Apa itu DORA?
Digital Operational Resilience Act — dikenal sebagai DORA — adalah Peraturan (EU) 2022/2554, yang diadopsi oleh Parlemen Eropa dan Dewan pada tanggal 14 Desember 2022. UE menerbitkannya di Jurnal Resmi pada tanggal 27 Desember 2022. Peraturan ini mulai berlaku pada tanggal 16 Januari 2023 dan sepenuhnya berlaku pada tanggal 17 Januari 2025.
DORA mengatasi kesenjangan spesifik dalam regulasi keuangan UE. Sebelum DORA, lembaga keuangan mengelola risiko operasional terutama dengan menyisihkan modal. Namun, pendekatan tersebut tidak cukup mencakup gangguan terkait TIK, yang dapat memengaruhi banyak lembaga secara bersamaan ketika penyedia teknologi bersama mengalami kegagalan. Oleh karena itu, DORA memperkenalkan kerangka kerja yang seragam di seluruh UE untuk manajemen risiko TIK, pelaporan insiden, pengujian ketahanan operasional, dan pengawasan penyedia teknologi pihak ketiga.
Siapa yang Wajib Mematuhi DORA?
DORA berlaku untuk dua kelompok utama organisasi yang terlibat dalam layanan teknologi informasi dan komunikasi (TIK) di sektor keuangan.
Kelompok pertama adalah entitas keuangan. Ini termasuk lembaga kredit, lembaga pembayaran, lembaga uang elektronik, perusahaan investasi, perusahaan asuransi dan reasuransi, penyedia layanan aset kripto, penyimpanan sekuritas pusat, rekanan pusat, dan tempat perdagangan, di antara lainnya yang tercantum dalam Pasal 2 peraturan tersebut.
Kelompok kedua adalah penyedia layanan pihak ketiga TIK — perusahaan yang menyediakan layanan teknologi kepada entitas keuangan. Kelompok ini mencakup penyedia komputasi awan, pengembang perangkat lunak, perusahaan analisis data, perusahaan keamanan siber, penyedia pusat data, dan penyedia lainnya yang layanannya mendukung operasi lembaga keuangan yang diatur.
Yang penting, DORA juga mencakup penyedia TIK yang berbasis di luar UE. Jika perusahaan teknologi di Amerika Serikat, Inggris Raya, atau Asia menyediakan layanan kepada lembaga keuangan yang diatur UE, DORA berlaku untuk hubungan tersebut.
Persyaratan LEI Berdasarkan DORA
DORA mewajibkan entitas keuangan untuk memelihara Daftar Informasi yang terperinci yang mencakup semua penyedia layanan pihak ketiga TIK mereka. Peraturan Pelaksana Komisi (EU) 2024/2956, yang diterbitkan pada tanggal 2 Desember 2024, menetapkan templat standar untuk daftar ini.
Pasal 3(5) dari peraturan pelaksana tersebut secara langsung menyatakan:
“Entitas keuangan harus menggunakan pengidentifikasi entitas hukum (LEI) yang valid dan aktif atau Pengidentifikasi Unik Eropa yang disebut dalam Pasal 16 Arahan (EU) 2017/1132 (‘EUID’), dan jika tersedia kedua pengidentifikasi ini, untuk mengidentifikasi semua penyedia layanan pihak ketiga TIK mereka yang merupakan badan hukum, kecuali untuk individu yang bertindak dalam kapasitas bisnis.”
Dengan kata lain, setiap penyedia pihak ketiga TIK yang merupakan badan hukum harus dapat diidentifikasi menggunakan LEI yang valid dan aktif atau EUID. Keduanya harus terkini. LEI yang kedaluwarsa atau tidak aktif tidak memenuhi persyaratan ini.
LEI atau EUID — Mana yang Berlaku untuk Anda?
Kedua pengidentifikasi ini memenuhi persyaratan DORA, tetapi mencakup situasi yang berbeda. Memahami perbedaannya membantu Anda memilih dengan benar.
LEI (Legal Entity Identifier) adalah kode alfanumerik 20 karakter yang diakui secara global berdasarkan standar ISO 17442. Global Legal Entity Identifier Foundation (GLEIF) mengatur Sistem LEI Global dan membuat semua data LEI tersedia untuk umum di Indeks LEI Global. LEI mencakup entitas hukum di lebih dari 200 yurisdiksi dan juga mencakup data kepemilikan dan kontrol.
EUID (European Unique Identifier) terhubung ke Sistem Interkoneksi Daftar Bisnis (BRIS) UE. Karena terhubung secara eksklusif ke daftar nasional UE, EUID hanya mencakup entitas yang terdaftar di Negara Anggota UE.
Di sini, peraturan pelaksana membuat perbedaan penting: Penyedia TIK yang didirikan di luar UE harus diidentifikasi hanya menggunakan LEI. EUID tidak tersedia untuk entitas non-UE. Akibatnya, LEI adalah satu-satunya pengidentifikasi yang valid untuk penyedia mana pun yang beroperasi dari luar UE.
Untuk penyedia yang berbasis di UE, salah satu pengidentifikasi dapat digunakan. Namun, untuk operasi global atau penyedia dengan eksposur non-UE, LEI adalah pilihan yang lebih kuat karena pengakuan internasional dan cakupan data yang lebih luas.
Apa Arti “Valid dan Aktif” dalam Praktik
Peraturan pelaksana secara khusus mensyaratkan LEI yang valid dan aktif. Ini mengacu pada status yang muncul di basis data global GLEIF.
LEI yang menunjukkan status “Issued” adalah valid dan aktif, dan oleh karena itu memenuhi DORA. LEI yang menunjukkan “Lapsed” telah kedaluwarsa, dan akibatnya tidak memenuhi persyaratan. Entitas keuangan tidak dapat mencatat LEI yang kedaluwarsa sebagai pengidentifikasi yang sesuai dalam Daftar Informasi mereka.
LEI tetap berlaku selama satu tahun sejak tanggal penerbitan atau pembaruan terakhir. Setelah itu, pemilik harus memperbaruinya untuk mempertahankan status aktif. Selama pembaruan, organisasi penerbit memverifikasi ulang data referensi entitas — termasuk nama hukum, alamat terdaftar, dan struktur kepemilikan — terhadap sumber daftar resmi. Proses ini memastikan bahwa data dalam basis data LEI global tetap akurat dan terkini.
Anda dapat memeriksa status LEI apa pun menggunakan alat pencarian LEI GLEIF atau melalui pencarian Sistem LEI.
Mengapa LEI Adalah Standar Praktis untuk Kepatuhan DORA
Regulator DORA memilih LEI karena memecahkan masalah yang tidak dapat dipecahkan oleh pengidentifikasi nasional mana pun: identifikasi entitas hukum yang konsisten dan lintas batas dalam satu format yang diakui secara global.
Nomor pendaftaran perusahaan nasional sangat bervariasi antar negara, tidak selalu dapat dibaca mesin, dan sama sekali tidak mencakup entitas non-UE. LEI, sebaliknya, menyediakan satu kode yang konsisten untuk setiap entitas hukum, terlepas dari tempat didirikannya. Selain itu, karena data LEI tersedia untuk umum dan dapat diverifikasi, lembaga keuangan dapat memeriksa detail penyedia secara instan tanpa meminta dokumen.
Bagi lembaga keuangan yang mengelola banyak pemasok TIK di berbagai negara, standardisasi ini secara signifikan mengurangi kompleksitas administratif kepatuhan DORA. Pencarian LEI tunggal memberikan informasi terverifikasi tentang nama hukum penyedia, detail pendaftaran, dan struktur kepemilikan — yang semuanya relevan langsung dengan kewajiban manajemen risiko pihak ketiga DORA.
Bagi penyedia TIK, memiliki LEI yang valid memudahkan klien lembaga keuangan untuk memasukkan mereka dengan benar dalam daftar DORA mereka. Penyedia tanpa LEI yang valid, di sisi lain, menciptakan celah kepatuhan bagi klien mereka dan oleh karena itu berisiko merusak hubungan bisnis. GLEIF memberikan konteks lebih lanjut tentang bagaimana LEI mendukung hal ini dalam ikhtisar penggunaan regulasi LEI.
Apa yang Harus Dilakukan Penyedia TIK Sekarang
Periksa apakah Anda memiliki LEI yang valid. Jika Anda menyediakan layanan TIK kepada lembaga keuangan yang diatur UE, klien Anda harus mengidentifikasi Anda dalam Daftar Informasi DORA mereka. Hubungi mereka untuk mengonfirmasi apakah mereka telah mencatat LEI Anda dan apakah saat ini aktif.
Daftarkan LEI jika Anda belum memilikinya. Prosesnya sepenuhnya digital dan selesai dalam waktu 24 jam untuk sebagian besar yurisdiksi. Anda perlu memberikan nama hukum perusahaan Anda, alamat terdaftar, dan nomor pendaftaran. Dalam kebanyakan kasus, sistem memverifikasi data ini secara otomatis terhadap daftar bisnis resmi. Sistem LEI adalah Agen Pendaftaran GLEIF terakreditasi. Anda dapat memulai pendaftaran LEI Anda hari ini.
Perbarui LEI Anda jika telah kedaluwarsa. LEI yang kedaluwarsa harus diperbarui sebelum klien Anda dapat menggunakannya dalam daftar DORA. Pembaruan mengembalikan status “Issued” dan memvalidasi ulang data referensi perusahaan Anda. Anda dapat memperbarui LEI Anda dengan cepat melalui Sistem LEI.
Jaga agar data LEI Anda tetap terkini. Jika nama perusahaan, alamat terdaftar, atau struktur kepemilikan Anda telah berubah, perbarui data referensi LEI Anda sesuai. Data LEI yang kedaluwarsa menciptakan komplikasi kepatuhan bagi klien lembaga keuangan Anda ketika mereka menyerahkan daftar mereka kepada otoritas nasional.
DORA dalam Konteks Regulasi UE yang Lebih Luas
DORA tidak beroperasi secara terpisah. Ini berdampingan dengan regulasi UE lainnya yang juga menggunakan LEI sebagai pengidentifikasi standar untuk entitas hukum, termasuk pelaporan transaksi MiFID II, pelaporan derivatif EMIR, dan Peraturan Pembayaran Instan UE. Bagi entitas keuangan yang sudah menggunakan LEI untuk pelaporan transaksi, DORA oleh karena itu menambahkan dimensi lebih lanjut daripada sistem yang sama sekali baru.
Selain itu, DORA terhubung langsung dengan Arahan NIS2 (Arahan (EU) 2022/2555) tentang keamanan siber. DORA berfungsi sebagai tindakan khusus sektor di bawah NIS2 untuk entitas keuangan. Anda dapat membaca lebih lanjut tentang NIS2 dan LEI di artikel NIS2 dan LEI di situs ini. Untuk gambaran umum yang lebih luas tentang bagaimana LEI beroperasi di seluruh regulasi keuangan UE, lihat Cara Kerja LEI dalam Praktik di UE.
DORA dan LEI — Fakta Kunci Sekilas
Apa itu DORA? Peraturan (EU) 2022/2554 tentang ketahanan operasional digital untuk sektor keuangan.
Kapan DORA mulai berlaku? 17 Januari 2025.
Siapa yang wajib mematuhi? Entitas keuangan UE dan penyedia layanan pihak ketiga TIK mereka, termasuk penyedia non-UE yang melayani lembaga keuangan UE.
Apa yang disyaratkan DORA untuk identifikasi penyedia TIK? LEI atau EUID yang valid dan aktif, sebagaimana ditentukan dalam Peraturan Pelaksana Komisi (EU) 2024/2956.
Pengidentifikasi mana yang berlaku untuk penyedia TIK non-UE? Hanya LEI. EUID hanya mencakup entitas yang terdaftar di UE.
Status LEI mana yang memenuhi DORA? Hanya “Issued”. LEI “Lapsed” tidak memenuhi persyaratan.
Di mana saya dapat mendaftar atau memperbarui LEI? Melalui Agen Pendaftaran GLEIF terakreditasi seperti Sistem LEI.