• February 18, 2025

Mengapa Regulasi DORA Penting di Luar Uni Eropa

Waktu terus berjalan menuju tenggat penting dalam regulasi keamanan siber di Eropa.

Pada 17 Januari 2025, Digital Operational Resilience Act (DORA) secara resmi mulai berlaku di Uni Eropa (UE). Regulasi ini dirancang untuk memperkuat ketahanan operasional digital lembaga keuangan dalam menghadapi ancaman siber yang terus berkembang, sekaligus menjaga stabilitas sistem keuangan di era digital.

 

Lebih dari Sekadar Bank dan Lembaga Keuangan

Seperti halnya GDPR yang dampaknya meluas ke seluruh dunia, DORA juga tidak hanya berlaku untuk perusahaan jasa keuangan atau bank yang beroperasi di UE.

Regulasi ini juga mencakup penyedia layanan Teknologi Informasi dan Komunikasi (ICT) serta vendor pihak ketiga yang menjadi bagian dari rantai pasok layanan digital sektor keuangan.

Artinya, perusahaan teknologi dan penyedia layanan di luar UE yang berhubungan dengan entitas keuangan Eropa juga akan terdampak.Jika perusahaan Anda masuk dalam kategori ini dan belum melakukan persiapan, sekarang adalah saat yang tepat untuk bertindak.

Mengapa DORA Penting di Luar Uni Eropa?

Dalam dunia keuangan global yang saling terhubung, peraturan seperti DORA seringkali menjadi standar acuan yang memengaruhi pendekatan terhadap manajemen risiko dan keamanan siber di seluruh dunia. CISOs, compliance officers, dan tim manajemen risiko di luar UE harus memahami DORA untuk:

  • Menjaga keberlanjutan hubungan bisnis dengan mitra keuangan Eropa.
  • Memastikan kepatuhan terhadap standar keamanan operasional yang semakin ketat.
  • Memperkuat ketahanan digital terhadap ancaman siber yang terus berkembang.

 

Apa yang Harus Dilakukan?

Menurut Corporate Compliance Insights (CCI) dalam artikel berjudul “Beyond Box-Checking: How EU’s NIS2 and DORA Elevate Security Standards”, pemenuhan regulasi seperti DORA bukan sekadar “check the box” untuk formalitas kepatuhan. Sebaliknya, perusahaan harus membangun tata kelola risiko yang kuat dengan memanfaatkan teknologi yang tepat, seperti:

  • Integrated Risk Management (IRM) untuk pengelolaan risiko secara terintegrasi.
  • Incident Detection and Response Systems untuk mendeteksi dan merespons insiden keamanan.
  • Third-Party Risk Management (TPRM) untuk mengelola risiko vendor.
  • Data Encryption Solutions untuk perlindungan data sensitif.
  • Network Discovery Tools untuk visibilitas jaringan yang lebih baik.

Catat Tenggat Waktu: 17 Januari 2025

DORA bukan sekadar regulasi regional, melainkan indikator peningkatan standar keamanan digital di sektor keuangan global. Perusahaan di seluruh dunia perlu segera meninjau kesiapan operasional dan memastikan ketahanan digital mereka sesuai dengan perkembangan peraturan ini.

 

Sudahkah Anda siap menghadapi DORA?

Mengapa DORA Diperlukan

Ancaman digital saat ini semakin kompleks—dan para penyerang tidak mengenal batas wilayah.
Serangan ransomware saja meningkat 73% pada tahun 2023. Para pelaku kejahatan siber kini dengan mudah membeli dan menggunakan “attack kits” otomatis yang memanfaatkan celah keamanan yang telah ditemukan pada perangkat keras dan perangkat lunak.

Dalam riset 2024 tentang perangkat paling berisiko, sektor jasa keuangan menempati posisi keempat sebagai industri dengan perangkat paling rentan, setelah manufaktur, pendidikan, dan teknologi.
Selain itu, sejak 2023, kerentanan pada perangkat IoT meningkat sebesar 136%, menciptakan pintu masuk baru bagi pelaku kejahatan untuk mengancam sistem keuangan dan operasi bisnis.

DORA hadir sebagai respons terhadap eskalasi risiko ini, bertujuan untuk membangun ketahanan operasional digital di sektor keuangan dengan memastikan bahwa perusahaan mampu menghadapi, merespons, dan memulihkan diri dari gangguan siber secara efektif.

 

Dari Ransomware hingga Penipuan Digital: Kenapa DORA Begitu Penting bagi Sektor Keuangan

Dunia kejahatan digital terus berkembang pesat—mulai dari ransomware as a service, penipuan digital, hingga scam berbasis AI.  Kejahatan siber tanpa wajah ini menghantui semua industri, namun sektor keuangan seperti bank, perusahaan kartu kredit, dan asuransi menjadi target utama.

Tak heran, premi asuransi siber terus meningkat dan anggaran keamanan siber di sektor ini melonjak.
Perusahaan jasa keuangan berinvestasi besar dalam keamanan IT demi melindungi aset digital mereka.

 

Ketergantungan pada Teknologi Membawa Risiko Baru

Parlemen Uni Eropa menegaskan dalam penjelasan resminya:

“Sektor keuangan semakin bergantung pada teknologi dan perusahaan teknologi untuk menyediakan layanan keuangan. Hal ini membuat entitas keuangan rentan terhadap serangan atau insiden siber.”

Perusahaan jasa keuangan, seperti bank dan penyedia layanan investasi, mengoperasikan data center dan sistem perdagangan sendiri. Namun, seiring perkembangan, mereka juga beralih ke solusi cloud-based fintech untuk keperluan analitik, kecerdasan buatan (AI), dan aplikasi lainnya.

 

Adopsi teknologi cloud semakin meningkat:

Menurut riset Accenture, pada 2022, bank telah memindahkan 15% beban kerja mereka ke clouddua kali lipat dibandingkan 2021.

Namun, perpindahan ini juga memperluas permukaan serangan karena:

  • Infrastruktur dan aplikasi tidak lagi 100% dikelola sendiri
  • Keterlibatan banyak mitra dan vendor pihak ketiga dengan koneksi digital di back-end
  • Pengelolaan risiko pihak ketiga (Third-Party Risk Management / TPRM) menjadi semakin krusial.

 

Proses Regulasi DORA

DORA (Digital Operational Resilience Act) bukan aturan yang muncul tiba-tiba.
Prosesnya dimulai sejak 2020 dan diratifikasi pada 2022.

Tanggal efektif penerapannya: 17 Januari 2025.

DORA memperluas konsep resiliensi operasional dalam sistem keuangan—bukan hanya fokus pada risiko modal atau aspek ekonomi, tetapi juga ancaman digital.

Tujuan DORA:
Menjamin bahwa perusahaan keuangan mampu mencegah, merespons, dan pulih dari gangguan siber, sekaligus mengamankan stabilitas keuangan di kawasan UE.

6 Pilar Kepatuhan DORA:

  1. Manajemen Risiko ICT
  2. Manajemen Risiko Pihak Ketiga ICT
  3. Pengujian Ketahanan Operasional Digital
  4. Penanganan Insiden terkait ICT
  5. Berbagi Informasi Ancaman Siber
  6. Pengawasan Penyedia Layanan Pihak Ketiga yang Kritis

 

Mengapa Ini Penting?

“Jika risiko ICT tidak dikelola dengan baik, gangguan pada layanan keuangan lintas negara bisa terjadi,” jelas Uni Eropa.

“Hal ini dapat berdampak pada perusahaan lain, sektor lain, bahkan ekonomi secara keseluruhan. Inilah alasan mengapa ketahanan operasional digital sektor keuangan sangat penting.”

Kesimpulan:
DORA hadir sebagai fondasi baru untuk memperkuat ketahanan digital sektor keuangan, mengantisipasi risiko teknologi yang tak hanya membahayakan perusahaan individual, tetapi juga stabilitas ekonomi regional.

 

“Forescout Platform untuk DORA”

Siapa Saja yang Terdampak DORA?

Menurut PWC, DORA (Digital Operational Resilience Act) berlaku untuk lebih dari 22.000 entitas keuangan dan penyedia layanan ICT yang beroperasi di dalam Uni Eropa, serta infrastruktur ICT yang mendukung mereka dari luar UE.

Berikut ini beberapa contoh perusahaan yang termasuk dalam cakupan DORA:

  • Institusi Kredit (Bank)
  • Lembaga Penyimpanan Sekuritas Pusat
  • Penyedia Layanan Pelaporan Data
  • Penyedia Layanan Crowdfunding
  • Institusi Pembayaran
  • Lembaga Kliring Sentral
  • Perusahaan Asuransi dan Reasuransi
  • Lembaga Repositori Sekuritisasi
  • Penyedia Layanan Informasi Rekening
  • Bursa Efek / Platform Perdagangan
  • Perantara Asuransi
  • Lembaga Keuangan Lainnya
  • Institusi Uang Elektronik
  • Repositori Perdagangan
  • Institusi Penyedia Pensiun Karyawan
  • Entitas Non-Keuangan: Penyedia Layanan ICT*
  • Perusahaan Investasi
  • Pengelola Dana Investasi Alternatif
  • Lembaga Pemeringkat Kredit
  • Penyedia Layanan Aset Kripto
  • Perusahaan Manajemen Investasi
  • Administrator Benchmark Kritis

* Penyedia Layanan ICT bisa meliputi: penyedia layanan internet, penyedia cloud, perusahaan telekomunikasi, penyedia teknologi outsourcing, dan lainnya.

Mengapa Penting untuk Bersiap Sejak Dini?

Mark Young, Senior Director di MorganFranklin, menjelaskan:

“Jika perusahaan belum mematuhi pedoman ketahanan operasional di AS, bisa jadi mereka sudah tertinggal. Misalnya, jika perusahaan belum memilih, mendefinisikan, dan memetakan layanan bisnis kritisnya, maka perusahaan mungkin tidak dapat melakukan pengujian end-to-end atas layanan tersebut di tahun 2024, yang merupakan syarat untuk menunjukkan kepatuhan DORA.”

Langkah Penting untuk Bersiap Menghadapi DORA:

  1. Identifikasi dan Pemetaan Layanan Kritis
  2. Tentukan Batas Toleransi Dampak
  3. Uji Toleransi (misalnya, pengujian penetrasi) dan Lakukan Simulasi Insiden dengan evaluasi hasilnya.

Langkah Utama Mematuhi DORA:

  1. Evaluasi Kebijakan, Prosedur, dan Kontrol terhadap peraturan DORA.
  2. Tinjau Kontrak dengan Pihak Ketiga untuk memastikan keselarasan dengan manajemen risiko dan ketahanan operasional.

 

Memahami Lapisan Insiden ICT menurut DORA

DORA membagi insiden ICT menjadi 3 lapisan untuk menentukan apakah insiden tersebut tergolong insiden besar:

  1. Lapisan 1: Apakah insiden berdampak pada layanan kritis?
  2. Lapisan 2: Apakah insiden disebabkan oleh peretasan atau aktivitas jahat?
  3. Lapisan 3: Apakah insiden berdampak pada minimal 2 dari 6 kriteria berikut?
    • Jumlah klien yang terdampak
    • Volume kehilangan data
    • Dampak reputasi
    • Durasi gangguan layanan
    • Cakupan wilayah geografis
    • Dampak ekonomi

 

Perbedaan Pendekatan UE, Inggris, dan AS terhadap Ketahanan Operasional

Sejak krisis keuangan 2008, ketahanan operasional menjadi fokus utama kepatuhan di AS.
Pengawasan terhadap risiko siber juga semakin ketat untuk semua perusahaan.

  • AS (Securities and Exchange Commission / SEC):
    Sejak 2023, perusahaan publik wajib melaporkan insiden siber yang dianggap material dalam waktu 4 hari kerja setelah dinilai berdampak pada investor. Banyak perusahaan masih kesulitan memenuhi tenggat ini di tahun 2024.
  • Perbankan dan Jasa Keuangan di AS:

Panduan “Sound Practices” mengarahkan perusahaan untuk mengikuti:

    • FFIEC Cybersecurity Assessment Tool
    • NIST Cybersecurity Framework
    • CIS Critical Security Controls
    • Financial Services Sector Coordinating Council Cybersecurity Profile
  • Aturan Pelaporan Insiden Keamanan Komputer (US):

Bank dan penyedia layanan utama harus segera memberi tahu regulator tentang insiden siber yang material seperti ransomware, malware, serangan DoS, atau peretasan lainnya.

Potensi Dampak Finansial dari DORA

Kepatuhan terhadap DORA memuat kewajiban ketat dalam pelaporan insiden dan denda:

  • Insiden serius harus dilaporkan dalam waktu 4 jam, dan paling lambat 24 jam setelah terdeteksi.
  • Laporan lanjutan harus disampaikan dalam 1 minggu setelah laporan awal.
  • Laporan akhir dengan analisis akar penyebab harus diserahkan dalam waktu maksimal 1 bulan.
  • Denda Pelanggaran:
    • Hingga 2% dari total pendapatan tahunan global perusahaan.
    • Atau 3x keuntungan yang diperoleh akibat pelanggaran aturan.

Framework DORA di UE ini berakar dari kerangka kerja Ketahanan Operasional Otoritas Regulasi Prudensial (PRA) di Inggris.  Detail lebih lanjut tentang implementasi DORA akan diumumkan oleh Otoritas Pengawas Eropa pada Juli 2024.

Kesimpulan: Tujuan Bersama Meski regulasi berbeda di tiap wilayah, UE, Inggris, dan AS memiliki tujuan yang sama—yaitu memastikan:

  • Ketahanan operasional yang lebih baik
  • Akuntabilitas yang lebih tinggi
  • Transparansi kepada publik dan investor

DORA menjadi tonggak penting dalam memperkuat resiliensi dunia keuangan di tengah ancaman digital yang terus meningkat.

Hubungi Forescout Indonesia untuk mengetahui lebih lanjut  tentang landscape keamanan yang terbaik untuk Perusahaan anda.