ISO / GMP / อย.

DORA คืออะไร? คู่มือ Digital Operational Resilience Act สำหรับ FinTech ส่งออก EU ไทย 2026

DORA คือกฎหมาย EU ที่บังคับใช้ 17 ม.ค. 2025 กำหนดให้ FinTech และ ICT providers ต้องมี Operational Resilience คู่มือนี้อธิบายข้อกำหนดหลัก 5 ด้าน พร้อมวิธีเตรียมตัวสำหรับผู้ส่งออก EU จากไทย

AF
ADS FIT Team
·8 นาที
Share:
DORA คืออะไร? คู่มือ Digital Operational Resilience Act สำหรับ FinTech ส่งออก EU ไทย 2026

# DORA คืออะไร? คู่มือ Digital Operational Resilience Act สำหรับ FinTech ส่งออก EU ไทย 2026

ถ้าธุรกิจของคุณให้บริการทางการเงินหรือเทคโนโลยีที่เกี่ยวข้องกับลูกค้าในยุโรป ปี 2026 เป็นปีที่ต้อง "ผ่าน DORA ให้ได้" ไม่เช่นนั้นอาจถูกสั่งระงับการให้บริการ คณะกรรมาธิการยุโรปบังคับใช้ Digital Operational Resilience Act (DORA) ตั้งแต่ 17 มกราคม 2025 และปี 2026 เป็นช่วงที่หน่วยงานกำกับเริ่มตรวจสอบอย่างจริงจัง

DORA คือกฎหมายที่ออกแบบมาเพื่อให้ภาคการเงินของยุโรปสามารถทนทานต่อการโจมตีทางไซเบอร์และความเสียหายระบบ ICT ได้ ขอบเขตครอบคลุม Bank, Insurance, Payment Service, Crypto Exchange รวมถึง ICT Third-Party Provider ที่ให้บริการกับองค์กรเหล่านี้ — และนี่คือจุดที่ SME ไทยหลายรายโดนเต็มๆ

บทความนี้จะสรุปข้อกำหนดหลัก 5 ด้าน พร้อมแผนการเตรียมตัวที่ใช้ได้จริงสำหรับผู้ส่งออก EU จากประเทศไทยในปี 2026

DORA คืออะไร และใครต้องปฏิบัติ

DORA (Regulation EU 2022/2554) เป็นกฎหมายที่ออกแบบมาเพื่อ harmonize กฎระเบียบด้าน ICT risk ของภาคการเงินทั่วยุโรป โดยแทนที่ระเบียบกระจัดกระจายของแต่ละประเทศสมาชิก EU ด้วยมาตรฐานเดียวที่เข้มงวดกว่า

ประเภทองค์กรที่อยู่ภายใต้ DORA:

  • **Credit Institutions**: ธนาคาร บริษัทปล่อยสินเชื่อ
  • **Payment Service Providers**: e-Wallet, ระบบโอนเงิน
  • **Crypto-Asset Service Providers (CASP)**: ภายใต้ MiCA
  • **Investment Firms, Insurance, Reinsurance**
  • **Trading Venues, Central Counterparties**
  • **ICT Third-Party Service Providers** — รวมถึง Critical ICT TPP ที่ EBA/EIOPA กำหนดโดยตรง

    • สำหรับบริษัทไทย DORA จะเกี่ยวข้องเมื่อคุณให้บริการ SaaS, Cloud, AI, Data Analytics แก่สถาบันการเงินในยุโรป หรือเมื่อคุณเป็น Thai FinTech ที่มี EU clients แม้ไม่ได้จดทะเบียนในยุโรปก็ตาม — หน่วยงานกำกับในยุโรปสามารถสั่งลูกค้า EU ให้หยุดใช้บริการคุณได้

    5 Pillars ของ DORA

    DORA แบ่งข้อกำหนดเป็น 5 เสาหลักที่ทุกองค์กรต้องปฏิบัติตาม

    | Pillar | สาระสำคัญ | ตัวอย่างงานที่ต้องทำ |

    |--------|-----------|----------------------|

    | 1. ICT Risk Management | กรอบบริหารความเสี่ยง ICT | จัดทำ ICT Risk Framework, Business Impact Analysis |

    | 2. ICT Incident Reporting | รายงาน Major Incident ภายใน 4 ชั่วโมง | Incident Classification Matrix, Reporting Playbook |

    | 3. Digital Operational Resilience Testing | ทดสอบระบบด้วย TLPT อย่างน้อยทุก 3 ปี | Penetration Test, Red Team Exercise |

    | 4. ICT Third-Party Risk | บริหารความเสี่ยง vendor และ sub-contractor | Register of Information, Contract Review |

    | 5. Information Sharing | แลกเปลี่ยนข้อมูล Cyber Threat | เข้าร่วม ISAC, ใช้ STIX/TAXII |

    ทั้ง 5 เสาต้อง integrate กัน ไม่สามารถเลือกทำเฉพาะบางข้อได้ และต้องส่งเอกสาร Register of Information (RoI) ให้หน่วยงานกำกับทุกปี

    ข้อกำหนดสำคัญที่ SME ไทยมักมองข้าม

    จากการตรวจสอบจริงในปี 2025 พบว่าบริษัทไทยที่ให้บริการ EU financial clients มักสะดุดกับ 5 จุดนี้

  • **Register of Information (RoI)**: ต้องทำรายการบริการ ICT ทั้งหมดที่ให้กับ financial entity พร้อมข้อมูลละเอียด เช่น criticality, substitutability, sub-contractor chain
  • **Threat-Led Penetration Testing (TLPT)**: องค์กรขนาดใหญ่ต้องทดสอบแบบ Red Team ตาม TIBER-EU framework
  • **Exit Strategy**: ต้องมีแผน exit plan สำหรับ third-party service ที่ทดสอบจริงอย่างน้อยทุก 2 ปี
  • **Contract Requirements**: สัญญาต้องมี clause เฉพาะ เช่น audit rights, data access, termination
  • **Sub-outsourcing**: ต้องแจ้ง financial entity ก่อนเปลี่ยน sub-contractor และให้สิทธิยับยั้ง

    • หลาย SME ไทยคิดว่า ISO 27001 เพียงพอ แต่ DORA ครอบคลุมลึกกว่ามาก โดยเฉพาะเรื่อง operational resilience testing และ third-party chain monitoring

    แผน 6 เดือนสู่ DORA Compliance

    ถ้าคุณเพิ่งเริ่มต้น นี่คือ roadmap ที่ทดสอบแล้วว่าใช้ได้จริง

  • เดือน 1: Gap Analysis — เทียบมาตรฐานปัจจุบัน (ISO 27001, SOC 2) กับ DORA 5 Pillars ระบุช่องว่าง
  • เดือน 2: Governance & Policy — ตั้ง ICT Risk Committee, เขียน policy หลัก 8-12 ฉบับ
  • เดือน 3: Asset & Vendor Mapping — ทำ Register of Information, จัดระดับ criticality
  • เดือน 4: Incident Management — ติดตั้ง SIEM/SOAR, ฝึก IR team, ซ้อม playbook
  • เดือน 5: Resilience Testing — Penetration Test, DR drill, recovery time validation
  • เดือน 6: Audit & Certification — Internal audit, remediation, external assurance

    • องค์กรที่ scale ใหญ่ควรเตรียม budget €200,000-€500,000 สำหรับโปรเจ็กต์แรก ส่วน SME ขนาดกลางสามารถทำได้ในงบ €50,000-€150,000 โดยใช้ outsource expertise

    DORA vs NIS2 vs ISO 27001 — ใช้ร่วมกันอย่างไร

    หลายคนสับสนว่าต้องเลือกกฎหมายไหน จริงๆ แล้วทั้งสามมัก complement กัน

    | ด้าน | DORA | NIS2 | ISO 27001 |

    |------|------|------|-----------|

    | Scope | Financial Sector only | Essential + Important | Any organization |

    | บังคับใช้ | 17 ม.ค. 2025 | 18 ต.ค. 2024 | Voluntary |

    | ICT Third-Party Focus | สูงมาก | ปานกลาง | ต่ำ |

    | Incident Reporting | 4 ชม. + 72 ชม. + 1 เดือน | 24 ชม. + 72 ชม. + 1 เดือน | ไม่บังคับ |

    | Testing Requirement | TLPT บังคับ | Recommended | ขึ้นกับ scope |

    | ปรับ (Penalty) | 1% ของรายได้ต่อวัน | 2% ของรายได้ | ไม่มี |

    สำหรับบริษัทไทยส่วนใหญ่ แนะนำเริ่มจาก ISO 27001 เป็น base จากนั้น overlay DORA requirements สำหรับ financial clients และ NIS2 สำหรับ essential service providers

    ความเสี่ยงและโทษ

    การไม่ปฏิบัติตาม DORA มีผลหนักกว่าที่คิด

  • **Administrative fines**: สูงสุด 1% ของรายได้เฉลี่ยรายวัน (daily) จนกว่าจะแก้ไข
  • **Criminal penalties**: ในบางประเทศสมาชิก EU รวมถึง personal liability ของ management
  • **Business Suspension**: หน่วยงานกำกับสามารถสั่งให้ financial entity หยุดใช้บริการของ ICT TPP ได้
  • **Public Disclosure**: ชื่อบริษัทที่ไม่ปฏิบัติตามจะถูกเปิดเผย ทำลาย reputation
  • **Contract Termination**: financial clients ต้องบังคับยุติสัญญาหากพบไม่ compliant

    • สรุปและขั้นตอนถัดไป

    DORA ไม่ใช่กฎหมาย compliance ธรรมดา แต่เป็น strategic imperative สำหรับทุกองค์กรที่แตะวงการการเงินยุโรป 5 Pillars — ICT Risk, Incident Reporting, Resilience Testing, Third-Party Risk, Information Sharing — ต้องถูก integrate เข้า operation ประจำวัน ไม่ใช่เอกสารที่วางไว้บนชั้น

    สิ่งที่ควรทำทันทีในปี 2026:

  • ตรวจสอบว่าองค์กรหรือลูกค้าของคุณอยู่ภายใต้ DORA หรือไม่
  • ทำ Gap Analysis เทียบกับมาตรฐานปัจจุบัน
  • วางแผนเอกสาร Register of Information ภายในไตรมาส 1
  • ประเมินสัญญา vendor และปรับปรุง clause ที่จำเป็น
  • ฝึกอบรมทีม incident response ให้รายงานได้ภายใน 4 ชั่วโมง

    • สนใจให้ ADS FIT ช่วยทำ DORA Gap Analysis, ติดตั้งระบบ ICT Risk Management หรือออกแบบ Register of Information ที่ใช้งานได้จริง? ติดต่อทีมที่ปรึกษาด้าน Compliance ของเราได้ทันที หรืออ่านบทความเพิ่มเติมเกี่ยวกับ NIS2, ISO 27001, และ Cyber Resilience Act ในหมวด Compliance ของบล็อกเรา

    Tags

    #DORA#EU Regulation#FinTech#Compliance#Cybersecurity#ICT Risk

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🛡️

    PDPA DPA 2026: คู่มือ Data Processing Agreement สัญญาประมวลผลข้อมูลส่วนบุคคล SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 37001 คืออะไร? คู่มือ Anti-Bribery Management ธุรกิจไทย 2026

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 14001 Environmental Management System (EMS): คู่มือมาตรฐานสิ่งแวดล้อมสำหรับ SME ไทย 2026

    7 พฤษภาคม 2569 · 9 นาที