ISO / GMP / อย.

พ.ร.บ. ไซเบอร์ 2562 (Thailand Cybersecurity Act) 2026: คู่มือปฏิบัติสำหรับ SME ไทย

พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 มีผลโดยตรงกับ SME ไทยที่ทำธุรกิจกับหน่วยงานรัฐหรือเป็น Critical Information Infrastructure (CII) บทความนี้สรุปข้อกำหนด, บทบาท NCSA, ขั้นตอนเตรียมความพร้อม และค่าปรับสำหรับปี 2026

AF
ADS FIT Team
·8 นาที
Share:
พ.ร.บ. ไซเบอร์ 2562 (Thailand Cybersecurity Act) 2026: คู่มือปฏิบัติสำหรับ SME ไทย

# พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ฉบับใช้งานปี 2026: คู่มือ Compliance สำหรับ SME ไทย

ในยุคที่ภัยไซเบอร์เพิ่มขึ้นทุกปี SME ไทยจำนวนมากยังเข้าใจผิดว่า "พ.ร.บ. ไซเบอร์ 2562" หรือ Thailand Cybersecurity Act บังคับใช้เฉพาะหน่วยงานรัฐและธนาคารใหญ่เท่านั้น ความจริงคือ บริษัท SME ที่ทำธุรกิจกับโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) เช่น คู่ค้าโรงพยาบาล, Outsource ระบบไฟฟ้า, หรือ Vendor ของหน่วยงานรัฐ ก็มีหน้าที่ตามกฎหมายเช่นกัน

บทความนี้สรุปข้อกำหนดของ พ.ร.บ. ฉบับใช้งานปี 2026 บทบาทของ NCSA (สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ) ขั้นตอนการเตรียมตัวให้สอดคล้อง พร้อมตารางบทลงโทษและ checklist ปฏิบัติงานที่ทีม IT ใช้ได้เลย

1. โครงสร้างของ พ.ร.บ. ไซเบอร์ 2562 ที่ต้องรู้

พ.ร.บ. ฉบับนี้มีผลบังคับใช้ตั้งแต่ 28 พฤษภาคม 2562 และมีกฎหมายลำดับรอง (อนุบัญญัติ) ทยอยออกมาหลายฉบับจนถึงปี 2026 จุดที่ SME ต้องโฟกัส:

  • **นิยาม CII** ครอบคลุม 8 หมวด ได้แก่ ความมั่นคงรัฐ, การเงินการธนาคาร, เทคโนโลยีสารสนเทศและโทรคมนาคม, การขนส่งและโลจิสติกส์, พลังงานและสาธารณูปโภค, สาธารณสุข, บริการรัฐที่สำคัญ, และอื่นๆ ที่ ครม. ประกาศเพิ่ม
  • **สามระดับภัย** Critical, High, Major ส่งผลถึงระยะเวลา Reporting และ Containment ที่แตกต่างกัน
  • **บทบาท NCSA** กำกับดูแล, ออก policy, ตรวจสอบ, และมีอำนาจสั่งการในกรณีฉุกเฉิน
  • **TH-CERT (ThaiCERT)** หน่วย Incident Response ที่หน่วยงาน CII ต้องรายงานเหตุภายในเวลากำหนด

    • 2. SME ไทยแบบไหนถูกบังคับใช้ พ.ร.บ.

    หลาย SME คิดว่า "เราเป็นบริษัทเล็ก ไม่ใช่ CII" แต่ในทางปฏิบัติ SME ที่ทำธุรกิจต่อไปนี้มักโดน Audit หรือ Vendor Assessment ตามมาตรา 49–55:

  • Vendor / Outsource ของหน่วยงาน CII เช่น โรงพยาบาลรัฐ, การไฟฟ้า, การประปา
  • ผู้ให้บริการ Cloud / SaaS ที่หน่วยงานรัฐใช้งาน
  • บริษัทรับทำเว็บไซต์ / ระบบให้กระทรวง
  • ผู้ให้บริการ Data Center, Co-location, ISP
  • Fintech, e-Wallet, Lending Platform ที่อยู่ใต้ ธปท. และ ก.ล.ต.

    • หากตอบ "ใช่" ข้อใดข้อหนึ่ง ทีม IT ควรเตรียม Compliance Document ตามที่ลูกค้าหลัก (CII) ขอ

    3. ข้อกำหนดสำคัญที่ SME ต้องทำ

    | ข้อกำหนด | สิ่งที่ต้องทำ | เอกสารหลักฐาน |

    |---------|---------------|----------------|

    | Risk Assessment | ประเมินความเสี่ยง Asset, Threat, Vulnerability ทุกปี | Risk Register |

    | Security Policy | จัดทำ Cybersecurity Policy ระดับองค์กร | นโยบายลายลักษณ์อักษร + Sign-off |

    | Access Control | RBAC, MFA, Privileged Access Management | Access Matrix, AD/IAM Logs |

    | Incident Response | มี IR Plan + Runbook + Tabletop Exercise | IR Plan, IR Log |

    | Logging & Monitoring | เก็บ Audit Log ขั้นต่ำ 90 วัน, รวมที่ SIEM | SIEM Dashboard, Retention Policy |

    | Reporting | แจ้ง NCSA/ThaiCERT ภายใน 24 ชม. (Critical) | DLR-Form, Report ที่ส่งจริง |

    | Audit | Internal Audit ปีละครั้ง, External Audit ตามที่ NCSA สั่ง | Audit Report |

    4. ระยะเวลาการแจ้งเหตุ (Incident Reporting Timeline)

  • **Critical** เหตุที่กระทบโครงสร้างพื้นฐานระดับชาติ ต้องรายงาน ThaiCERT ภายใน **24 ชั่วโมง** หลังพบเหตุ
  • **High** กระทบระบบสำคัญขององค์กร CII ต้องรายงานภายใน **48 ชั่วโมง**
  • **Major** เหตุทั่วไปที่อาจขยายผล ต้องรายงานในรอบสรุปประจำสัปดาห์

    • ระบบรายงานหลักที่ใช้คือ Threat Watch Portal ของ NCSA และ ThaiCERT Incident Form (อีเมล report@thaicert.or.th) ทีม IT SME ควรมี Template Email Reporting พร้อมใช้

    5. บทลงโทษและค่าปรับที่ SME ต้องระวัง

    | ความผิด | บทลงโทษ |

    |---------|---------|

    | ไม่ปฏิบัติตามมาตรการที่ NCSA สั่ง | ปรับสูงสุด 300,000 บาท |

    | ไม่แจ้งเหตุภายในเวลาที่กำหนด | ปรับสูงสุด 200,000 บาท + ปรับรายวัน |

    | ขัดขวางการปฏิบัติหน้าที่ของพนักงานเจ้าหน้าที่ | จำคุกไม่เกิน 3 ปี หรือปรับไม่เกิน 60,000 บาท |

    | ฝ่าฝืนคำสั่งระงับเหตุของ NCSA | ปรับสูงสุด 500,000 บาท หรือจำคุกไม่เกิน 5 ปี |

    | ผู้ให้บริการที่ไม่เก็บ Log ตามที่กำหนด | ปรับตาม พ.ร.บ. คอมพิวเตอร์ มาตรา 26 + พ.ร.บ. ไซเบอร์ |

    หมายเหตุ: ค่าปรับสามารถซ้อนกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ได้ หากเหตุการณ์เดียวกันกระทบทั้ง Cyber Security และ Personal Data

    6. ขั้นตอนเตรียมความพร้อม Compliance ใน 90 วัน

    สัปดาห์ที่ 1–2: Gap Analysis

  • ตรวจสอบว่า SME ของเราเข้าข่าย CII หรือเป็น Vendor CII หรือไม่
  • ทำ Asset Inventory ทุกระบบ Production + Data Classification
  • Mapping ข้อกำหนด พ.ร.บ. กับสิ่งที่มีอยู่จริง

    • สัปดาห์ที่ 3–6: Policy & Control

  • เขียน Cybersecurity Policy ฉบับเต็ม
  • ตั้ง MFA, RBAC, Password Policy ตามมาตรฐาน NIST 800-63B
  • Deploy SIEM (Wazuh, Graylog) + Log Collector + Retention 90 วันขั้นต่ำ
  • ทำ Vulnerability Assessment + Patch Management Cycle

    • สัปดาห์ที่ 7–10: Incident Response & Tabletop

  • เขียน IR Plan + Runbook (Ransomware, Phishing, Data Leak, DDoS)
  • จัด Tabletop Exercise กับฝ่ายบริหาร
  • กำหนด Communication Tree และ Reporting Channel กับ ThaiCERT

    • สัปดาห์ที่ 11–13: Internal Audit & Submit

  • ทำ Internal Audit ตามแบบฟอร์มที่ NCSA กำหนด
  • เตรียม Compliance Document Set สำหรับลูกค้า CII
  • Submit Self-Assessment ผ่าน Threat Watch Portal (ถ้าเป็น CII)

    • 7. เปรียบเทียบ พ.ร.บ. ไซเบอร์ 2562 กับมาตรฐานสากล

    | มาตรฐาน | ขอบเขต | จุดเน้น | ความเข้ากันกับ พ.ร.บ. ไซเบอร์ |

    |---------|--------|---------|-------------------------------|

    | ISO/IEC 27001 | ระบบบริหารความปลอดภัยข้อมูล | Risk-based, ครอบคลุมทั่วองค์กร | ครอบคลุม 70% ของข้อกำหนด |

    | NIST CSF 2.0 | Framework ระดับชาติของสหรัฐฯ | Identify-Protect-Detect-Respond-Recover | ครอบคลุม 75% ของข้อกำหนด |

    | PCI DSS 4.0 | ข้อมูลบัตรเครดิต | Payment ecosystem | เฉพาะส่วน Cardholder Data |

    | ISO/IEC 27017 | Cloud Security | ผู้ให้บริการและผู้ใช้ Cloud | เสริม พ.ร.บ. ในส่วน Cloud |

    | TISI 27001 | มาตรฐานไทย อิง ISO | ใช้ในหน่วยงานรัฐและรัฐวิสาหกิจ | สอดคล้องเต็มที่ |

    แนะนำให้ SME ที่จริงจังเรื่อง Compliance ขอ ISO/IEC 27001 + NIST CSF Mapping เพราะใช้ครอบคลุม พ.ร.บ. ไซเบอร์ + PDPA + ลูกค้าต่างประเทศ

    8. ข้อผิดพลาดที่ SME ทำบ่อย

  • **คิดว่าทำ PDPA ก็พอ** PDPA คุ้มครองข้อมูลส่วนบุคคล แต่ไม่ครอบคลุม Operational Security เช่น Network Hardening, Patch, IR
  • **ใช้ Free Antivirus เป็น Endpoint** Audit จะถาม EDR + Centralized Management ที่มี Log
  • **ไม่มี Vendor Risk Assessment** ลูกค้า CII จะตรวจ Sub-Vendor ของเราเสมอ
  • **เก็บ Log ใน Local Server เดียว** Logs ต้องส่งเข้า SIEM กลาง ไม่ใช่อยู่บนเครื่องที่อาจถูก Wipe
  • **ไม่ทดสอบ IR Plan** Plan ที่ไม่เคยซ้อม = Plan ที่ใช้งานไม่ได้

    • 9. สรุปและ Next Step

    พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ฉบับใช้งานปี 2026 ถือเป็น Baseline ของการทำธุรกิจกับหน่วยงานรัฐและ Critical Infrastructure ในประเทศไทย SME ที่อยากต่อสัญญายาวๆ กับลูกค้า CII จึงควรเตรียม Compliance ตั้งแต่วันนี้ ไม่ต้องรอจนถูก Audit แล้วรีบทำ

    Next Step ที่ทีม IT ทำได้พรุ่งนี้:

  • Audit ขอบเขต CII ของลูกค้าหลัก
  • ทำ Gap Analysis เทียบ พ.ร.บ. + ISO 27001
  • เริ่ม Deploy SIEM และ MFA ทุก Critical System
  • เขียน IR Plan + Tabletop ครั้งแรก

    • หากต้องการที่ปรึกษาช่วยทำ Cybersecurity Compliance ตาม พ.ร.บ. ไซเบอร์ 2562, PDPA, ISO 27001 หรือต้องการ Internal Audit ก่อนยื่น CII Self-Assessment ทีม ADS FIT มีบริการครบวงจรสำหรับ SME ไทย ทั้ง Policy Drafting, SIEM Deployment, IR Tabletop และ Compliance Audit

    Tags

    #พ.ร.บ. ไซเบอร์#Cybersecurity Act#NCSA#CII#Compliance#SME ไทย#ไซเบอร์ซีเคียวริตี้

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🛡️

    PDPA DPA 2026: คู่มือ Data Processing Agreement สัญญาประมวลผลข้อมูลส่วนบุคคล SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 37001 คืออะไร? คู่มือ Anti-Bribery Management ธุรกิจไทย 2026

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 14001 Environmental Management System (EMS): คู่มือมาตรฐานสิ่งแวดล้อมสำหรับ SME ไทย 2026

    7 พฤษภาคม 2569 · 9 นาที