พรบ.ถูกเผยแพร่และมีผลบังคับใช้ตั้งแต่วันที่ 27 พฤษภาคม พ.ศ. 2562

พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์พ. ศ. 2562  (“พระราชบัญญัติ”) เผยแพร่ตั้งแต่วันที่ 27 พฤษภาคม พ.ศ. 2562 และมีผลบังคับใช้แล้วตั้งแต่นั้นมา

ผู้ที่กำลังติดตามพรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์ ตามที่กล่าวไว้ในการแจ้งเตือนลูกค้าก่อนหน้านี้ เราอาจต้องการทราบว่าข้อบัญญัติภายใต้พรบ.ยังคงเหมือนกับเวอร์ชันล่าสุดที่เผยแพร่สู่สาธารณะหรือไม่ (เวอร์ชันที่มีอยู่ในเว็บไซต์ดิจิทัลเพื่อเศรษฐกิจและสังคม MDES ในวันที่ 11 มีนาคม พ. ศ. 2562)

โดยพื้นฐานแล้วหน่วยงานเอกชนอาจมีภาระผูกพันภายใต้พรบ.ดังกล่าวภายใต้สองสถานการณ์ดังต่อไปนี้

1. เมื่อเกิดภัยคุกคามทางไซเบอร์
ภัยคุกคามทางไซเบอร์แบ่งออกเป็นสามระดับ โดยมีภาระหน้าที่ในการปฏิบัติตามข้อกำหนดที่แตกต่างกันไปในแต่ละระดับ ในกรณีที่มีภัยคุกคามทางไซเบอร์หน่วยงานเอกชนอาจต้อง

(1) ให้การเข้าถึงข้อมูลคอมพิวเตอร์ที่เกี่ยวข้องหรือระบบคอมพิวเตอร์หรือข้อมูลอื่น ๆ ที่เกี่ยวข้องกับระบบคอมพิวเตอร์เฉพาะในขอบเขตที่จำเป็นเพื่อป้องกันภัยคุกคามทางไซเบอร์
(2) ตรวจสอบคอมพิวเตอร์หรือระบบคอมพิวเตอร์ และ
(3) อนุญาตให้เจ้าหน้าที่ทดสอบการทำงานของคอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือยึดหรืออายัดคอมพิวเตอร์ระบบคอมพิวเตอร์หรืออุปกรณ์ใด ๆ คำสั่งบางอย่างจะต้องมีคำสั่งศาลในขณะที่คำสั่งอื่น ๆ จะไม่ทำ อย่างไรก็ตามโดยทั่วไปคำสั่งดังกล่าวต้อง จำกัด เฉพาะความจำเป็นในการป้องกันหรือจัดการกับภัยคุกคามทางไซเบอร์

2. ในกรณีที่องค์กรมีคุณสมบัติตรงตามเกณฑ์ของ Critical Information Infrastructure Organisation (CII Organisation) ภายใต้ข้อบังคับย่อยในอนาคตองค์กรที่ทำภารกิจต่อไปนี้หรือให้บริการต่อไปนี้อาจถือว่าเป็นองค์กร CII

(1) ความมั่นคงแห่งชาติ
(2) บริการสาธารณะด้านวัสดุ
(3) การธนาคารและการเงิน
(4) เทคโนโลยีสารสนเทศและโทรคมนาคม
(5) การขนส่งและโลจิสติกส์
(6) พลังงานและสาธารณูปโภค
(7) การสาธารณสุข
(8) อื่น ๆ ตามที่กำหนดโดยคณะกรรมการความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (NCSC)

หน่วยงานเอกชนที่ถือว่าเป็นองค์กร CII จะมีภาระผูกพันในการปฏิบัติตามข้อกำหนดเช่น:
(1) ระบุชื่อและข้อมูลติดต่อของเจ้าของบุคคลที่ครอบครองคอมพิวเตอร์และบุคคลที่ตรวจสอบระบบคอมพิวเตอร์
(2) ปฏิบัติตามหลักปฏิบัติและมาตรฐานความปลอดภัยทางไซเบอร์ขั้นต่ำ
(3) ดำเนินการประเมินความเสี่ยงด้านความปลอดภัยทางไซเบอร์ และ
(4) แจ้งหน่วยงานเกี่ยวกับภัยคุกคามทางไซเบอร์

บทลงโทษตามพรบ.นี้แตกต่างกันไปตั้งแต่การปรับไปจนถึงการจำคุก

เพื่อเตรียมความพร้อมสำหรับการปฏิบัติตามพรบ.ฉบับนี้หน่วยงานเอกชนสามารถจัดเตรียมระบบไอทีของตนตรวจสอบและอัปเดตเอกสารทางกฎหมายที่เกี่ยวข้อง (เช่น นโยบายด้านไอทีและประกาศเกี่ยวกับการละเมิดความปลอดภัย) และดำเนินการฝึกอบรมบุคลากรเพื่อสร้างความตระหนักในเรื่องความปลอดภัยในโลกไซเบอร์ นอกจากนี้องค์กรที่อยู่ในรายชื่อองค์กร CII ที่เป็นไปได้ภายใต้ (2) ข้างต้นซึ่งคือบริการสาธารณะด้านวัสดุ จะได้รับประโยชน์จากการทำความคุ้นเคยกับพรบ.และในระหว่างนี้จะติดตามการพัฒนาของระเบียบย่อยที่จะกำหนดโดยคณะกรรมการความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (NCSC) อย่างใกล้ชิด

แหล่งที่มา: https://www.bakermckenzie.com/en/insight/publications/2019/05/thailand-cybersecurity-act-is-effective

ลิงค์พรบ.การรักษาความมั่นคงปลอดภัยทางไซเบอร์ พ.ศ.2562

สามารถอ้างอิงเนื้อหาทั้งหมดในพระราชบัญญัติตามลิงค์ข้างล่างนี้ได้

https://data.thailand.opendevelopmentmekong.net/th/laws_record/cyber-security-act-b-e-2562-2019