Tanggung Jawab Direksi vs Kerugian Ransomware

LEXmedia. Serangan ransomware terus mengancam ekosistem bisnis Indonesia secara masif. Tanggung jawab hukum direksi menjadi isu sentral ketika perusahaan menderita kerugian besar akibat enkripsi data oleh peretas siber. Oleh karena itu, setiap pemimpin perusahaan perlu memahami kerangka hukum yang mengatur risiko ini secara mendalam dan komprehensif. Artikel ini menganalisis landasan hukum, implikasi konkret, dan langkah kepatuhan yang wajib diambil direksi dalam menghadapi ancaman siber yang kian canggih.

Ransomware: Ancaman Siber yang Menghancurkan Bisnis

Ransomware adalah perangkat lunak berbahaya yang mengenkripsi data korban dan meminta tebusan agar akses data dipulihkan. Serangan ini tidak sekadar melumpuhkan operasional perusahaan selama berhari-hari. Selain itu, insiden ini memicu kebocoran data pelanggan, kerusakan reputasi parah, dan kerugian finansial yang masif. Berdasarkan laporan Badan Siber dan Sandi Negara (BSSN), insiden keamanan siber di Indonesia terus meningkat drastis setiap tahunnya. Namun, banyak direksi belum menyadari bahwa kelalaian dalam mitigasi risiko siber dapat berujung langsung pada pertanggungjawaban hukum pribadi.

Landasan Hukum: Kewajiban Fidusia Direksi

UU No. 40/2007 tentang Perseroan Terbatas

UU No. 40 Tahun 2007 tentang Perseroan Terbatas menjadi landasan utama tanggung jawab hukum direksi di Indonesia. Pasal 97 ayat (2) UU ini mewajibkan direksi menjalankan pengurusan perseroan dengan itikad baik dan penuh tanggung jawab. Selain itu, Pasal 97 ayat (3) menegaskan bahwa setiap anggota direksi bertanggung jawab secara pribadi atas kerugian perseroan jika terbukti lalai atau bersalah dalam menjalankan tugasnya. Kegagalan membangun sistem keamanan siber yang memadai berpotensi memenuhi unsur kelalaian (negligence) tersebut. Oleh karena itu, direksi tidak dapat berlindung di balik status badan hukum perseroan jika kelalaian pribadi berhasil dibuktikan di pengadilan.

UU Perlindungan Data Pribadi dan PP No. 71/2019

UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) mempertegas kewajiban perlindungan data di tingkat korporasi. Pasal 35 UU PDP mewajibkan pengendali data menerapkan langkah teknis dan organisasional yang tepat untuk melindungi data pribadi dari akses tidak sah. Selain itu, PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik mengatur bahwa penyelenggara sistem elektronik wajib menjaga keamanan, keandalan, dan ketersediaan sistem secara berkesinambungan. Pasal 14 PP ini secara khusus mewajibkan sertifikasi keamanan bagi sistem elektronik yang bersifat strategis. Dengan demikian, kegagalan direksi memastikan kepatuhan terhadap dua regulasi ini sekaligus berpotensi melahirkan gugatan berlapis dari berbagai arah.

Perpres No. 47/2023 dan Permen Komdigi 5/2025: Standar Tata Kelola Siber

Perpres No. 47 Tahun 2023 tentang Strategi Keamanan Siber Nasional dan Manajemen Krisis Siber menetapkan kewajiban bagi penyelenggara infrastruktur informasi vital untuk menerapkan standar keamanan siber yang ketat dan terukur. Peraturan ini memperkuat peran negara dalam mengatur tata kelola siber sektor privat. Selain itu, Permen Komdigi No. 5 Tahun 2025 tentang Penyelenggaraan Sistem Elektronik Lingkup Privat mewajibkan audit keamanan berkala serta pelaporan insiden siber kepada Kementerian Komunikasi dan Digital paling lambat 14 jam setelah insiden terdeteksi. Keterlambatan pelaporan atau tidak adanya prosedur respons insiden bukan sekadar pelanggaran administratif. Oleh karena itu, fakta tersebut dapat menjadi bukti nyata kelalaian tanggung jawab hukum direksi di mata pengadilan.

Business Judgment Rule: Perlindungan atau Jebakan Hukum?

Doktrin Business Judgment Rule (BJR) memberikan perlindungan kepada direksi atas keputusan bisnis yang diambil dengan itikad baik dan informasi yang memadai. Namun, perlindungan BJR tidak bersifat mutlak dan tidak tanpa syarat. Pasal 97 ayat (5) UU 40/2007 secara eksplisit menyatakan bahwa direksi dapat membuktikan bahwa kerugian perseroan bukan akibat kesalahan atau kelalaiannya. Oleh karena itu, jika direksi mengabaikan rekomendasi risiko siber dari tim IT, atau tidak menganggarkan keamanan siber secara proporsional, BJR tidak dapat diterapkan sebagai pembelaan. Preseden hukum di berbagai yurisdiksi menunjukkan bahwa pengadilan menilai kewajaran langkah keamanan yang diambil direksi sebelum insiden terjadi, bukan setelahnya.

Implikasi Hukum Konkret bagi Direksi

Tanggung jawab hukum direksi dalam insiden ransomware dapat terwujud dalam berbagai bentuk pertanggungjawaban yang berjalan simultan.

Pertama, gugatan perdata dari pemegang saham (derivative suit) berdasarkan Pasal 97 UU 40/2007 atas kerugian yang diderita perseroan.

Kedua, sanksi administratif dari Kementerian Komdigi berupa denda hingga 2% dari pendapatan tahunan berdasarkan UU PDP dan Permen Komdigi 5/2025.

Ketiga, potensi tanggung jawab pidana jika kelalaian berat terbukti menimbulkan kerugian signifikan bagi pihak ketiga.

Selain itu, direksi perusahaan terbuka menghadapi risiko sanksi dari OJK terkait kewajiban keterbukaan informasi material atas insiden siber yang berdampak material pada operasional. Dengan demikian, satu serangan ransomware berpotensi memicu multi-forum pertanggungjawaban hukum secara bersamaan dan saling memperberat.


Rekomendasi Kepatuhan Hukum bagi Direksi

Mitigasi tanggung jawab hukum direksi atas risiko ransomware memerlukan pendekatan yang terstruktur, berlapis, dan terdokumentasi.

Pertama, direksi perlu membentuk Komite Risiko Siber di tingkat dewan dan melibatkan Chief Information Security Officer (CISO) secara aktif dalam setiap rapat strategis.

Kedua, perusahaan wajib menerapkan kerangka keamanan siber berstandar internasional, seperti ISO/IEC 27001 atau NIST Cybersecurity Framework, sesuai amanat Perpres 47/2023.

Ketiga, audit keamanan siber berkala harus dilaksanakan dan didokumentasikan sesuai Permen Komdigi 5/2025. Selain itu, perusahaan perlu menyusun, menguji, dan memperbarui secara berkala Incident Response Plan (IRP) dan Business Continuity Plan (BCP).

Keempat, setiap keputusan tata kelola siber wajib tercatat dalam risalah rapat direksi sebagai dasar penerapan BJR jika sengketa hukum terjadi di kemudian hari.

Namun, kepatuhan formal saja tidak mencukupi perlindungan hukum direksi. Selain itu, direksi harus aktif membangun budaya keamanan siber (cybersecurity culture) yang kuat di seluruh lapisan organisasi. Alokasi anggaran keamanan siber yang proporsional dengan profil risiko bisnis mencerminkan keseriusan direksi dalam memenuhi kewajiban fidusianya. Dengan demikian, investasi dalam keamanan siber bukan sekadar kewajiban regulasi, melainkan instrumen perlindungan direksi dari tanggung jawab hukum yang dapat menghancurkan karier dan aset pribadi secara permanen.


FAQ: Pertanyaan yang Sering Diajukan

1. Apakah direksi bisa dipidana akibat serangan ransomware?

Direksi berpotensi menghadapi pertanggungjawaban pidana jika terbukti ada kelalaian berat dalam pengelolaan keamanan siber perusahaan. UU PDP mengatur sanksi pidana bagi pengendali data yang lalai. Namun, unsur kesengajaan atau kelalaian berat harus dibuktikan secara konkret dan terukur. Oleh karena itu, dokumentasi keputusan tata kelola siber menjadi pertahanan hukum yang sangat penting bagi direksi.

2. Apakah asuransi siber melindungi direksi dari gugatan hukum?

Asuransi siber (cyber liability insurance) menanggung biaya pemulihan insiden dan klaim pihak ketiga secara finansial. Namun, asuransi tidak menghapus tanggung jawab hukum direksi secara pribadi, khususnya gugatan derivatif dari pemegang saham. Oleh karena itu, asuransi siber merupakan pelengkap, bukan pengganti, tata kelola keamanan siber yang baik dan terdokumentasi secara hukum.

3. Berapa batas waktu pelaporan insiden ransomware kepada pemerintah?

Permen Komdigi 5/2025 mewajibkan pelaporan insiden siber kepada Kementerian Komdigi paling lambat 14 jam setelah insiden terdeteksi. Selain itu, notifikasi kepada subjek data yang terdampak wajib dilakukan dalam 14 hari kerja sesuai ketentuan UU PDP. Keterlambatan pelaporan secara signifikan memperburuk posisi hukum direksi di hadapan regulatordan pengadilan.

4. Apa perbedaan tanggung jawab direksi dan komisaris dalam kasus ransomware?

Direksi bertanggung jawab atas pengurusan operasional termasuk keamanan siber berdasarkan Pasal 97 UU 40/2007. Sebaliknya, komisaris bertanggung jawab atas pengawasan kebijakan direksi berdasarkan Pasal 108 UU 40/2007. Komisaris yang lalai mengawasi kebijakan keamanan siber direksi berpotensi dimintai pertanggungjawaban hukum secara paralel dan independen.

5. Apakah Business Judgment Rule melindungi direksi dalam kasus ransomware?

Business Judgment Rule melindungi direksi yang mengambil keputusan dengan itikad baik dan informasi memadai sebelum insiden terjadi. Namun, perlindungan ini gugur jika direksi terbukti mengabaikan rekomendasi keamanan siber atau tidak menganggarkan proteksi siber secara proporsional. Dokumentasi risalah rapat dan laporan audit keamanan siber menjadi bukti utama penerapan BJR di pengadilan.

Baca Juga