi yang cepat, melindungi hak-hak individu, mendorong pertumbuhan ekonomi dan memastikan akses inklusif terhadap teknologi digital.

Hukum harus melindungi kelompok rentan, beradaptasi dengan zaman baru. CRA UE

Uni Eropa baru saja menyetujui “Hukum Ketahanan Siber UE”. Undang-undang baru ini merupakan contoh nyata model regulasi hulu.

Uni Eropa berhasil mengesahkan undang-undang ini, meski awalnya hanya mendapat sedikit kritik dari para pelaku industri. Undang-undang tersebut mengatur kewajiban keandalan dan keamanan siber produk dan layanan teknologi informasi serta menjaminnya sebelum diluncurkan dan tersedia di pasar.

Stephanie Domas menjelaskan dalam artikel berjudul “A CISO’s Summary of the Cyber ​​​​​​​​Resilence Act” yang diterbitkan oleh Forbes (11/07/2024) bahwa EU CRA bertujuan untuk membuat perangkat lebih aman dengan menerapkan keamanan siber yang lebih ketat, dokumentasi dan persyaratan pelaporan kerentanan. .

CRA berlaku untuk produk yang mengandung elemen digital yang terhubung ke Internet dan akan dijual di UE. Persyaratan CRA akan bervariasi tergantung pada kategori perangkat atau perangkat lunak.

Perangkat dikelompokkan ke dalam tiga kategori berdasarkan faktor risiko keamanan siber dan tingkat otoritas akses, koneksi ke infrastruktur, jaringan, atau sistem sensitif.

Klasifikasi pertama meliputi kategori Non Kritis. Kategori ini hanya memerlukan penilaian diri sendiri.

Yang kedua adalah kategori Critical I, yaitu produk dengan tingkat risiko akses yang lebih rendah, seperti pengelola kata sandi, firewall, VPN, dan browser web. Kategori ini memerlukan sertifikasi “standar” dari pihak ketiga.