POJK Nomor 34 Tahun 2025: Standar Baru Tata Kelola TI dan Keamanan Siber BPR/BPR Syariah

Akselerasi transformasi digital kini tidak lagi hanya mendominasi bank umum skala besar, melainkan telah menyasar sektor perbankan regional secara masif. Otoritas Jasa Keuangan resmi menetapkan Peraturan Otoritas Jasa Keuangan Nomor 34 Tahun 2025 (POJK 34/2025) tentang Penyelenggaraan Teknologi Informasi oleh Bank Perekonomian Rakyat (BPR) dan Bank Perekonomian Rakyat Syariah (BPR Syariah). Regulasi ini hadir menggantikan aturan lama, yakni POJK Nomor 75/POJK.03/2016, demi memodernisasi sekaligus memitigasi risiko operasional digital di tingkat daerah.

Penerbitan POJK 34 Tahun 2025 dilatarbelakangi oleh kebutuhan mendesak untuk memperkuat ketahanan industri finansial retail mikro. OJK menyadari bahwa peningkatan adopsi teknologi informasi (TI) untuk mendukung proses bisnis operasional harus diimbangi dengan benteng perlindungan data konsumen yang kokoh. Melalui standardisasi manajemen risiko digital terintegrasi, aturan baru ini dirancang untuk mengurangi potensi kerugian finansial maupun nonkeuangan yang dapat mengancam kelangsungan usaha BPR dan BPR Syariah di Indonesia.

Definisi Eksplisit Insiden Siber dan Risiko Serangan Malware

Salah satu sorotan utama dalam ketentuan POJK 34/2025 adalah pengenalan klasifikasi yang ketat terhadap jenis-kejadian kritis operasional. Regulasi ini membagi potensi masalah menjadi dua kategori besar, yaitu insiden siber dan insiden nonsiber. Kejelasan definisi hukum ini penting agar jajaran direksi tidak lagi salah dalam mengidentifikasi eskalasi kedaruratan sistem perbankan mereka.

Secara eksplisit, Penjelasan Pasal 46 menguraikan bahwa insiden siber merupakan ancaman nyata berupa upaya, kegiatan, dan/atau tindakan yang mengakibatkan Sistem Elektronik bank tidak berfungsi sebagaimana mestinya. OJK memberikan contoh konkret serangan siber yang kerap melumpuhkan sistem operasional, antara lain peretasan (hacking), infeksi virus, penyebaran malware, serangan ransomware, perusakan halaman situs (web defacement), hingga serangan distributed denial of service (DDoS) attacks.

Mekanisme Notifikasi Awal dan Pelaporan Wajib Bulanan

Untuk mencegah dampak serangan digital meluas menjadi kegagalan sistemik, POJK Nomor 34 Tahun 2025 mewajibkan BPR dan BPR Syariah menerapkan sistem deteksi dan pelaporan yang responsif. Apabila sistem elektronik mengalami gangguan kritis akibat serangan siber atau kegagalan infrastruktur, bank wajib menyampaikan notifikasi awal secara tertulis melalui sarana elektronik seperti surat elektronik (e-mail) resmi kepada satuan kerja pengawasan OJK.

Kewajiban pelaporan berkala ini merupakan instrumen penting dalam pengawasan berbasis risiko (risk-based supervision). Melalui data pelaporan penanganan insiden, OJK dapat memantau seberapa cepat tim manajemen internal bank melakukan pemulihan data (data recovery) dan meminimalisir kerugian nonkeuangan, seperti pemberitaan negatif di media massa yang berpotensi merusak reputasi bursa keuangan mikro serta meruntuhkan kepercayaan nasabah penyimpan dana.

Fleksibilitas Kebijakan Adaptasi TI Berdasarkan Kondisi Bank

Meskipun menerapkan standar ketahanan siber yang ketat, OJK tetap menunjukkan keberpihakan yang proporsional melalui asas keadilan dan kemudahan berusaha. OJK menyadari bahwa kapasitas permodalan dan kesiapan infrastruktur digital antara satu BPR dengan BPR lainnya di berbagai wilayah Indonesia sangat beragam. Oleh karena itu, Pasal 50 membekali regulator dengan fleksibilitas hukum berupa pemberian diskresi atau kebijakan yang berbeda.

Dalam menetapkan kebijakan penyesuaian operasional tersebut, OJK akan mempertimbangkan dua indikator utama:

• Kondisi Riil Keuangan dan Manajemen: Menilai kemampuan adaptasi struktur internal BPR dan BPR Syariah terhadap perkembangan teknologi informasi terkini tanpa mengganggu likuiditas harian.
• Kesesuaian Regulasi: Memastikan bahwa pelonggaran atau penundaan implementasi fitur digital tertentu tetap sejalan dengan koridor peraturan perundang-undangan yang berlaku.

Urgensi Evaluasi Kontrak dan Perjanjian Vendor Penyedia Jasa TI

Aspek tata kelola pihak ketiga (third-party risk management) juga diperketat dalam regulasi ini. Banyak BPR dan BPR Syariah yang menggunakan jasa vendor eksternal untuk menyelenggarakan sistem aplikasi inti perbankan mereka. POJK 35/2025 menegaskan bahwa manajemen bank wajib melakukan peninjauan hukum secara berkala terhadap Perjanjian Kerja Sama (PKS) penyediaan jasa TI, terutama saat menghadapi momentum berakhirnya jangka waktu kontrak, rencana perpanjangan, maupun klausul perubahan kontrak.

Bagi jajaran direksi, komisaris, manajer kepatuhan (compliance), serta praktisi hukum perbankan, memahami anatomi POJK Nomor 34 Tahun 2025 merupakan langkah preventif wajib demi menjaga kelangsungan bisnis dari sanksi administratif dan tuntutan ganti rugi. Naskah peraturan perundang-undangan orisinal yang lengkap seputar hukum perbankan mikro dan keamanan data finansial kini dapat diakses secara praktis melalui database regulasi terintegrasi Nalarhukum.id.