Pada 10 Februari 2026, Financial Services Agency (FSA) menerbitkan draf persyaratan keamanan siber baru yang bersifat wajib untuk bursa cryptocurrency. Pihak regulator berencana mewajibkan semua platform kripto domestik menjalani cybersecurity self‑assessment (CSSA) komprehensif sebagai respons terhadap meningkatnya insiden peretasan canggih dan pencurian aset digital. Aturan baru ini bisa mulai berlaku pada tahun fiskal 2026, sementara konsultasi publik atas draf akan berlangsung hingga 11 Maret 2026.

FSA mengakui bahwa model cold‑storage tidak lagi memadai untuk melindungi aset. Ancaman menjadi lebih kompleks dan serangan lebih canggih serta tidak langsung, termasuk pelanggaran lewat kontraktor dan skema social engineering. Jepang memperkuat pengawasan terhadap bursa crypto, bergeser dari pemeriksaan kepatuhan formal menuju fokus pada perlindungan sistemik. Setelah kejatuhan Mt. Gox pada 2014, negara ini menjadi yang pertama memperkenalkan lisensi exchange wajib di bawah Payment Services Act. Inisiatif saat ini merupakan fase regulasi berikutnya.

Kerangka baru ini membayangkan analisis kontinu terhadap risiko dan kerentanan. Exchanges akan diwajibkan menilai keamanan hot‑wallet dan cold‑wallet, sistem penyimpanan kunci (key‑storage), serta arsitektur jaringan; pelatihan staf dan langkah pencegahan terhadap phishing serta social engineering; standar keamanan untuk kontraktor dan penyedia layanan eksternal; rencana respons insiden dan prosedur pemulihan; serta perlindungan data pengguna sesuai Act on the Protection of Personal Information (APPI). FSA berencana melakukan pengujian penetrasi langsung pada sistem operator dan mungkin melibatkan peretas etis. Pendekatan ini sejalan dengan tren global: UE telah mengadopsi regulasi MiCA, dan Singapura memperketat persyaratan ketahanan operasional untuk perusahaan kripto.