Analisis komprehensif Peraturan Anggota Dewan Komisioner OJK Nomor 1 Tahun 2026 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum. Implikasi, tantangan, dan kesiapan industri perbankan Indonesia.
Landskap industri perbankan Indonesia tengah mengalami transformasi digital yang masif dalam lima tahun terakhir. COVID-19 akselerasi adopsi layanan digital banking, mendorong institusi finansial untuk bertransformasi dari model operasional konvensional menjadi platform teknologi terintegrasi. Namun, akselerasi ini membawa konsekuensi yang tidak bisa diabaikan: peningkatan eksposur terhadap risiko teknologi informasi yang semakin kompleks dan beragam.
Berdasarkan data Otoritas Jasa Keuangan (OJK), transaksi perbankan digital di Indonesia tumbuh rata-rata 40% per tahun sejak 2020. Saat ini, lebih dari 95% transaksi perbankan dilakukan melalui kanal digital, mulai dari mobile banking, internet banking, hingga open banking API. Pertumbuhan ini membawa efisiensi operasional dan peningkatan inklusi keuangan, namun di sisi lain menciptakan surface attack yang luas bagi pelaku kejahatan siber.
Pertumbuhan kejahatan siber sektor perbankan global mencatat peningkatan signifikan. Laporan IBM Security X-Force 2025 menunjukkan bahwa serangan terhadap institusi keuangan meningkat 23% dibandingkan tahun sebelumnya, dengan rata-rata biaya insiden breach mencapai USD 5,9 juta atau setara Rp 94 miliar. Di Indonesia sendiri, Bank Indonesia mencatat lebih dari 1.200 insiden keamanan siber pada sektor perbankan sepanjang 2025, meningkat 67% dari tahun sebelumnya.
Dalam konteks ini,OJK menerbitkan Peraturan Anggota Dewan Komisioner (PADK) Nomor 1 Tahun 2026 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum. Regulasi ini merupakan turunan dari Peraturan Otoritas Jasa Keuangan Nomor 11 Tahun 2022 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum, yang sebelumnya telah memberikan kerangka pengaturan macro mengenai Tata Kelola TI, Manajemen Risiko TI, dan Pengawasan TI di lingkungan perbankan.
PADK 1/2026 secara efektif menggantikan ketentuan sebelumnya yang diatur dalam Surat Edaran Otoritas Jasa Keuangan Nomor 21/SEOJK.03/2017 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum. Dengan masa transisi yang diberikan hingga 1 Maret 2026, bank-bank umum di Indonesia kini menghadapi tenggat waktu kritis untuk memastikan kepatuhan penuh terhadap ketentuan baru ini.
Apa yang akan Anda pelajari:
Peraturan Anggota Dewan Komisioner Nomor 1 Tahun 2026 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum hadir sebagai regulasi turunan yang memberikan operasionalisasi teknis dari kerangka yang telah ditetapkan dalam POJK 11/2022. Struktur regulasi ini dirancang untuk memberikan panduan komprehensif bagi bank dalam penyelenggaraan TI, mulai dari aspek tata kelola hingga mekanisme pengawasan.
Regulasi ini terdiri dari beberapa komponen utama yang saling terintegrasi untuk menciptakan sistem pengaturan yang koheren:
Bagian utama regulasi yang memuat ketentuan teknis penyelenggaraan teknologi informasi oleh bank, mencakup standar teknis, requirement, dan best practices yang wajib dipenuhi.
Panduan operasional mengenai mekanisme dan prosedur pelaporan kepada OJK, termasuk format, timeline, dan kanal penyampaian laporan.
Template dan struktur pelaporan yang wajib digunakan bank dalam menyampaikan laporan Rencana Strategis TI, laporan realisasi, dan notifikasi insiden.
Prosedur pengajuan permohonan izin terkait penyelenggaraan TI, termasuk izin pembukaan kantor baru dengan sistem teknologi informasi dan perubahan infrastruktur kritis.
PADK 1/2026 mulai berlaku pada 1 Maret 2026, menggantikan SEOJK 21/SEOJK.03/2017. Bank diberikan masa transisi untuk menyesuaikan sistem dan proses internal mereka dengan ketentuan baru.
PADK 1/2026 menegaskan bahwa teknologi informasi bukan lagi sekadar fungsi pendukung operasional bank, melainkan telah menjadi komponen strategis yang menentukan keberhasilan bisnis. Regulasi ini mengharuskan adanya kerangka tata kelola TI yang komprehensif dengan pembagian tanggung jawab yang jelas di seluruh tingkatan organisasi.
Memiliki tanggung jawab utama dalam penetapan strategi TI, penganggaran, dan pengawasan pelaksanaan TI. Direksi wajib memastikan bahwa TI sejalan dengan strategi bisnis bank dan memiliki mekanisme pengendalian yang memadai.
Melakukan pengawasan terhadap pelaksanaan strategi TI yang ditetapkan Direksi. Dewan Komisaris wajib memahami risiko teknologi yang dihadapi bank dan memberikan persetujuan terhadap kebijakan TI kritikal.
Organ pendukung yang membantu Direksi dalam penetapan strategi TI. Terdiri dari представители manajemen senior yang memiliki keahlian di bidang bisnis dan teknologi.
Unit operasional yang bertanggung jawab atas pelaksanaan teknis TI. Wajib memiliki struktur organisasi yang memadai dengan pemisahan tugas (segregation of duties) yang jelas.
Dalam era digital banking yang kompleks, bank wajib memiliki dan memelihara arsitektur TI yang komprehensif. PADK 1/2026 mengharuskan bank untuk mendokumentasikan dan mengimplementasikan tiga komponen arsitektur utama yang saling terintegrasi.
Standar definisi, struktur, dan hubungan antar data. Mencakup data model, data dictionary, dan kebijakan pengelolaan data termasuk master data management.
Struktur dan hubungan antar aplikasi bank. Mencakup identification of applications, integration patterns, dan prioritization of application development.
Infrastruktur teknologi yang mendukung aplikasi dan bisnis bank. Mencakup hardware, network, security infrastructure, dan technology standards.
Rencana Strategis TI (RSTI) merupakan dokumen strategis yang wajib dimiliki setiap bank. Dokumen ini menjadi pedoman dalam pengembangan dan investasi TI untuk periode tertentu, dengan tujuan memastikan keselarasan antara strategi TI dan strategi bisnis bank.
PADK 1/2026 mengatur bahwa RSTI wajib mencakup beberapa elemen kunci: analisis kondisi saat ini (current state assessment), visi dan arah pengembangan TI, inisiatif strategis TI, roadmap implementasi, serta estimasi anggaran. Periode RSTI umumnya adalah tiga tahun, dengan ketentuan bahwa bank wajib menyampaikan RSTI kepada OJK paling lambat pada akhir tahun sebelum periode RSTI dimulai.
Perubahan RSTI diperbolehkan dengan ketentuan bahwa perubahan signifikan wajib dilaporkan kepada OJK. Perubahan signifikan mencakup perubahan arah strategis TI, perubahan anggaran lebih dari 20%, atau perubahan timeline proyek kritikal.
Selain RSTI, bank juga wajib menyampaikan Laporan Rencana Pengembangan TI secara tahunan. Laporan ini memuat detail proyek TI yang akan dilakukan dalam satu tahun anggaran, termasuk spesifikasi aplikasi, infrastruktur, estimasi biaya, lokasi pusat data, serta informasi mengenai pengembang (internal atau vendor).
Manajemen risiko TI merupakan salah satu komponen krusial dalam PADK 1/2026. Regulasi ini mengharuskan bank untuk mengimplementasikan framework manajemen risiko TI yang komprehensif, mencakup identifikasi, pengukuran, pemantauan, dan pengendalian risiko teknologi secara sistematis.
Dalam konteks perbankan digital, risiko TI mencakup berbagai dimensi: risiko operasional (kegagalan sistem, human error), risiko keamanan siber (serangan malware, phishing, ransomware), risiko vendor (ketergantungan pada pihak ketiga), risiko kepatuhan (pelanggaran regulasi), dan risiko strategis ( misalignment antara TI dan bisnis).
Mengidentifikasi potensi risiko TI melalui assessment, audit, dan monitoring.
Mengukur tingkat risiko berdasarkan dampak dan kemungkinan terjadi.
Memantau risiko secara berkelanjutan melalui indikator risiko kunci (KRI).
Mengimplementasikan controls untuk memitigasi risiko ke level yang diterima.
PADK 1/2026 memperkenalkan konsep IT Risk Rating yang menjadi standar dalam penilaian risiko teknologi bank. Rating ini ditentukan berdasarkan kombinasi antara tingkat dampak (impact) dan kemungkinan terjadi (likelihood), dengan skala penilaian sebagai berikut:
PADK 1/2026 memberikan perhatian khusus pada mekanisme pengelolaan insiden TI. Regulasi ini mengharuskan bank untuk memiliki sistem deteksi, penanganan, dan pelaporan insiden yang terstruktur. Tujuannya adalah memastikan bahwa insiden dapat direspons dengan cepat dan appropriately, serta bahwa regulator memiliki visibility terhadap insiden yang terjadi di industri perbankan.
Insiden yang melibatkan ancaman siber, termasuk:
Insiden operasional teknologi, termasuk:
Laporan lengkap insiden wajib memuat informasi berikut:
Regulasi outsourcing dalam PADK 1/2026 mengakui bahwa bank modern tidak dapat mengoperasikan semua komponen teknologi secara internal. Ketergantungan pada vendor teknologi merupakan realitas bisnis yang tidak dapat dihindari. Namun, ketergantungan ini membawa risiko tersendiri yang harus dikelola secara sistematis.
PADK 1/2026 mengatur bahwa bank wajib memastikan bahwa seluruh aktivitas yang dioutsourcingkan kepada pihak ketiga tetap memenuhi standar keamanan dan keandalan yang ditetapkan regulator. Bank tetap bertanggung jawab penuh atas kinerja dan keamanan penyedia jasa.
Bank wajib memiliki SLA yang jelas dengan penyedia jasa, mencakup metrik kinerja, denda keterlambatan, dan mekanisme penyelesaian sengketa.
Penyedia jasa wajib menerapkan standar perlindungan data yang setara dengan kebijakan keamanan data bank. Data nasabah harus dilindungi dengan enkripsi dan kontrol akses yang ketat.
Kontrak harus mengatur secara jelas pembagian risiko antara bank dan penyedia jasa, termasuk kewajiban kompensasi akibat kelalaian atau kegagalan layanan.
Bank harus memastikan kepemilikan jelas atas aplikasi dan data yang dikembangkan atau dikelola oleh penyedia jasa. Source code harus dapat ditransfer saat kontrak berakhir.
Kontrak wajib mengatur prosedur pengakhiran yang smooth, termasuk transisi ke penyedia baru, pengembalian data, dan penghancuran salinan data.
PADK 1/2026 memberikan perhatian khusus pada pengaturan pusat data (data center) dan disaster recovery center. Dalam konteks ketahanan operasional bank, lokasi dan keamanan infrastruktur data menjadi aspek krit diabaikan. ikal yang tidak bisa
PADK 1/2026 mengatur bahwa pemrosesan transaksi banking di luar negeri wajib memperoleh izin terlebih dahulu dari OJK. Ketentuan ini bertujuan untuk menjaga kedaulatan data dan memastikan bahwa data sensitif nasbar Indonesia tetap berada dalam yurisdiksi yang dapat diawasi oleh regulator.
Bank wajib memastikan bahwa data yang diproses di luar negeri tetap memenuhi standar keamanan yang ditetapkan regulasi Indonesia dan bahwa regulator memiliki kemampuan untuk melakukan pengawasan.
PADK 1/2026 memiliki implikasi yang luas bagi industri perbankan Indonesia. Regulasi ini tidak hanya sekadar menambah daftar compliance, melainkan membawa perubahan paradigma dalam pengelolaan teknologi informasi bank. Berikut analisis dampak kebijakan dari berbagai aspek:
Bank wajib meningkatkan investasi dalam transformasi digital. Rencana Strategis TI yang lebih matang, arsitektur yang terdokumentasi, dan governance yang lebih ketat akan menjadi prasyarat dalam pengembangan layanan digital.
Regulasi ini mendorong bank untuk memperkuat postur keamanan siber. Kewajiban pengelolaan insiden, pelaporan 24 jam, dan mekanisme respons akan memaksa bank untuk membangun atau meningkatkan kapabilitas Security Operations Center (SOC).
Struktur governance TI akan semakin solid dengan keterlibatan aktif Direksi dan Dewan Komisaris. Komite Pengarah TI menjadi lebih strategis dalam pengambilan keputusan teknologi.
OJK akan memiliki visibility yang lebih baik terhadap kondisi TI bank melalui mekanisme pelaporan yang terstruktur. Ini memungkinkan pengawasan berbasis risiko yang lebih efektif.
Bank perlu mengevaluasi ulang hubungan dengan vendor teknologi. Kontrak yang lebih ketat, due diligence yang lebih mendalam, dan mekanisme monitoring yang lebih ketat akan menjadi kebutuhan.
PADK 1/2026 semakin relevan dalam konteks Open Banking yang mulai diterapkan di Indonesia. Dengan interoperabilitas sistem dan pertukaran data antar bank, standar keamanan dan governance TI yang ketat menjadi esensial untuk menjaga kepercayaan publik terhadap ekosistem keuangan digital.
Peraturan Anggota Dewan Komisioner Nomor 1 Tahun 2026 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum menandai era baru dalam pengaturan tata kelola teknologi sektor perbankan Indonesia. Dengan masa berlaku yang dimulai pada 1 Maret 2026, regulasi ini membawa perubahan signifikan dalam cara bank mengelola, mengawasi, dan mengembangkan infrastruktur teknologi mereka.
Tiga pesan kunci dapat ditarik dari analisis ini. Pertama, teknologi informasi telah bertransformasi dari fungsi pendukung menjadi komponen strategis bisnis perbankan. Kedua, manajemen risiko TI tidak lagi opsional melainkan menjadi keharusan dalam menghadapi lanskap ancaman yang semakin kompleks. Ketiga, akuntabilitas tingkat tinggi (Direksi dan Dewan Komisaris) dalam pengawasan TI semakin ditekankan.
Bagi industri perbankan, PADK 1/2026 merupakan tantangan sekaligus peluang. Tantangan dalam memenuhi standar baru memerlukan investasi signifikan dalam people, process, dan technology. Namun, kepatuhan terhadap regulasi ini akan meningkatkan kepercayaan masyarakat terhadap keamanan dan keandalan sistem perbankan digital Indonesia.
Industri perbankan kini menghadapi tuntutan baru dalam penguatan tata kelola teknologi informasi dan ketahanan digital. Tim ahli KRES siap membantu institusi keuangan dalam mempersiapkan kepatuhan terhadap PADK 1/2026.