<![CDATA[Serangan ransomware terhadap Pusat Data Nasional pada tahun 2024 menunjukkan adanya kerentanan signifikan dalam penyelenggaraan infrastruktur digital pemerintah, terutama yang berkaitan dengan perlindungan data pribadi dan keberlanjutan layanan publik. Penelitian ini mengkaji tanggung jawab hukum prosesor data dan negara dalam kejadian tersebut dengan menelaah kewajiban teknis, administratif, dan normatif yang melekat pada setiap entitas. Analisis dilakukan melalui pendekatan yuridis normatif dan komparatif dengan meninjau relevansi ketentuan Undang-Undang Perlindungan Data Pribadi serta standar internasional seperti GDPR dan AVG untuk menilai kesesuaian regulasi nasional terhadap praktik global yang telah mapan. Temuan penelitian menunjukkan bahwa prosesor data menghadapi kelemahan signifikan dalam pemenuhan kewajiban preventif, terutama pada aspek implementasi keamanan berlapis, pengujian sistem, redundansi, dan kecepatan pelaporan insiden. Negara sebagai penyelenggara sistem elektronik juga memiliki kelemahan kelembagaan yang terlihat dari lambannya koordinasi pemulihan, minimnya transparansi informasi publik, dan absennya otoritas pengawas independen yang berfungsi memastikan konsistensi perlindungan data pribadi pada sektor publik. Studi ini memberikan kontribusi teoretis dan praktis melalui identifikasi celah regulasi, analisis perbandingan standar internasional, serta rekomendasi penguatan tata kelola yang diperlukan untuk meningkatkan kesiapan nasional dalam menghadapi ancaman siber yang terus berkembang. Hasil penelitian memperjelas perlunya reformasi menyeluruh terhadap regulasi operasional, kelembagaan pengawasan, dan mekanisme teknis keamanan agar sistem perlindungan data pemerintah memiliki tingkat resiliensi yang memadai. The 2024 ransomware attack on Indonesia’s National Data Center revealed substantial vulnerabilities in the government’s digital infrastructure, particularly concerning personal data protection and the continuity of public services. This study examines the legal responsibilities of data processors and the state by analyzing the technical, administrative, and normative obligations attached to each actor involved in the incident. The analysis employs a normative and comparative legal approach by assessing the relevance of the Personal Data Protection Act and comparing it with international standards such as the GDPR and AVG to evaluate the alignment of Indonesian regulations with widely established global practices. The findings demonstrate that data processors experienced significant shortcomings in fulfilling preventive duties, particularly in the implementation of layered security controls, system testing, redundancy planning, and timely incident reporting. The state, as the primary operator of electronic systems, also shows institutional weaknesses manifested in slow recovery coordination, limited public transparency, and the absence of an independent supervisory authority capable of ensuring consistent enforcement of personal data protection in the public sector. This study provides both theoretical and practical contributions by identifying regulatory gaps, analyzing international benchmarks, and proposing governance improvements that strengthen national readiness against evolving cybersecurity threats. The results underline the urgency of comprehensive reforms in operational regulation, supervisory institutions, and technical safeguards to build a resilient governmental data protection ecosystem.]]>
