DORA: บททดสอบความยืดหยุ่นทางดิจิทัลของภาคการเงินยุโรป

ในยุคที่ภัยคุกคามทางไซเบอร์และความซับซ้อนของระบบเทคโนโลยีสารสนเทศ (ICT) กำลังเพิ่มขึ้นอย่างต่อเนื่อง สหภาพยุโรปได้ออกกฎระเบียบ Digital Operational Resilience Act (DORA) เพื่อยกระดับความปลอดภัยและเสถียรภาพของภาคการเงิน ภายใต้กรอบกฎหมายนี้ สถาบันการเงินต้องพัฒนาแนวทางที่เข้มงวดขึ้นในการบริหารจัดการความเสี่ยงทางดิจิทัล ซึ่งสะท้อนถึงการเปลี่ยนแปลงเชิงโครงสร้างในการกำกับดูแลระบบการเงินระดับโลก  

บทความนี้จะพาไปสำรวจว่า DORA มีบทบาทสำคัญในการปรับปรุงกระบวนการทำงาน และความเสี่ยงที่เกี่ยวข้องกับการดำเนินงานทางดิจิทัลอย่างไร รวมถึงผลกระทบที่มีต่อสถาบันการเงินและการพัฒนาของระบบการเงินที่ยั่งยืนในยุคดิจิทัล 

DORA: มาตรฐานใหม่สำหรับการบริหารจัดการความเสี่ยงทาง ICT 

Digital Operational Resilience Act (DORA) กฎระเบียบสำคัญที่สหภาพยุโรป (EU) ได้นำมาใช้เพื่อเสริมสร้างความมั่นคงทางไซเบอร์และเพิ่มความสามารถในการดำเนินงานของสถาบันการเงินในยุคที่เทคโนโลยีสารสนเทศและการสื่อสาร (ICT) โดยมีบทบาทสำคัญในระบบการเงินโลก กฎระเบียบนี้ได้รับการรับรองในปี 2022 และจะมีผลบังคับใช้เต็มรูปแบบในวันที่ 17 มกราคม 2025 

โดย DORA มุ่งเน้นการกำหนดมาตรฐานที่ชัดเจนในการบริหารความเสี่ยงด้าน ICT โดยเฉพาะในภาคการเงิน เพื่อให้หน่วยงานทางการเงินสามารถรับมือกับภัยคุกคามทางไซเบอร์ได้อย่างมีประสิทธิภาพ และลดความเสี่ยงจากการหยุดชะงักของระบบการเงินที่อาจเกิดขึ้น ในขณะที่ภัยคุกคามทางไซเบอร์และความซับซ้อนของระบบ ICT กำลังเพิ่มขึ้นอย่างต่อเนื่อง สหภาพยุโรปจึงเห็นความจำเป็นในการออกกฎระเบียบนี้เพื่อยกระดับความปลอดภัยและเสถียรภาพของภาคการเงิน ซึ่งสะท้อนถึงการเปลี่ยนแปลงเชิงโครงสร้างในการกำกับดูแลระบบการเงินระดับโลกอย่างต่อเนื่อง 

เสาหลักสำคัญของ DORA และบทบาทในการเสริมสร้างความมั่นคงทางดิจิทัลในภาคการเงิน 

Digital Operational Resilience Act (DORA) คือกฎระเบียบที่ถูกออกแบบมาเพื่อเพิ่มความมั่นคงทางไซเบอร์และความสามารถในการดำเนินงานของสถาบันการเงินในสหภาพยุโรป โดย DORA ได้กำหนดเสาหลัก 5 ประการที่เป็นแนวทางในการจัดการความเสี่ยงทางดิจิทัล เพื่อให้สถาบันการเงินสามารถรับมือกับภัยคุกคามทางไซเบอร์ได้อย่างมีประสิทธิภาพและฟื้นตัวจากเหตุการณ์ที่เกี่ยวข้องกับ ICT ได้อย่างรวดเร็ว ซึ่งได้แก่ 

• การจัดการความเสี่ยงด้าน ICT หนึ่งในเสาหลักที่สำคัญที่สุดของ DORA คือการจัดการความเสี่ยงด้าน ICT ซึ่งหน่วยงานทางการเงินต้องพัฒนาและกำหนดกรอบการทำงานที่ครอบคลุม เพื่อให้สามารถระบุ ประเมิน และบรรเทาความเสี่ยงจากภัยคุกคามทางดิจิทัลได้อย่างมีประสิทธิภาพ การระบุความเสี่ยงอย่างละเอียดจะช่วยให้สามารถจัดการกับปัญหาที่อาจเกิดขึ้นได้อย่างทันท่วงที รวมถึงการกำหนดบทบาท ความรับผิดชอบ และการยอมรับความเสี่ยงที่เหมาะสม ซึ่งจะช่วยลดความเสี่ยงจากการหยุดชะงักของระบบการเงินและป้องกันเหตุการณ์ที่จะเกิดขึ้นในอนาคต 

• การรายงานเหตุการณ์ ICT อย่างทันท่วงที และมีระบบระเบียบที่ชัดเจนเป็นสิ่งสำคัญในการตอบสนองต่อเหตุการณ์ที่เกิดขึ้น ในกรอบ DORA นี้ สถาบันการเงินต้องใช้มาตรฐานการรายงานที่กำหนดไว้ ซึ่งรวมถึงการแจ้งเตือนไปยังหน่วยงานที่มีอำนาจหน้าที่ระดับชาติ (NCA) ในกรณีที่เกิดเหตุการณ์สำคัญ ในกรอบเวลาที่เข้มงวด เช่น การรายงานเบื้องต้นภายใน 4 ชั่วโมงหลังจากเกิดเหตุการณ์ และรายงานขั้นกลางและขั้นสุดท้ายในระยะเวลาที่กำหนด เพื่อให้สามารถติดตามและจัดการปัญหาได้อย่างรวดเร็วและมีประสิทธิภาพ 

• การทดสอบความสามารถในการรับมือของการดำเนินงานทางดิจิทัล (DORT) การทดสอบความสามารถในการรับมือและการฟื้นตัวจากเหตุการณ์ที่เกี่ยวข้องกับ ICT (Digital Operational Resilience Testing - DORT) เป็นอีกหนึ่งมาตรการที่ DORA กำหนดไว้ เพื่อให้มั่นใจว่าสถาบันการเงินมีความสามารถในการต้านทานและฟื้นตัวจากการหยุดชะงักที่อาจเกิดขึ้น การทดสอบช่องโหว่และการฝึกซ้อมตามสถานการณ์จะช่วยระบุจุดอ่อนของระบบ ICT และช่วยเพิ่มความสามารถในการรับมือกับเหตุการณ์ที่ไม่คาดคิด 

• การจัดการความเสี่ยงจากบุคคลที่สามด้าน ICT ในโลกที่เชื่อมโยงกันผ่านเทคโนโลยี การพึ่งพาผู้ให้บริการบุคคลที่สามที่มีส่วนเกี่ยวข้องกับการดำเนินงานทางดิจิทัลของสถาบันการเงินเป็นเรื่องที่หลีกเลี่ยงไม่ได้ อย่างไรก็ตาม การใช้บริการจากบุคคลที่สามอาจเสี่ยงต่อช่องโหว่ที่อาจเกิดขึ้นจากการปฏิบัติการที่ไม่เป็นไปตามมาตรฐาน DORA ดังนั้น สถาบันการเงินต้องมีการตรวจสอบและจัดการความเสี่ยงที่เกี่ยวข้องกับบุคคลที่สามอย่างเข้มงวด เพื่อให้มั่นใจว่าพันธมิตรทางธุรกิจภายนอกปฏิบัติตามมาตรฐานที่กำหนด เพื่อป้องกันการเสี่ยงจากช่องโหว่ที่อาจเกิดขึ้น 

• การแบ่งปันข้อมูลเกี่ยวกับภัยคุกคามทางไซเบอร์ เสาหลักสุดท้ายของ DORA ส่งเสริมการแบ่งปันข้อมูลระหว่างหน่วยงานทางการเงินเกี่ยวกับภัยคุกคามทางไซเบอร์และช่องโหว่ที่พบ โดยการทำงานร่วมกันผ่านแพลตฟอร์มระหว่างหน่วยงานที่เชื่อถือได้ สถาบันการเงินสามารถแลกเปลี่ยนข้อมูล และความรู้เกี่ยวกับภัยคุกคามใหม่ ๆ ซึ่งจะช่วยเสริมสร้างความเข้มแข็งในการป้องกันภัยคุกคามทางไซเบอร์ การแบ่งปันข้อมูลช่วยให้สามารถพัฒนาความร่วมมือในระดับภูมิภาคและระดับโลกเพื่อปกป้องระบบการเงินจากภัยคุกคามที่ซับซ้อน 

เสาหลักเหล่านี้มีจุดมุ่งหมายร่วมกันในการเสริมสร้างความสามารถในการรับมือกับภัยคุกคามทางไซเบอร์และการหยุดชะงักทางเทคโนโลยีที่อาจเกิดขึ้นในระบบการเงิน สถาบันการเงินที่ปฏิบัติตาม DORA จะสามารถลดความเสี่ยงจากการหยุดชะงักของระบบ ICT และมีความพร้อมในการรับมือกับสถานการณ์วิกฤติได้ดียิ่งขึ้น ส่งผลให้ความมั่นคงและเสถียรภาพของระบบการเงินในระดับโลกได้รับการเสริมสร้างอย่างยั่งยืน อย่างไรก็ตาม อย่างไรก็ตาม การละเมิดข้อกำหนดของ DORA อาจนำไปสู่บทลงโทษที่รุนแรง โดยองค์กรที่ฝ่าฝืนอาจถูกปรับสูงสุดถึง 2% ของรายได้เฉลี่ยต่อวันทั่วโลก ขณะที่บุคคลที่เกี่ยวข้องอาจต้องเผชิญค่าปรับสูงสุดถึง 1 ล้านยูโร 

“DORA กับผลกระทบต่อภาคการเงินไทย” 

แม้ว่า Digital Operational Resilience Act (DORA) จะเป็นกฎหมายที่บังคับใช้ภายในสหภาพยุโรป (EU) เป็นหลัก แต่แนวทางและข้อกำหนดของกฎหมายนี้อาจส่งผลกระทบเป็นวงกว้าง รวมถึงภาคการเงินของไทยและแนวทางกำกับดูแลด้านดิจิทัลและความมั่นคงปลอดภัยทางไซเบอร์ โดยเฉพาะในยุคที่สถาบันการเงินต้องเผชิญกับความท้าทายด้านภัยคุกคามไซเบอร์และการเปลี่ยนแปลงทางเทคโนโลยี 

ผลกระทบของ DORA ต่อระบบการเงินไทยอาจเกิดขึ้นในหลายมิติ ตั้งแต่การกำกับดูแลที่อาจต้องปรับให้สอดคล้องกับมาตรฐานสากล แรงกดดันด้านการปฏิบัติตามข้อกำหนด (Compliance) ไปจนถึงการยกระดับแนวทางบริหารความเสี่ยงของสถาบันการเงินเพื่อเสริมสร้างความแข็งแกร่งของระบบการเงินโดยรวม เช่น  

• การกำกับดูแลและมาตรฐานสากล: ธนาคารแห่งประเทศไทยและหน่วยงานกำกับดูแลอื่น ๆ อาจพิจารณาปรับแนวทางการกำกับดูแลให้สอดคล้องกับมาตรฐานที่กำหนดโดย DORA เพื่อให้สถาบันการเงินของไทยสามารถแข่งขันในตลาดโลก 

• แรงกดดันด้าน Compliance: ธุรกิจการเงินไทยที่มีความเชื่อมโยงกับยุโรปอาจต้องปฏิบัติตามข้อกำหนดของ DORA ซึ่งอาจเพิ่มต้นทุนด้านการดำเนินงานและการลงทุนในโครงสร้างพื้นฐานดิจิทัล 

• การพัฒนาแนวทางบริหารความเสี่ยงทางไซเบอร์: DORA เน้นความสำคัญของการบริหารความเสี่ยงของระบบ ICT และการรายงานเหตุการณ์ด้านไซเบอร์ ซึ่งอาจกระตุ้นให้สถาบันการเงินไทยยกระดับมาตรฐานของตนเอง 

• ผลกระทบต่อผู้ให้บริการภายนอก: สถาบันการเงินไทยอาจต้องเข้มงวดมากขึ้นในการเลือกและบริหารจัดการผู้ให้บริการเทคโนโลยีและโครงสร้างพื้นฐานที่เกี่ยวข้อง 

• โอกาสในการเพิ่มความน่าเชื่อถือและความสามารถในการแข่งขัน: การนำแนวปฏิบัติของ DORA มาใช้ อาจช่วยให้สถาบันการเงินของไทยเป็นที่ยอมรับมากขึ้นในระดับสากล 

  
  

โดยรวมแล้ว แม้ DORA จะเป็นกฎหมายของยุโรป แต่ผลกระทบที่อาจเกิดขึ้นกับภาคการเงินไทยเป็นสิ่งที่ไม่ควรมองข้าม การเตรียมความพร้อมและการปรับตัวให้สอดคล้องกับมาตรฐานใหม่เหล่านี้อาจช่วยให้ระบบการเงินของไทยแข็งแกร่งขึ้น พร้อมรับมือกับความเสี่ยงและโอกาสที่เกิดขึ้นจากโลกดิจิทัลที่เปลี่ยนแปลงอย่างรวดเร็ว ดังนั้น องค์กรที่สามารถปรับตัวได้อย่างรวดเร็วและมีการวางกลยุทธ์ด้าน Digital Risk Management ที่แข็งแกร่ง จะสามารถใช้ประโยชน์จาก DORA เป็นแต้มต่อทางการแข่งขันในตลาดที่มีความซับซ้อนมากขึ้น ในขณะเดียวกัน บริษัทที่เพิกเฉยต่อการปรับตัว อาจเผชิญกับความเสี่ยงทางกฎหมายและความเสียหายทางธุรกิจที่รุนแรง 

แหล่งที่มา:  

• https://www.eba.europa.eu/activities/direct-supervision-and-oversight/digital-operational-resilience-act  

• https://www.esma.europa.eu/esmas-activities/digital-finance-and-innovation/digital-operational-resilience-act-dora  

• https://en.wikipedia.org/wiki/Digital_Operational_Resilience_Act  

• https://www.grantthornton.ie/insights/factsheets/digital-operational-resilience-act-dora-regulation-summary/  

• https://www.ibm.com/think/topics/digital-operational-resilience-act  

• https://www.auditboard.com/blog/digital-operational-resilience-act-explained/  

• https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en  

• https://stape.io/blog/dora-regulation  

• https://www.opentext.com/what-is/digital-operational-resilience-act  

• https://www.bmc.com/learn/digital-operations-resilience-act-dora-explained.html 

• https://sigma.software/about/media/preparing-for-dora-5-pillars-of-dora-and-how-to-achieve-compliance 

• https://www.houseofcontrol.com/blog/the-five-pillars-of-dora 

• https://www.mega.com/blog/five-pillars-digital-operational-resilience-act 

• https://www.cm-alliance.com/cybersecurity-blog/what-are-the-5-pillars-of-the-eu-dora-regulation 

• https://adoptech.co.uk/how-to-achieve-the-five-pillars-of-dora/ 

• https://gatlabs.com/blogpost/the-5-pillars-of-dora-ensuring-financial-resilience-in-a-digital-age/ 

• https://www.resolver.com/blog/digital-operational-resilience-act-dora/ 

• https://br-ag.eu/2023/11/20/countdown-to-dora-five-pillars-to-strengthen-resilience/ 

• https://www.metomic.io/resource-centre/a-complete-guide-to-dora 

• https://www.bot.or.th/content/dam/bot/fipcs/documents/FPG/2565/EngPDF/25650188.pdf 

• https://about.gitlab.com/blog/2025/01/15/what-the-digital-operational-resilience-act-means-for-banks/ 

• https://www.nortonrosefulbright.com/en-th/knowledge/publications/80e57903/dora-digital-operational-resilience-act 

• https://www.boc-group.com/en/blog/grc/dora-strengthening-digital-resilience-in-the-financial-sector/ 

• https://www.nortonrosefulbright.com/en-th/knowledge/publications/3215deb7/operational-resilience-regulation-around-the-world 

• https://www.bot.or.th/en/financial-innovation/resilient-regulation.html 

• https://www.fireblocks.com/blog/how-dora-will-affect-the-digital-asset-space/