JAKARTA - Keamanan informasi dan ketahanan siber semakin menjadi sorotan dalam dunia perbankan nasional, seiring masifnya pemanfaatan teknologi digital dalam layanan keuangan. Di Indonesia, Otoritas Jasa Keuangan (OJK) telah menerbitkan dua regulasi utama yang secara komprehensif mengatur pengamanan informasi dan keamanan siber bagi bank, yaitu Peraturan OJK Nomor 11/POJK.03/2022 (POJK 11/2022) dan Surat Edaran OJK Nomor 29/SEOJK.03/2022 (SEOJK 29/2022). Kedua regulasi ini menjadi pedoman penting bagi perbankan dalam memastikan operasional berbasis teknologi berjalan aman dan terpercaya, serta menjaga dana masyarakat yang menjadi inti bisnis perbankan.
POJK 11/2022 mewajibkan setiap bank menerapkan pengamanan informasi yang efektif dan efisien. Pengamanan ini mencakup sumber daya manusia, proses bisnis, teknologi, hingga aspek fisik atau lingkungan yang mendukung penyelenggaraan teknologi informasi (TI) secara menyeluruh. Seluruh langkah pengamanan ini harus disusun berdasarkan penilaian risiko yang komprehensif atas informasi yang dimiliki bank.
Sejalan dengan itu, Pasal 17 ayat (1) POJK 11/2022 menegaskan bahwa jaringan komunikasi bank wajib memenuhi prinsip kerahasiaan, integritas, dan ketersediaan. Jika bank terbukti melanggar ketentuan ini, OJK dapat memberikan sanksi administratif berupa teguran tertulis. Apabila dalam waktu tertentu bank tidak memperbaiki pelanggaran setelah mendapat teguran, sanksi akan meningkat ke larangan menerbitkan produk bank baru, pembekuan kegiatan usaha tertentu, hingga penurunan penilaian tata kelola dalam penilaian tingkat kesehatan bank.
Selain pengamanan informasi, peraturan ini mengharuskan bank menjaga ketahanan siber sebagaimana tercantum pada Pasal 21 POJK 11/2022. Dalam pasal tersebut diatur bahwa bank harus menjalankan serangkaian proses mulai dari identifikasi aset dan kerentanan, perlindungan aset, deteksi insiden siber, hingga penanggulangan dan pemulihan jika terjadi insiden siber. Proses ketahanan siber ini didukung sistem informasi yang memadai agar bank dapat merespons dengan cepat setiap potensi ancaman.
Lebih jauh, bank diwajibkan melakukan penilaian mandiri atas tingkat maturitas keamanan siber setidaknya satu kali dalam setahun, yaitu pada posisi akhir bulan Desember. Penilaian ini juga dapat diperbarui sewaktu-waktu jika diperlukan. Hasil penilaian wajib dilaporkan ke OJK sebagai bagian dari laporan kondisi terkini penyelenggaraan TI bank, sesuai Pasal 22 POJK 11/2022.
Ketentuan lain yang diatur dalam POJK 11/2022 adalah kewajiban melakukan pengujian keamanan siber berbasis analisis kerentanan (Pasal 23) dan berbasis skenario (Pasal 25). Pengujian berbasis kerentanan wajib dilaksanakan secara berkala, sedangkan pengujian berbasis skenario paling sedikit satu kali setahun dengan tahapan yang mencakup penetapan tujuan, pelaksanaan, evaluasi hasil, dan penilaian efektivitas mitigasi. Hasil pengujian ini dilaporkan ke OJK paling lambat 10 hari kerja setelah pengujian selesai, dan harus memuat ringkasan pelaksanaan, pelajaran yang dipetik, serta rencana perbaikan.
Bank yang melanggar ketentuan pengujian keamanan siber juga akan menerima sanksi administratif serupa dengan pelanggaran pengamanan informasi. Sanksi tersebut, jika tidak segera ditindaklanjuti, dapat berkembang dari teguran tertulis ke pembekuan usaha, larangan produk baru, hingga penurunan penilaian tata kelola (Pasal 27 POJK 11/2022).
Sementara itu, SEOJK 29/2022 hadir sebagai pedoman yang lebih terperinci untuk mendukung ketahanan dan keamanan siber bagi bank umum. Regulasi ini mengatur aspek mulai dari penilaian risiko inheren, penerapan manajemen risiko, pengujian keamanan siber, pembentukan unit khusus yang menangani ketahanan siber, hingga mekanisme pelaporan insiden ke OJK. Semua ketentuan ini dirancang agar bank memiliki strategi yang adaptif dan proaktif dalam menghadapi potensi serangan siber.
Dalam SEOJK 29/2022 juga dijelaskan pentingnya bank menerapkan tata kelola dan manajemen risiko keamanan siber yang baik, sehingga tetap dapat memanfaatkan TI secara optimal tanpa mengorbankan keamanan data nasabah. Hal ini sangat krusial mengingat industri perbankan mengelola dana masyarakat dalam jumlah besar, sehingga setiap celah keamanan dapat berpotensi menimbulkan kerugian yang signifikan.
Ketahanan siber dalam regulasi ini didefinisikan sebagai kemampuan bank menjaga kelangsungan bisnisnya melalui tindakan antisipasi dan adaptasi terhadap ancaman siber. Sementara keamanan siber merujuk pada kondisi terjaganya kerahasiaan, keutuhan, serta ketersediaan informasi atau sistem yang terhubung melalui media digital, termasuk aspek akuntabilitas, keaslian, dan keandalan. Hal ini menggarisbawahi bahwa keamanan siber bukan hanya urusan teknologi, tetapi juga menyangkut kepercayaan publik pada sistem keuangan nasional.
Dengan ketentuan yang komprehensif dalam POJK 11/2022 dan SEOJK 29/2022, OJK menegaskan keseriusan regulator dalam memastikan bank memiliki perlindungan menyeluruh terhadap risiko siber. Implementasi ketat regulasi ini diharapkan membuat industri perbankan Indonesia semakin tangguh menghadapi ancaman digital, serta menjaga kepercayaan masyarakat terhadap sistem perbankan nasional.