Langsung ke konten utama

Peta regulasi

Regulasi keamanan siber Indonesia: satu peta untuk semua ketentuan utama

Ringkasnya

Satu tabel regulasi keamanan siber Indonesia: UU PDP, POJK 11/2022, POJK 34/2025, PBI 2/2024, Perpres 82/2022, siapa yang wajib patuh, dan tenggat utamanya.

Compliance solutions

Indonesia tidak punya satu undang-undang keamanan siber. Yang ada adalah tumpukan ketentuan: undang-undang pelindungan data yang menjangkau hampir semua organisasi, aturan sektoral dari OJK dan Bank Indonesia untuk lembaga keuangan, peraturan presiden untuk infrastruktur vital, serta instrumen BSSN yang mengikat penyelenggara sistem elektronik saat insiden memburuk. Masing-masing diterbitkan regulator yang berbeda, pada waktu yang berbeda, dengan tenggat pelaporan yang berbeda pula. Sebagian besar rangkumannya tersimpan di PDF hukum yang cepat kedaluwarsa.

Halaman ini adalah alternatif yang hidup: setiap regulasi utama, siapa yang wajib patuh, kewajiban intinya, dan tanggal-tanggal penting, dalam satu tempat. Halaman ini ditinjau setiap triwulan dan terakhir ditinjau pada Juli 2026.

Tabel induk

RegulasiRegulatorSiapa yang wajib patuhKewajiban intiTanggal penting dan status
UU PDP (UU 27/2022)Komdigi (sementara), Lembaga PDP dalam pembentukanSemua pengendali dan prosesor data pribadi, publik maupun swastaDasar pemrosesan dan persetujuan, hak subjek data, DPO bila kriteria Pasal 53 terpenuhi, pemberitahuan pelanggaran 3x24 jam, sanksi hingga 2% pendapatan tahunanDisahkan 17 Okt 2022, berlaku penuh sejak 17 Okt 2024; peraturan pelaksana dan lembaga pengawas masih dalam proses
PP 71/2019Kominfo (kini Komdigi)Semua penyelenggara sistem elektronik (PSE), publik dan privatPendaftaran PSE, keandalan dan keamanan sistem, pengelolaan data pribadi, pemberitahuan kepada pengguna bila pelindungan gagalBerlaku sejak Okt 2019
POJK 11/POJK.03/2022OJKBank umum, konvensional dan syariahTata kelola dan manajemen risiko TI, penempatan data di dalam negeri, persetujuan OJK untuk pemrosesan tertentu di luar negeri, notifikasi insiden 24 jam dan laporan 5 hari kerjaBerlaku; menggantikan POJK 38/2016
SEOJK 29/SEOJK.03/2022OJKBank umumUnit atau fungsi siber independen, penilaian risiko inheren dan maturitas siber tahunan, pengujian keamanan termasuk penetration testing dengan hasil ke OJKBerlaku sejak 27 Des 2022
POJK 34/2025OJKBPR dan BPRSTata kelola TI, manajemen risiko TI, pusat data dan pusat pemulihan bencana di Indonesia, ketahanan siber, notifikasi insiden 24 jam dan laporan 7 hari kerjaDiundangkan 17 Des 2025; berlaku mulai 18 Des 2026
PBI 2/2024Bank IndonesiaPenyelenggara sistem pembayaran (PJP dan PIP), pelaku pasar uang dan pasar valuta asing, pihak lain yang diawasi BITata kelola siber, pencegahan dan penanganan risiko siber, pemantauan dan analisis ancaman, pelaporan insiden ke BIBerlaku sejak 22 Apr 2024
Perpres 82/2022BSSN (koordinator) bersama kementerian sektorPenyelenggara infrastruktur informasi vital (IIV) di 8 sektor strategisIdentifikasi IIV minimal setahun sekali, pelindungan berbasis risiko, pelaporan insiden ke BSSNBerlaku sejak 2022; tanpa tenggat tunggal, kewajibannya berjalan terus
Peraturan BSSN 2/2024BSSNBSSN, instansi penyelenggara negara, dan PSE saat eskalasiRencana kontingensi krisis siber nasional dan simulasinya; PSE wajib menindaklanjuti peringatan dini krisis dan melapor setiap 2 jamBerlaku sejak 18 Jan 2024

Bagian di bawah membahas setiap regulasi satu per satu. Bila kami punya halaman yang lebih dalam, tautannya mengarah ke sana.

UU PDP (UU 27/2022): pelindungan data pribadi

UU PDP adalah ketentuan yang paling mendekati kewajiban keamanan siber umum di Indonesia, karena berlaku bagi organisasi mana pun yang memproses data pribadi, apa pun sektor dan ukurannya. Undang-undang ini disahkan 17 Oktober 2022 dengan masa transisi dua tahun, sehingga seluruh ketentuannya sudah dapat ditegakkan sejak Oktober 2024.

Kewajiban dengan konsekuensi paling tajam adalah pemberitahuan tertulis pelanggaran data dalam 3x24 jam kepada subjek data terdampak dan lembaga pengawas berdasarkan Pasal 46, kewajiban menunjuk pejabat pelindungan data pribadi bila salah satu kriteria Pasal 53 terpenuhi, dan rezim sanksinya: denda administratif hingga 2% pendapatan tahunan terkait pelanggarannya, ditambah ketentuan pidana dengan ancaman penjara hingga 6 tahun dan denda hingga Rp 6 miliar.

Satu hal belum berubah hingga Juli 2026: peraturan pemerintah pelaksananya belum terbit dan lembaga pengawas khusus, Lembaga PDP, masih dalam pembentukan, dengan pengawasan sementara di Komdigi. Undang-undangnya tetap berlaku. Mulailah dari panduan kepatuhan UU PDP kami, rincian sanksi dan risiko bisnisnya, atau penjelasan kapan DPO wajib ditunjuk.

PP 71/2019: fondasi untuk semua sistem elektronik

Peraturan Pemerintah 71/2019 lahir sebelum UU PDP dan mengatur penyelenggaraan sistem dan transaksi elektronik. Semua penyelenggara sistem elektronik, disebut PSE, tercakup di dalamnya: sistem milik pemerintah maupun swasta. PP ini mewajibkan pendaftaran PSE, penyelenggaraan sistem yang andal dan aman, pengelolaan data pribadi yang tertib, dan pemberitahuan kepada pengguna bila pelindungan data gagal.

Dalam praktiknya PP 71/2019 bekerja sebagai fondasi di bawah aturan-aturan yang lebih baru. Definisinya tentang sistem elektronik dan penyelenggara dipakai ulang di regulasi sektoral, dan kewajiban pendaftarannya menjadi cara pemerintah mengetahui siapa mengoperasikan apa. Jika organisasi Anda menjalankan layanan daring apa pun untuk publik Indonesia, anggap saja aturan ini berlaku.

POJK 11/2022 dan SEOJK 29/2022: bank umum

POJK 11/POJK.03/2022 mengatur penyelenggaraan teknologi informasi oleh bank umum, menggantikan POJK 38/2016. Isinya mencakup akuntabilitas direksi dan komisaris atas risiko TI, aturan penempatan data di Indonesia dengan persetujuan OJK sebelum data atau sistem tertentu dipindah ke luar negeri, serta pelaporan insiden: notifikasi awal ke OJK dalam 24 jam dan laporan lengkap dalam 5 hari kerja.

SEOJK 29/SEOJK.03/2022 memuat detail sibernya. Bank wajib membentuk unit atau fungsi ketahanan dan keamanan siber yang independen dari operasional TI, menilai risiko inheren dan tingkat maturitas siber setiap tahun untuk posisi akhir Desember, dan menjalankan pengujian keamanan yang mencakup penetration testing serta latihan berbasis skenario, dengan hasil yang disampaikan ke OJK. Penggunaan cloud diperlakukan sebagai alih daya TI dalam kerangka yang sama, yang kami bahas di kepatuhan cloud untuk perbankan dan dalam panduan persyaratan keamanan siber OJK.

POJK 34/2025: BPR dan BPRS

POJK 34/2025 membawa disiplin serupa ke Bank Perekonomian Rakyat dan BPR Syariah. Cakupannya meliputi tata kelola TI, manajemen risiko TI termasuk pengamanan informasi, penempatan pusat data dan pusat pemulihan bencana di Indonesia, arsitektur TI bagi bank yang punya layanan digital, dan ketahanan siber. Pelaporan insidennya mengikuti pola aturan bank umum: notifikasi awal ke OJK dalam 24 jam dan laporan insiden dalam 7 hari kerja.

Ketentuan ini diundangkan 17 Desember 2025 dan pengaturannya berlaku satu tahun kemudian, mulai 18 Desember 2026. Bagi kebanyakan BPR, jendela itu memang perlu dipakai penuh, karena perubahannya menyentuh kebijakan, kontrak vendor, dan infrastruktur. Halaman kepatuhan POJK 34/2025 untuk BPR dan BPRS kami mengurainya satu per satu.

PBI 2/2024: pihak yang diatur Bank Indonesia

PBI 2/2024 adalah peraturan Bank Indonesia tentang keamanan sistem informasi dan ketahanan siber. Cakupannya lebih luas dari pembayaran saja: penyedia jasa pembayaran (PJP) dan penyelenggara infrastruktur sistem pembayaran (PIP), pelaku pasar uang dan pasar valuta asing, serta pihak lain yang diatur dan diawasi BI. Ketentuan ini berlaku sejak 22 April 2024.

Peraturan ini dibangun di atas empat blok: tata kelola, pencegahan, penanganan, dan pengawasan serta kolaborasi. Bagi penyelenggara, mandat praktisnya adalah pemantauan berkelanjutan, analisis ancaman dan malware, pengujian berkala atas kemampuan deteksi, dan pelaporan insiden siber ke Bank Indonesia. Lihat halaman kami tentang kepatuhan PBI 2/2024 untuk penyelenggara pembayaran untuk sudut pandang pembayaran.

Perpres 82/2022: infrastruktur informasi vital

Peraturan Presiden 82/2022 menetapkan pelindungan infrastruktur informasi vital (IIV) di 8 sektor strategis: administrasi pemerintahan, energi dan sumber daya mineral, transportasi, keuangan, kesehatan, teknologi informasi dan komunikasi, pangan, serta pertahanan. BSSN menjadi koordinator kerangkanya dan setiap sektor punya kementerian atau otoritas pengawas masing-masing.

Penyelenggara IIV yang ditetapkan wajib mengidentifikasi infrastruktur vitalnya minimal sekali setahun, menerapkan pelindungan yang sebanding dengan risikonya, dan melaporkan insiden siber ke BSSN. Tidak ada tenggat kepatuhan tunggal; kewajibannya berjalan terus-menerus. Halaman kami tentang asesmen keamanan berdasarkan Perpres 82/2022 membahas sisi asesmen OT dan TI-nya.

Peraturan BSSN 2/2024: manajemen krisis siber

Peraturan BSSN 2/2024 melaksanakan Peraturan Presiden 47/2023 tentang strategi keamanan siber nasional dan manajemen krisis siber. Isinya menetapkan bagaimana Indonesia bersiap dan bertindak saat krisis siber: BSSN menyusun dan memelihara rencana kontingensi krisis siber nasional bersama instansi penyelenggara negara, menyimulasikannya minimal sekali dalam dua tahun, dan mengevaluasinya setiap tahun. Status krisis siber ditetapkan Presiden atas usulan Kepala BSSN.

Organisasi swasta bukan sekadar penonton di sini. Ketika tim tanggap insiden siber nasional mengeluarkan peringatan dini krisis siber, penyelenggara sistem elektronik wajib menindaklanjutinya dan melaporkan hasil tindak lanjut itu setiap dua jam sampai situasi selesai. Peraturan ini berlaku sejak 18 Januari 2024.

Tenggat pelaporan insiden dalam satu pandangan

Tenggat pelaporan adalah titik di mana regulasi-regulasi ini bertabrakan dalam praktik, karena satu insiden bisa memicu beberapa kewajiban sekaligus. Serangan ransomware di sebuah bank yang mengekspos data nasabah menyalakan jam OJK dan jam UU PDP pada hari yang sama.

RegulasiTenggatLapor ke
UU PDP Ps 46Pemberitahuan tertulis pelanggaran dalam 3x24 jamSubjek data dan lembaga pengawas
POJK 11/2022Notifikasi dalam 24 jam, laporan dalam 5 hari kerjaOJK
POJK 34/2025Notifikasi dalam 24 jam, laporan dalam 7 hari kerjaOJK
PBI 2/2024Pelaporan insiden sesuai prosedur BIBank Indonesia
Perpres 82/2022Pelaporan insiden bagi penyelenggara IIVBSSN

Menjaga halaman ini tetap mutakhir

Regulasi di ranah ini terus bergerak: POJK 34/2025 terbit Desember 2025, dan peraturan pelaksana UU PDP beserta lembaga pengawasnya bisa hadir kapan saja. Kami meninjau peta ini setiap triwulan dan memperbaruinya saat ada aturan yang terbit, diubah, atau mulai berlaku. Terakhir ditinjau: Juli 2026. Jika Anda menemukan perubahan yang belum kami tangkap, beri tahu kami dan kami akan memverifikasinya ke sumber primernya.

Bila peta ini perlu diubah menjadi rencana kerja, gap assessment terhadap regulasi yang berlaku bagi organisasi Anda adalah langkah pertama yang lazim, dan tim kepatuhan kami mengerjakan persis itu.

Halaman ini disediakan sebagai informasi umum dan bukan nasihat hukum. Untuk penafsiran kewajiban yang berlaku bagi organisasi Anda, konsultasikan dengan penasihat hukum atau regulator terkait.

Referensi

  1. 1.UU Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi
  2. 2.OJK, POJK Nomor 34 Tahun 2025 tentang Penyelenggaraan Teknologi Informasi oleh BPR dan BPRS (termasuk FAQ)
  3. 3.OJK, SEOJK Nomor 29/SEOJK.03/2022 tentang Ketahanan dan Keamanan Siber bagi Bank Umum
  4. 4.Bank Indonesia, PBI Nomor 2 Tahun 2024 tentang Keamanan Sistem Informasi dan Ketahanan Siber
  5. 5.Perpres Nomor 82 Tahun 2022 tentang Pelindungan Infrastruktur Informasi Vital
  6. 6.Peraturan BSSN Nomor 2 Tahun 2024 tentang Manajemen Krisis Siber
  7. 7.PP Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik

Ditinjau oleh Naren Krishnan, Cybersecurity Manager

Pertanyaan umum

Bank umum tunduk pada POJK 11/POJK.03/2022 dan SEOJK 29/SEOJK.03/2022, yang mewajibkan unit siber independen, penilaian maturitas tahunan, pengujian keamanan termasuk penetration testing, dan pelaporan insiden kepada OJK. BPR dan BPRS tunduk pada POJK 34/2025 yang berlaku mulai 18 Desember 2026. Semua bank juga memproses data pribadi, sehingga UU PDP berlaku di atasnya.

Terkait

Siap memperkuat keamanan siber Anda?

Bicarakan kebutuhan Anda dengan tim kami di Jakarta.

Tim kami di Jakarta. Kami membalas dalam satu hari kerja.