Menerbitkan peraturan audit teknis untuk tanda tangan elektronik dan layanan tepercaya: Memastikan keamanan dan meningkatkan kepercayaan di ruang digital

Surat Edaran tersebut merupakan landasan hukum yang penting dalam rangka standarisasi proses audit teknis, guna memastikan bahwa sistem dan organisasi yang menyediakan dan menggunakan tanda tangan elektronik mematuhi standar teknis dan keamanan informasi, serta turut memperkuat kepercayaan masyarakat, pelaku usaha, dan lembaga pengelola dalam lingkungan transaksi digital.

Sesuai dengan ketentuan peraturan perundang-undangan, Surat Edaran ini berlaku bagi organisasi dan individu yang terlibat dalam atau terkait dengan kegiatan audit teknis untuk sistem informasi, proses penyediaan layanan tanda tangan elektronik aman, sertifikat tanda tangan elektronik aman, tanda tangan digital, sertifikat tanda tangan digital, dan layanan tepercaya lainnya.

Secara khusus, lembaga dan organisasi yang membuat dan menggunakan tanda tangan elektronik yang aman didorong untuk secara proaktif melakukan audit teknis guna menilai sendiri kepatuhan dan keamanan sistem serta proses penyediaan layanan mereka. Hal ini merupakan langkah penting, yang menunjukkan semangat untuk secara proaktif mencegah risiko keamanan siber, alih-alih hanya menangani insiden ketika terjadi pelanggaran.

Penyedia layanan tepercaya diharuskan melakukan audit teknis setiap dua tahun untuk memastikan bahwa sistem dan proses penyampaian layanan dipertahankan dalam keadaan aman, stabil, dan memenuhi persyaratan teknis menurut standar nasional.

Menurut Surat Edaran tersebut, dasar penilaian audit teknis adalah persyaratan khusus sistem informasi dan proses pemberian layanan sebagaimana diatur dalam peraturan teknis, standar teknis, dan persyaratan teknis yang berlaku bagi tanda tangan elektronik, sertifikat elektronik, dan layanan kepercayaan.

Kegiatan audit teknis dilaksanakan dalam dua tahap utama: Evaluasi informasi dan dokumen selama proses perencanaan dan evaluasi aktual di organisasi yang diaudit. Semua isi harus objektif, transparan, dan sesuai dengan rencana dan ruang lingkup yang telah disepakati sebelumnya.

Durasi audit maksimum adalah 6 bulan, dan jika diperlukan, dapat diperpanjang hingga 45 hari untuk menyelesaikan tindakan korektif. Setelah selesai, berdasarkan hasil penilaian dan tindakan korektif (jika ada), organisasi audit akan mempertimbangkan untuk menerbitkan sertifikat beserta Laporan Audit Teknis kepada organisasi yang diaudit. Jika persyaratan tidak terpenuhi, organisasi audit harus memberi tahu secara tertulis, dengan menyebutkan alasannya, dan melampirkan Laporan Audit Teknis.

Surat Edaran tersebut juga merinci konten wajib dalam Laporan Audit Teknis, termasuk: Informasi umum tentang audit, waktu pelaksanaan, metode penilaian, hasil analisis risiko keamanan informasi, hasil pengujian sistem, rekomendasi teknis dan dasar keputusan sertifikasi.

Penyedia layanan tepercaya harus mengirimkan Laporan Audit Teknis ke Kementerian Sains dan Teknologi , melalui Pusat Autentikasi Elektronik Nasional (NEAC), titik fokus untuk mensintesis, memantau, dan melayani pekerjaan manajemen negara.

Pelaporan rutin tidak hanya membantu menilai status operasional penyedia layanan tepercaya, tetapi juga menciptakan basis data terpadu untuk pembuatan kebijakan, manajemen risiko, dan mendukung lembaga negara dalam meningkatkan kualitas dan keamanan infrastruktur transaksi digital nasional.

Surat Edaran tersebut mengamanatkan agar lembaga audit teknis bertanggung jawab melaksanakan hak dan kewajibannya sesuai dengan ketentuan peraturan perundang-undangan di bidang standar dan regulasi teknis; menjamin independensi, objektivitas, dan kepatuhan penuh terhadap prosedur audit teknis sesuai dengan ketentuan peraturan perundang-undangan di bidang mutu produk dan barang serta keamanan informasi jaringan.

Komite Nasional Standar, Metrologi, dan Mutu di bawah Kementerian Sains dan Teknologi merupakan titik fokus dalam menerima dan menilai berkas pendaftaran untuk penunjukan organisasi audit teknis dan menyerahkannya kepada Menteri Sains dan Teknologi untuk keputusan penunjukan organisasi yang memenuhi syarat sesuai dengan undang-undang tentang standar dan mutu.

Sementara itu, Pusat Autentikasi Elektronik Nasional bertanggung jawab untuk menerima dan mensintesis laporan audit teknis dari organisasi yang diaudit, secara berkala melaporkan kepada Menteri Sains dan Teknologi untuk membantu manajemen negara dalam penyediaan layanan yang andal.

Terbitnya Surat Edaran tentang audit teknis tanda tangan elektronik dan layanan kepercayaan ini dinilai sebagai langkah penting dalam melengkapi koridor hukum nasional di bidang keamanan informasi, autentikasi elektronik, dan transformasi digital.

Surat Edaran tersebut berkontribusi pada standarisasi sistem penilaian independen, memperkuat pengendalian risiko, meningkatkan otonomi teknologi, dan menciptakan kepercayaan digital bagi pengguna dalam proses bertransaksi, menandatangani, dan bertukar data elektronik.

Surat Edaran ini berlaku efektif sejak tanggal 1 Januari 2026, menandai langkah maju baru dalam manajemen teknis dan memastikan keamanan dan keandalan infrastruktur tanda tangan elektronik nasional, menuju tujuan membangun pemerintahan digital, ekonomi digital, dan masyarakat digital yang aman, transparan, dan berkelanjutan.