OJK Memperketat Pengendalian Risiko dan Keamanan Penyelenggaraan Teknologi Informasi oleh Bank melalui Peraturan Anggota Dewan Komisioner OJK Nomor 1 Tahun 2026
Pendahuluan
Pada 23 Januari 2026, Otoritas Jasa Keuangan (“OJK”) menetapkan Peraturan Anggota Dewan Komisioner Otoritas Jasa Keuangan Nomor 1 Tahun 2026 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum (“PADK OJK 1/2026”), yang mulai berlaku pada 1 Maret 2026. PADK OJK 1/2026 merupakan ketentuan pelaksanaan dari Peraturan Otoritas Jasa Keuangan Nomor 11 Tahun 2022 tentang Penyelenggaraan Teknologi Informasi (“TI”) oleh Bank Umum, dengan pengaturan teknis yang dirinci lebih lanjut dalam Lampiran I sampai dengan Lampiran IV yang menjadi bagian tidak terpisahkan dari peraturan ini.
PADK OJK 1/2026 dibentuk untuk merespons meningkatnya ketergantungan kegiatan usaha bank terhadap sistem teknologi informasi, baik dalam penyediaan layanan perbankan digital, pemrosesan transaksi, pengelolaan data nasabah, maupun penggunaan pihak ketiga penyedia teknologi. Dalam konsiderans, OJK menegaskan bahwa penguatan pengendalian teknologi informasi diperlukan untuk memitigasi risiko operasional, risiko keamanan data, risiko hukum, dan risiko reputasi yang dapat berdampak langsung terhadap keberlangsungan usaha bank dan stabilitas sistem keuangan.
Perbandingan
PADK OJK 1/2026 mencabut dan menyatakan tidak berlaku Surat Edaran Otoritas Jasa Keuangan Nomor 21/SEOJK.03/2017 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum (“SEOJK 21/2017”). Berikut adalah tabel perbandingan antara PADK OJK 1/2026 dengan SEOJK 21/2017:
| Aspek | PADK OJK 1/2026 | SEOJK 21/2017 |
| Pendekatan Pengelolaan TI | Mengatur penyelenggaraan teknologi informasi yang mencakup tahapan perencanaan, pengembangan, operasional, hingga penghentian sistem. | Mengatur penerapan manajemen risiko dalam penggunaan teknologi informasi melalui pedoman umum. |
| Keamanan dan Insiden | Mengatur kewajiban penyampaian notifikasi awal kepada OJK paling lambat 24 (dua puluh empat) jam sejak insiden teknologi informasi non-siber diketahui. | Mengatur penanganan kejadian teknologi informasi sebagai bagian dari penerapan manajemen risiko tanpa pengaturan batas waktu penyampaian notifikasi awal. |
| Penggunaan Pihak Ketiga (PPJTI) | Mengatur kewajiban Bank untuk mencantumkan ketentuan tertentu dalam perjanjian kerja sama dengan pihak penyedia jasa teknologi informasi, termasuk pengaturan akses audit dan pengakhiran kerja sama. | Mengatur penggunaan pihak ketiga melalui ketentuan umum mengenai pemilihan dan pengelolaan risiko. |
| Perlindungan Data Nasabah | Mengatur tata cara pemberian persetujuan pemrosesan data pribadi nasabah yang harus diberikan secara aktif oleh nasabah, termasuk larangan penggunaan mekanisme persetujuan pasif seperti kotak centang yang telah terisi otomatis (pre-ticked box). | Belum mengatur tata cara pemberian persetujuan pemrosesan data pribadi nasabah secara khusus. |
Ketentuan Penting
Arsitektur Teknologi Informasi dan Rencana Strategis TI
Lampiran I Bab I Huruf A dan Huruf B mengatur kewajiban Bank untuk memiliki arsitektur teknologi informasi yang menggambarkan kondisi sistem yang berjalan (current state) dan kondisi yang dituju (target state), serta menyusun Rencana Strategis TI yang selaras dengan rencana bisnis Bank. Dalam pelaksanaannya, Bank menggunakan dokumen tersebut sebagai acuan pengembangan, integrasi, dan penggantian sistem teknologi informasi, termasuk dalam perencanaan kebutuhan sumber daya dan biaya.
Manajemen Risiko Teknologi Informasi
Manajemen risiko teknologi informasi wajib diterapkan oleh Bank pada seluruh tahapan penyelenggaraan sistem, mulai dari perencanaan, pengembangan, pengujian, implementasi, operasional, hingga penghentian sistem. Kewajiban ini mencakup identifikasi, pengukuran, pemantauan, dan pengendalian risiko yang timbul dari penggunaan teknologi informasi, sebagaimana ditetapkan dalam Lampiran I Bab III.
Keamanan Informasi dan Pelindungan Data Nasabah
Dalam penyelenggaraan teknologi informasi, Bank wajib melindungi kerahasiaan, integritas, dan ketersediaan data serta sistem teknologi informasi sebagaimana diatur dalam Lampiran I Bab IV. Selain itu, ketentuan mengenai tata cara pemberian persetujuan pemrosesan data pribadi melarang penggunaan kotak centang yang telah terisi otomatis (pre-ticked box), sehingga persetujuan harus diberikan secara aktif oleh nasabah, sebagaimana diatur dalam Lampiran I Bab VII Huruf B Angka 1.
Penggunaan Pihak Penyedia Jasa Teknologi Informasi
Lampiran I Bab V Huruf B Angka 3 menegaskan bahwa penggunaan pihak penyedia jasa teknologi informasi tidak mengalihkan tanggung jawab Bank atas penyelenggaraan teknologi informasi. Oleh karena itu, perjanjian kerja sama dengan pihak penyedia jasa teknologi informasi wajib paling sedikit memuat pengaturan mengenai akses audit oleh OJK, kewajiban penyampaian laporan kejadian kepada Bank, serta pengakhiran kerja sama dalam kondisi tertentu, sesuai dengan ketentuan dalam Lampiran I PADK OJK 1/2026.
Kewajiban Notifikasi Insiden Teknologi Informasi
Dalam hal terjadi insiden teknologi informasi non-siber yang berdampak signifikan terhadap layanan Bank, Bank wajib menyampaikan notifikasi awal kepada OJK paling lambat 24 (dua puluh empat) jam sejak insiden tersebut diketahui dan menyampaikan laporan insiden paling lama 5 (lima) hari kerja sejak insiden tersebut diketahui. Ketentuan ini diatur dalam Lampiran II Huruf A Angka 5 dan Lampiran III PADK OJK 1/2026. Ketentuan pelaporan insiden siber mengacu pada pengaturan tersendiri mengenai keamanan siber.
Pemeriksaan Latar Belakang Sumber Daya Manusia Teknologi Informasi
Pemeriksaan latar belakang terhadap pegawai atau pihak ketiga yang menempati posisi tertentu dengan tingkat akses dan dampak signifikan dalam pengelolaan sistem teknologi informasi dan data nasabah wajib dilakukan oleh Bank, termasuk pemeriksaan catatan kriminal atau rekam jejak profesional, sesuai dengan kebijakan internal Bank. Ketentuan ini tercantum dalam Lampiran I Bab IV Huruf B Angka 1.
Ketentuan Peralihan
Bank yang telah memiliki perjanjian kerja sama dengan Pihak Penyedia Jasa Teknologi Informasi (PPJTI) sebelum berlakunya PADK OJK 1/2026 wajib melakukan penyesuaian melalui perubahan atau amandemen perjanjian agar selaras dengan ketentuan dalam Lampiran, sebagaimana diatur dalam Pasal 2. Penyesuaian dimaksud meliputi perubahan atau amandemen perjanjian kerja sama, termasuk untuk memasukkan ketentuan mengenai akses audit oleh OJK dan pengakhiran kerja sama (exit strategy). Sejak PADK 1/2026 mulai berlaku pada 1 Maret 2026, SEOJK 21/2017 tidak berlaku sesuai dengan Pasal 4.
Penutup
PADK 1/2026 menetapkan kewajiban bank dalam penyelenggaraan teknologi informasi yang meliputi pengelolaan sistem teknologi informasi, penerapan manajemen risiko teknologi informasi pada seluruh siklus sistem, serta pengamanan data dan sistem yang digunakan dalam kegiatan usaha. PADK 1/2026 juga mewajibkan penyesuaian perjanjian kerja sama dengan Pihak Penyedia Jasa Teknologi Informasi, termasuk pengaturan akses audit oleh OJK dan pengakhiran kerja sama dalam kondisi tertentu, kewajiban penyampaian notifikasi awal kepada OJK paling lambat 24 (dua puluh empat) jam sejak insiden teknologi informasi non-siber yang berdampak signifikan terhadap layanan diketahui, penerapan tata cara pemberian persetujuan pemrosesan data pribadi nasabah yang harus diberikan secara aktif oleh nasabah, termasuk tanpa menggunakan mekanisme persetujuan pasif seperti kotak centang yang telah terisi otomatis, serta pemeriksaan latar belakang terhadap sumber daya manusia yang terlibat dalam pengelolaan sistem teknologi informasi dan data nasabah. Dengan tidak berlakunya SEOJK 21/2017, bank perlu memastikan kebijakan internal, perjanjian kerja sama, sistem teknologi informasi, dan prosedur operasional telah disesuaikan untuk memenuhi ketentuan PADK 1/2026.
Regulasi Terkait
Klik peraturan untuk lihat selengkapnya.
Apa itu
Veritask adalah platform AI hukum terintegrasi yang membantu riset regulasi, penyusunan dokumen, dan pengelolaan compliance dalam satu dashboard.
Berlangganan untuk menerima email mingguan gratis berisi analisis hukum terbaru.
