ISO / GMP / อย.

DORA คืออะไร? คู่มือ Digital Operational Resilience Act EU สำหรับ SME ไทย 2026

DORA (Regulation EU 2022/2554) มีผลบังคับใช้ 17 ม.ค. 2025 คู่มือฉบับ SME ไทยที่เป็น Vendor สถาบันการเงิน EU ครอบคลุม 5 เสาหลัก, Third-party Risk, Incident Reporting และ TLPT พร้อมแผนเตรียมความพร้อม 8 ขั้นตอน

AF
ADS FIT Team
·9 นาที
Share:
DORA คืออะไร? คู่มือ Digital Operational Resilience Act EU สำหรับ SME ไทย 2026

# DORA คืออะไร? คู่มือ Digital Operational Resilience Act สำหรับ SME ไทย 2026

Digital Operational Resilience Act (DORA) คือกฎหมายใหม่ของสหภาพยุโรปที่มีผลบังคับใช้เต็มรูปแบบตั้งแต่วันที่ 17 มกราคม 2025 ยกระดับมาตรฐานความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (ICT) ของสถาบันการเงินในยุโรป และส่งผลกระทบต่อผู้ให้บริการ ICT จากประเทศไทยที่มีลูกค้าหรือพันธมิตรทางธุรกิจในสหภาพยุโรป

หากธุรกิจของคุณให้บริการซอฟต์แวร์ Cloud, Data Analytics, Cybersecurity หรือ Managed Services แก่ธนาคาร บริษัทประกัน FinTech Crypto Exchange หรือผู้จัดการสินทรัพย์ที่อยู่ในเขต EU คุณอาจเข้าข่ายเป็น ICT Third-party Service Provider ตามนิยามของ DORA ซึ่งจะต้องปฏิบัติตามข้อกำหนดอันเข้มงวดไม่แพ้สถาบันการเงินเอง

บทความนี้จะสรุปภาพรวมของ DORA, 5 เสาหลักของกฎหมาย, ผลกระทบต่อ SME ไทย และ Roadmap การเตรียมความพร้อมอย่างเป็นระบบ พร้อมตารางเปรียบเทียบกับมาตรฐานอื่นเช่น NIS2 และ ISO 27001

DORA มีวัตถุประสงค์และขอบเขตอย่างไร

DORA (Regulation EU 2022/2554) ถูกออกแบบให้ครอบคลุมสถาบันการเงินกว่า 20 ประเภทในยุโรป ตั้งแต่ธนาคารใหญ่ e-Money Institution, Crypto-Asset Service Provider, Credit Rating Agency ไปจนถึง Trading Venue และ Insurance Intermediary วัตถุประสงค์หลักคือการรวมมาตรฐาน ICT Risk Management ของอุตสาหกรรมการเงินใน EU ให้เป็นหนึ่งเดียว หลังจากที่แต่ละประเทศมีกฎหมายแยกย่อย เช่น BaFin ของเยอรมนี, ACPR ของฝรั่งเศส

DORA ไม่ใช่แค่ Cybersecurity Framework แต่ยังครอบคลุม Operational Resilience อย่างเต็มรูปแบบ หมายถึงความสามารถในการป้องกัน ตรวจจับ ตอบสนอง กู้คืน และเรียนรู้จากเหตุการณ์ ICT ทุกประเภท ทั้ง Cyber Attack, Software Bug, Cloud Outage และ Supply Chain Failure

| หน่วยงานกำกับ | บทบาท |

|---------------|-------|

| EBA | European Banking Authority ออก RTS/ITS สำหรับธนาคาร |

| ESMA | European Securities and Markets Authority ครอบคลุมตลาดทุน |

| EIOPA | European Insurance and Occupational Pensions Authority |

| ECB | European Central Bank กำกับดูแล Significant Institutions |

5 เสาหลักของ DORA

DORA แบ่งข้อกำหนดออกเป็น 5 เสาหลัก (Pillars) ที่ SME ไทยต้องเข้าใจอย่างละเอียด

1. ICT Risk Management Framework

สถาบันการเงินต้องมี Framework ครบวงจร ประกอบด้วย Governance Policy, Risk Identification, Protection & Prevention, Detection, Response & Recovery, Learning & Evolving และ Communication อ้างอิงตาม RTS (Regulatory Technical Standards) ของ European Banking Authority โดย Board of Directors ต้องรับผิดชอบและอนุมัติ Framework เอง

2. ICT Incident Classification & Reporting

เหตุการณ์ ICT ที่เข้าเกณฑ์ Major ต้องรายงานต่อ National Competent Authority ภายในเวลาที่กำหนด Initial Report ใน 4 ชั่วโมง, Intermediate Report ใน 72 ชั่วโมง และ Final Report ใน 30 วัน ส่วน Significant Cyber Threat ก็สามารถรายงานแบบ Voluntary เพื่อให้ระบบการเงิน EU ป้องกันภัยคุกคามได้อย่างทันท่วงที

3. Digital Operational Resilience Testing

บริษัทในกลุ่ม Critical ต้องทดสอบระบบด้วย Threat-Led Penetration Testing (TLPT) ตามกรอบ TIBER-EU ทุก 3 ปี ขอบเขตครอบคลุม Critical Functions จริงใน Production และต้องได้รับการรับรองจาก Intelligence Provider ที่ได้ใบอนุญาต รายงานผลต้องส่งให้ Regulator ตรวจสอบ

4. Third-Party Risk Management

ข้อกำหนดที่ส่งผลกระทบโดยตรงต่อ SME ไทย ซึ่งมักเป็น Vendor ของสถาบันการเงิน EU ธนาคารต้องเก็บ Register of Information ของ ICT Third-party ทั้งหมด ประเมินความเสี่ยง Concentration และมี Exit Strategy หาก Vendor ล้มเหลว สัญญาต้องระบุสิทธิ Audit, Subcontracting Restrictions และ Business Continuity Commitments

5. Information Sharing Arrangements

สนับสนุนการแลกเปลี่ยน Cyber Threat Intelligence ระหว่างสถาบันการเงินอย่างเป็นทางการ ผ่าน Information Sharing and Analysis Centers (ISAC) เพื่อยกระดับ Collective Defense ของระบบการเงิน EU

ขั้นตอนการเตรียมความพร้อม DORA สำหรับ SME ไทย

SME ไทยที่เป็น Vendor ของสถาบันการเงิน EU ควรเริ่มต้นตามขั้นตอนต่อไปนี้

  • Step 1 ตรวจสอบสถานะ คุณถูกจัดเป็น Critical ICT Third-party Service Provider (CTPP) หรือไม่ ดูจากสัญญาและ DORA Addendum ที่ลูกค้าส่งมา
  • Step 2 จัดทำ Gap Analysis เทียบกับ 5 เสาหลัก โดยใช้ Checklist จาก EU Supervisory Authorities (ESA)
  • Step 3 ปรับปรุง ICT Risk Management Framework ให้สอดคล้องกับ RTS ล่าสุด
  • Step 4 สร้าง Incident Classification Matrix และทดสอบกระบวนการรายงานภายใน 4/72/30 ชั่วโมง
  • Step 5 จัดทำ Sub-outsourcing Register ครบถ้วน พร้อม Contingency Plan
  • Step 6 เตรียม DORA-ready Contract Clauses เพื่อยืนยันกับลูกค้า EU
  • Step 7 ดำเนินการ Tabletop Exercise และ TLPT อย่างน้อยปีละ 1 ครั้ง
  • Step 8 สื่อสารกับผู้บริหารระดับสูงและคณะกรรมการบริษัท ให้รับรู้และอนุมัติ Policy

    • ตารางเปรียบเทียบ DORA vs NIS2 vs ISO 27001

    | หัวข้อ | DORA | NIS2 | ISO 27001 |

    |--------|------|------|-----------|

    | ขอบเขต | ภาคการเงินใน EU | Essential & Important Entities | ทุกองค์กร |

    | เริ่มบังคับ | 17 ม.ค. 2025 | 17 ต.ค. 2024 | Voluntary Certification |

    | Incident Report | 4/72/30 ชั่วโมง | 24/72/30 ชั่วโมง | ไม่บังคับ |

    | Penetration Test | TLPT ทุก 3 ปี (Critical) | ตามความเหมาะสม | ตามแผน Audit |

    | Third-party Risk | เข้มงวด + Register | เข้มงวดระดับปานกลาง | Annex A.15 |

    | บทลงโทษสูงสุด | 2% Annual Turnover | 10M EUR หรือ 2% | ไม่มี |

    ผลกระทบต่อธุรกิจ SME ไทย

    ผู้ให้บริการ ICT ไทยจะได้รับผลกระทบหลากหลายรูปแบบ SaaS Vendor ที่ขายซอฟต์แวร์ให้ธนาคาร EU ต้องทำ Pooled Audit, Sub-outsourcing Notification และเปิดโอกาสให้ลูกค้าเข้า Audit ในที่ตั้งจริง Cybersecurity Consulting Firm ที่ให้บริการ Penetration Test ต้องขึ้นทะเบียนเป็น Approved Provider ของ TIBER-EU Cloud Reseller ที่ขาย AWS หรือ Azure ให้ FinTech EU ต้องแจ้ง Concentration Risk และประสาน Exit Plan กับ Hyperscaler

    การไม่ปฏิบัติตาม DORA อาจนำไปสู่การยกเลิกสัญญาโดยลูกค้า ซึ่งกระทบรายได้และชื่อเสียงของธุรกิจอย่างรุนแรง เพราะลูกค้า EU จะต้องเปลี่ยน Vendor ทันทีหากถูก Regulator ตรวจพบว่า Non-compliant

    สรุป

    DORA เป็นมาตรฐานใหม่ที่จะเปลี่ยนภูมิทัศน์ความปลอดภัยไซเบอร์ของอุตสาหกรรมการเงินอย่างถาวร SME ไทยที่ต้องการรักษาหรือขยายตลาด EU ต้องเร่งสร้าง Operational Resilience ตั้งแต่วันนี้ ตั้งแต่ ICT Risk Management, Incident Response, Third-party Management ไปจนถึง TLPT

    Takeaway สำคัญที่ควรจำไว้

  • DORA ไม่ใช่ทางเลือก แต่เป็นข้อบังคับสำหรับ Vendor ของสถาบันการเงิน EU
  • Third-Party Risk Management คือส่วนที่ SME ไทยต้องให้ความสำคัญเป็นอันดับแรก
  • การเตรียมความพร้อมต้องใช้เวลาอย่างน้อย 6-12 เดือน ไม่ควรรอจนลูกค้าขอ
  • เตรียม Documentation และ Evidence ให้ตรวจสอบได้ตลอดเวลา

    • หากองค์กรของคุณต้องการคำแนะนำในการทำ DORA Readiness Assessment, ปรับปรุง ICT Framework หรือจัดเตรียม Contract Clause ที่สอดคล้องกับ Regulation EU 2022/2554 ทีม ADS FIT มีประสบการณ์ช่วยธุรกิจไทยเชื่อมต่อกับลูกค้า EU อย่างมืออาชีพ [ติดต่อทีมงาน](https://www.adsfit.co.th/#contact) หรืออ่านบทความอื่นที่เกี่ยวข้อง เช่น ISO 22301 Business Continuity, NIS2 Directive และ ISO 27001 Implementation Guide

    Tags

    #DORA#Digital Operational Resilience#EU Regulation#ICT Risk#Compliance#Thailand

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🛡️

    PDPA DPA 2026: คู่มือ Data Processing Agreement สัญญาประมวลผลข้อมูลส่วนบุคคล SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 37001 คืออะไร? คู่มือ Anti-Bribery Management ธุรกิจไทย 2026

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 14001 Environmental Management System (EMS): คู่มือมาตรฐานสิ่งแวดล้อมสำหรับ SME ไทย 2026

    7 พฤษภาคม 2569 · 9 นาที