Pentagon Hentikan Fase Baru Sertifikasi Siber: Beban Biaya Usir Pemasok Kecil
Baca dalam 60 detik
- Departemen Pertahanan AS menunda fase kedua program sertifikasi keamanan siber CMMC yang dinilai memberatkan kontraktor kecil dan menengah.
- Kebijakan ini direspons dengan pembentukan gugus tugas reformasi yang akan merumuskan rekomendasi dalam 60 hari ke depan.
- Langkah Pentagon menjadi sinyal bagi negara lain, termasuk Indonesia, untuk menyeimbangkan keamanan data dengan daya saing industri pertahanan.

Pentagon secara resmi menangguhkan pelaksanaan fase kedua program sertifikasi keamanan siber untuk kontraktor pertahanan, menyusul gelombang keluhan dari pemasok kecil dan menengah yang mengaku terbebani biaya kepatuhan hingga ratusan ribu dolar. Keputusan ini diambil setelah para pelaku industri memperingatkan bahwa aturan tersebut justru mendorong perusahaan inovatif keluar dari rantai pasokan militer Amerika Serikat.
Program yang dikenal sebagai Cybersecurity Maturity Model Certification (CMMC) ini mulai diterapkan pada November 2025 dan bertujuan melindungi informasi sensitif yang tidak diklasifikasikan (controlled unclassified information). Fase kedua yang sedianya berlaku mulai 10 November tahun ini mewajibkan audit pihak ketiga, bukan lagi sekadar penilaian mandiri Level 1 atau Level 2 seperti yang kini masih diberlakukan sementara.
Kepala Petugas Informasi Pentagon, Kirsten Davies, mengatakan penundaan ini merupakan respons langsung terhadap tekanan dari industri. โKepatuhan CMMC memaksa perusahaan inovatif keluar dari Basis Industri Pertahanan,โ demikian pernyataan resmi Pentagon, seraya menambahkan bahwa departemen akan melaksanakan peninjauan selama 60 hari.
Dalam pernyataan terpisah, Wakil Menteri Pertahanan untuk Akuisisi dan Keberlanjutan Michael Duffey mengaitkan keputusan ini dengan upaya mempercepat produksi senjata. Menurutnya, perubahan itu akan menghilangkan โbiaya yang melumpuhkanโ sekaligus menjaga agar inovator dan persaingan tetap tumbuh di rantai pasokan pertahanan.
Sejak awal tahun, puluhan pemasok dirgantara dan pertahanan skala kecil-menengah mengeluhkan biaya sertifikasi yang membengkak serta waktu tunggu audit pihak ketiga yang lama. Sejumlah pengacara industri juga memperingatkan bahwa aturan ini berisiko menyingkirkan pemasok lapis bawah dan mempersulit perusahaan internasional yang harus menyesuaikan diri dengan standar privasi data yang berbeda-beda.
Bagi Indonesia, perkembangan ini menjadi pelajaran berharga. Dalam upaya memperkuat industri pertahanan nasional, pemerintah tengah mendorong peningkatan standar keamanan siber di ekosistem pertahanan. Namun, pengalaman Pentagon menunjukkan bahwa regulasi yang terlalu ketat tanpa mempertimbangkan kapasitas pemasok kecil justru dapat menggerus basis industri. Indonesia perlu merancang skema sertifikasi yang bertahap, memberikan insentif bagi UKM, serta memastikan ketersediaan lembaga audit yang memadai agar tidak terjadi kesenjangan serupa.
Ke depan, efektivitas reformasi CMMC akan sangat bergantung pada rekomendasi gugus tugas yang baru dibentuk. Apakah Pentagon mampu merumuskan keseimbangan antara keamanan data dan keberlanjutan rantai pasokan? Jawabannya akan menentukan arah kebijakan pertahanan siber tidak hanya di AS, tetapi juga menjadi referensi bagi negara-negara lain, termasuk Indonesia.



