​

Ringkasan Peraturan Anggota Dewan Gubernur

1. Latar Belakang:

Undang-Undang Nomor 23 Tahun 1999 tentang Bank Indonesia sebagaimana telah beberapa kali diubah terakhir dengan Undang-Undang Nomor 4 Tahun 2023 tentang Pengembangan dan Penguatan Sektor Keuangan memperkuat kewenangan Bank Indonesia dalam melakukan pengaturan dan pengawasan kepada pelaku usaha sektor keuangan dan penyelenggaraan inovasi teknologi sektor keuangan khususnya terkait penerapan keamanan dan keandalan Sistem Informasi termasuk ketahanan Siber.

Penguatan kewenangan tersebut sejalan dengan upaya Bank Indonesia untuk mendukung percepatan pembagunan ekonomi keuangan digital yang berkelanjutan sebagaimana dimuat dalam Blueprint Sistem Pembayaran Indonesia 2025. Peningkatan digitalisasi pada sektor keuangan tidak hanya membantu pertumbuhan ekonomi keuangan digital yang berkelanjutan, namun juga menimbulkan dampak lain berupa peningkatan eksposur Risiko Siber. Insiden Siber yang terjadi pada sektor keuangan dapat menimbulkan kerugian keuangan dan mengganggu stabilitas Sistem Keuangan.

Sebagai upaya mitigasi Risiko Siber, Bank Indonesia telah menerbitkan Peraturan Bank Indonesia Nomor 2 Tahun 2024 tentang Keamanan Sistem Informasi dan Ketahanan Siber bagi Penyelenggara Sistem Pembayaran, Pelaku Pasar Uang dan Pasar Valuta Asing, serta Pihak Lain yang Diatur dan Diawasi Bank Indonesia. Hal ini dilakukan agar Penyelenggara tersebut dapat membangun KKS, antara lain dengan melaksanakan kegiatan antisipatif, adaptif, dan proaktif terhadap Risiko Siber. Selain itu, diperlukan upaya penguatan pengawasan dan kolaborasi dalam pencegahan serta penanganan Insiden Siber yang berdampak secara sistemik maupun nonsistemik bagi Sistem Keuangan.  

Untuk mendukung penerbitan PBI tersebut, diperlukan ketentuan pelaksanaan yang akan mengatur lebih lanjut hal-hal yang bersifat operasional dengan menerbitkan PADG tentang Keamanan Sistem Informasi dan Ketahanan Siber bagi Penyelenggara Sistem Pembayaran, Pelaku Pasar Uang dan Pasar Valuta Asing, serta Pihak Lain yang Diatur dan Diawasi Bank Indonesia (PADG KKS). Selain itu, PADG KKS juga bertujuan untuk memperjelas pengaturan penerapan KKS bagi Penyelenggara.

2. Materi Pengaturan:

1. Ketentuan Umum
Menjelaskan definisi atas istilah-istilah yang digunakan dalam PADG KKS antara lain Sistem Informasi, Siber, Kerentanan Siber, Ancaman Siber, Serangan Siber, Insiden Siber, dan Risiko Siber.
2. Objek dan Ruang Lingkup
Mengatur antara lain objek pengaturan dan ruang lingkup pengaturan PADG KKS.
3. Tata Kelola
Mengatur mengenai pelaksanaan teknis dalam melakukan:
1. Strategi dan kebijakan KKS, meliputi:
1. rencana strategis KKS;
2. kebijakan, standar, dan prosedur KKS; dan
3. fungsi organisasi KKS.
2. Budaya KKS.
4. Pencegahan
Mengatur mengenai pelaksanaan teknis dalam melakukan:
1. Identifikasi, meliputi:
1. identifikasi risiko siber;
2. asesmen risiko siber; dan
3. analisis dampak bisnis.
2. Proteksi, meliputi:
1. pembangunan sistem pertahanan; dan
2. pengamanan dan pelindungan data dan/atau informasi.
3. Deteksi, meliputi:
1. pemantauan;
2. analisis hasil pemantauan;
3. analisis serangan siber;
4. analisis kode jahat atau kode tidak sah; dan
5. pemeliharaan dan pengujian sistem deteksi.
5. Penanganan
Mengatur mengenai pelaksanaan teknis dalam melakukan
1. Respons, meliputi:
1. penyusunan rencana penanganan dan pemulihan insiden siber;
2. pelaksanaan simulasi dan uji coba penanganan dan pemulihan insiden siber;
3. penanganan insiden siber; dan
4. pelaksanaan komunikasi tindakan penanganan insiden siber.
2. Pemulihan, meliputi:
1. pengembalian layanan sebagaimana kondisi normal;
2. perbaikan berkelanjutan; dan
3. pelaksanaan komunikasi pemulihan insiden siber.
6. Penyampaian data dan informasi
Mengatur mengenai antara lain:
1. Kewajiban penyampaian data dan/atau informasi melalui laporan secara:
1. Tahunan meliputi: a) tingkat kematangan KKS; dan b) hasil identifikasi infrastruktur informasi vital.
2. Insidental pada saat terjadi Insiden Siber.
2. Tata cara penyampaian laporan.
3. Penetapan IIV.
7. Tata cara pengenaan sanksi
Mengatur mengenai tata cara pengenaan sanksi adminsitratif atas kewajiban laporan antara lain:
1. Teguran.
2. Kewajiban membayar maksimal sebesar Rp5.000.000,00.
3. Penghentian sementara, sebagian, atau seluruh kegiatan termasuk pelaksanaan kerja sama.
4. Pencabutan izin dan/atau persetujuan yang telah diberikan.
8. Kolaborasi
Mengatur mengenai kolaborasi antara lain
1. Pertukaran informasi dengan memperhatikan klasifikasi informasi dan dilakukan dengan sarana berbagi.
2. Ketentuan dalam melakukan pencegahan insiden siber dan efek penularan berupa kriteria untuk melakukan isolasi akses terhadap infrastruktur Bank Indonesia serta melakukan kolaborasi dan koordinasi.
3. Ketentuan kerja sama dengan self-regulatory organization dalam:
1. Penyusunan usulan skenario simulasi serangan siber sektor keuangan.
2. Pelaksanaan sosialisasi terkait ketentuan KKS Bank Indonesia dan/atau prosedur KKS oleh SRO.
3. Kegiatan lainnya yang ditetapkan Bank Indonesia.
9. Penerapan KKS
Mengatur terkait penerapan KKS sesuai klasifikasi Penyelenggara berdasarkan penggunaaan layanan digitalisasi dan jenis interkoneksi sistem aplikasi dan/atau infrastruktur teknologi, antara lain:
1. Penerapan penuh oleh Penyelenggara yang memiliki layanan digitalisasi yang terhubung secara langsung dengan sistem aplikasi dan/atau infrastruktur teknologi informasi Bank Indonesia dan/atau Penyelenggara lain.
2. Penerapan pengaturan tertentu dalam hal Penyelenggara menggunakan sistem aplikasi dan/atau infrastruktur teknologi informasi pihak lain (client) atau yang tidak terhubung secara langsung dengan sistem aplikasi dan/atau infrastruktur teknologi informasi Bank Indonesia dan/atau Penyelenggara lain.
3. Peraturan tidak berlaku dalam hal Penyelenggara menggunakan end user device atau perangkat stand-alone lainnya dan/atau perangkat analog.
10. Ketentuan penutup
Mengatur antara lain:
1. penyampaian laporan tahunan untuk pertama kali pada Januari 2026.
2. PADG KKS mulai berlaku pada tangal ditetapkan.