Peraturan Badan Nomor 11 Tahun 2024 tentang Penyelenggaraan Algoritma Kriptografi Indonesia dan Penilaian Kesesuaian Keamanan Modul Kriptografi

Dalam Peraturan Badan ini yang dimaksud dengan: 1. Kriptografi adalah disiplin ilmu yang meliputi prinsip, sarana dan metode untuk menyediakan keamanan informasi, termasuk kerahasiaan, integritas data, autentikasi dan nir-penyangkalan. 2. Algoritma Kriptografi adalah prosedur komputasi yang terdefinisi dengan baik dan memiliki input variabel, termasuk kunci kriptografi dan menghasilkan output. 3. Algoritma Kriptografi INDONESIA adalah Algoritma Kriptografi yang ditetapkan secara nasional berdasarkan Kriteria Algoritma Kriptografi INDONESIA dan digunakan untuk melindungi informasi elektronik pada Sistem Elektronik. 4. Badan Siber dan Sandi Negara yang selanjutnya disebut Badan adalah lembaga pemerintah yang menyelenggarakan tugas pemerintahan di bidang keamanan siber dan sandi. 5. Kriteria Algoritma Kriptografi INDONESIA adalah ukuran yang menjadi dasar dalam kegiatan pendataan dan penilaian Algoritma Kriptografi yang terdiri dari kriteria umum dan kriteria khusus. 6. Pengusul adalah warga negara INDONESIA atau badan hukum pencipta dan/atau pemilik Algoritma Kriptografi yang mengajukan pendaftaran Algoritma Kriptografi. 7. Penyelenggara Sistem Elektronik yang selanjutnya disebut PSE adalah setiap orang, penyelenggara negara, badan usaha, dan masyarakat yang menyediakan, mengelola, dan/atau mengoperasikan Sistem Elektronik secara sendiri-sendiri maupun bersama- sama kepada Pengguna Sistem Elektronik untuk keperluan dirinya dan/ atau keperluan pihak lain. 8. Pemohon adalah pihak yang mengajukan permohonan sertifikasi Modul Kriptografi serta memiliki kendali penuh terhadap desain dan dokumentasi Modul Kriptografi. 9. Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi untuk mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan informasi elektronik. 10. Modul Kriptografi adalah seperangkat perangkat keras, perangkat lunak, dan/atau perangkat tegar yang mengimplementasikan Algoritma Kriptografi dan/atau fungsi keamanan lain yang dimuat dalam batas kriptografinya. 11. Infrastruktur Informasi Vital yang selanjutnya disebut IIV adalah Sistem Elektronik yang memanfaatkan teknologi informasi dan/atau teknologi operasional, baik berdiri sendiri maupun saling bergantung dengan Sistem Elektronik lainnya dalam menunjang sektor strategis, yang jika terjadi gangguan, kerusakan, dan/ atau kehancuran pada infrastruktur dimaksud berdampak serius terhadap kepentingan umum, pelayanan publik, pertahanan dan keamanan, atau perekonomian nasional. 12. Deputi adalah pimpinan tinggi madya yang melaksanakan tugas dan fungsi di bidang perumusan kebijakan teknis di bidang strategi dan kebijakan keamanan siber dan sandi di Badan. 13. Direktur adalah pimpinan tinggi pratama yang melaksanakan tugas dan fungsi di bidang koordinasi, perumusan, dan pemantauan kebijakan teknis di bidang teknologi keamanan siber dan sandi di Badan. 14. Skema Penilaian Kesesuaian Keamanan Modul Kriptografi yang selanjutnya disebut Skema PKKMK adalah aturan, prosedur dan/atau manajemen yang berlaku untuk melaksanakan penilaian kesesuaian terhadap keamanan Modul Kriptografi. 15. Standar Nasional INDONESIA yang selanjutnya disingkat SNI adalah standar yang ditetapkan oleh Badan Standardisasi Nasional dan berlaku di wilayah Negara Kesatuan Republik INDONESIA. 16. Level Keamanan adalah seperangkat persyaratan keamanan yang terdefinisi dengan baik di area keamanan. 17. Sertifikat Keamanan Modul Kriptografi adalah jaminan tertulis yang diberikan LSPro yang menyatakan bahwa Modul Kriptografi teknologi IIV telah memenuhi SNI ISO/IEC 19790:2015. 18. Tanda SNI adalah tanda sertifikasi yang ditetapkan oleh Badan Standardisasi Nasional untuk menyatakan telah terpenuhinya persyaratan acuan SNI. 19. Tanda KMK adalah tanda sertifikasi yang ditetapkan oleh Kepala Badan untuk menyatakan Modul Kriptografi telah memenuhi persyaratan acuan SNI ISO/IEC 19790:2015. 20. Lembaga sertifikasi produk untuk sertifikasi Modul Kriptografi yang merupakan teknologi pelindungan IIV yang selanjutnya disebut LSPro adalah unit kerja di Badan Siber dan Sandi Negara yang melaksanakan tugas dan fungsi di bidang sertifikasi produk keamanan siber dan sandi. 21. Komite Akreditasi Nasional yang selanjutnya disingkat KAN adalah lembaga nonstruktural yang bertugas dan bertanggung jawab di bidang akreditasi lembaga penilaian kesesuaian.

Penyelenggaraan Algoritma Kriptografi INDONESIA terdiri atas: a. penyusunan; b. reviu; c. pemanfaatan; dan d. pengawasan.

(1) Penyusunan dan reviu sebagaimana dimaksud dalam Pasal 2 huruf a dan huruf b dilaksanakan oleh Badan. (2) Dalam melaksanakan penyusunan dan reviu sebagaimana dimaksud pada ayat (1), Badan menugaskan komite Algoritma Kriptografi INDONESIA.

Penyusunan Algoritma Kriptografi INDONESIA sebagaimana dimaksud dalam Pasal 3 ayat (2) dilakukan dengan mekanisme: a. adopsi; dan b. seleksi.

(1) Adopsi sebagaimana dimaksud dalam Pasal 4 huruf a merupakan kegiatan pendataan dan penilaian Algoritma Kriptografi untuk menjadi kandidat Algoritma Kriptografi INDONESIA. (2) Kegiatan pendataan Algoritma Kriptografi sebagaimana dimaksud pada ayat (1) dilakukan dengan mengumpulkan kandidat Algoritma Kriptografi yang berasal dari standar, publikasi ilmiah bereputasi, dan/atau kompetisi Algoritma Kriptografi berdasarkan kriteria umum Algoritma Kriptografi INDONESIA. (3) Kegiatan penilaian Algoritma Kriptografi sebagaimana dimaksud pada ayat (1) dilakukan melalui pengkajian terhadap hasil kegiatan pendataan Algoritma Kriptografi sebagaimana dimaksud pada ayat (2) berdasarkan kriteria khusus Algoritma Kriptografi INDONESIA. (4) Kriteria khusus sebagaimana dimaksud pada ayat (3) dilaksanakan sesuai dengan jenis Algoritma Kriptografi. (5) Kriteria umum dan kriteria khusus Algoritma Kriptografi INDONESIA sebagaimana dimaksud pada ayat (2) dan ayat (3) tercantum dalam Lampiran I yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini. (6) Proses adopsi sebagaimana dimaksud pada ayat (1) dilaksanakan dengan jangka waktu minimal 1 (satu) tahun dimulai sejak kegiatan pendataan.

(1) Seleksi sebagaimana dimaksud dalam Pasal 4 huruf b merupakan proses pendataan dan penilaian Algoritma Kriptografi yang berasal dari pendaftaran Algoritma Kriptografi. (2) Pendaftaran Algoritma Kriptografi INDONESIA sebagaimana dimaksud pada ayat (1) merupakan proses permohonan Algoritma Kriptografi menjadi kandidat Algoritma Kriptografi INDONESIA. (3) Pendaftaran Algoritma Kriptografi INDONESIA sebagaimana dimaksud pada ayat (2) disampaikan oleh Pengusul kepada Kepala Badan. (4) Pengusul sebagaimana dimaksud pada ayat (3) menyampaikan pendaftaran Algoritma Kriptografi INDONESIA yang berisi: a. informasi Pengusul; b. informasi Algoritma Kriptografi; dan c. bukti publikasi ilmiah. (5) Informasi Pengusul sebagaimana dimaksud pada ayat (4) huruf a bagi Pengusul warga negara INDONESIA disampaikan dalam bentuk: a. salinan kartu tanda penduduk; dan b. surat pernyataan kepemilikan Algoritma Kriptografi. (6) Informasi Pengusul sebagaimana dimaksud pada ayat (4) huruf a bagi Pengusul badan hukum yang berkedudukan di INDONESIA disampaikan dalam bentuk: a. salinan dokumen legal pendirian badan hukum; dan b. surat pernyataan kepemilikan Algoritma Kriptografi. (7) Informasi Algoritma Kriptografi sebagaimana dimaksud pada ayat (4) huruf b paling sedikit memuat: a. nama Algoritma Kriptografi; b. jenis Algoritma Kriptografi; c. struktur Algoritma Kriptografi dan desain rasional; d. kekuatan keamanan; e. jenis platform; f. implementasi; dan g. hasil uji yang telah dilakukan. (8) Bukti publikasi ilmiah sebagaimana dimaksud pada ayat (4) huruf c paling sedikit harus melampirkan surat keterangan publikasi jurnal. (9) Format surat pendaftaran Algoritma Kriptografi INDONESIA sebagaimana dimaksud pada ayat (3) tercantum dalam Lampiran II yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini. (10) Kegiatan pendataan Algoritma Kriptografi sebagaimana dimaksud pada ayat (1) dilakukan terhadap kandidat Algoritma Kriptografi berdasarkan kriteria umum Algoritma Kriptografi INDONESIA. (11) Kegiatan penilaian Algoritma Kriptografi yang dimaksud pada ayat (1) dilakukan melalui pengkajian dan pengujian terhadap hasil kegiatan pendataan Algoritma Kriptografi sebagaimana dimaksud pada ayat (10) berdasarkan kriteria khusus Algoritma Kriptografi INDONESIA. (12) Kriteria khusus sebagaimana dimaksud pada ayat (11) dilaksanakan sesuai dengan jenis Algoritma Kriptografi. (13) Kriteria umum dan kriteria khusus Algoritma Kriptografi INDONESIA sebagaimana dimaksud pada ayat (10) dan ayat (11) tercantum dalam Lampiran I yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini. (14) Proses seleksi sebagaimana dimaksud pada ayat (1) dilaksanakan dengan jangka waktu minimal 2 (dua) tahun dimulai sejak kegiatan pendataan.

(1) Kandidat Algoritma Kriptografi INDONESIA yang telah melalui mekanisme adopsi dan/atau seleksi sebagaimana dimaksud dalam Pasal 4 direkomendasikan untuk ditetapkan sebagai Algoritma Kriptografi INDONESIA. (2) Algoritma Kriptografi INDONESIA sebagaimana dimaksud pada ayat (1) ditetapkan dengan Keputusan Kepala Badan.

(1) Reviu sebagaimana dimaksud dalam Pasal 2 huruf b dilaksanakan paling sedikit 1 (satu) kali dalam 1 (satu) tahun. (2) Reviu sebagaimana dimaksud pada ayat (1) dilaksanakan terhadap: a. kriteria Algoritma Kriptografi INDONESIA; dan b. Algoritma Kriptografi INDONESIA. (3) Reviu terhadap kriteria Algoritma Kriptografi INDONESIA sebagaimana dimaksud pada ayat (2) huruf a dilaksanakan untuk memastikan kriteria Algoritma Kriptografi INDONESIA sesuai dengan perkembangan teknologi kriptografi terkini. (4) Reviu terhadap Algoritma Kriptografi INDONESIA sebagaimana dimaksud pada ayat (2) huruf b dilaksanakan untuk menjamin kesesuaian Algoritma Kriptografi INDONESIA dengan kriteria Algoritma Kriptografi INDONESIA. (5) Hasil reviu kriteria Algoritma Kriptografi INDONESIA dan Algoritma Kriptografi INDONESIA menjadi rekomendasi dalam pemutakhiran kriteria Algoritma Kriptografi INDONESIA dan Algoritma Kriptografi INDONESIA.

(1) Pemanfaatan sebagaimana dimaksud dalam Pasal 2 huruf c dilaksanakan oleh PSE dan Pemohon. (2) PSE sebagaimana dimaksud pada ayat (1) memanfaatkan Algoritma Kriptografi INDONESIA sesuai dengan kategori Sistem Elektronik. (3) Pemohon sebagaimana dimaksud pada ayat (1) memanfaatkan Algoritma Kriptografi INDONESIA untuk diimplementasikan dalam Modul Kriptografi miliknya. (4) Modul Kriptografi sebagaimana dimaksud pada ayat (3) berupa Modul Kriptografi yang merupakan teknologi pelindungan IIV maupun Modul Kriptografi yang bukan merupakan teknologi pelindungan IIV.

(1) Pengawasan sebagaimana dimaksud dalam Pasal 2 huruf d dilakukan terhadap kesesuaian Algoritma Kriptografi INDONESIA yang diterapkan oleh: a. PSE; dan b. Pemohon yang menyediakan Modul Kriptografi yang merupakan teknologi pelindungan IIV. (2) Pengawasan sebagaimana dimaksud pada ayat (1) dilakukan oleh Badan. (3) Dalam melakukan pengawasan sebagaimana dimaksud pada ayat (2) dapat dilakukan secara mandiri atau bekerja sama dengan instansi terkait berdasarkan penugasan dari Badan. (4) Hasil Pengawasan sebagaimana yang dimaksud pada ayat (1) dilaporkan kepada Badan paling sedikit 1 (satu) kali dalam 1 (satu) tahun.

Pengawasan terhadap Pemohon sebagaimana dimaksud dalam Pasal 10 ayat (1) huruf b dilakukan sesuai dengan ketentuan yang terdapat dalam kegiatan penyelenggaraan penilaian kesesuaian terhadap Modul Kriptografi yang merupakan teknologi pelindungan IIV.

(1) Komite Algoritma Kriptografi INDONESIA sebagaimana dimaksud dalam Pasal 3 ayat (2) ditetapkan dengan keputusan Kepala Badan. (2) Keputusan Kepala Badan sebagaimana dimaksud pada ayat (1) berlaku selama 3 (tiga) tahun sejak tanggal ditetapkan. (3) Keanggotaan komite Algoritma Kriptografi INDONESIA terdiri atas unsur : a. pemerintah; b. pakar dan/atau akademisi; c. pelaku usaha dan/atau asosiasi pelaku usaha terkait; dan d. konsumen dan/atau asosiasi konsumen terkait. (4) Unsur pemerintah sebagaimana dimaksud pada ayat (3) huruf a merupakan kementerian atau lembaga yang memiliki keterkaitan fungsi di bidang kriptografi, keamanan siber, atau keamanan informasi. (5) Unsur pakar dan/atau akademisi sebagaimana dimaksud pada ayat (3) huruf b merupakan orang yang memiliki keahlian di bidang kriptografi, keamanan siber, atau keamanan informasi. (6) Unsur pelaku usaha dan/atau asosiasi pelaku usaha terkait sebagaimana dimaksud pada ayat (3) huruf c merupakan orang, orang yang mewakili badan usaha, atau orang yang mewakili kumpulan pelaku usaha baik berbentuk badan hukum maupun tidak berbentuk badan hukum yang memiliki kepentingan atau menyelenggarakan kegiatan usaha di bidang kriptografi atau keamanan siber atau keamanan informasi. (7) Unsur konsumen dan/atau asosiasi konsumen terkait sebagaimana dimaksud pada ayat (3) huruf d merupakan orang yang menggunakan produk atau jasa di bidang kriptografi atau keamanan siber atau keamanan informasi.

(1) Komite Algoritma Kriptografi INDONESIA sebagaimana dimaksud dalam Pasal 12 terdiri atas: a. pengarah; b. ketua merangkap anggota; c. sekretaris merangkap anggota; dan d. anggota. (2) Komite Algoritma Kriptografi INDONESIA sebagaimana dimaksud pada ayat (1) beranggotakan minimal 9 (sembilan) orang dan maksimal 15 (lima belas) orang. (3) Komite Algoritma Kriptografi INDONESIA sebagaimana dimaksud pada ayat (1) berjumlah ganjil dan satu unsur keanggotaan komite sebagaimana dimaksud pada ayat (1) tidak mendominasi unsur yang lain atau tidak melampaui 50% (lima puluh persen) dari jumlah keseluruhan anggota.

(1) Pengarah komite Algoritma Kriptografi INDONESIA sebagaimana dimaksud dalam Pasal 13 ayat (1) huruf a yaitu Deputi. (2) Pengarah komite sebagaimana dimaksud pada ayat (1) memiliki tugas untuk memberikan petunjuk dan pengarahan pelaksanaan penyusunan rekomendasi Algoritma Kriptografi INDONESIA.

(1) Ketua komite Algoritma Kriptografi INDONESIA sebagaimana dimaksud dalam Pasal 13 ayat (1) huruf b yaitu Direktur. (2) Ketua komite sebagaimana dimaksud pada ayat (1) memiliki tugas dan tanggung jawab sebagai berikut: a. memimpin rapat penyusunan dan reviu terhadap kriteria Algoritma Kriptografi INDONESIA dan Algoritma Kriptografi INDONESIA; b. mengevaluasi kinerja anggota komite Algoritma Kriptografi INDONESIA; dan c. melaporkan program reviu kriteria Algoritma Kriptografi INDONESIA dan Algoritma Kriptografi INDONESIA setiap akhir tahun kepada Kepala Badan.

(1) Sekretaris komite Algoritma Kriptografi INDONESIA sebagaimana dimaksud dalam Pasal 13 ayat (1) huruf c merupakan pejabat fungsional ahli madya yang memiliki kompetensi di bidang kriptografi, keamanan siber, atau keamanan informasi pada unit kerja yang melaksanakan tugas dan fungsi di bidang kriptografi pada Badan. (2) Sekretaris komite sebagaimana dimaksud pada ayat (1) dibantu oleh sekretariat komite Algoritma Kriptografi INDONESIA. (3) Sekretariat komite sebagaimana dimaksud pada ayat (2) bertugas: a. membantu ketua komite Algoritma Kriptografi INDONESIA dalam melaksanakan tanggung jawabnya; b. memfasilitasi dan menjamin kelancaran pelaksanaan kegiatan komite Algoritma Kriptografi INDONESIA; c. menyediakan referensi dan sumber daya yang diperlukan untuk kegiatan komite Algoritma Kriptografi INDONESIA; d. memelihara rekaman data dan informasi yang berkaitan dengan kegiatan komite Algoritma Kriptografi INDONESIA agar dapat diakses dan ditelusuri secara mudah; e. menyiapkan evaluasi program kerja dan partisipasi anggota komite Algoritma Kriptografi INDONESIA; dan f. menyiapkan laporan akhir tahun kinerja komite Algoritma Kriptografi INDONESIA. (4) Sekretariat komite sebagaimana dimaksud pada ayat (2) merupakan pejabat atau pegawai pada unit kerja yang melaksanakan tugas dan fungsi di bidang kriptografi.

(1) Anggota komite Algoritma Kriptografi INDONESIA sebagaimana dimaksud dalam Pasal 13 ayat (1) huruf d harus memiliki kriteria sebagai berikut: a. memiliki penguasaan dan/atau pengalaman minimal 2 (dua) tahun di bidang kriptografi, keamanan siber, keamanan informasi, dan/atau bidang lain yang relevan; dan b. memiliki komitmen untuk melaksanakan tugas sebagai anggota komite Algoritma Kriptografi INDONESIA yang dibuktikan dengan surat pernyataan sebagaimana tercantum dalam Lampiran II yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini. (2) Anggota komite sebagaimana dimaksud pada ayat (1) bertugas: a. melakukan kegiatan pendataan dan penilaian Algoritma Kriptografi berdasarkan kriteria umum yang berasal dari: 1. standar, publikasi ilmiah bereputasi, dan/atau kompetisi Algoritma Kriptografi; dan 2. Algoritma Kriptografi yang berasal dari pendaftaran Algoritma Kriptografi. b. melakukan pengkajian terhadap hasil kegiatan pendataan Algoritma Kriptografi yang berasal dari standar, publikasi ilmiah bereputasi dan/atau kompetisi Algoritma Kriptografi berdasarkan kriteria khusus Algoritma Kriptografi INDONESIA; c. melakukan pengkajian dan pengujian terhadap Algoritma Kriptografi yang berasal dari pendaftaran Algoritma Kriptografi, berdasarkan kriteria khusus Algoritma Kriptografi INDONESIA; d. memberikan rekomendasi kandidat Algoritma Kriptografi INDONESIA yang telah melalui tahap penilaian dan tahap pengkajian untuk ditetapkan sebagai Algoritma Kriptografi INDONESIA; e. melaksanakan reviu paling sedikit 1 (satu) kali dalam 1 (satu) tahun terhadap: 1. kriteria Algoritma Kriptografi INDONESIA; dan 2. Algoritma Kriptografi INDONESIA; dan f. memberikan rekomendasi hasil reviu dalam rangka pemutakhiran kriteria Algoritma Kriptografi INDONESIA dan Algoritma Kriptografi INDONESIA.

Penyelenggaraan penilaian kesesuaian sebagaimana dimaksud dalam Pasal 11 terdiri atas komponen: a. Skema PKKMK untuk Modul Kriptografi yang merupakan teknologi pelindungan IIV; dan b. penyelenggara Skema PKKMK untuk Modul Kriptografi yang merupakan teknologi pelindungan IIV.

Skema PKKMK sebagaimana dimaksud dalam Pasal 18 huruf a menggunakan persyaratan acuan SNI ISO/IEC 19790:2015 teknologi informasi - teknik keamanan - persyaratan keamanan untuk modul kriptografi.

(1) Persyaratan acuan sebagaimana dimaksud dalam Pasal 19 diberlakukan secara wajib bagi Pemohon yang menyediakan Modul Kriptografi yang merupakan teknologi pelindungan IIV. (2) Modul Kriptografi sebagaimana dimaksud pada ayat (1) minimal memenuhi Level Keamanan 2 (dua).

(1) Skema PKKMK sebagaimana dimaksud dalam Pasal 18 huruf a terdiri atas: a. ruang lingkup; b. persyaratan acuan; c. jenis kegiatan penilaian kesesuaian; d. prosedur administratif; e. determinasi; f. tinjauan dan keputusan; g. pemeliharaan sertifikasi; h. evaluasi khusus; i. ketentuan pengurangan lingkup sertifikasi, pembekuan dan pencabutan sertifikat; j. keluhan dan banding; k. informasi publik; l. daftar Modul Kriptografi, acuan SNI dan uraian penilaian kesesuaian; dan m. kriteria kompetensi personel atau tim dalam kegiatan sertifikasi. (2) Rincian Skema PKKMK sebagaimana dimaksud pada ayat (1) tercantum dalam Lampiran III yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini.

(1) Kewajiban pemenuhan persyaratan acuan sebagaimana dimaksud dalam Pasal 20 dibuktikan dengan: a. kepemilikan Sertifikat Keamanan Modul Kriptografi yang dikeluarkan oleh LSPro yang diselenggarakan Badan; dan b. surat persetujuan penggunaan Tanda SNI dan Tanda KMK yang dikeluarkan oleh Badan. (2) Penggunaan Tanda SNI dan Tanda KMK dapat dilakukan setelah Pemohon mendapatkan surat persetujuan sebagaimana dimaksud pada ayat (1) huruf b. (3) Ketentuan penggunaan Tanda SNI dan Tanda KMK sebagaimana dimaksud pada ayat (2) tercantum dalam Lampiran IV yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini.

(1) Penyelenggara Skema PKKMK sebagaimana dimaksud dalam Pasal 18 huruf b terdiri atas: a. pemilik Skema PKKMK untuk Modul Kriptografi yang merupakan teknologi pelindungan IIV; b. komite Skema PKKMK untuk Modul Kriptografi yang merupakan teknologi pelindungan IIV; c. LSPro; dan d. laboratorium pengujian untuk Modul Kriptografi yang merupakan teknologi pelindungan IIV. (2) Penyelenggara Skema PKKMK sebagaimana dimaksud pada ayat (1) tercantum dalam Lampiran V yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini.

(1) LSPro untuk sertifikasi Modul Kriptografi yang merupakan teknologi pelindungan IIV ditunjuk oleh Kepala Badan. (2) Penunjukan LSPro oleh Kepala Badan dalam bentuk surat keputusan. (3) LSPro sebagaimana dimaksud pada ayat (1) melakukan: a. penerbitan Sertifikat Keamanan Modul Kriptografi bagi teknologi pelindungan IIV sesuai dengan persyaratan acuan; b. pelaporan Sertifikat Keamanan Modul Kriptografi yang telah diterbitkan dan/atau dicabut kepada Kepala Badan melalui Deputi paling lambat 7 (tujuh) hari kerja sejak tanggal penerbitan atau pencabutan; dan c. pelaporan surveilans secara berkala dan/atau tidak terjadwal, berdasarkan pengaduan kepada Kepala Badan melalui Deputi, paling lambat 7 (tujuh) hari kerja sejak tanggal penetapan laporan surveilans. (4) LSPro sebagaimana dimaksud pada ayat (1) wajib terakreditasi oleh KAN. (5) Dalam hal LSPro belum terakreditasi oleh KAN sebagaimana dimaksud pada ayat (4), harus memenuhi kewajiban akreditasi paling lama 2 (dua) tahun sejak tanggal penunjukan.

(1) Laboratorium pengujian untuk sertifikasi Modul Kriptografi yang merupakan teknologi pelindungan IIV ditunjuk oleh Kepala Badan. (2) Penunjukan laboratorium pengujian sebagaimana dimaksud pada ayat (1) dilakukan terhadap laboratorium pengujian yang telah terakreditasi oleh KAN untuk lingkup yang sesuai. (3) Dalam hal laboratorium pengujian sebagaimana dimaksud pada ayat (2) belum tersedia atau jumlahnya belum mencukupi kebutuhan, Kepala Badan dapat menunjuk laboratorium pengujian yang sudah diakreditasi oleh KAN untuk ruang lingkup yang sejenis.

(1) Penunjukan laboratorium pengujian sebagaimana dimaksud dalam Pasal 25 ayat (3), dilakukan berdasarkan hasil evaluasi dalam rangka penunjukan laboratorium pengujian oleh Deputi. (2) Evaluasi dalam rangka penunjukan laboratorium pengujian sebagaimana dimaksud pada ayat (1) mencakup: a. aspek legalitas kelembagaan; dan b. kemampuan untuk melakukan pengujian Modul Kriptografi yang relevan dengan persyaratan yang ditetapkan dalam SNI, berdasarkan pertimbangan: 1. sarana pengujian dan metode uji yang digunakan untuk pengujian Modul Kriptografi; dan 2. personel laboratorium pengujian dalam jumlah yang memadai untuk pengujian Modul Kriptografi. (3) Laboratorium pengujian yang ditunjuk Kepala Badan sebagaimana dimaksud pada ayat (1) wajib diakreditasi oleh KAN sesuai dengan lingkup produk yang disertifikasi paling lama 2 (dua) tahun terhitung sejak tanggal penunjukan.

LSPro dan laboratorium pengujian yang ditunjuk oleh Kepala Badan sebagaimana dimaksud dalam Pasal 24 sampai dengan Pasal 26 diawasi oleh Kepala Badan melalui Deputi.

Tata cara penunjukan dan pengawasan LSPro dan/atau laboratorium pengujian sebagaimana dimaksud dalam Pasal 24 sampai dengan Pasal 27 tercantum dalam Lampiran VI yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini.

(1) Pengawasan pemenuhan persyaratan acuan sebagaimana dimaksud dalam Pasal 20 dilakukan oleh Badan melalui Deputi. (2) Pengawasan sebagaimana dimaksud pada ayat (1) dilaksanakan secara berkala dan/atau secara khusus terhadap Modul Kriptografi yang termasuk teknologi pelindungan IIV. (3) Pengawasan secara berkala sebagaimana dimaksud pada ayat (2) dilakukan minimal 1 (satu) kali dalam 24 (dua puluh empat) bulan setelah pengawasan sebelumnya. (4) Pengawasan secara khusus sebagaimana dimaksud pada ayat (2) dilakukan jika terdapat pengaduan. (5) Dalam melakukan pengawasan sebagaimana dimaksud pada ayat (1), Badan dapat berkoordinasi dengan kementerian, lembaga pemerintah non kementerian, dan/atau pemerintah daerah. (6) Pengawasan sebagaimana dimaksud pada ayat (2) dilaksanakan dengan: a. pemeriksaan proses produksi; dan b. pemeriksaan mutu, melalui pengambilan sampel di lokasi produksi dan/atau di luar lokasi produksi yang dilakukan secara acak. (7) Sampel sebagaimana dimaksud pada ayat (6) diuji oleh laboratorium pengujian yang telah ditunjuk oleh Kepala Badan. (8) Hasil pengawasan sebagaimana dimaksud pada ayat (1) dilaporkan oleh Deputi kepada Kepala Badan.

(1) Pelanggaran ketentuan persyaratan acuan sebagaimana dimaksud dalam Pasal 20 oleh Pemohon yang telah mendapatkan Sertifikat Keamanan Modul Kriptografi serta Tanda SNI dan Tanda KMK dikenai sanksi berupa: a. pembekuan Sertifikat Keamanan Modul Kriptografi; b. pencabutan Sertifikat Keamanan Modul Kriptografi; c. pencabutan surat persetujuan penggunaan Tanda SNI dan Tanda KMK; d. menghentikan kegiatan perdagangan Modul Kriptografi yang merupakan teknologi pelindungan IIV; atau e. menarik Modul Kriptografi yang merupakan teknologi pelindungan IIV dari peredaran. (2) Pembekuan atau pencabutan sertifikat sebagaimana dimaksud pada ayat (1) huruf a dan huruf b, dilakukan oleh LSPro berdasarkan rekomendasi Kepala Badan (3) Pencabutan surat persetujuan sebagaimana dimaksud pada ayat (1) huruf c dilakukan oleh Kepala Badan. (4) Penghentian perdagangan dan penarikan Modul Kriptografi sebagaimana dimaksud pada ayat (1) huruf d dan huruf e dilakukan sesuai dengan ketentuan peraturan perundang-undangan.

(1) Pemohon yang memiliki hasil pengujian keamanan Modul Kriptografi yang merupakan teknologi pelindungan IIV yang diterbitkan oleh laboratorium pengujian negara lain yang telah terakreditasi untuk lingkup yang sesuai wajib mengajukan permohonan rekognisi kepada Badan. (2) Rekognisi sebagaimana dimaksud pada ayat (1) dapat dilakukan jika: a. badan Akreditasi telah menandatangani perjanjian saling pengakuan (mutual recognition arrangement) melalui kerja sama akreditasi internasional; b. negara memiliki perjanjian bilateral di bidang regulasi teknis dengan pemerintah Republik INDONESIA; atau c. negara memiliki perjanjian multilateral di bidang regulasi teknis dengan pemerintah Republik INDONESIA. (3) Badan melakukan rekognisi sebagaimana dimaksud pada ayat (1) sesuai dengan ketentuan peraturan perundangan-undangan.

Pada saat Peraturan Badan ini mulai berlaku: a. permohonan sertifikasi yang sedang diproses tetap dilaksanakan berdasarkan skema yang diacu dalam Peraturan Kepala Lembaga Sandi Negara Nomor 9 Tahun 2010 tentang Pedoman Sertifikasi Peralatan Sandi; dan b. Sertifikat Keamanan Modul Kriptografi yang telah diterbitkan oleh LSPro, tetap berlaku sampai dengan berakhirnya jangka waktu sertifikat.

Pada saat Peraturan Badan ini mulai berlaku, Peraturan Kepala Lembaga Sandi Negara nomor 9 tahun 2010 tentang Pedoman Sertifikasi Peralatan Sandi (Berita Negara Republik INDONESIA Tahun 2010 Nomor 185) dan Peraturan Kepala Lembaga Sandi Negara nomor 5 tahun 2014 tentang Standar Algoritma Kriptografi pada Instansi Pemerintah (Berita Negara Republik INDONESIA Tahun 2014 Nomor 1862), dicabut dan dinyatakan tidak berlaku.

Peraturan Badan ini mulai berlaku 6 (enam) bulan terhitung sejak tanggal diundangkan. Agar setiap orang mengetahuinya, memerintahkan pengundangan Peraturan Badan ini dengan penempatannya dalam Berita Negara Republik INDONESIA. Ditetapkan di Jakarta pada tanggal 19 November 2024 KEPALA BADAN SIBER DAN SANDI NEGARA, Œ HINSA SIBURIAN Diundangkan di Jakarta pada tanggal Д DIREKTUR JENDERAL PERATURAN PERUNDANG-UNDANGAN KEMENTERIAN HUKUM REPUBLIK INDONESIA, Ѽ DHAHANA PUTRA BERITA NEGARA REPUBLIK INDONESIA TAHUN 2024 NOMOR Ж