Bank-Bank Eropa Melaporkan 3.383 Insiden ICT di Bawah DORA pada 2025

Institusi keuangan Eropa melaporkan 3.383 insiden besar terkait TIK selama 2025 berdasarkan Digital Operational Resilience Act (DORA), menurut laporan bersama dari European Banking Authority, European Securities and Markets Authority, dan European Insurance and Occupational Pensions Authority. Temuan tersebut merupakan salah satu dari kumpulan data skala besar pertama yang menunjukkan bagaimana gangguan operasional, kegagalan sistem, dan insiden siber menyebar di seluruh sektor keuangan Eropa di bawah kerangka pelaporan DORA yang baru. Regulator menyatakan data tersebut mengungkap sistem keuangan yang kian bergantung pada infrastruktur bersama, penyedia teknologi eksternal, dan layanan digital yang saling terhubung, dengan DORA yang mulai berlaku pada Januari 2025 untuk memperkenalkan kewajiban pelaporan risiko TIK yang selaras di seluruh sistem keuangan Eropa.

Lembaga Kredit Menyumbang Lebih dari 60% Insiden TIK yang Dilaporkan

Lembaga kredit menyumbang lebih dari 60% dari seluruh insiden yang dilaporkan, sementara perusahaan pembayaran mewakili 16% lainnya. Regulator menyatakan konsentrasi ini tidak selalu menunjukkan kelemahan struktural pada perbankan atau pembayaran, melainkan mencerminkan sifat sektor-sektor tersebut yang sangat digital dan berorientasi pada pelanggan, di samping kewajiban pelaporan yang sudah ada sebelumnya di bawah PSD2.

Sepertiga Insiden Menyebar ke Luar Negara Asal

Data menunjukkan gangguan operasional kini semakin lintas negara. Sekitar sepertiga insiden menyebar ke luar negara tempat insiden tersebut bermula, sementara sekitar 8% berdampak pada lebih dari 10 negara secara bersamaan. Regulator mengaitkan tren ini dengan meningkatnya ketergantungan pada penyedia teknologi bersama, infrastruktur umum, dan model bisnis multinasional. Laporan ini hadir saat regulator Eropa memperketat pengawasan ketahanan operasional setelah beberapa gangguan berprofil tinggi selama dua tahun terakhir di bidang pembayaran, infrastruktur perdagangan, dan sistem perbankan.

Kegagalan Sistem Mewakili 51% dari Semua Kasus yang Dilaporkan

Kegagalan sistem menjadi kategori insiden terbesar, menyumbang 51% dari seluruh kasus yang dilaporkan. Peristiwa eksternal mewakili 27% lainnya, sementara insiden terkait pembayaran mencapai 18%. Insiden terkait keamanan siber menyumbang 10% dari total. Regulator menyatakan porsi insiden keamanan siber yang relatif rendah dapat mengindikasikan bahwa perlindungan yang ada dan sistem deteksi membatasi serangan yang berhasil. Pada saat yang sama, laporan memperingatkan bahwa alat siber berbasis AI yang makin canggih dapat mengubah lanskap ancaman dalam beberapa tahun mendatang.

Di antara insiden siber, serangan Distributed Denial of Service (DDoS) menyumbang 33% dari peristiwa yang dilaporkan, sedangkan eksfiltrasi dan manipulasi data menyumbang 31%. Lembaga kredit mengalami konsentrasi serangan tertinggi tersebut karena perannya dalam pembayaran, perbankan digital, serta pemrosesan data pelanggan skala besar.

Kegagalan Penyedia Pihak Ketiga Berasal dari 29% Insiden Besar

Hampir 29% insiden besar berasal dari kegagalan yang melibatkan penyedia pihak ketiga, termasuk vendor TIK, operator infrastruktur, dan penyedia layanan yang dialihdayakan. Regulator menyatakan temuan ini menegaskan bahwa kegagalan operasional pada satu penyedia dapat dengan cepat merambat ke banyak lembaga keuangan dan yurisdiksi. Laporan tersebut mencatat banyak lembaga keuangan bergantung pada infrastruktur bersama untuk layanan pembayaran, perbankan inti, dan konektivitas. Dalam beberapa kasus, satu kali gangguan menghasilkan puluhan laporan insiden terpisah karena banyak lembaga bergantung pada penyedia yang sama.

Gangguan TARGET2 dan Blackout Iberia Mengacaukan Operasi pada 2025

Gangguan operasional selama 2025 mencakup beberapa peristiwa berskala besar yang berkontribusi pada lonjakan volume pelaporan. Laporan tersebut secara khusus menyinggung gangguan TARGET2 pada Februari 2025, yang mengganggu penyelesaian efek dan pemrosesan pembayaran selama beberapa jam, serta blackout di Semenanjung Iberia pada April 2025, yang memengaruhi operasi di banyak sektor.

Dua Pertiga Insiden Menyebabkan Gangguan Terbatas bagi Pelanggan

Meskipun jumlah insiden, regulator menyatakan sebagian besar gangguan menimbulkan dampak lanjutan yang terbatas. Sekitar dua pertiga insiden tidak menimbulkan gangguan bagi pelanggan dan transaksi atau hanya memengaruhi kurang dari 1.000 klien atau transaksi. Hanya 1% insiden memengaruhi lebih dari satu juta transaksi. Laporan tersebut menyatakan deteksi cepat dan langkah penahanan memainkan peran sentral dalam membatasi efek lanjutan. Lembaga umumnya menstabilkan insiden melalui intervensi teknis segera sebelum menerapkan langkah remediasi jangka panjang seperti peningkatan pemantauan, perbaikan pengujian, dan perubahan konfigurasi sistem.

Pihak lawan keuangan juga tampak relatif terlindungi dari sebagian besar insiden. Kurang dari 18% insiden memengaruhi lembaga keuangan lain, meskipun meningkatnya keterhubungan sistem keuangan Eropa. Regulator mengaitkannya sebagian dengan perlindungan yang sudah diterapkan di seluruh lembaga dan operator infrastruktur.

Regulator Mengidentifikasi Ketidakkonsistenan Pelaporan pada Tahun Pertama DORA

Laporan tersebut menyoroti ketidakkonsistenan dalam praktik pelaporan lintas sektor dan yurisdiksi selama tahun pertama penerapan DORA. Sekitar 15% insiden yang diberitahukan selama 2025 dikeluarkan dari analisis karena laporan final belum diserahkan sebelum batas waktu Februari 2026. Sementara itu, sekitar 93% dari pengajuan lulus pemeriksaan kualitas dan masuk ke basis data final. ESAs menyatakan koordinasi supervisi lanjutan dan standarisasi pelaporan akan tetap menjadi prioritas saat implementasi DORA matang. Regulator berencana untuk terus menyempurnakan analisis insiden dan meningkatkan keterbandingan data di seluruh sistem keuangan Eropa.

Temuan ini hadir saat ketahanan operasional menjadi salah satu tema regulasi yang menentukan di pasar keuangan global. Dalam dua tahun terakhir, regulator di Eropa, Inggris, dan AS semakin mengalihkan fokus ke risiko konsentrasi infrastruktur, ketergantungan pada cloud, ketahanan siber, serta tata kelola teknologi. Lembaga keuangan besar kini beroperasi dalam lingkungan di mana gangguan dapat menyebar dengan cepat lintas batas, pihak lawan, dan sistem pembayaran dalam hitungan menit. Kumpulan data DORA menunjukkan bahwa regulator Eropa semakin memandang ketahanan operasional bukan sebagai isu keamanan siber yang sempit, melainkan sebagai tantangan stabilitas sistemik yang lebih luas yang terkait dengan desain infrastruktur, konsentrasi outsourcing, dan saling ketergantungan digital.

Laporan ini juga menggambarkan bagaimana risiko operasional berkembang seiring modernisasi layanan keuangan. Perbankan seluler, pembayaran instan, perdagangan algoritmik, aset digital, dan keuangan tertanam terus meningkatkan volume transaksi dan kompleksitas infrastruktur di seluruh industri. Pertumbuhan ini meningkatkan probabilitas bahwa gangguan operasional akan terjadi bahkan ketika lembaga mempertahankan standar keamanan siber yang kuat. Bagi perusahaan keuangan, temuan ini dapat menambah tekanan untuk memperkuat pengawasan pihak ketiga, mendiversifikasi penyedia layanan kritis, dan meningkatkan kemampuan penahanan insiden. Bagi regulator, laporan ini menyediakan tolok ukur awal untuk mengukur bagaimana sektor keuangan Eropa beradaptasi terhadap kerangka ketahanan operasional DORA selama beberapa tahun mendatang.

FAQ

Apa yang dilaporkan institusi keuangan Eropa di bawah DORA pada 2025? Institusi keuangan Eropa melaporkan 3.383 insiden besar terkait TIK selama 2025 di bawah Digital Operational Resilience Act, menurut laporan bersama dari European Banking Authority, European Securities and Markets Authority, dan European Insurance and Occupational Pensions Authority.

Berapa persentase insiden TIK yang berasal dari kegagalan penyedia pihak ketiga? Hampir 29% insiden besar berasal dari kegagalan yang melibatkan penyedia pihak ketiga, termasuk vendor TIK, operator infrastruktur, dan penyedia layanan yang dialihdayakan, menurut laporan para regulator.

Gangguan operasional besar apa yang terjadi di Eropa selama 2025? Laporan tersebut secara khusus menyinggung gangguan TARGET2 pada Februari 2025, yang mengganggu penyelesaian efek dan pemrosesan pembayaran selama beberapa jam, serta blackout di Semenanjung Iberia pada April 2025, yang memengaruhi operasi di banyak sektor.