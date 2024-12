สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) ออกประกาศปรับปรุงหลักเกณฑ์ เรื่อง ข้อกำหนดในรายละเอียดเกี่ยวกับการจัดให้มีระบบเทคโนโลยีสารสนเทศ (ประกาศ IT) เพื่อให้สอดคล้องกับระดับความเสี่ยงของผู้ประกอบธุรกิจแต่ละกลุ่ม รองรับการเปลี่ยนแปลงของเทคโนโลยี รับมือภัยคุกคามทางไซเบอร์ และสอดคล้องมาตรฐานสากลที่ยอมรับ โดยมีผลตั้งแต่วันที่ 1 มกราคม 2568ตามที่ ก.ล.ต. มีแนวคิดในการปรับปรุงหลักเกณฑ์การจัดให้มีระบบเทคโนโลยีสารสนเทศ (IT) ผู้ประกอบธุรกิจในตลาดทุนให้มีความปลอดภัยและสร้างความเชื่อมั่นให้ผู้ลงทุนยิ่งขึ้น โดยได้เปิดรับฟังความคิดเห็นในการปรับปรุงร่างประกาศดังกล่าวเมื่อเดือนตุลาคมที่ผ่านมา รวมทั้งได้นำความเห็นและข้อเสนอแนะอย่างกว้างขวางของผู้เกี่ยวข้องมาใช้ประกอบการยกร่างประกาศและแนวปฏิบัติที่เกี่ยวข้องแล้วนั้นก.ล.ต. จึงออกประกาศ IT ฉบับแก้ไขเพิ่มเติม โดยมีรายละเอียดส่วนที่สำคัญดังนี้(1) ปรับความถี่ของการจัดส่งรายงานผลการตรวจสอบด้าน IT ให้เหมาะสมกับขนาดและความเสี่ยงสำหรับผู้ประกอบธุรกิจขนาดเล็ก และผู้ประกอบธุรกิจที่มีความเสี่ยงระดับต่ำ โดยยังคงติดตามความเสี่ยงของผู้ประกอบธุรกิจดังกล่าวได้เมื่อเกิดเหตุการณ์ไม่พึงประสงค์(2) ปรับกำหนดเวลาการจัดส่งรายงานผลการประเมินระดับความเสี่ยงตามแบบ RLA (Risk Level Assessment) และรายงานผลการตรวจสอบด้าน IT เป็นช่วงเวลาเดียวกัน โดยกำหนดให้จัดส่งภายในไตรมาสที่ 1 ของทุกปีปฏิทิน(3) ปรับปรุงข้อกำหนดการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมกับความเสี่ยงของผู้ประกอบธุรกิจขนาดเล็ก (cyber hygiene) เช่น การปรับรอบความถี่การทดสอบการเจาะระบบ การเพิ่มมาตรการควบคุมการเข้าถึงให้ครอบคลุมทั้งบัญชีผู้ใช้งานทั่วไปและบัญชีผู้ใช้งานสิทธิสูง และกำหนดให้ผู้ประกอบธุรกิจมีการบริหารจัดการเหตุการณ์ผิดปกติด้าน IT โดยครอบคลุมการวิเคราะห์สาเหตุ การบันทึกข้อมูลเหตุการณ์ผิดปกติด้าน IT และการรายงานเหตุการณ์ดังกล่าว(4) ปรับปรุงขอบเขตการบังคับใช้สำหรับผู้ประกอบธุรกิจการเป็นที่ปรึกษาการลงทุนเพื่อให้ผู้ประกอบธุรกิจดังกล่าวมีมาตรการบริหารจัดการและควบคุมความเสี่ยงทางด้าน IT ที่เหมาะสมยิ่งขึ้น(5) ปรับปรุงรายละเอียดอื่นๆ ของหลักเกณฑ์เพื่อสื่อสารเจตนารมณ์และทำให้ผู้ประกอบธุรกิจสามารถนำไปปฏิบัติและจัดให้มีมาตรการควบคุมความเสี่ยงได้ดียิ่งขึ้นทั้งนี้ ประกาศดังกล่าวมีผลใช้บังคับตั้งแต่วันที่ 1 มกราคม 2568 เป็นต้นไป