ISO / GMP / อย.

DORA 2026: คู่มือ Digital Operational Resilience Act สำหรับ SME ไทย

DORA (Digital Operational Resilience Act) คือกฎหมาย EU ที่บังคับใช้กับสถาบันการเงินตั้งแต่ ม.ค. 2025 เพื่อยกระดับ ICT Risk Management — คู่มือฉบับนี้สรุป 5 เสาหลัก พร้อมแนวทางที่ SME ไทยที่ทำธุรกิจกับคู่ค้า EU ควรเตรียมตัว

AF
ADS FIT Team
·8 นาที
Share:
🛡️

# DORA 2026: คู่มือ Digital Operational Resilience Act สำหรับ SME ไทย

ตั้งแต่ 17 มกราคม 2025 ระเบียบ DORA (Digital Operational Resilience Act หรือ Regulation (EU) 2022/2554) มีผลบังคับใช้กับสถาบันการเงิน บริษัทประกัน บริษัทคริปโต และผู้ให้บริการ ICT ที่ดูแลระบบสำคัญใน EU อย่างเต็มรูปแบบ จุดประสงค์คือยกระดับ "Operational Resilience" ของระบบการเงินทั้งภูมิภาคให้รับมือกับเหตุไซเบอร์ ระบบล่ม และความเสี่ยงจาก Third-Party ICT ได้อย่างเป็นมาตรฐานเดียวกัน

แม้ DORA จะออกในยุโรป แต่ผลกระทบส่งตรงถึง SME ไทยที่เป็นผู้ให้บริการ Software, Cloud, Managed Service หรือ Outsource Developer ให้ลูกค้าในกลุ่ม EU เพราะคู่ค้าจะต้องประเมินคุณในฐานะ "ICT Third-Party Service Provider" ตามกรอบ DORA และอาจขอเอกสาร Risk Register, SLA, Incident Reporting และ Exit Strategy ที่เคร่งครัดกว่าเดิม คู่มือฉบับนี้สรุปสาระสำคัญพร้อมแนวทางเตรียมตัวที่ใช้งานได้จริง

DORA คืออะไร และทำไมต้องสนใจ

DORA คือกฎหมายแม่บทที่รวมข้อกำหนดด้าน ICT Risk จากหลายเซกเตอร์การเงินมาไว้ในกรอบเดียว แทนที่ระบบเดิมที่กระจายตัวอยู่ในหลาย Directive และแนวทางของ EBA, ESMA, EIOPA จุดเด่นของ DORA คือบังคับใช้แบบ Lex Specialis คือเหนือกว่ากฎหมาย Cybersecurity ทั่วไปเช่น NIS2 ในบริบทการเงิน และให้อำนาจหน่วยกำกับสามารถตรวจสอบ "Critical ICT Third-Party Provider" ได้โดยตรง

สิ่งที่ทำให้ DORA แตกต่างคือไม่ได้สนใจแค่ "ป้องกัน" เหตุไซเบอร์ แต่เน้น "ความสามารถในการดำเนินธุรกิจต่อ" เมื่อเหตุเกิดแล้ว ทั้งการตอบสนองเร็ว การกู้คืนภายในเวลาที่กำหนด และการรายงานต่อหน่วยกำกับอย่างเป็นระบบ การไม่ปฏิบัติตามมีโทษสูงสุดถึง 2% ของยอดขายประจำปี หรือ 1% ต่อวันสำหรับ Critical Third-Party ที่ไม่ส่งข้อมูลตามคำสั่ง

5 เสาหลักของ DORA

DORA วางโครงสร้างเป็น 5 เสาหลักที่ครอบคลุมตั้งแต่การวางกลยุทธ์ไปจนถึงการรายงานเหตุ

| เสา | สาระสำคัญ | สิ่งที่ต้องทำ |

|-----|-----------|----------------|

| 1. ICT Risk Management | สร้างกรอบบริหารความเสี่ยง ICT ที่ผู้บริหารระดับสูงรับผิดชอบ | นโยบาย ICT Risk, Risk Register, Asset Inventory, Awareness Training |

| 2. Incident Reporting | จำแนก จัดประเภท และรายงานเหตุ Major ICT-Related Incident ต่อหน่วยกำกับ | Initial / Intermediate / Final Report ภายในเวลาที่กำหนด |

| 3. Digital Operational Resilience Testing | ทดสอบระบบสำคัญสม่ำเสมอ และทำ TLPT สำหรับองค์กรขนาดใหญ่ | Vulnerability Assessment, Penetration Test, Threat-Led Pen Test |

| 4. ICT Third-Party Risk | บริหารความเสี่ยงจากผู้ให้บริการ Cloud, SaaS, MSP | สัญญาที่มีคลอส DORA, Register of Information, Exit Plan |

| 5. Information Sharing | แบ่งปันข้อมูลภัยคุกคามระหว่างองค์กรการเงิน | เข้าร่วม Threat Intelligence Sharing Arrangement |

เสาที่ SME ไทยต้องโฟกัส: Third-Party Risk

แม้ SME ไทยจะไม่ใช่สถาบันการเงิน แต่ถ้าเป็นคู่ค้าด้าน ICT ของ Bank, Insurance หรือ Crypto Exchange ใน EU ผลกระทบมาเร็ว เพราะคู่ค้าจะต้องเขียนคุณเข้าไปใน "Register of Information" ที่ส่งให้หน่วยกำกับทุกปี และต้องแก้ไขสัญญาให้รวมคลอสมาตรฐานตาม Article 30 ของ DORA

  • การเข้าถึงและตรวจสอบ (Right to Audit) — ลูกค้า EU มีสิทธิเข้าตรวจระบบและขอผลทดสอบ
  • รายงานเหตุภายใน 4 ชั่วโมง — เมื่อเกิด Major Incident ที่กระทบบริการของลูกค้า
  • Exit Strategy — ต้องวางแผน Migration ที่ไม่ทำให้ลูกค้าพัง ถ้าต้องเลิกสัญญา
  • Sub-outsourcing — ต้องแจ้งและขออนุมัติก่อนใช้ Sub-contractor รายใหม่
  • Service Level — ต้องวัดได้ มีกลไกชดเชย และตรวจสอบย้อนกลับได้

    • How-to: เตรียมองค์กรให้พร้อมใน 6 ขั้น

    ขั้นตอนต่อไปนี้เหมาะกับ SME ที่อยากปิดช่องว่างก่อนถูกตรวจ โดยควรวางแผน 3-6 เดือน

  • ขั้น 1: Mapping ลูกค้าและบริการ — ระบุลูกค้า EU ที่อยู่ในขอบเขต DORA และบริการที่คุณให้ เช่น Hosting, SaaS, Custom Development, Managed Database
  • ขั้น 2: Gap Assessment — ทำ Self-Assessment เทียบกับ ICT Risk Framework ตาม DORA RTS อย่างน้อย 12 หมวด เช่น Access Control, Change Management, Backup, Cryptography
  • ขั้น 3: ปรับสัญญาและ SLA — เพิ่มคลอส Right to Audit, Incident Notification, Sub-outsourcing Approval, Data Portability
  • ขั้น 4: Incident Response Playbook — เขียน Runbook ระบุ Trigger, Severity, ผู้รับผิดชอบ, ช่องทางแจ้งลูกค้า, Template รายงาน
  • ขั้น 5: Resilience Testing — กำหนดรอบ Pen Test อย่างน้อยปีละ 1 ครั้ง, Vulnerability Scan รายไตรมาส, DR Drill รายปี
  • ขั้น 6: เอกสารและหลักฐาน — รวบรวม Policy, Test Report, Incident Log ในระบบที่ Audit ได้ภายใน 5 วันทำการ

    • เปรียบเทียบ DORA, NIS2 และ PDPA

    หลายคนสับสนระหว่าง DORA กับ NIS2 และ PDPA ของไทย ทั้งสามตัวมีจุดแตกต่างชัดเจน

    | มิติ | DORA | NIS2 | PDPA |

    |------|------|------|------|

    | ขอบเขต | สถาบันการเงิน + ICT Provider | Critical Sectors (Energy, Health, ฯลฯ) | ผู้ควบคุม/ประมวลผลข้อมูลส่วนบุคคล |

    | โฟกัส | Operational Resilience | Cybersecurity Baseline | Data Protection |

    | Incident Window | 4 ชม. (Initial), 72 ชม. (Intermediate) | 24 ชม. (Early Warning) | 72 ชม. (Personal Data Breach) |

    | โทษสูงสุด | 2% ยอดขาย / 1% ต่อวัน | 10 ล้าน EUR หรือ 2% ยอดขาย | 5 ล้านบาท + ค่าเสียหาย |

    | ผลต่อ SME ไทย | ผ่านคู่ค้า EU | ผ่านห่วงโซ่อุปทาน | บังคับใช้ตรง |

    เครื่องมือ Open-Source ที่ช่วยปฏิบัติตาม

    ไม่จำเป็นต้องซื้อ GRC เจ้าใหญ่ Open-Source หลายตัวช่วยได้

  • Wazuh — รวม SIEM, XDR, Vulnerability Scanner ใช้รายงานเหตุและทำ Continuous Monitoring
  • OpenVAS / Greenbone — Vulnerability Assessment ฟรี ใช้ทำ Quarterly Scan
  • DefectDojo — ระบบ Track ช่องโหว่และ Pen Test Findings
  • Eramba — GRC Tool สำหรับ Risk Register, Control Mapping, Audit Evidence
  • Velociraptor — Endpoint Forensics และ DFIR ช่วยทำ Incident Investigation

    • สรุป + Call to Action

    DORA ไม่ใช่กฎหมายไกลตัว ถ้าธุรกิจของคุณส่งบริการให้ลูกค้า EU ในเซกเตอร์การเงิน ต้องเตรียมตัวให้พร้อม ทั้งระดับสัญญา ระดับเทคนิค และระดับเอกสาร การเริ่มก่อนได้เปรียบ เพราะคู่ค้า EU เริ่มใช้แบบฟอร์ม Due Diligence ที่ลึกขึ้นเรื่อย ๆ

    ประเด็นสำคัญที่ต้องจำ คือ DORA เน้น "Resilience" ไม่ใช่แค่ "Security", โทษคำนวณจากยอดขายไม่ใช่กำไร, และผู้ให้บริการ ICT ที่สำคัญอาจถูกตรวจตรงโดย ESA โดยไม่ต้องผ่านลูกค้า

    ต้องการคำปรึกษาเรื่อง ICT Risk Framework, การปรับสัญญาให้สอดคล้อง DORA หรือวาง Incident Response Playbook ที่ Audit ได้? ทีม ADS FIT พร้อมช่วยออกแบบและติดตั้งระบบให้ตอบโจทย์ทั้งความปลอดภัย ความเร็ว และต้นทุนที่เหมาะกับ SME ไทย — ติดต่อทีมเพื่อรับ Gap Assessment เบื้องต้นได้เลย หรืออ่านบทความที่เกี่ยวข้องในหมวด Compliance เพื่อต่อยอดเรื่อง ISO 27001, NIS2 และ SBOM

    Tags

    #DORA#Compliance#ICT Risk#EU Regulation#FinTech#Resilience

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🛡️

    PDPA DPA 2026: คู่มือ Data Processing Agreement สัญญาประมวลผลข้อมูลส่วนบุคคล SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 37001 คืออะไร? คู่มือ Anti-Bribery Management ธุรกิจไทย 2026

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 14001 Environmental Management System (EMS): คู่มือมาตรฐานสิ่งแวดล้อมสำหรับ SME ไทย 2026

    7 พฤษภาคม 2569 · 9 นาที