# DORA คืออะไร? คู่มือ Digital Operational Resilience Act สำหรับธุรกิจการเงินไทย 2026
ในยุคที่ธุรกิจการเงินพึ่งพาเทคโนโลยีดิจิทัลมากขึ้นเรื่อยๆ ความเสี่ยงจากภัยไซเบอร์ ระบบล่ม และการหยุดชะงักของบริการไอทีกลายเป็นปัญหาสำคัญที่ส่งผลกระทบต่อลูกค้าและเศรษฐกิจโดยรวม สหภาพยุโรปจึงออกกฎระเบียบ DORA (Digital Operational Resilience Act) เพื่อกำหนดมาตรฐานความทนทานด้านดิจิทัลให้กับสถาบันการเงินทั่วยุโรป
แม้ DORA จะเป็นกฎระเบียบของ EU แต่มีผลกระทบโดยตรงต่อธุรกิจไทยที่ให้บริการลูกค้าในยุโรป รวมถึงเป็นแนวทางที่ธนาคารแห่งประเทศไทย (BOT) และ ก.ล.ต. อาจนำมาปรับใช้ในอนาคต บทความนี้จะอธิบายทุกอย่างที่คุณต้องรู้เกี่ยวกับ DORA พร้อมแนวทางปฏิบัติสำหรับองค์กรไทย
DORA คืออะไร? ทำความเข้าใจพื้นฐาน
DORA หรือ Digital Operational Resilience Act คือกฎระเบียบของสหภาพยุโรป (EU Regulation 2022/2554) ที่มีผลบังคับใช้ตั้งแต่วันที่ 17 มกราคม 2025 โดยมีเป้าหมายหลักคือสร้างกรอบการทำงานที่เป็นมาตรฐานเดียวกันสำหรับการจัดการความเสี่ยงด้าน ICT (Information and Communication Technology) ในภาคการเงิน
DORA ครอบคลุมสถาบันการเงินมากกว่า 22,000 แห่งทั่วยุโรป รวมถึงผู้ให้บริการ ICT ที่เป็น Third-party ซึ่งหมายความว่าบริษัทเทคโนโลยีไทยที่ให้บริการแก่สถาบันการเงินในยุโรปก็อาจต้องปฏิบัติตามกฎระเบียบนี้ด้วย
หลักการสำคัญ 5 ประการของ DORA
| หลักการ | รายละเอียด | ผลกระทบต่อธุรกิจ |
|---------|-----------|-----------------|
| ICT Risk Management | กำหนดกรอบการจัดการความเสี่ยง ICT อย่างครอบคลุม | ต้องมีนโยบายและกระบวนการจัดการความเสี่ยงที่ชัดเจน |
| ICT Incident Reporting | รายงานเหตุการณ์ ICT ที่สำคัญต่อหน่วยงานกำกับ | ต้องมีระบบตรวจจับและรายงานเหตุการณ์ภายใน 4-24 ชั่วโมง |
| Digital Operational Resilience Testing | ทดสอบความทนทานของระบบ ICT อย่างสม่ำเสมอ | ต้องทำ Penetration Testing และ Threat-Led Testing |
| Third-party Risk Management | จัดการความเสี่ยงจากผู้ให้บริการ ICT ภายนอก | ต้องประเมินและติดตามความเสี่ยงของ Vendor อย่างต่อเนื่อง |
| Information Sharing | แบ่งปันข้อมูลภัยคุกคามระหว่างสถาบันการเงิน | ต้องเข้าร่วมกลไกการแบ่งปันข้อมูล Threat Intelligence |
ใครต้องปฏิบัติตาม DORA บ้าง?
DORA ครอบคลุมองค์กรในภาคการเงินอย่างกว้างขวาง ไม่ใช่แค่ธนาคารเท่านั้น แต่ยังรวมถึงบริษัทประกันภัย บริษัทหลักทรัพย์ FinTech สถาบันชำระเงิน Crypto-asset Service Provider และผู้ให้บริการ Cloud ที่ให้บริการแก่สถาบันการเงิน
สำหรับธุรกิจไทย มี 3 กลุ่มหลักที่ได้รับผลกระทบโดยตรง ได้แก่ บริษัทเทคโนโลยีไทยที่เป็น ICT Third-party Provider ให้กับสถาบันการเงินในยุโรป, สถาบันการเงินไทยที่มีสาขาหรือบริษัทลูกในยุโรป และ FinTech Startup ไทยที่ต้องการขยายตลาดไปยุโรป
กรอบการจัดการความเสี่ยง ICT ตาม DORA
การจัดการความเสี่ยง ICT ตาม DORA ประกอบด้วย 4 ขั้นตอนหลักที่ต้องดำเนินการอย่างเป็นระบบ
ขั้นตอนที่ 1: การระบุความเสี่ยง (Identify)
องค์กรต้องจัดทำ ICT Asset Inventory ที่ครอบคลุมทรัพยากรดิจิทัลทั้งหมด รวมถึงการทำ Business Impact Analysis (BIA) เพื่อระบุว่าระบบใดมีความสำคัญต่อการดำเนินธุรกิจ (Critical or Important Functions) นอกจากนี้ต้องจัดทำแผนผังการเชื่อมต่อระบบ (Network Topology) และระบุจุดอ่อนที่อาจเกิดขึ้น
ขั้นตอนที่ 2: การป้องกัน (Protect)
ต้องมีมาตรการป้องกันที่เหมาะสม เช่น การเข้ารหัสข้อมูล การจัดการสิทธิ์การเข้าถึง (Access Control) การ Patch Management และการฝึกอบรมพนักงานด้านความปลอดภัย ICT อย่างสม่ำเสมอ
ขั้นตอนที่ 3: การตรวจจับ (Detect)
ต้องมีระบบ Monitoring และ Detection ที่สามารถตรวจจับภัยคุกคามและความผิดปกติได้แบบ Real-time รวมถึงการจัดตั้งทีม SOC (Security Operations Center) หรือใช้บริการ Managed SOC
ขั้นตอนที่ 4: การตอบสนองและกู้คืน (Respond & Recover)
ต้องมี Incident Response Plan และ Business Continuity Plan ที่ชัดเจน รวมถึงแผน Disaster Recovery ที่ผ่านการทดสอบอย่างสม่ำเสมอ DORA กำหนดให้ต้องมี Recovery Time Objective (RTO) ไม่เกิน 2 ชั่วโมงสำหรับระบบที่สำคัญ
การทดสอบความทนทานดิจิทัล (DORA Testing)
DORA กำหนดให้สถาบันการเงินต้องทดสอบความทนทานของระบบ ICT อย่างสม่ำเสมอ โดยแบ่งเป็น 2 ระดับ
ระดับพื้นฐาน ที่ทุกองค์กรต้องทำ ได้แก่ Vulnerability Assessment อย่างน้อยปีละครั้ง, Network Security Testing, Source Code Review สำหรับระบบสำคัญ และ Scenario-based Testing สำหรับสถานการณ์วิกฤต
ระดับสูง (TLPT - Threat-Led Penetration Testing) สำหรับสถาบันการเงินขนาดใหญ่ ต้องทำทุก 3 ปี โดยใช้กรอบ TIBER-EU ซึ่งจำลองการโจมตีจริงโดยทีม Red Team ที่ได้รับอนุมัติจากหน่วยงานกำกับ
เปรียบเทียบ DORA กับมาตรฐานอื่นที่เกี่ยวข้อง
| หัวข้อ | DORA | ISO 27001 | NIST CSF |
|--------|------|-----------|----------|
| ขอบเขต | ภาคการเงิน EU | ทุกอุตสาหกรรม | ทุกอุตสาหกรรม |
| สถานะ | กฎหมายบังคับ | มาตรฐานสมัครใจ | กรอบแนวทาง |
| การทดสอบ | บังคับ TLPT ทุก 3 ปี | ไม่บังคับเฉพาะเจาะจง | แนะนำแต่ไม่บังคับ |
| Third-party | กำกับโดยตรง | ประเมินเป็นส่วนหนึ่ง | แนะนำการประเมิน |
| บทลงโทษ | ค่าปรับ + เพิกถอนใบอนุญาต | ไม่มีค่าปรับ | ไม่มีค่าปรับ |
| Incident Reporting | บังคับภายใน 4-24 ชม. | ตามนโยบายองค์กร | แนะนำแต่ไม่บังคับ |
องค์กรที่มี ISO 27001 อยู่แล้วจะได้เปรียบ เนื่องจากหลายข้อกำหนดของ DORA มีความคล้ายคลึงกัน แต่ต้องเพิ่มเติมในส่วนของ Operational Resilience Testing และ Third-party Risk Management ที่เข้มงวดกว่า
แนวทางเตรียมตัวสำหรับธุรกิจไทย
แม้ DORA จะเป็นกฎระเบียบของ EU แต่ธุรกิจไทยควรเตรียมตัวตั้งแต่วันนี้ ด้วยเหตุผลหลายประการ ได้แก่ ธนาคารแห่งประเทศไทยมีแนวโน้มที่จะออกกฎระเบียบที่คล้ายคลึงกัน, การเป็น DORA-compliant เป็นข้อได้เปรียบในการแข่งขันระดับสากล และลูกค้าองค์กรต่างชาติจะเริ่มกำหนดให้ Vendor ปฏิบัติตาม DORA
ขั้นตอนที่ 1: Gap Analysis - ประเมินสถานะปัจจุบันขององค์กรเทียบกับข้อกำหนด DORA ทั้ง 5 หลักการ ระบุช่องว่างและจัดลำดับความสำคัญ
ขั้นตอนที่ 2: สร้าง ICT Risk Management Framework - พัฒนากรอบการจัดการความเสี่ยง ICT ที่สอดคล้องกับ DORA รวมถึงนโยบาย กระบวนการ และเครื่องมือที่จำเป็น
ขั้นตอนที่ 3: ปรับปรุงระบบ Incident Response - พัฒนาแผนตอบสนองเหตุการณ์ที่สามารถรายงานภายในกรอบเวลาที่กำหนด พร้อมทดสอบแผนอย่างสม่ำเสมอ
ขั้นตอนที่ 4: จัดการ Third-party Risk - ทบทวนสัญญากับผู้ให้บริการ ICT ทั้งหมด เพิ่มข้อกำหนดด้าน Operational Resilience และจัดทำแผนสำรองกรณี Vendor ล้มเหลว
ขั้นตอนที่ 5: ทดสอบและปรับปรุงอย่างต่อเนื่อง - จัดทำแผนทดสอบความทนทานประจำปี ทั้ง Vulnerability Assessment, Penetration Testing และ Business Continuity Drill
สรุปและข้อแนะนำ
DORA เป็นกฎระเบียบที่ยกระดับมาตรฐานความทนทานด้านดิจิทัลของภาคการเงินอย่างมีนัยสำคัญ ไม่ว่าธุรกิจของคุณจะอยู่ในขอบเขตของ DORA โดยตรงหรือไม่ การนำหลักการของ DORA มาปรับใช้จะช่วยเสริมความแข็งแกร่งให้กับระบบ ICT ขององค์กร ลดความเสี่ยงจากภัยไซเบอร์ และสร้างความเชื่อมั่นให้กับลูกค้าและพันธมิตรทางธุรกิจ
หากคุณกำลังมองหาที่ปรึกษาด้าน IT Compliance หรือต้องการความช่วยเหลือในการเตรียมตัวสำหรับ DORA สามารถติดต่อทีม ADS FIT ได้เลย เราพร้อมช่วยคุณวางแผนและดำเนินการให้สอดคล้องกับมาตรฐานสากล อ่านบทความอื่นๆ เกี่ยวกับ Compliance และ IT Security ได้ที่ [บล็อก ADS FIT](/blog)