Mengingat peningkatan pemanfaatan teknologi informasi menimbulkan risiko yang semakin besar terhadap stabilitas sistem keuangan secara keseluruhan dan berpotensi menimbulkan kerugian finansial, Bank Indonesia (“BI”) memutuskan untuk memperkenalkan kerangka baru yang mengatur berbagai ketentuan mengenai penerapan Keamanan Sistem Informasi dan Ketahanan Siber (“KKS”).[1] Kerangka Peraturan No. 2 tahun 2024 (“PBI 2/2024”) harus dilaksanakan oleh pihak-pihak tertentu yang diatur dan diawasi oleh BI dan dikategorikan mempunyai potensi risiko siber yang bersifat sistemik atau non-sistemik terhadap sistem keuangan (“Penyelenggara”)[2] dan telah berlaku sejak 22 April 2024.[3]
Sehubungan dengan kewenangan BI untuk mengatur dan mengawasi pelaksanaan KKS oleh Penyelenggara, PBI 2/2024 menegaskan bahwa keseluruhan tujuan KKS adalah untuk meningkatkan kapasitas Penyelenggara dalam mencegah dan menangani serangan siber, serta untuk meningkatkan manajemen risiko insiden siber Penyelenggara.[4] Oleh karena itu, KKS harus dilaksanakan berdasarkan lima prinsip utama (misalnya strategi yang komprehensif, manajemen risiko perusahaan, pengembangan budaya KKS, dan sebagainya) dan berbagai aspek (yaitu tata kelola, pencegahan, penanganan, pengawasan, dan kolaborasi).[5]
Mengingat pentingnya KKS khususnya bagi Penyelenggara dalam pencegahan dan penanganan risiko siber, edisi Indonesian Legal Brief (ILB) kali ini akan membahas berbagai ketentuan yang diatur dalam PBI 2/2024, terutama yang berkaitan dengan hal-hal sebagai berikut:
- Subjek KKS;
- Pelaksanaan KKS; and
- Kewajiban Pelaporan.
Subjek KKS
Sebagaimana disebutkan sebelumnya, Penyelenggara wajib melaksanakan KKS.[6] PBI 2/2024 mengatur pihak mana saja yang termasuk dalam pengertian Penyelenggara sehingga wajib menerapkan KKS, sebagai berikut:[7]
|
|
Pelaksanaan KKS
Berdasarkan PBI 2/2024, pelaksanaan KKS oleh Penyelenggara terdiri dari tiga aspek utama (yaitu tata kelola, tindakan pencegahan dan penanganan), yang memiliki tujuan dan upaya masing-masing. Tiga tabel berikut memuat aspek utama dari masing-masing aspek pelaksanaan KKS yang disebutkan di atas:
| Tata Kelola KKS [8] | |
| Aspek | Tujuan dan Upaya |
| Strategi dan kebijakan KKS[9] | Dalam rangka penguatan penerapan KKS, Penyelenggara wajib menyusun dan melaksanakan hal-hal sebagai berikut:
|
| Budaya KKS[10] | Penyelenggara wajib melaksanakan program peningkatan budaya KKS secara berkala yang melibatkan manajemen tertinggi (misalnya direksi). |
| Upaya Pencegahan[11] | |
| Aspek | Tujuan dan Upaya |
| Identifikasi[12] | Upaya identifikasi harus dilaksanakan oleh Penyelenggara untuk mendapatkan gambaran menyeluruh terkait risiko siber yang dihadapi serta prioritisasi pengendalian yang dibutuhkan. Aspek ini mencakup penyusunan dan penginian profil risiko siber secara berkala. |
| Proteksi[13] | Meliputi berbagai upaya yang harus dilaksanakan untuk mencegah terjadinya serangan siber berdasarkan profil risiko, serta mengamankan data dan/atau informasi pada setiap tahapan siklus pengelolaan, sebagai berikut:
|
| Deteksi[14] | Meliputi berbagai upaya yang harus dilaksanakan untuk memperoleh pemahaman mengenai kerentanan siber dan untuk memberikan peringatan dini:
|
| Upaya Penanganan[15] | |
| Aspek | Tujuan dan Upaya |
| Respons[16] | Untuk menangani dampak insiden siber dan mengkomunikasikan upaya penanganan yang diperlukan, upaya respons berikut harus dilakukan:
|
| Pemulihan[17] | Untuk mengembalikan layanan ke kondisi normal sesuai dengan prioritas dan penguatan KKS untuk mencegah terulangnya insiden siber, upaya pemulihan meliputi hal-hal sebagai berikut:
|
Kewajiban Pelaporan
Penyelenggara wajib menyampaikan data dan/atau informasi terkait pelaksanaan aspek-aspek KKS di atas kepada BI dalam bentuk dokumen dan data mentah dan/atau data olahan sebagai bagian dari jenis laporan sebagai berikut:[18]
| Laporan Tahunan | Laporan Insidental |
Memuat informasi sebagai berikut:
|
Laporan ini wajib disampaikan setiap kali terjadi insiden siber |
Perlu diperhatikan bahwa Penyelenggara yang gagal mematuhi kewajiban pelaporan yang diuraikan di atas dapat dikenakan sanksi administratif berikut:[19]
- Teguran;
- Denda administratif paling banyak Rp. 5 juta per laporan;
- Penghentian kegiatan sementara, sebagian atau seluruhnya (termasuk pelaksanaan kerja sama); and/or
- Pencabutan izin dan/atau persetujuan yang telah diterbitkan.
Sumber: hukumonline.com
