Mulai 1 November 2025, Cyberspace Administration of China (CAC) akan memberlakukan regulasi baru yaitu National Cybersecurity Incident Reporting Management Measures. Regulasi itu mengharuskan semua operator jaringan di China yang memiliki, mengelola, atau menyediakan layanan jaringan untuk segera melaporkan insiden serangan siber serius dalam waktu 60 menit. Bahkan, insiden serangan yang sangat krusial wajib dilaporkan dalam waktu 30 menit.
“Jika terjadi insiden keamanan jaringan besar atau sangat penting, departemen perlindungan harus melaporkannya kepada departemen informasi siber nasional dan Kementerian Keamanan Publik segera setelah menerima laporan, tidak lebih dari setengah jam,” tulis CAC di situs resminya.
Sistem Klasifikasi 4 Tingkat
Aturan terbaru itu membagi insiden siber ke dalam empat tingkatan dengan syarat paling ketat untuk kategori “sangat besar/krusial.” Kriteria insiden tingkat tertinggi mencakup hilang atau dicurinya data sensitif yang mengancam keamanan nasional atau stabilitas sosial, kebocoran data lebih dari 100 juta data pribadi warga, gangguan pada situs web penting (pemerintah atau media berita) yang membuatnya offline lebih dari 24 jam dan kerugian ekonomi langsung lebih dari ¥100 juta atau sekitar £10,3 juta.
Operator jaringan wajib mengajukan laporan awal berisi daftar panjang informasi krusial. Contohnya sistem yang terdampak, kronologi serangan, tindakan pengendalian yang diambil, celah keamanan yang dimanfaatkan, jumlah uang tebusan, sampai dukungan yang diperlukan dari pemerintah.
Selain laporan awal, perusahaan juga harus mengajukan laporan akhir (postmortem) yang memuat penyebab pasti, pelajaran yang dipetik, dan penentuan pihak yang bertanggung jawab dalam waktu 30 hari setelah insiden.
Sanksi Berat
CAC memperingatkan keras siapa pun yang mencoba menutup-nutupi atau menunda laporan, “Jika operator jaringan terlambat, menghilangkan, memalsukan, atau menyembunyikan laporan insiden keamanan jaringan sehingga menimbulkan konsekuensi berbahaya besar, operator dan pihak terkait akan dihukum lebih berat sesuai hukum.”
Untuk mencegah alasan tidak tahu harus melapor ke mana, otoritas China membuka berbagai saluran pelaporan: hotline 12387, situs web, WeChat, email, dan lainnya.
Jika dibandingkan, regulasi GAC itu jauh lebih ketat daripada Uni Eropa yang memberi waktu 72 jam untuk melaporkan kebocoran data. Artinya, organisasi di China harus berinvestasi pada monitoring real-time dan tim kepatuhan khusus yang bisa mengambil keputusan hanya dalam hitungan menit, bukan berhari-hari.
Aturan baru ini muncul hanya beberapa hari setelah cabang Dior di Shanghai didenda karena mentransfer data pelanggan ke kantor pusat di Prancis tanpa melakukan pemeriksaan keamanan yang diwajibkan, tanpa pemberitahuan pelanggan yang layak, dan bahkan tanpa enkripsi. Kasus itu menegaskan bahwa China semakin memperketat pengawasan keamanan siber, dengan kombinasi aturan ketat, ancaman sanksi, dan pengawasan aktif untuk memastikan kepatuhan operator jaringan di seluruh negeri.
