ทีม NT Metro Service
เผยแพร่ : 20 เมษายน 2569 อัพเดทล่าสุด : 20 เมษายน 2569
พ.ร.บ. ไซเบอร์ 2562 คืออะไร? สิ่งที่องค์กรไทยต้องรู้และทำเพื่อความมั่นคงปลอดภัยยุคดิจิทัล
ลองนึกภาพว่าวันนึง ระบบ IT ขององค์กรคุณถูกโจมตี ข้อมูลสำคัญหายไป บริการหยุดทำงาน และหน่วยงานกำกับดูแลโทรมาถามว่าปฏิบัติตาม พ.ร.บ. ไซเบอร์ 2562 ครบแล้วหรือยัง
คุณตอบได้ไหมว่ามีแผนรับมือ? มีทีมเฝ้าระวัง? มีการเก็บ Log ตามกฎหมายครบ 90 วัน?
ถ้าตอบไม่ได้ชัดๆ นั่นคือสัญญาณว่าองค์กรยังไม่ได้เตรียมตัวสำหรับ กฎหมายไซเบอร์ไทย ฉบับนี้อย่างจริงจัง
กฎหมายนี้ไม่ถามว่า “ตั้งใจจะปลอดภัย” หรือเปล่า มันถามว่า “ทำจริงแล้วยัง” ถ้าคำตอบคือยัง บทลงโทษสูงสุด 300,000 บาทก็รออยู่ ยังไม่นับความเสียหายต่อชื่อเสียงและธุรกิจที่ตามมา
บทความนี้เจาะลึกทุกประเด็นที่ผู้บริหารและฝ่ายกฎหมายต้องทราบ ตั้งแต่คำตอบว่า พรบ ไซเบอร์ คืออะไร กลุ่มองค์กรที่ได้รับผลกระทบ หน้าที่ตามกฎหมาย บทลงโทษ ไปจนถึง Roadmap 6 ขั้นตอนสู่ Compliance ที่ปฏิบัติได้จริง
พ.ร.บ. ไซเบอร์ 2562 คืออะไร?
พ.ร.บ. ไซเบอร์ (พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562) คือกฎหมายที่วางกรอบการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่กระทบต่อความมั่นคงของรัฐ ความสงบเรียบร้อยภายในประเทศ และโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) (NT Metro Service, 2569)
กฎหมายฉบับนี้มีผลบังคับใช้อย่างเป็นทางการตั้งแต่วันที่ 28 พฤษภาคม 2562 (NT Metro Service, 2569) และต่างจาก พ.ร.บ. คอมพิวเตอร์ตรงที่ไม่ได้มุ่งเน้นลงโทษผู้กระทำผิด แต่เน้น “การป้องกันเชิงรุก” และสร้างมาตรฐานความปลอดภัยให้กับระบบคอมพิวเตอร์สำคัญของประเทศ
หน่วยงานกำกับดูแลหลักที่ต้องรู้จัก:
กมช. (NCSC) : คณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ มีนายกรัฐมนตรีเป็นประธาน ทำหน้าที่กำหนดนโยบายและมาตรฐานระดับชาติ (ACinfotec, 2568)
สกมช. (NCSA) : สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เป็นหน่วยงานปฏิบัติการที่คอยกำกับดูแลและออกระเบียบปฏิบัติ (NT Metro Service, 2569)
กกม. : คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ เน้นการกำกับดูแลเชิงปฏิบัติการ โดยเฉพาะการรับมือภัยคุกคามระดับร้ายแรงและกำหนดมาตรการประเมินความเสี่ยง (ACinfotec, 2568)
ThaiCERT : ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย ทำหน้าที่รับแจ้งเหตุและประสานงานเมื่อเกิดภัยคุกคาม (ThaiCERT, 2569)
CII คืออะไร? 8 กลุ่มโครงสร้างพื้นฐานสำคัญที่ต้องปฏิบัติตามกฎหมาย
CII (Critical Information Infrastructure) หรือโครงสร้างพื้นฐานสำคัญทางสารสนเทศ หมายถึงหน่วยงานหรือระบบที่หากถูกโจมตีหรือล้มเหลว จะกระทบต่อประชาชนหรือความมั่นคงของประเทศอย่างรุนแรง (Bluebik, 2568)
ปัจจุบันมีหน่วยงาน CII กว่า 200 แห่งในประเทศไทยที่อยู่ภายใต้การกำกับดูแลของ สกมช. (สกมช., 2569) แบ่งออกเป็น 8 กลุ่มหลัก ดังนี้ (NT Metro Service, 2569):
1. ด้านความมั่นคงของรัฐ : เช่น กองทัพ, สำนักงานตำรวจแห่งชาติ
2. ด้านบริการภาครัฐที่สำคัญ : เช่น กรมการปกครอง, สรรพากร, DGA (DGA, 2567)
3. ด้านการเงินการธนาคาร : เช่น ธนาคารพาณิชย์, ตลาดหลักทรัพย์ฯ, ประกันภัย
4. ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม : เช่น NT, AIS, TRUE
5. ด้านการขนส่งและโลจิสติกส์ : เช่น การท่าอากาศยาน (AOT), การรถไฟ, ท่าเรือ
6. ด้านพลังงานและสาธารณูปโภค : เช่น EGAT, PTT, การประปา
7. ด้านสาธารณสุข : เช่น โรงพยาบาลขนาดใหญ่, กระทรวงสาธารณสุข
8. ด้านเกษตรและอาหาร : หน่วยงานควบคุมความปลอดภัยอาหาร
หน้าที่ขององค์กรภายใต้ พ.ร.บ. ไซเบอร์
สำหรับหน่วยงาน CII (หน้าที่บังคับตามกฎหมาย)
หน่วยงานที่เป็น CII มีหน้าที่ตามมาตรา 44, 54 และ 56 ดังนี้:
- จัดทำแผนการรักษาความมั่นคงปลอดภัยไซเบอร์ : ต้องมี Code of Practice และมาตรฐานขั้นต่ำตามที่ สกมช. กำหนด (ThaiCERT, 2569)
- การประเมินความเสี่ยง (Cybersecurity Risk Assessment) : ต้องจัดให้มีการตรวจสอบและประเมินความเสี่ยงโดยผู้ตรวจสอบที่อิสระ อย่างน้อยปีละ 1 ครั้ง (มาตรา 54) พร้อมส่งรายงานสรุปให้ สกมช. ภายใน 30 วัน หลังสิ้นสุดการประเมิน (ThaiCERT, 2569)
- การจัดเก็บ Log : ต้องจัดเก็บ Log การใช้งานระบบอย่างน้อย 90 วัน เพื่อใช้ตรวจสอบย้อนหลัง (NT Metro Service, 2569)
- กลไกเฝ้าระวังและรับมือเหตุการณ์ : ต้องจัดตั้งทีมรับมือเหตุการณ์ (CERT/CSIRT) และมีระบบ Monitoring ตลอด 24 ชั่วโมง (NT cyfence, 2562)
- การแจ้งเหตุ : หากพบภัยคุกคามที่มีนัยสำคัญ ต้องรายงานต่อ สกมช. และหน่วยงานกำกับดูแลโดยไม่ชักช้า (มาตรา 57-58) (ThaiCERT, 2569)
- ระบุตัวตนผู้รับผิดชอบ : ต้องแจ้งชื่อเจ้าหน้าที่ 2 ระดับ คือ ระดับบริหาร (Executive) และ ระดับปฏิบัติการ (Operational) ให้ สกมช. ทราบเพื่อการประสานงาน (มาตรา 46) (ThaiCERT, 2569)
สำหรับองค์กรทั่วไป (แนวทางปฏิบัติที่ควรมี)
แม้กฎหมายจะไม่บังคับเข้มงวดเท่า CII แต่องค์กรทั่วไปควรทำดังนี้ (NT Metro Service, 2569):
- จัดทำนโยบายความปลอดภัยไซเบอร์ (Cybersecurity Policy)
- อบรมสร้างความตระหนักรู้ (Cybersecurity Awareness) ให้พนักงาน
- ติดตั้งระบบป้องกันพื้นฐาน เช่น Firewall, Antivirus และระบบสำรองข้อมูล
- มีแผนรับมือเหตุการณ์ (Incident Response Plan) เบื้องต้น
ระดับของภัยคุกคามทางไซเบอร์
พ.ร.บ. ไซเบอร์ แบ่งระดับภัยคุกคามไว้ 3 ระดับ เพื่อกำหนดอำนาจหน้าที่ของเจ้าหน้าที่ในการเข้าช่วยเหลือหรือตรวจสอบ (ACinfotec, 2568):
1. ระดับไม่ร้ายแรง : ภัยที่ทำให้ระบบคอมพิวเตอร์หรือการให้บริการด้อยลง
2. ระดับร้ายแรง : การโจมตีที่มุ่งทำลายโครงสร้างพื้นฐานสำคัญ จนระบบไม่สามารถทำงานหรือให้บริการได้
3. ระดับวิกฤต : ภัยคุกคามระดับสูงสุดที่ทำให้โครงสร้างพื้นฐานล้มเหลวทั้งระบบ กระทบต่อสวัสดิภาพประชาชนและความมั่นคงของชาติ (NT Metro Service, 2569)
ในระดับวิกฤต เจ้าหน้าที่มีอำนาจเข้าตรวจสอบสถานที่ เข้าถึงคอมพิวเตอร์และข้อมูล รวมถึงคัดลอกหรือยึดเครื่องคอมพิวเตอร์เพื่อตรวจสอบได้ทันที โดยไม่ต้องขอหมายศาล เพื่อระงับภัยคุกคามที่กระทบต่อความมั่นคงของชาติ (พ.ร.บ. ไซเบอร์ 2562)
บทลงโทษหากฝ่าฝืน พ.ร.บ. ไซเบอร์
การละเลยไม่ปฏิบัติตามกฎหมายมีบทลงโทษทั้งทางแพ่งและทางอาญา:
- ไม่ปฏิบัติตามคำสั่งเจ้าหน้าที่ : เช่น สั่งให้แก้ไขช่องโหว่แล้วไม่ทำ มีโทษปรับไม่เกิน 300,000 บาท (พ.ร.บ. ไซเบอร์ 2562)
- ไม่รายงานเหตุภัยคุกคาม : หน่วยงาน CII ที่ละเลยไม่แจ้งเหตุโดยไม่มีเหตุอันควร มีโทษปรับไม่เกิน 200,000 บาท (ACinfotec, 2568)
- ขัดขวางการตรวจสอบ : จำคุกไม่เกิน 1 ปี และ/หรือปรับไม่เกิน 20,000 บาท (NT Metro Service, 2569)
- ความเสียหายทางธุรกิจ : บทลงโทษที่หนักที่สุดมักไม่ใช่ค่าปรับ แต่คือความเสียหายต่อชื่อเสียงและมูลค่าธุรกิจหากเกิด Incident ที่ไม่ได้รับการป้องกัน ซึ่งอาจสูงกว่าค่าปรับหลายเท่าตัว (NT Metro Service, 2569)
เปรียบเทียบกฎหมาย: พ.ร.บ. ไซเบอร์ vs PDPA vs พ.ร.บ. คอมพิวเตอร์
หลายองค์กรมักสับสนระหว่างกฎหมาย 3 ฉบับนี้ ในความเป็นจริงทั้งสามทำงานเสริมกัน (NT Metro Service, 2569):
| กฎหมาย | จุดมุ่งหมายหลัก | สิ่งที่ปกป้อง |
|---|---|---|
|
พ.ร.บ. ไซเบอร์ (2562) |
การป้องกันภัยเชิงระบบและการรับมือภัยคุกคาม |
โครงสร้างพื้นฐาน (CII) และระบบคอมพิวเตอร์สำคัญ |
|
PDPA (2562) |
การคุ้มครองสิทธิของเจ้าของข้อมูล |
ข้อมูลส่วนบุคคล (ชื่อ, เบอร์โทร, เลขบัตรประชาชน) |
|
พ.ร.บ. คอมพิวเตอร์ (2560) |
การเอาผิดผู้กระทำความผิดทางคอมพิวเตอร์ |
ความสงบเรียบร้อย (เช่น การแฮกข้อมูล, โพสต์ข่าวปลอม) |
Roadmap 6 ขั้นตอนสู่การปฏิบัติตามกฎหมายอย่างสมบูรณ์
สำหรับองค์กรที่ต้องการเริ่มต้นทำ Compliance ให้สอดคล้องกับ พ.ร.บ. ไซเบอร์ ทำตามแนวทางนี้ (NT Metro Service, 2569):
1. ตรวจสอบสถานะ : ดูว่าองค์กรเข้าข่ายเป็น CII หรือไม่ โดยตรวจสอบจากประกาศของ สกมช.
2. ประเมินช่องว่าง (Gap Assessment) : ตรวจสอบระดับความปลอดภัยปัจจุบันเทียบกับมาตรฐานที่กฎหมายกำหนด
3. จัดทำนโยบายและแผน : ร่าง Cybersecurity Policy, แผนรับมือเหตุการณ์ (IRP) และแผนความต่อเนื่องทางธุรกิจ (BCP)
4. ติดตั้งระบบเทคนิค : นำเครื่องมือมาใช้ เช่น SIEM สำหรับเก็บ Log, ระบบ Monitoring และระบบตรวจสอบช่องโหว่
5. อบรมบุคลากร : สร้างความตระหนักรู้ให้พนักงานทุกระดับ ตั้งแต่ผู้บริหารไปจนถึงระดับปฏิบัติการ
6. ตรวจสอบและปรับปรุง : ทำ Security Audit ประจำปี และติดตามประกาศใหม่จาก สกมช. อย่างสม่ำเสมอ
บริการจาก NT เพื่อการทำ Compliance ครบวงจร
NT (บริษัท โทรคมนาคมแห่งชาติ จำกัด (มหาชน)) โดยทีมผู้เชี่ยวชาญ NT cyfence ที่มีประสบการณ์ พร้อมสนับสนุนองค์กรไทยให้ปฏิบัติตาม พ.ร.บ. ไซเบอร์ ได้อย่างถูกต้องผ่านบริการดังนี้
- NT Cyfence IT Risk Assessment : บริการประเมินช่องว่าง (Gap Analysis) และตรวจสอบความปลอดภัยเพื่อระบุความเสี่ยงตามมาตรา 44 และ 54
- Cybersecurity Monitoring (CSOC) : ระบบเฝ้าระวังภัยคุกคามตลอด 24 ชั่วโมง ผ่านศูนย์ปฏิบัติการที่ทันสมัย สอดคล้องกับข้อกำหนดการเฝ้าระวังเหตุการณ์ (Managed Security Service)
- Log Management : บริการจัดเก็บ Log ตามมาตรฐานกฎหมายและมาตรฐานสากล มั่นใจได้ว่าข้อมูลจะถูกเก็บรักษาอย่างปลอดภัยไม่น้อยกว่า 90 วัน
- Incident Response Service : ทีมผู้เชี่ยวชาญ CAT CSIRT พร้อมเข้าช่วยในการรับมือ แก้ไขสถานการณ์ และรายงานเหตุต่อหน่วยงานกำกับดูแลตามกรอบเวลาที่กฎหมายกำหนด
- Managed Security Service : การบริหารจัดการความปลอดภัยแบบครบวงจร เหมาะสำหรับองค์กรที่ไม่มีทีม IT Security ของตัวเอง ทั้งการเฝ้าระวัง การแจ้งเตือนภัยคุกคามใหม่ (Early Warning) และการปิดช่องโหว
บทสรุป
พ.ร.บ. ไซเบอร์ 2562 ไม่ใช่กฎหมายที่ออกมาเพื่อสร้างภาระให้องค์กร มันออกมาเพราะประเทศไทยมีโครงสร้างพื้นฐานดิจิทัลที่ต้องปกป้อง และ CII กว่า 200 แห่งคือแนวรับด่านแรกของประเทศ (สกมช., 2569)
ความจริงที่หลายองค์กรไม่อยากเผชิญ: การรอดูว่าจะถูกตรวจสอบก่อนแล้วค่อยทำ Compliance ไม่ใช่กลยุทธ์ที่ชาญฉลาด ภัยคุกคามไซเบอร์ไม่รอใบอนุญาต และเมื่อเกิดขึ้นแล้ว ความเสียหายทางธุรกิจมักสูงกว่าค่าปรับที่กฎหมายกำหนดหลายเท่าตัว
NT อยู่ในกลุ่ม CII ด้านโทรคมนาคมและต้องปฏิบัติตามกฎหมายนี้เช่นกัน ประสบการณ์ตรงนั้นเองที่ทำให้ NT cyfence เข้าใจว่าองค์กรอื่นต้องการอะไรจริงๆ
เริ่มจาก Gap Assessment ก่อน รู้ว่าอยู่ตรงไหน ค่อยวางแผนว่าต้องไปถึงไหน การทำ Compliance ที่ดีไม่ใช่การซื้อเครื่องมือแพง มันคือการมีระบบที่ถูกต้องและคนที่รู้จริง
ติดต่อทีมงาน NT
- Line OA : @NTSMESolutionBKK
- Facebook : [NT.bkkshop]
- หรือ กรอกข้อมูล ในแบบฟอร์มด้านล่างบทความนี้ เพื่อปรึกษาความต้องการของธุรกิจและรับคำแนะนำ solution ที่เหมาะสม
คำถามที่พบบ่อย
พ.ร.บ. ไซเบอร์ 2562 บังคับใช้กับองค์กรเอกชนด้วยหรือไม่?
บังคับใช้ครับ หากองค์กรเอกชนนั้นจัดอยู่ในกลุ่ม โครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) เช่น ธนาคารพาณิชย์, ค่ายมือถือ, โรงพยาบาลเอกชนขนาดใหญ่ หรือบริษัทพลังงาน (NT Metro Service, 2569) แต่สำหรับองค์กรเอกชนทั่วไป กฎหมายฉบับนี้ถือเป็นแนวทางปฏิบัติมาตรฐานที่ควรมีเพื่อสร้างความเชื่อมั่นให้ลูกค้าและคู่ค้า (Bluebik, 2568)
CII คืออะไร องค์กรแบบไหนถึงเป็น CII?
CII คือหน่วยงานที่ดูแลระบบคอมพิวเตอร์ที่สำคัญต่อประเทศ แบ่งเป็น 8 กลุ่มหลัก เช่น การเงิน, พลังงาน, สาธารณสุข, และโทรคมนาคม (NT Metro Service, 2569) องค์กรที่เป็น CII มักเป็นหน่วยงานขนาดใหญ่ที่มีผลกระทบต่อคนจำนวนมาก เช่น ธนาคารหรือโรงพยาบาล โดยจะมีประกาศรายชื่อหน่วยงานอย่างเป็นทางการจาก สกมช. (ThaiCERT, 2569)
พ.ร.บ. ไซเบอร์ กับ PDPA ต่างกันอย่างไร?
ทั้งสองกฎหมายทำงานควบคู่กันครับ โดย พ.ร.บ. ไซเบอร์ มุ่งเน้นการปกป้อง "ระบบและโครงสร้างพื้นฐาน" เพื่อให้บริการทำงานได้ต่อเนื่องและปลอดภัยจากการถูกแฮก ส่วน PDPA มุ่งเน้นการปกป้อง "ข้อมูลส่วนบุคคล" ของมนุษย์ เพื่อไม่ให้ถูกนำไปใช้ในทางที่ผิด (NT Metro Service, 2569)
ถ้าไม่ปฏิบัติตาม พ.ร.บ. ไซเบอร์ โทษคืออะไร?
โทษหลักคือการปรับเงิน โดยหากไม่ทำตามคำสั่งเจ้าหน้าที่มีโทษปรับสูงสุด 300,000 บาท และหากเป็นหน่วยงาน CII ที่ไม่รายงานเหตุภัยคุกคามจะมีโทษปรับสูงสุด 200,000 บาท และยังมีโทษจำคุกในกรณีขัดขวางการปฏิบัติงานของเจ้าหน้าที่ด้วย (NT Metro Service, 2569; ACinfotec, 2568)
องค์กรต้องเตรียมตัวอย่างไรบ้างเพื่อปฏิบัติตาม พ.ร.บ. ไซเบอร์?
เริ่มจากการทำ Gap Assessment เพื่อดูว่าระบบปัจจุบันขาดอะไรบ้าง จากนั้นควรจัดทำนโยบายความปลอดภัยไซเบอร์ จัดเก็บ Log ให้ครบ 90 วัน ฝึกอบรมพนักงาน และจัดตั้งทีมหรือใช้บริการ Managed Security Service ในการเฝ้าระวังภัยตลอด 24 ชั่วโมง (NT Metro Service, 2569)
แหล่งอ้างอิง
1. สกมช. (NCSA) — พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 — https://www.ncsa.or.th/standards/laws
2. ThaiCERT — Critical Information Infrastructure: CII — https://www.thaicert.or.th/en/cii/
3. Bluebik — พ.ร.บ. ความมั่นคงไซเบอร์ คืออะไร? ส่งผลต่อคนทั่วไปและธุรกิจอย่างไร — https://bluebik.com/th/blog/blog-cyber-security-act-b-e/
4. ACinfotec — พ.ร.บ. ไซเบอร์ ประกาศใช้แล้ว องค์กรต้องปรับตัวอย่างไร! — https://www.acinfotec.com/thai-cyber-law-2562/
5. NT cyfence — พ.ร.บ. ไซเบอร์ฯ บังคับใช้แล้ว NT cyfence พร้อมให้คำปรึกษาและปฏิบัติตามได้ในทันที — https://www.cyfence.com/article/catcyfence-service-with-cyber-law/
6. DGA — พระราชบัญญัติ การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 – สำนักงานพัฒนารัฐบาลดิจิทัล — https://www.dga.or.th/document/106069/
