PELINDUNGAN INFRASTRUKTUR INFORMASI VITAL

Dalam Peraturan Presiden ini yang dimaksud dengan:
1. Infrastruktur Informasi Vital yang selanjutnya

disingkat IIV adalah Sistem Elektronik yang

memanfaatkan teknologi informasi dan/atau teknologi
operasional, baik berdiri sendiri maupun saling

bergantung dengan Sistem Elektronik lainnya dalam

menunjang sektor strategis, yang jika terjadi
gangguan, kerusakan, dan/atau kehancuran pada

infrastruktur dimaksud berdampak serius terhadap

kepentingan umum, pelayanan publik, pertahanan

dan keamanan, atau perekonomian nasional.

1. Sistem Elektronik adalah serangkaian perangkat dan

prosedur elektronik yang berfungsi mempersiapkan,
mengumpulkan, mengolah, menganalisis, menyimpan,

menampilkan, mengumumkan, mengirimkan,
dan/atau menyebarkan Informasi Elektronik.

1. Informasi Elektronik adalah satu atau sekumpulan

data elektronik, termasuk tetapi tidak terbatas pada
tulisan, suara, gambar, peta, rancangan, foto,

---

2022, No. 129 -3-

electronic data interchange (EDI), surat elektronik

(electronic mail), telegram, teleks, telecopy atau

sejenisnya, huruf, tanda, angka, kode akses, simbol,
atau perforasi yang telah diolah yang memiliki arti

atau dapat dipahami oleh orang yang mampu

memahaminya.
1. Keamanan Siber adalah upaya adaptif dan inovatif

untuk melindungi seluruh lapisan ruang siber
termasuk aset informasi yang ada di dalamnya, dari

ancaman dan serangan siber, baik bersifat teknis

maupun sosial.

1. Insiden Siber adalah satu atau serangkaian kejadian

yang mengganggu atau mengancam berjalannya

Sistem Elektronik.
1. Tim Tanggap Insiden Siber adalah sekelompok orang

yang bertanggung jawab menangani Insiden Siber

dalam ruang lingkup yang ditentukan terhadapnya.

1. Kementerian atau Lembaga adalah Instansi

Penyelenggara Negara yang bertugas mengawasi dan

mengeluarkan pengaturan terhadap sektornya.
1. Penyelenggara IIV adalah Instansi Penyelenggara

Negara, badan usaha, dan/atau organisasi yang
memiliki dan/atau mengoperasikan IIV.

1. Instansi Penyelenggara Negara adalah institusi

legislatif, eksekutif, dan yudikatif di tingkat pusat dan
daerah dan instansi lain yang dibentuk dengan

peraturan perundang-undangan.

1. Badan Siber dan Sandi Negara yang selanjutnya

disebut Badan adalah lembaga pemerintah yang

melaksanakan tugas pemerintahan di bidang

keamanan siber dan sandi.

Pengaturan pelindungan IIV bertujuan untuk:

• melindungi keberlangsungan penyelenggaraan IIV

secara aman, andal, dan tepercaya;

---

2022, No. 129 -4-

• mencegah terjadinya gangguan, kerusakan, dan/atau

kehancuran pada IIV akibat serangan siber, dan/atau
ancaman/kerentanan lainnya; dan

• meningkatkan kesiapan dalam menghadapi Insiden

Siber dan mempercepat pemulihan dari dampak

Insiden Siber.

Ruang lingkup pelindungan IIV meliputi:

• identifikasi sektor IIV dan IIV;

• penyelenggaraan pelindungan IIV;

• pembinaan dan pengawasan penyelenggaraan

pelindungan IIV; dan

• koordinasi penyelenggaraan pelindungan IIV.

Bagian Kesatu
Identifikasi Sektor IIV

(1) Sektor IIV meliputi:

• administrasi pemerintahan;

• energi dan sumber daya mineral;
• transportasi;

• keuangan;

• kesehatan;

• teknologi informasi dan komunikasi;

• pangan;

• pertahanan; dan
• sektor lain yang ditetapkan Presiden.

(2) Sektor lain yang ditetapkan oleh Presiden

sebagaimana dimaksud pada ayat (1) huruf i

merupakan sektor strategis yang jika terjadi gangguan,

kerusakan, dan/atau kehancuran pada IIV dalam
sektor dimaksud berdampak serius terhadap

---

2022, No. 129 -5-

kepentingan umum, pelayanan publik, pertahanan

dan keamanan, atau perekonomian nasional.

(3) Kementerian atau Lembaga dari sektor IIV

sebagaimana dimaksud pada ayat (1) huruf a sampai

dengan huruf h ditetapkan sebagai berikut:

• Badan untuk sektor administrasi pemerintahan;

• kementerian yang menyelenggarakan urusan

pemerintahan di bidang energi dan sumber daya
mineral untuk sektor energi dan sumber daya

mineral;

• kementerian yang menyelenggarakan urusan

pemerintahan di bidang transportasi untuk sektor

transportasi;

- otoritas pengatur dan pengawas sektor keuangan
untuk sektor keuangan;

- kementerian yang menyelenggarakan urusan
pemerintahan di bidang kesehatan untuk sektor

kesehatan;

- kementerian yang menyelenggarakan urusan
pemerintahan di bidang komunikasi dan

informatika untuk sektor teknologi informasi dan

komunikasi;
- kementerian yang menyelenggarakan urusan

pemerintahan di bidang pertanian untuk sektor

pangan; dan
- kementerian yang menyelenggarakan urusan

pemerintahan di bidang pertahanan untuk sektor

pertahanan.

(1) Presiden menetapkan sektor lain sebagaimana

dimaksud dalam Pasal 4 ayat (2) dan Kementerian

atau Lembaga yang membidangi sektornya atas usulan
Kepala Badan.

(2) Usulan sektor lain sebagaimana dimaksud pada ayat

(1) disampaikan kepada Presiden berdasarkan hasil

rapat koordinasi penyelenggaraan pelindungan IIV.

---

2022, No. 129 -6-

(3) Sektor lain dan Kementerian atau Lembaga

sebagaimana dimaksud pada ayat (1) ditetapkan
dengan Keputusan Presiden.

Bagian Kedua

Identifikasi IIV

(1) Setiap penyelenggara Sistem Elektronik lingkup sektor

IIV sebagaimana dimaksud dalam Pasal 4 ayat (1)

wajib melakukan identifikasi IIV secara berkala paling

sedikit 1 (satu) kali dalam 1 (satu) tahun.

(2) Setiap penyelenggara Sistem Elektronik lingkup sektor

IIV wajib melaporkan hasil identifikasi IIV
sebagaimana dimaksud pada ayat (1) beserta informasi

yang relevan kepada Kementerian atau Lembaga.

(3) Kementerian atau Lembaga melakukan verifikasi

terhadap laporan hasil identifikasi IIV sebagaimana

dimaksud pada ayat (2).

(4) Kementerian atau Lembaga menetapkan:

• Sistem Elektronik menjadi IIV; dan

- penyelenggara Sistem Elektronik pada lingkup
sektor IIV sebagai Penyelenggara IIV,

berdasarkan hasil verifikasi laporan identifikasi IIV

sebagaimana dimaksud pada ayat (3).

(5) Ketentuan lebih lanjut mengenai identifikasi IIV,

pelaporan hasil identifikasi, mekanisme verifikasi,

penetapan IIV, dan penetapan penyelenggara IIV diatur

dengan Peraturan Badan.

---

2022, No. 129 -7-

Bagian Kesatu

Kerangka Kerja Pelindungan IIV dan Peta Jalan

Pelindungan IIV

(1) Badan menyusun kerangka kerja pelindungan IIV

sebagai pedoman.

(2) Kerangka kerja sebagaimana dimaksud pada ayat (1)

memuat paling sedikit:

• penyelenggaraan pelindungan IIV;

- pembinaan dan pengawasan penyelengaraan
pelindungan IIV sesuai dengan ketentuan

peraturan perundang-undangan; dan
- teknologi pelindungan IIV.

(3) Badan menyusun kerangka kerja sebagaimana

dimaksud pada ayat (1) berkoordinasi dengan
Kementerian atau Lembaga.

(4) Ketentuan lebih lanjut mengenai kerangka kerja

sebagaimana dimaksud pada ayat (1) diatur dengan
Peraturan Badan.

(1) Kementerian atau Lembaga menyusun dan

menetapkan peta jalan pelindungan IIV untuk jangka

waktu 5 (lima) tahun dengan mengacu pada kerangka

kerja pelindungan IIV sebagaimana dimaksud dalam

### Pasal 7 ayat (1).

(2) Peta jalan pelindungan IIV sebagaimana dimaksud

pada ayat (1) memuat paling sedikit:

• sasaran penyelenggaraan pelindungan IIV; dan
• rencana kerja penyelenggaraan pelindungan IIV.

(3) Kementerian atau Lembaga melakukan reviu terhadap

peta jalan pelindungan IIV sebagaimana dimaksud
pada ayat (1) setiap tahun.

---

2022, No. 129 -8-

(4) Dalam hal berdasarkan hasil reviu sebagaimana

dimaksud pada ayat (3) diperlukan perubahan peta
jalan pelindungan IIV, Kementerian atau Lembaga

menetapkan perubahan peta jalan pelindungan IIV.

(5) Dalam melakukan penyusunan sebagaimana

dimaksud pada ayat (1) dan reviu sebagaimana

dimaksud pada ayat (3), Kementerian atau Lembaga

dapat berkoordinasi dengan Badan.

(6) Peta jalan pelindungan IIV yang telah disusun dan

ditetapkan sebagaimana dimaksud pada ayat (1) dan

perubahan atas peta jalan pelindungan IIV

sebagaimana dimaksud pada ayat (4) disampaikan

kepada Badan.

Bagian Kedua

Penerapan Standar Keamanan Siber

(1) Penyelenggara IIV harus menyelenggarakan

pelindungan IIV secara andal dan aman serta

bertanggung jawab terhadap beroperasinya IIV

sebagaimana mestinya.

(2) Dalam menyelenggarakan pelindungan IIV

sebagaimana dimaksud pada ayat (1), Penyelenggara

IIV wajib menerapkan standar keamanan informasi
dan/atau standar keamanan lain yang ditetapkan oleh

Kementerian atau Lembaga dan/atau Badan.

Bagian Ketiga

Manajemen Risiko Keamanan Siber

(1) Setiap Penyelenggara IIV wajib menerapkan

manajemen risiko Keamanan Siber secara efektif.

(2) Penerapan manajemen risiko Keamanan Siber yang

efektif sebagaimana dimaksud pada ayat (1) harus
memenuhi persyaratan:

---

2022, No. 129 -9-

• kepatuhan terhadap peraturan perundang-

undangan;
- kesesuaian dengan standar yang berlaku pada

masing-masing sektor IIV; dan

• sistem pengendalian intern yang berlaku pada

Penyelenggara IIV.

(3) Penyelenggara IIV wajib melaporkan hasil penerapan

manajemen risiko Keamanan Siber kepada
Kementerian atau Lembaga.

(4) Dalam hal Kementerian atau Lembaga sebagai

Penyelenggara IIV, Kementerian atau Lembaga wajib

melaporkan hasil penerapan manajemen risiko

Keamanan Siber kepada Badan.

(5) Ketentuan lebih lanjut mengenai penerapan dan

pelaporan hasil penerapan manajemen risiko

Keamanan Siber diatur dalam Peraturan Badan.

(6) Ketentuan mengenai penerapan dan pelaporan hasil

penerapan manajemen risiko Keamanan Siber di

sektor IIV ditetapkan oleh Kementerian atau Lembaga
dengan mengacu pada Peraturan Badan sebagaimana

dimaksud pada ayat (5).

Bagian Keempat

Pengelolaan Insiden Siber

(1) Penanganan Insiden Siber dilaksanakan oleh Tim

Tanggap Insiden Siber.

(2) Tim Tanggap Insiden Siber sebagaimana dimaksud

pada ayat (1) terdiri atas:

• Tim Tanggap Insiden Siber nasional;
• Tim Tanggap Insiden Siber sektoral; dan

• Tim Tanggap Insiden Siber organisasi.

(1) Badan membentuk Tim Tanggap Insiden Siber

nasional sebagaimana dimaksud dalam Pasal 11 ayat

---

2022, No. 129 -10-

(2) huruf a.

(2) Kementerian atau Lembaga membentuk Tim Tanggap

Insiden Siber sektoral sebagaimana dimaksud dalam

### Pasal 11 ayat (2) huruf b.

(3) Penyelenggara IIV membentuk Tim Tanggap Insiden

Siber organisasi sebagaimana dimaksud dalam Pasal

11 ayat (2) huruf c.

(1) Tim Tanggap Insiden Siber organisasi wajib

melaporkan Insiden Siber pada IIV lingkup

organisasinya kepada Tim Tanggap Insiden Siber

sektoral dengan tembusan kepada Tim Tanggap

Insiden Siber nasional paling lambat 1 x 24 (satu kali
dua puluh empat) jam setelah ditemukan adanya

Insiden Siber pada IIV.

(2) Insiden Siber yang dilaporkan sebagaimana dimaksud

pada ayat (1) mengacu kepada hasil penerapan

manajemen risiko sebagaimana dimaksud dalam Pasal
10 ayat (3).

(3) Dalam hal belum dibentuk Tim Tanggap Insiden Siber

sektoral yang melingkupinya, Tim Tanggap Insiden
Siber organisasi wajib melaporkan Insiden Siber yang

terjadi pada IIV lingkup organisasinya kepada

Kementerian atau Lembaga sesuai sektornya dengan
tembusan kepada Tim Tanggap Insiden Siber nasional

paling lambat 1 x 24 (satu kali dua puluh empat) jam

setelah ditemukan adanya Insiden Siber pada IIV.

(1) Tim Tanggap Insiden Siber organisasi wajib melakukan

penanganan Insiden Siber pada IIV lingkup

organisasinya.

(2) Penanganan Insiden Siber sebagaimana dimaksud

pada ayat (1) dilakukan paling sedikit melalui:

• penanggulangan dan pemulihan Insiden Siber;
• penyampaian informasi Insiden Siber kepada

---

2022, No. 129 -11-

pihak terkait; dan

- diseminasi informasi untuk mencegah
dan/atau mengurangi dampak dari Insiden

Siber.

(3) Dalam hal diperlukan, Tim Tanggap Insiden Siber

sektoral dan/atau Tim Tanggap Insiden Siber nasional

memberikan bantuan atau mengoordinasikan bantuan

dalam rangka penanganan Insiden Siber pada IIV
berdasarkan laporan sebagaimana dimaksud dalam

### Pasal 13 ayat (1).

(4) Dalam hal diperlukan, Tim Tanggap Insiden Siber

nasional memberikan bantuan atau mengoordinasikan

bantuan dalam rangka penanganan Insiden Siber pada

IIV berdasarkan laporan sebagaimana dimaksud
dalam Pasal 13 ayat (3).

(1) Penyelenggara IIV, Kementerian atau Lembaga, dan

Badan melaksanakan kesiapan terhadap Insiden
Siber.

(2) Pelaksanaan kesiapan terhadap Insiden Siber

sebagaimana dimaksud pada ayat (1) dilaksanakan
melalui:

• penyusunan rencana tanggap Insiden Siber dan

rencana keberlangsungan kegiatan; dan
- pelaksanaan simulasi tanggap Insiden Siber dan

simulasi keberlangsungan kegiatan.

(1) Dalam hal Insiden Siber pada IIV terus meningkat dan

berpotensi menjadi krisis maka diberlakukan
manajemen krisis siber.

(2) Manajemen krisis siber sebagaimana dimaksud pada

ayat (1) dilaksanakan sesuai dengan ketentuan

peraturan perundang-undangan.

---

2022, No. 129 -12-

Ketentuan lebih lanjut mengenai Tim Tanggap Insiden
Siber, pelaporan, penanganan Insiden Siber, dan

pelaksanaan kesiapan terhadap Insiden Siber sebagaimana

dimaksud dalam Pasal 12 sampai dengan Pasal 15 diatur

dalam Peraturan Badan.

Bagian Kelima
Forum Analisis dan Berbagi Informasi Keamanan Siber

(1) Badan, Kementerian atau Lembaga, dan/atau

Penyelenggara IIV dapat menyelenggarakan forum

analisis dan berbagi informasi Keamanan Siber sesuai
dengan ketentuan peraturan perundang-undangan.

(2) Forum analisis dan berbagi informasi Keamanan Siber

sebagaimana dimaksud pada ayat (1) dapat

melibatkan pihak lain yang diperlukan.

Bagian Kesatu

Peningkatan Kapasitas Sumber Daya Manusia
Penyelenggara IIV

(1) Setiap Penyelenggara IIV bertanggung jawab

melakukan peningkatan kapasitas sumber daya

manusia Penyelenggara IIV.

(2) Peningkatan kapasitas sumber daya manusia

Penyelenggara IIV sebagaimana dimaksud pada ayat

(1) dilakukan paling sedikit melalui:

• peningkatan kompetensi dan/atau sertifikasi;

• alih teknologi dan alih keahlian; dan

---

2022, No. 129 -13-

• peningkatan budaya kesadaran keamanan

informasi.

(3) Dalam melakukan peningkatan kapasitas sumber daya

manusia sebagaimana dimaksud pada ayat (1),

Penyelenggara IIV dapat bekerja sama dengan Badan.

(4) Badan menyusun dan menetapkan pedoman

peningkatan kapasitas sumber daya manusia di

bidang Keamanan Siber.

(5) Kementerian atau Lembaga menetapkan ketentuan

mengenai peningkatan kapasitas sumber daya

manusia dengan dapat mengacu kepada pedoman

yang ditetapkan oleh Badan sebagaimana dimaksud

pada ayat (4).

(1) Setiap Penyelenggara IIV wajib mengutamakan

penggunaan tenaga kerja Indonesia dalam

menyelenggarakan IIV.

(2) Dalam hal penggunaan tenaga kerja Indonesia dalam

menyelenggarakan IIV sebagaimana dimaksud pada

ayat (1) belum dapat dipenuhi, Penyelenggara IIV

dapat menggunakan tenaga kerja asing sesuai dengan
ketentuan peraturan perundang-undangan.

(3) Setiap tenaga kerja pada Penyelenggara IIV

sebagaimana dimaksud pada ayat (1) dan ayat (2)
wajib menjaga kerahasiaan informasi sesuai dengan

ketentuan peraturan perundang-undangan.

Bagian Kedua

Kerja Sama

(1) Kementerian atau Lembaga dan Penyelenggara IIV

dapat melakukan kerja sama dalam negeri dan luar

negeri dalam rangka penyelenggaraan pelindungan IIV.

(2) Kementerian atau Lembaga dan Instansi

Penyelenggara Negara selain otoritas pengatur dan

---

2022, No. 129 -14-

pengawas sektor keuangan dalam melakukan kerja

sama luar negeri sebagaimana dimaksud pada ayat (1),
berkonsultasi dan berkoordinasi dengan kementerian

yang menyelenggarakan urusan pemerintahan di

bidang luar negeri serta Badan.

(3) Kerja sama luar negeri sebagaimana dimaksud pada

ayat (2) dilaksanakan sesuai dengan ketentuan

peraturan perundang-undangan yang mengatur
mengenai hubungan luar negeri dan perjanjian

internasional.

(4) Otoritas pengatur dan pengawas sektor keuangan

dalam melakukan kerja sama luar negeri sebagaimana

dimaksud pada ayat (1) dilaksanakan sesuai dengan

ketentuan peraturan perundang-undangan.

(5) Kementerian atau Lembaga dan Penyelenggara IIV

yang telah melakukan kerja sama luar negeri
sebagaimana dimaksud pada ayat (1), harus

menginformasikan pelaksanaan kerja sama tersebut

kepada Badan.

Bagian Ketiga

Pengukuran Tingkat Kematangan Keamanan Siber

(1) Penyelenggara IIV harus melakukan pengukuran

tingkat kematangan Keamanan Siber secara mandiri

paling sedikit 1 (satu) kali dalam 1 (satu) tahun.

(2) Penyelenggara IIV melaporkan hasil pengukuran

tingkat kematangan Keamanan Siber sebagaimana

dimaksud pada ayat (1) kepada Kementerian atau

Lembaga.

(3) Dalam hal Kementerian atau Lembaga sebagai

Penyelenggara IIV, Kementerian atau Lembaga
melaporkan hasil pengukuran tingkat kematangan

Keamanan Siber sebagaimana dimaksud pada ayat (1)

kepada Badan.

---

2022, No. 129 -15-

(4) Kementerian atau Lembaga dalam memverifikasi hasil

pengukuran tingkat kematangan Keamanan Siber
sebagaimana dimaksud pada ayat (2) dapat

mengikutsertakan Badan.

(5) Kementerian atau Lembaga wajib menginformasikan

hasil pengukuran tingkat kematangan Keamanan

Siber sebagaimana dimaksud pada ayat (4) yang

dilakukan kepada Badan secara berkala paling sedikit
1 (satu) kali dalam 1 (satu) tahun.

(6) Badan memverifikasi hasil pengukuran tingkat

kematangan Keamanan Siber sebagaimana dimaksud

pada ayat (3).

(7) Ketentuan lebih lanjut mengenai pengukuran tingkat

kematangan Keamanan Siber diatur dengan Peraturan
Badan.

(8) Kementerian atau Lembaga dapat menetapkan

peraturan mengenai pengukuran tingkat kematangan

Keamanan Siber di sektor masing-masing sesuai

kebutuhan dengan mengacu kepada Peraturan Badan
sebagaimana dimaksud pada ayat (7).

(1) Badan berkedudukan sebagai koordinator

penyelenggaraan pelindungan IIV.

(2) Badan sebagai koordinator penyelenggaraan

pelindungan IIV sebagaimana dimaksud pada ayat (1)

bertugas:

• mengevaluasi pelaksanaan penetapan sektor IIV;
• mengevaluasi penetapan IIV;

- mengusulkan penetapan dan perubahan sektor
IIV kepada Presiden;

• menetapkan kerangka kerja pelindungan IIV;

- memberikan himbauan Keamanan Siber IIV
kepada Kementerian atau Lembaga berdasarkan

---

2022, No. 129 -16-

data dan informasi yang diperoleh Badan; dan

- mengevaluasi implementasi kebijakan
pelindungan IIV.

(1) Badan sebagai koordinator penyelenggaraan

pelindungan IIV sebagaimana dimaksud dalam Pasal

23 melaksanakan rapat koordinasi paling sedikit 1
(satu) kali dalam 1 (satu) tahun atau sewaktu-waktu

jika diperlukan.

(2) Dalam melaksanakan rapat koordinasi sebagaimana

dimaksud pada ayat (1), Badan melibatkan

kementerian/lembaga terkait dan/atau pihak lain

yang diperlukan.

Kepala Badan menyampaikan laporan hasil pelaksanaan

tugas sebagai koordinator penyelenggaraan pelindungan IIV

kepada Presiden 1 (satu) kali dalam 1 (satu) tahun atau
sewaktu-waktu jika diperlukan.

Peraturan pelaksanaan dari Peraturan Presiden ini harus

ditetapkan paling lama 18 (delapan belas) bulan terhitung

sejak Peraturan Presiden ini diundangkan.

Peraturan Presiden ini mulai berlaku pada tanggal
diundangkan.

---

2022, No. 129 -17-

Agar setiap orang mengetahuinya, memerintahkan

pengundangan Peraturan Presiden ini dengan
penempatannya dalam Lembaran Negara Republik

Indonesia.

Ditetapkan di Jakarta

pada tanggal 24 Mei 2022

INDONESIA,

ttd.

Diundangkan di Jakarta

pada tanggal 24 Mei 2022

,

ttd.