ISO / GMP / อย.

DORA คืออะไร? คู่มือ Digital Operational Resilience Act สำหรับธุรกิจการเงินไทย 2026

เรียนรู้ทุกอย่างเกี่ยวกับ DORA (Digital Operational Resilience Act) กฎระเบียบของสหภาพยุโรปที่กำหนดมาตรฐานความทนทานด้านดิจิทัลสำหรับสถาบันการเงิน พร้อมแนวทางการเตรียมตัวสำหรับธุรกิจไทย

AF
ADS FIT Team
·8 นาที
Share:
DORA คืออะไร? คู่มือ Digital Operational Resilience Act สำหรับธุรกิจการเงินไทย 2026

# DORA คืออะไร? คู่มือ Digital Operational Resilience Act สำหรับธุรกิจการเงินไทย 2026

ในยุคที่ธุรกิจการเงินพึ่งพาเทคโนโลยีดิจิทัลมากขึ้นเรื่อยๆ ความเสี่ยงจากภัยไซเบอร์ ระบบล่ม และการหยุดชะงักของบริการไอทีกลายเป็นปัญหาสำคัญที่ส่งผลกระทบต่อลูกค้าและเศรษฐกิจโดยรวม สหภาพยุโรปจึงออกกฎระเบียบ DORA (Digital Operational Resilience Act) เพื่อกำหนดมาตรฐานความทนทานด้านดิจิทัลให้กับสถาบันการเงินทั่วยุโรป

แม้ DORA จะเป็นกฎระเบียบของ EU แต่มีผลกระทบโดยตรงต่อธุรกิจไทยที่ให้บริการลูกค้าในยุโรป รวมถึงเป็นแนวทางที่ธนาคารแห่งประเทศไทย (BOT) และ ก.ล.ต. อาจนำมาปรับใช้ในอนาคต บทความนี้จะอธิบายทุกอย่างที่คุณต้องรู้เกี่ยวกับ DORA พร้อมแนวทางปฏิบัติสำหรับองค์กรไทย

DORA คืออะไร? ทำความเข้าใจพื้นฐาน

DORA หรือ Digital Operational Resilience Act คือกฎระเบียบของสหภาพยุโรป (EU Regulation 2022/2554) ที่มีผลบังคับใช้ตั้งแต่วันที่ 17 มกราคม 2025 โดยมีเป้าหมายหลักคือสร้างกรอบการทำงานที่เป็นมาตรฐานเดียวกันสำหรับการจัดการความเสี่ยงด้าน ICT (Information and Communication Technology) ในภาคการเงิน

DORA ครอบคลุมสถาบันการเงินมากกว่า 22,000 แห่งทั่วยุโรป รวมถึงผู้ให้บริการ ICT ที่เป็น Third-party ซึ่งหมายความว่าบริษัทเทคโนโลยีไทยที่ให้บริการแก่สถาบันการเงินในยุโรปก็อาจต้องปฏิบัติตามกฎระเบียบนี้ด้วย

หลักการสำคัญ 5 ประการของ DORA

| หลักการ | รายละเอียด | ผลกระทบต่อธุรกิจ |

|---------|-----------|-----------------|

| ICT Risk Management | กำหนดกรอบการจัดการความเสี่ยง ICT อย่างครอบคลุม | ต้องมีนโยบายและกระบวนการจัดการความเสี่ยงที่ชัดเจน |

| ICT Incident Reporting | รายงานเหตุการณ์ ICT ที่สำคัญต่อหน่วยงานกำกับ | ต้องมีระบบตรวจจับและรายงานเหตุการณ์ภายใน 4-24 ชั่วโมง |

| Digital Operational Resilience Testing | ทดสอบความทนทานของระบบ ICT อย่างสม่ำเสมอ | ต้องทำ Penetration Testing และ Threat-Led Testing |

| Third-party Risk Management | จัดการความเสี่ยงจากผู้ให้บริการ ICT ภายนอก | ต้องประเมินและติดตามความเสี่ยงของ Vendor อย่างต่อเนื่อง |

| Information Sharing | แบ่งปันข้อมูลภัยคุกคามระหว่างสถาบันการเงิน | ต้องเข้าร่วมกลไกการแบ่งปันข้อมูล Threat Intelligence |

ใครต้องปฏิบัติตาม DORA บ้าง?

DORA ครอบคลุมองค์กรในภาคการเงินอย่างกว้างขวาง ไม่ใช่แค่ธนาคารเท่านั้น แต่ยังรวมถึงบริษัทประกันภัย บริษัทหลักทรัพย์ FinTech สถาบันชำระเงิน Crypto-asset Service Provider และผู้ให้บริการ Cloud ที่ให้บริการแก่สถาบันการเงิน

สำหรับธุรกิจไทย มี 3 กลุ่มหลักที่ได้รับผลกระทบโดยตรง ได้แก่ บริษัทเทคโนโลยีไทยที่เป็น ICT Third-party Provider ให้กับสถาบันการเงินในยุโรป, สถาบันการเงินไทยที่มีสาขาหรือบริษัทลูกในยุโรป และ FinTech Startup ไทยที่ต้องการขยายตลาดไปยุโรป

กรอบการจัดการความเสี่ยง ICT ตาม DORA

การจัดการความเสี่ยง ICT ตาม DORA ประกอบด้วย 4 ขั้นตอนหลักที่ต้องดำเนินการอย่างเป็นระบบ

ขั้นตอนที่ 1: การระบุความเสี่ยง (Identify)

องค์กรต้องจัดทำ ICT Asset Inventory ที่ครอบคลุมทรัพยากรดิจิทัลทั้งหมด รวมถึงการทำ Business Impact Analysis (BIA) เพื่อระบุว่าระบบใดมีความสำคัญต่อการดำเนินธุรกิจ (Critical or Important Functions) นอกจากนี้ต้องจัดทำแผนผังการเชื่อมต่อระบบ (Network Topology) และระบุจุดอ่อนที่อาจเกิดขึ้น

ขั้นตอนที่ 2: การป้องกัน (Protect)

ต้องมีมาตรการป้องกันที่เหมาะสม เช่น การเข้ารหัสข้อมูล การจัดการสิทธิ์การเข้าถึง (Access Control) การ Patch Management และการฝึกอบรมพนักงานด้านความปลอดภัย ICT อย่างสม่ำเสมอ

ขั้นตอนที่ 3: การตรวจจับ (Detect)

ต้องมีระบบ Monitoring และ Detection ที่สามารถตรวจจับภัยคุกคามและความผิดปกติได้แบบ Real-time รวมถึงการจัดตั้งทีม SOC (Security Operations Center) หรือใช้บริการ Managed SOC

ขั้นตอนที่ 4: การตอบสนองและกู้คืน (Respond & Recover)

ต้องมี Incident Response Plan และ Business Continuity Plan ที่ชัดเจน รวมถึงแผน Disaster Recovery ที่ผ่านการทดสอบอย่างสม่ำเสมอ DORA กำหนดให้ต้องมี Recovery Time Objective (RTO) ไม่เกิน 2 ชั่วโมงสำหรับระบบที่สำคัญ

การทดสอบความทนทานดิจิทัล (DORA Testing)

DORA กำหนดให้สถาบันการเงินต้องทดสอบความทนทานของระบบ ICT อย่างสม่ำเสมอ โดยแบ่งเป็น 2 ระดับ

ระดับพื้นฐาน ที่ทุกองค์กรต้องทำ ได้แก่ Vulnerability Assessment อย่างน้อยปีละครั้ง, Network Security Testing, Source Code Review สำหรับระบบสำคัญ และ Scenario-based Testing สำหรับสถานการณ์วิกฤต

ระดับสูง (TLPT - Threat-Led Penetration Testing) สำหรับสถาบันการเงินขนาดใหญ่ ต้องทำทุก 3 ปี โดยใช้กรอบ TIBER-EU ซึ่งจำลองการโจมตีจริงโดยทีม Red Team ที่ได้รับอนุมัติจากหน่วยงานกำกับ

เปรียบเทียบ DORA กับมาตรฐานอื่นที่เกี่ยวข้อง

| หัวข้อ | DORA | ISO 27001 | NIST CSF |

|--------|------|-----------|----------|

| ขอบเขต | ภาคการเงิน EU | ทุกอุตสาหกรรม | ทุกอุตสาหกรรม |

| สถานะ | กฎหมายบังคับ | มาตรฐานสมัครใจ | กรอบแนวทาง |

| การทดสอบ | บังคับ TLPT ทุก 3 ปี | ไม่บังคับเฉพาะเจาะจง | แนะนำแต่ไม่บังคับ |

| Third-party | กำกับโดยตรง | ประเมินเป็นส่วนหนึ่ง | แนะนำการประเมิน |

| บทลงโทษ | ค่าปรับ + เพิกถอนใบอนุญาต | ไม่มีค่าปรับ | ไม่มีค่าปรับ |

| Incident Reporting | บังคับภายใน 4-24 ชม. | ตามนโยบายองค์กร | แนะนำแต่ไม่บังคับ |

องค์กรที่มี ISO 27001 อยู่แล้วจะได้เปรียบ เนื่องจากหลายข้อกำหนดของ DORA มีความคล้ายคลึงกัน แต่ต้องเพิ่มเติมในส่วนของ Operational Resilience Testing และ Third-party Risk Management ที่เข้มงวดกว่า

แนวทางเตรียมตัวสำหรับธุรกิจไทย

แม้ DORA จะเป็นกฎระเบียบของ EU แต่ธุรกิจไทยควรเตรียมตัวตั้งแต่วันนี้ ด้วยเหตุผลหลายประการ ได้แก่ ธนาคารแห่งประเทศไทยมีแนวโน้มที่จะออกกฎระเบียบที่คล้ายคลึงกัน, การเป็น DORA-compliant เป็นข้อได้เปรียบในการแข่งขันระดับสากล และลูกค้าองค์กรต่างชาติจะเริ่มกำหนดให้ Vendor ปฏิบัติตาม DORA

ขั้นตอนที่ 1: Gap Analysis - ประเมินสถานะปัจจุบันขององค์กรเทียบกับข้อกำหนด DORA ทั้ง 5 หลักการ ระบุช่องว่างและจัดลำดับความสำคัญ

ขั้นตอนที่ 2: สร้าง ICT Risk Management Framework - พัฒนากรอบการจัดการความเสี่ยง ICT ที่สอดคล้องกับ DORA รวมถึงนโยบาย กระบวนการ และเครื่องมือที่จำเป็น

ขั้นตอนที่ 3: ปรับปรุงระบบ Incident Response - พัฒนาแผนตอบสนองเหตุการณ์ที่สามารถรายงานภายในกรอบเวลาที่กำหนด พร้อมทดสอบแผนอย่างสม่ำเสมอ

ขั้นตอนที่ 4: จัดการ Third-party Risk - ทบทวนสัญญากับผู้ให้บริการ ICT ทั้งหมด เพิ่มข้อกำหนดด้าน Operational Resilience และจัดทำแผนสำรองกรณี Vendor ล้มเหลว

ขั้นตอนที่ 5: ทดสอบและปรับปรุงอย่างต่อเนื่อง - จัดทำแผนทดสอบความทนทานประจำปี ทั้ง Vulnerability Assessment, Penetration Testing และ Business Continuity Drill

สรุปและข้อแนะนำ

DORA เป็นกฎระเบียบที่ยกระดับมาตรฐานความทนทานด้านดิจิทัลของภาคการเงินอย่างมีนัยสำคัญ ไม่ว่าธุรกิจของคุณจะอยู่ในขอบเขตของ DORA โดยตรงหรือไม่ การนำหลักการของ DORA มาปรับใช้จะช่วยเสริมความแข็งแกร่งให้กับระบบ ICT ขององค์กร ลดความเสี่ยงจากภัยไซเบอร์ และสร้างความเชื่อมั่นให้กับลูกค้าและพันธมิตรทางธุรกิจ

หากคุณกำลังมองหาที่ปรึกษาด้าน IT Compliance หรือต้องการความช่วยเหลือในการเตรียมตัวสำหรับ DORA สามารถติดต่อทีม ADS FIT ได้เลย เราพร้อมช่วยคุณวางแผนและดำเนินการให้สอดคล้องกับมาตรฐานสากล อ่านบทความอื่นๆ เกี่ยวกับ Compliance และ IT Security ได้ที่ [บล็อก ADS FIT](/blog)

Tags

#DORA#Digital Operational Resilience#กฎหมายการเงิน#Compliance#FinTech#ความเสี่ยงดิจิทัล

สนใจโซลูชันนี้?

ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

ติดต่อเรา →

บทความที่เกี่ยวข้อง

🛡️

PDPA DPA 2026: คู่มือ Data Processing Agreement สัญญาประมวลผลข้อมูลส่วนบุคคล SME ไทย

7 พฤษภาคม 2569 · 8 นาที
🛡️

ISO 37001 คืออะไร? คู่มือ Anti-Bribery Management ธุรกิจไทย 2026

7 พฤษภาคม 2569 · 8 นาที
🛡️

ISO 14001 Environmental Management System (EMS): คู่มือมาตรฐานสิ่งแวดล้อมสำหรับ SME ไทย 2026

7 พฤษภาคม 2569 · 9 นาที