Kepatuhan TI dan keamanan siber untuk BPR dan BPRS (POJK 34/2025)

Dulu BPR dikenal sebagai bank yang dekat dengan pasar, warung, dan koperasi di daerahnya. Sekarang nasabah yang sama membuka rekening lewat ponsel, mengecek saldo lewat aplikasi, dan menerima transfer dari dompet digital. Sistem inti, mobile banking, dan koneksi ke penyedia pembayaran kini menjadi tulang punggung layanan, bukan pelengkap. Begitu teknologi memegang peran sebesar itu, gangguan pada sistem berubah menjadi gangguan pada bisnis, dan itulah yang menjadi perhatian OJK. POJK 34/2025 menuangkan harapan itu menjadi kewajiban yang konkret.

Halaman ini menjelaskan apa yang diatur POJK 34/2025, siapa yang wajib mematuhinya, dan langkah praktis yang bisa diambil pengurus BPR untuk siap sebelum tenggat. Penjelasan ditulis untuk direksi, dewan komisaris, kepala TI, dan pejabat kepatuhan yang perlu memahami kewajibannya tanpa harus menelusuri setiap pasal satu per satu.

Apa itu POJK 34/2025 dan siapa yang terkena

POJK 34/2025 adalah Peraturan Otoritas Jasa Keuangan yang mengatur penyelenggaraan teknologi informasi oleh BPR dan BPRS. Sasarannya adalah bank perekonomian rakyat di seluruh Indonesia, baik yang sudah menjalankan layanan digital secara penuh maupun yang masih dalam tahap awal digitalisasi. Karena cakupannya mengikuti penyelenggaraan teknologi informasi secara umum, ketentuan ini relevan bagi hampir semua BPR dan BPRS, bukan hanya yang berukuran besar.

OJK menerbitkan ketentuan ini pada Desember 2025, dengan tanggal berlaku efektif 18 Desember 2026. Jeda sekitar satu tahun itu bukan basa-basi. Bagi banyak BPR, penyesuaian yang diminta menyentuh struktur organisasi, kebijakan internal, kontrak dengan pihak ketiga, dan kesiapan teknis yang tidak mungkin selesai dalam hitungan minggu. Memperlakukan masa transisi sebagai jendela kerja, bukan tenggat yang ditunda sampai mepet, adalah cara paling aman untuk menghindari kepanikan menjelang Desember 2026.

Kewajiban utama yang diatur

Ketentuan ini menggariskan beberapa area yang harus ditangani BPR dan BPRS. Pertama, tata kelola teknologi informasi, yaitu kejelasan peran, tanggung jawab, dan pengambilan keputusan terkait TI di tingkat pengurus. Kedua, manajemen risiko TI, yang menuntut bank mengenali, mengukur, dan memitigasi risiko yang timbul dari penggunaan teknologi. Ketiga, ketahanan siber, agar bank mampu bertahan dan pulih dari gangguan atau serangan terhadap sistemnya.

Selanjutnya, bank diwajibkan memiliki rencana pemulihan bencana sehingga layanan dapat dipulihkan ketika terjadi gangguan besar. Keamanan informasi menjadi area tersendiri yang menyangkut perlindungan data nasabah dan data operasional. POJK 34/2025 juga mewajibkan audit TI berkala, termasuk peninjauan oleh pihak eksternal, agar penilaian terhadap pengendalian TI tidak hanya bergantung pada penilaian internal. Di samping itu, ada kewajiban pelaporan insiden TI kepada OJK, serta akuntabilitas atas penyedia TI pihak ketiga, yang berarti bank tetap bertanggung jawab meskipun sebagian fungsi teknologinya dikelola oleh vendor.

Daftar berikut merangkum kewajiban yang ditegaskan dalam ketentuan tersebut. Semua tercatat sebagai hal yang wajib dipenuhi, bukan pilihan.

Mengapa kewajiban ini masuk akal bagi BPR

Sebagian pengurus BPR pada awalnya membaca ketentuan ini sebagai beban tambahan. Cara pandang yang lebih berguna adalah menempatkannya sebagai kerangka untuk menjaga kepercayaan nasabah. Ketika sebuah BPR menyandarkan simpanan dan kredit pada sistem inti dan kanal digital, gangguan yang berlarut atau kebocoran data bisa merusak reputasi yang dibangun bertahun-tahun. Tata kelola TI yang rapi, rencana pemulihan bencana yang sudah diuji, dan pelaporan insiden yang tertib justru memperkecil kemungkinan bank tersandung kejadian yang sulit dijelaskan, baik kepada nasabah maupun kepada regulator.

Akuntabilitas atas penyedia pihak ketiga juga terasa relevan di lapangan. Banyak BPR menyewa sistem inti dan layanan pendukung dari vendor. Ketentuan ini menegaskan bahwa tanggung jawab atas keamanan dan keberlangsungan layanan tetap berada di tangan bank. Konsekuensinya, kontrak dengan vendor perlu memuat kewajiban keamanan, hak audit, dan kejelasan penanganan insiden, bukan sekadar janji ketersediaan layanan.

Jalur menuju kepatuhan

Tidak ada satu urutan baku yang cocok untuk semua bank, tetapi sebagian besar BPR bisa mengikuti alur yang sama. Mulailah dengan memahami posisi saat ini, lalu perbaiki tata kelola dan risiko, siapkan kemampuan bertahan dan pulih, dan tutup dengan audit serta pelaporan yang berjalan terus.

1. 1

   Penilaian kesenjangan

   Petakan kondisi tata kelola, risiko, dan keamanan TI saat ini terhadap kewajiban POJK 34/2025, lalu susun daftar prioritas.

2. 2

   Perbaikan tata kelola dan risiko TI

   Tetapkan peran dan tanggung jawab, kebijakan, serta proses manajemen risiko TI di tingkat pengurus.

3. 3

   Penyiapan DRP dan ketahanan siber

   Bangun rencana pemulihan bencana, perkuat keamanan informasi, dan uji kemampuan bertahan terhadap gangguan.

4. 4

   Audit dan pelaporan

   Jalankan audit TI berkala dengan peninjauan eksternal serta siapkan mekanisme pelaporan insiden ke OJK.

Penilaian kesenjangan di awal penting karena menjaga bank dari membenahi hal yang sudah memadai sambil melewatkan kekurangan yang sebenarnya berisiko. Hasilnya menjadi peta jalan yang bisa dibawa ke direksi dan komisaris untuk persetujuan anggaran dan waktu. Tahap berikutnya, yaitu perbaikan tata kelola dan risiko, biasanya memakan waktu paling lama karena menyangkut perubahan kebijakan dan kebiasaan kerja, bukan sekadar pengaturan teknis.

Bagaimana Alpha Code membantu

Alpha Code mendampingi BPR dan BPRS pada setiap tahap di atas. Kami memulai dengan penilaian kesenjangan yang membandingkan praktik bank dengan kewajiban POJK 34/2025, sehingga pengurus memperoleh gambaran jujur tentang apa yang sudah siap dan apa yang belum. Dari sana kami membantu menyusun kerangka tata kelola dan manajemen risiko TI yang sesuai dengan ukuran dan kerumitan bank, tanpa membebani tim kecil dengan dokumen yang tidak akan dipakai.

Untuk kesiapan teknis, kami membantu menyiapkan dan menguji rencana pemulihan bencana, memperkuat ketahanan siber, serta menata keamanan informasi pada sistem inti dan kanal digital. Ketika insiden terjadi, layanan respons insiden kami membantu bank menahan dampak, memulihkan layanan, dan menyusun pelaporan yang dibutuhkan OJK. Kami juga bisa menjalankan audit TI dengan peninjauan independen sehingga bank memenuhi kewajiban peninjauan eksternal sekaligus mendapat masukan yang dapat ditindaklanjuti.

Pendekatan kami proporsional. BPR berskala kecil tidak memerlukan struktur yang sama dengan bank umum, dan kami menyesuaikan rekomendasi agar tetap praktis dijalankan oleh tim yang ada.

Langkah berikutnya

Tenggat 18 Desember 2026 terasa jauh, tetapi pekerjaan tata kelola dan kesiapan teknis butuh waktu lebih lama daripada yang biasanya diperkirakan. Memulai dengan penilaian kesenjangan sekarang memberi bank ruang untuk membenahi secara bertahap, menyiapkan anggaran dengan tenang, dan menghindari pekerjaan terburu-buru menjelang batas waktu. Jika Anda ingin tahu posisi BPR atau BPRS Anda terhadap POJK 34/2025, tim kami siap membantu menyusun langkah pertama yang jelas dan terukur.