Correct Article 25

(1) Pengujian keamanan siber berdasarkan skenario sebagaimana dimaksud dalam Pasal 23 huruf b wajib dilaksanakan paling sedikit 1 (satu) kali dalam 1 (satu) tahun. (2) Pengujian keamanan siber berdasarkan skenario sebagaimana dimaksud pada ayat (1) paling sedikit mencakup: a. penetapan tujuan, cakupan, dan skenario pengujian; b. pelaksanaan pengujian; c. evaluasi hasil pengujian; dan d. penilaian terhadap efektivitas upaya mitigasi, respon, dan tindakan pemulihan Bank terhadap serangan siber. (3) Bank wajib menyampaikan laporan hasil pengujian keamanan siber berdasarkan skenario sebagaimana dimaksud pada ayat (1) kepada Otoritas Jasa Keuangan paling lama 10 (sepuluh) hari kerja setelah pengujian keamanan siber selesai dilaksanakan. (4) Laporan hasil pengujian keamanan siber sebagaimana dimaksud pada ayat (3) paling sedikit mencakup: a. ringkasan pelaksanaan pengujian; b. pelajaran terpetik atau hasil observasi dari hasil pengujian; dan c. rencana atau perbaikan yang telah dilakukan.