Bagaimana PADG 24/2024 Mengubah Lanskap Keamanan Siber Nasional

Transformasi digital di sektor keuangan Indonesia berkembang pesat dalam beberapa tahun terakhir. Bank digital, sistem pembayaran berbasis QRIS, hingga transaksi lintas batas yang serba real-time menunjukkan kemajuan teknologi yang luar biasa. Namun, di balik kemajuan ini, muncul ancaman baru yang tak kalah serius: meningkatnya risiko serangan siber. Untuk menjawab tantangan tersebut, Bank Indonesia (BI) menerbitkan Peraturan Anggota Dewan Gubernur (PADG) Nomor 24 Tahun 2024 tentang Keamanan Sistem Informasi dan Ketahanan Siber. PADG 24/2024 bukan sekadar aturan teknis — ia adalah fondasi baru yang akan mengubah lanskap keamanan siber nasional, terutama bagi penyelenggara sistem pembayaran, pelaku pasar uang, pasar valuta asing, serta pihak lain yang berada dalam pengawasan Bank Indonesia.

Latar Belakang Diterbitkannya PADG 24/2024

Melalui Undang-Undang Nomor 4 Tahun 2023 tentang Pengembangan dan Penguatan Sektor Keuangan, kewenangan Bank Indonesia kini diperluas secara signifikan. Tidak lagi sebatas menjaga stabilitas moneter, BI kini juga memegang mandat untuk memperkuat keamanan dan keandalan sistem informasi di sektor keuangan. Langkah ini menjadi sangat penting di tengah arus digitalisasi yang masif, di mana hampir seluruh aktivitas lembaga keuangan bergantung pada infrastruktur teknologi. Tanpa regulasi dan pengawasan yang kuat, satu insiden siber saja dapat memicu efek domino yang berpotensi mengganggu stabilitas sistem keuangan nasional.

Transformasi digital memang membawa efisiensi dan kemudahan bagi sektor keuangan, namun di sisi lain juga membuka celah baru dalam bentuk risiko siber. Sistem pembayaran digital yang terhubung lintas platform, pemanfaatan cloud computing, hingga integrasi Application Programming Interface (API) menambah kompleksitas dalam menjaga keamanan data dan transaksi. Beberapa kasus serangan siber yang terjadi — baik di dalam maupun luar negeri — membuktikan bahwa ancaman ini semakin terorganisir dan berpotensi menimbulkan kerugian finansial besar, bahkan meruntuhkan kepercayaan publik terhadap lembaga keuangan.

Melihat dinamika tersebut, Bank Indonesia menyadari bahwa keamanan siber tidak bisa lagi bersifat reaktif. Melalui penerbitan PADG 24/2024 tentang Keamanan Sistem Informasi dan Ketahanan Siber, BI menegaskan komitmennya untuk membangun pendekatan yang antisipatif, adaptif, dan proaktif. Regulasi ini diharapkan menjadi fondasi baru dalam memperkuat ketahanan siber nasional sekaligus menjaga keberlanjutan transformasi digital di sektor keuangan Indonesia.

Baca juga: Peran Kontrol ISO 27001 dalam Mengurangi Insiden Keamanan Siber

Apa Itu PADG 24/2024 dan Siapa yang Diatur?

PADG 24/2024 merupakan aturan pelaksanaan operasional dari PBI 2/2024 yang menegaskan penerapan keamanan sistem informasi dan ketahanan siber di bawah pengawasan Bank Indonesia. Regulasi ini hadir sebagai panduan praktis bagi seluruh pelaku industri keuangan agar mampu membangun sistem yang aman, tangguh, dan selaras dengan prinsip ketahanan siber nasional. 

Dengan diterbitkannya PADG ini, BI ingin memastikan bahwa setiap lembaga tidak hanya memiliki kebijakan keamanan yang baik di atas kertas, tetapi juga mampu menerapkannya secara efektif di lapangan. Adapun objek dan ruang lingkup PADG 24/2024 mencakup berbagai pihak yang berperan penting dalam ekosistem keuangan digital Indonesia, antara lain:

• Penyelenggara sistem pembayaran, seperti bank, fintech, dan lembaga switching;
• Pelaku pasar uang dan pasar valuta asing, yang terlibat dalam transaksi lintas mata uang dan instrumen keuangan;
• Pihak lain yang diatur dan diawasi oleh Bank Indonesia, termasuk mitra atau penyedia layanan teknologi yang mendukung operasional sistem keuangan.

Regulasi ini mengatur seluruh aspek keamanan sistem informasi — mulai dari tata kelola, pencegahan, deteksi, penanganan, hingga pemulihan insiden siber. Dengan cakupan yang luas, PADG 24/2024 memberikan kerangka menyeluruh bagi industri untuk memperkuat pertahanan digitalnya.

Sementara itu, hubungan antara PADG 24/2024 dan PBI 2/2024 dapat dipahami sebagai hubungan antara kebijakan strategis dan pedoman implementasi. Jika PBI 2/2024 menetapkan prinsip-prinsip utama dan arah kebijakan ketahanan siber nasional, maka PADG 24/2024 bertindak sebagai panduan teknis yang mengatur mekanisme pelaporan, kolaborasi antar lembaga, serta tata cara pengenaan sanksi administratif. Dengan demikian, regulasi ini menjadi jembatan antara visi strategis Bank Indonesia dan realitas operasional penyelenggara sistem keuangan digital di lapangan.

Pilar Utama dalam PADG 24/2024

Untuk memahami bagaimana PADG 24/2024 membentuk arah baru dalam keamanan siber nasional, regulasi ini memiliki enam pilar utama yang menjadi pondasinya. Setiap pilar saling melengkapi, mulai dari tata kelola strategis hingga kolaborasi lintas lembaga, guna menciptakan sistem keuangan digital yang tangguh dan resilien.

Tata Kelola dan Budaya Ketahanan Siber

Pilar pertama menekankan bahwa ketahanan siber tidak hanya soal teknologi, tetapi juga soal tata kelola dan budaya organisasi. Bank Indonesia mewajibkan setiap penyelenggara memiliki rencana strategis KKS, kebijakan dan prosedur formal, struktur organisasi yang jelas, serta budaya keamanan siber yang melibatkan seluruh karyawan. Pendekatan ini sejalan dengan praktik global seperti ISO 27001 dan NIST CSF, yang menempatkan governance dan awareness sebagai fondasi utama pertahanan siber.

Pencegahan Risiko Siber

Pilar kedua menyoroti pentingnya tindakan antisipatif melalui tiga langkah utama: identifikasi, proteksi, dan deteksi. Organisasi wajib melakukan asesmen risiko siber dan analisis dampak bisnis, membangun sistem pertahanan dan perlindungan data, serta melakukan pemantauan dan pengujian deteksi dini. Pendekatan berlapis ini membantu lembaga mengenali ancaman sejak awal dan meminimalkan dampak jika insiden terjadi.

Penanganan dan Pemulihan Insiden Siber

Saat insiden siber terjadi, kecepatan dan koordinasi menjadi kunci. Setiap lembaga wajib memiliki rencana penanganan dan pemulihan, melakukan simulasi dan uji coba, serta menetapkan prosedur komunikasi internal dan eksternal. Setelah insiden tertangani, evaluasi dan perbaikan berkelanjutan perlu dilakukan untuk memperkuat ketahanan ke depan.

Kewajiban Pelaporan dan Transparansi

Pilar keempat memperkenalkan pelaporan data dan informasi keamanan siber secara rutin dan insidental. Laporan tahunan berisi tingkat kematangan KKS dan identifikasi infrastruktur vital, sedangkan laporan insidental disampaikan saat terjadi insiden berdampak besar. Kepatuhan ini diawasi langsung oleh BI dengan sanksi tegas, sekaligus mendorong transparansi dan kepercayaan antar pelaku industri.

Kolaborasi dan Pertukaran Informasi

Pilar ini menekankan pentingnya kerja sama lintas lembaga dalam menghadapi ancaman siber. BI mendorong pertukaran informasi ancaman, simulasi serangan bersama, sosialisasi kebijakan KKS, serta koordinasi isolasi akses bila terjadi efek penularan. Langkah ini membangun ketahanan kolektif sektor keuangan nasional, bukan hanya ketahanan individual.

Penerapan Diferensial Berdasarkan Klasifikasi Penyelenggara

Tidak semua lembaga memiliki tingkat risiko yang sama, sehingga PADG 24/2024 menerapkan prinsip proporsionalitas. Lembaga yang terhubung langsung dengan sistem BI wajib menerapkan aturan penuh, sedangkan yang menggunakan sistem pihak ketiga hanya menerapkan sebagian. Sementara itu, perangkat stand-alone atau analog dapat dikecualikan. Pendekatan ini memastikan regulasi tetap adaptif dan realistis tanpa membebani pelaku kecil.

Dampak PADG 24/2024 terhadap Lanskap Keamanan Siber Nasional

Sebagai regulasi pelaksanaan yang komprehensif, PADG 24/2024 tidak hanya memperkuat keamanan sistem informasi di sektor keuangan, tetapi juga membawa dampak luas terhadap ekosistem digital Indonesia. Aturan ini memperjelas arah transformasi menuju ketahanan siber nasional yang lebih terukur, kolaboratif, dan berstandar global. Berikut tiga dampak utamanya:

Meningkatkan Standar Nasional Ketahanan Siber

PADG 24/2024 menjadi tonggak penting dalam menyelaraskan kebijakan Indonesia dengan praktik global di bidang keamanan siber. Dengan mengadopsi prinsip identify–protect–detect–respond–recover dari NIST Cybersecurity Framework, Bank Indonesia mendorong lembaga keuangan untuk membangun sistem pertahanan berlapis yang tangguh dari hulu ke hilir. Dampak positifnya meluas ke seluruh rantai ekosistem — termasuk vendor, mitra, dan penyedia layanan teknologi yang kini terdorong menerapkan standar keamanan yang sama demi menjaga stabilitas sistem keuangan nasional.

Mendorong Budaya Keamanan Siber di Setiap Organisasi

Selain aspek teknis, PADG 24/2024 juga menanamkan nilai penting mengenai budaya keamanan siber di seluruh lini organisasi. Regulasi ini mengubah paradigma bahwa keamanan bukan hanya tanggung jawab tim IT, melainkan seluruh karyawan. Melalui kewajiban pelatihan, komunikasi internal yang berkelanjutan, dan penguatan kesadaran, setiap individu diharapkan menjadi bagian dari pertahanan organisasi. Pendekatan ini menumbuhkan pola pikir security-by-design yang melekat dalam setiap aktivitas operasional dan keputusan bisnis.

Meningkatkan Kolaborasi Antar Lembaga dan Regulator

PADG 24/2024 juga mendorong terbentuknya ekosistem keamanan siber yang kolaboratif melalui pertukaran data insiden dan koordinasi lintas sektor. Kolaborasi antara lembaga keuangan, regulator, dan organisasi terkait membantu mempercepat respons terhadap ancaman dan mencegah dampak sistemik. Dalam jangka panjang, pendekatan ini mendukung visi Indonesia untuk membangun infrastruktur keuangan digital yang resilien dan terpercaya, sejalan dengan arah Blueprint Sistem Pembayaran Indonesia 2025.

Tantangan Implementasi di Lapangan

Meskipun PADG 24/2024 disusun dengan cakupan yang komprehensif dan berpihak pada penguatan ekosistem keamanan siber nasional, penerapannya di lapangan tetap menghadapi sejumlah tantangan nyata. Regulasi ini menuntut kesiapan yang tinggi, baik dari sisi teknologi maupun sumber daya manusia. 

Tidak semua lembaga memiliki kemampuan yang sama untuk beradaptasi dengan standar keamanan yang ketat, terutama dalam hal infrastruktur dan kapasitas operasional. Selain itu, kompleksitas koordinasi antar penyelenggara menambah beban implementasi, mengingat setiap lembaga memiliki sistem dan tingkat kematangan siber yang berbeda. Beberapa tantangan yang perlu diantisipasi antara lain:

• Kesiapan teknis dan SDM: Tidak semua lembaga memiliki keahlian dan infrastruktur yang memadai untuk memenuhi standar Keamanan dan Ketahanan Siber (KKS).
• Kebutuhan investasi besar: Pembangunan Security Operations Center (SOC), sistem pemantauan ancaman, dan program pelatihan karyawan membutuhkan biaya yang tidak sedikit.
• Sinkronisasi antar lembaga: Proses pelaporan dan koordinasi lintas penyelenggara memerlukan sistem yang interoperabel dan standar komunikasi yang seragam.
• Perbedaan kapabilitas: Lembaga besar umumnya memiliki sumber daya lebih untuk beradaptasi, sementara lembaga kecil mungkin tertinggal dalam penerapan penuh regulasi ini.

Oleh karena itu, keberhasilan implementasi PADG 24/2024 sangat bergantung pada dukungan bersama dari regulator, asosiasi industri, dan penyedia solusi keamanan siber. Kolaborasi ini menjadi kunci untuk memastikan bahwa seluruh pelaku sektor keuangan — besar maupun kecil — mampu mencapai tingkat ketahanan siber yang sejalan dengan visi nasional.

Strategi Menuju Kepatuhan PADG 24/2024

Menghadapi pemberlakuan penuh PADG 24/2024 pada Desember 2024, setiap penyelenggara perlu mempersiapkan diri secara matang, tidak hanya dari sisi kepatuhan administratif, tetapi juga kesiapan operasional dan budaya organisasi. Regulasi ini menuntut adanya langkah konkret yang terukur agar lembaga keuangan mampu menyesuaikan diri dengan standar keamanan dan ketahanan siber yang ditetapkan oleh Bank Indonesia. Berikut beberapa strategi yang dapat diterapkan untuk memastikan kesiapan tersebut:

1. Lakukan Penilaian Tingkat Kematangan KKS
   Gunakan framework seperti ISO 27001, NIST CSF, atau SKKNI untuk menilai sejauh mana kesiapan organisasi dalam mengelola risiko siber dan mengidentifikasi area yang perlu diperbaiki.
2. Bangun Tata Kelola dan Kebijakan Keamanan Formal
   Lengkapi struktur organisasi dengan fungsi khusus keamanan siber, rencana strategis yang terukur, serta kebijakan dan prosedur yang jelas agar setiap tindakan memiliki arah dan akuntabilitas.
3. Kembangkan SOC (Security Operations Center)
   SOC berperan penting untuk melakukan pemantauan ancaman 24/7, mendeteksi aktivitas mencurigakan, dan merespons insiden secara cepat dan terkoordinasi.
4. Lakukan Simulasi Insiden dan Pelatihan Berkala
   Melalui simulasi dan latihan berulang, organisasi dapat menguji efektivitas rencana tanggap darurat serta memperkuat koordinasi antar tim dalam menghadapi serangan nyata.
5. Tingkatkan Kesadaran Karyawan
   Edukasi dan simulasi phishing harus menjadi bagian dari budaya organisasi sehari-hari. Kesadaran individu merupakan garis pertahanan pertama terhadap berbagai bentuk ancaman siber.

Dengan menerapkan strategi di atas secara konsisten, lembaga keuangan tidak hanya akan mematuhi PADG 24/2024, tetapi juga mampu membangun ketahanan siber yang berkelanjutan dan adaptif terhadap ancaman digital di masa depan.

Baca juga: Perubahan Strategis dalam Manajemen Risiko Siber Pasca PADG 24/2024

Kesimpulan

PADG 24/2024 menandai babak baru dalam penguatan keamanan sistem informasi dan ketahanan siber nasional. Lebih dari sekadar regulasi, kebijakan ini menjadi katalis perubahan budaya dan standar baru di industri keuangan digital Indonesia. Melalui tata kelola yang kuat, pencegahan yang proaktif, transparansi, serta kolaborasi lintas lembaga, Bank Indonesia menunjukkan komitmen nyata untuk membangun ekosistem keuangan digital yang aman, andal, dan berdaya saing global. Kini, tantangan sesungguhnya bagi para pelaku industri adalah memastikan kesiapan internal organisasi agar dapat mematuhi PADG 24/2024 dan menjadi bagian dari lanskap keamanan siber nasional yang lebih tangguh.