세계법령정보센터

สำนักงานคณะกรรมการกฤษฎีกา

พระราชบัญญัติ การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒ พระบาทสมเด็จพระปรเมนทรรามาธิบดีศรีสินทรมหาวชิราลงกรณ พระวชิรเกล้าเจ้าอยู่หัว ให้ไว้ ณ วันที่ ๒๔ พฤษภาคม พ.ศ. ๒๕๖๒ เป็นปีที่ ๔ ในรัชกาลปัจจุบัน พระบาทสมเด็จพระปรเมนทรรามาธิบดีศรีสินทรมหาวชิราลงกรณ พระวชิรเกล้าเจ้าอยู่หัว มีพระบรมราชโองการโปรดเกล้า ฯ ให้ประกาศว่า โดยที่เป็นการสมควรมีกฎหมายว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ พระราชบัญญัติฉบับนี้มีบทบัญญัติบางประการเกี่ยวกับการจำกัดสิทธิและเสรีภาพของบุคคล ซึ่งมาตรา ๒๖ ประกอบกับมาตรา ๓๒ มาตรา ๓๓ มาตรา ๓๖ และมาตรา ๓๗ ของรัฐธรรมนูญแห่งราชอาณาจักรไทย บัญญัติให้กระทำได้โดยอาศัยอำนาจตามบทบัญญัติแห่งกฎหมาย เหตุผลในการประกาศใช้พระราชบัญญัติฉบับนี้ คือ โดยที่ปัจจุบันภัยคุกคามทางไซเบอร์มีลักษณะรุนแรง ซับซ้อน และมีผลกระทบในวงกว้าง ดังนั้น เพื่อให้การรักษาความมั่นคงปลอดภัยไซเบอร์มีประสิทธิภาพ และเพื่อให้มีมาตรการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์อันกระทบต่อความมั่นคงของรัฐและความสงบเรียบร้อยภายในประเทศ จึงทรงพระกรุณาโปรดเกล้า ฯ ให้ตราพระราชบัญญัตินี้ขึ้นโดยอาศัยอำนาจตามมาตรา ๒๖ ของรัฐธรรมนูญแห่งราชอาณาจักรไทยแล้ว จึงทรงพระกรุณาโปรดเกล้า ฯ ให้ตราพระราชบัญญัตินี้ไว้โดยคำแนะนำและยินยอมของสภานิติบัญญัติแห่งชาติที่ทำหน้าที่รัฐสภา ดังต่อไปนี้

มาตรา ๑ พระราชบัญญัตินี้เรียกว่า “พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒”

มาตรา ๒ พระราชบัญญัตินี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป

มาตรา ๓ ในพระราชบัญญัตินี้

"การรักษาความมั่นคงปลอดภัยไซเบอร์" หมายความว่า มาตรการหรือการดำเนินการที่กำหนดขึ้นเพื่อป้องกัน รับมือ และลดความเสียหายจากภัยคุกคามไซเบอร์ที่มีผลภายในและภายนอกประเทศต่อความมั่นคงของรัฐ ความมั่นคงทางเศรษฐกิจ ความมั่นคงทางทหาร และความสงบเรียบร้อยภายในประเทศ "ภัยคุกคามทางไซเบอร์" หมายความว่า การกระทำหรือการดำเนินการใด ๆ โดยเจตนาโดยใช้คอมพิวเตอร์ระบบคอมพิวเตอร์หรืออุปกรณ์ใด ๆ ที่เชื่อมต่อกับระบบคอมพิวเตอร์ต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลที่เกี่ยวข้อง และเป็นภัยคุกคามไซเบอร์ที่อาจก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทำงานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง "ไซเบอร์" หมายความถึง ข้อมูลและการสื่อสารที่เกิดจากการให้บริการหรือการประยุกต์ใช้เครือข่ายคอมพิวเตอร์ ระบบอินเทอร์เน็ต หรือโครงข่ายโทรคมนาคม รวมทั้งการให้บริการโดยผ่านตัวกลางตามที่สมควรและระบบเครือข่ายใดก็ตามที่เกี่ยวข้องต่อกันเป็นการทั่วไป "หน่วยงานของรัฐ" หมายความว่า ราชการส่วนกลาง ราชการส่วนภูมิภาค ราชการส่วนท้องถิ่น รัฐวิสาหกิจ องค์การมหาชน องค์กรอิสระตามรัฐธรรมนูญ องค์กรอื่นตามที่กฎหมายกำหนด และหน่วยงานอื่นของรัฐ "ประธานแผนงานเชิงปฏิบัติ" หมายความว่า ระเบียบหรือแผนที่คณะกรรมการกำกับดูแลดำเนินการกำหนดขึ้น "เหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์" หมายความว่า เหตุการณ์ที่เกิดจากการกระทำหรือการดำเนินการใด ๆ ที่ส่งผลซึ่งกระทบต่อการรักษาความมั่นคงปลอดภัยไซเบอร์และอาจก่อให้เกิดความเสียหายต่อความมั่นคงของรัฐ ความมั่นคงทางเศรษฐกิจ ความมั่นคงทางทหาร หรือความสงบเรียบร้อยภายในประเทศ รวมทั้งเหตุการณ์ที่เกี่ยวข้องกับระบบคอมพิวเตอร์ "มาตรการแก้ไขปัญหาเพื่อรักษาความมั่นคงปลอดภัยไซเบอร์" หมายความว่า การแก้ไขปัญหาความมั่นคงปลอดภัยไซเบอร์โดยในลักษณะ กระบวนการ และเทคโนโลยี โดยผ่านคอมพิวเตอร์ ระบบคอมพิวเตอร์ โปรแกรมคอมพิวเตอร์ หรือบริการที่เกี่ยวกับคอมพิวเตอร์อื่น ๆ เพื่อสร้างความมั่นคงและเสริมสร้างความมั่นคงปลอดภัยไซเบอร์ในระบบคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ "โครงสร้างพื้นฐานสำคัญทางสารสนเทศ" หมายความว่า คอมพิวเตอร์หรือระบบคอมพิวเตอร์ที่หน่วยงานของรัฐหรือหน่วยงานเอกชนใช้ในการดำเนินกิจการที่กระทบต่อความมั่นคงปลอดภัยของรัฐ ความปลอดภัยสาธารณะ ความมั่นคงทางเศรษฐกิจของประเทศ หรือโครงสร้างพื้นฐานอื่นที่เป็นประโยชน์สาธารณะ "หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ" หมายความว่า หน่วยงานของรัฐหรือบุคคลซึ่งมีฐานะนิติบุคคลที่ให้บริการหรือดำเนินการเกี่ยวกับโครงสร้างพื้นฐานสำคัญทางสารสนเทศของหน่วยงานของรัฐ หรือหน่วยงานเอกชนที่ให้บริการหรือดำเนินการเกี่ยวกับโครงสร้างพื้นฐานสำคัญทางสารสนเทศ "คณะกรรมการ" หมายความว่า คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์ แผ่นที่ ๒ สำนักงานคณะกรรมการกฤษฎีกา - 3 - "พนักงานเจ้าหน้าที่" หมายความว่า ผู้ซึ่งรัฐมนตรีแต่งตั้งให้ปฏิบัติการตามพระราชบัญญัตินี้ "เลขาธิการ" หมายความว่า เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ "สำนักงาน" หมายความว่า สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ "รัฐมนตรี" หมายความว่า รัฐมนตรีผู้รักษาการตามพระราชบัญญัตินี้

มาตรา ๖ ให้รัฐมนตรีรักษาการตามพระราชบัญญัตินี้ และให้มีอำนาจออกประกาศและแต่งตั้งพนักงานเจ้าหน้าที่เพื่อปฏิบัติการตามพระราชบัญญัตินี้

ประกาศนั้น เมื่อได้ประกาศในราชกิจจานุเบกษาแล้วให้ใช้บังคับได้

หมวด ๓

คณะกรรมการ

ส่วนที่ ๑

คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

มาตรา ๗ ให้มีคณะกรรมการคณะหนึ่งเรียกว่า "คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ" เรียกโดยย่อว่า "กมช." และให้ใช้ชื่อเป็นภาษาอังกฤษว่า "National Cyber Security Committee" เรียกโดยย่อว่า "NCSC" ประกอบด้วย

๑

นายกรัฐมนตรี เป็นประธานกรรมการ

๒

กรรมการโดยตำแหน่ง ได้แก่ รัฐมนตรีว่าการกระทรวงกลาโหม รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงการคลัง ปลัดกระทรวงยุติธรรม ผู้บัญชาการตำรวจแห่งชาติ และเลขาธิการสภาความมั่นคงแห่งชาติ

๓

กรรมการผู้ทรงคุณวุฒิ จำนวนไม่เกินห้าคน ซึ่งนายกรัฐมนตรีแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์ในเรื่องที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านเทคโนโลยีสารสนเทศและการสื่อสาร ด้านการวิเคราะห์ข้อมูลภาคคุกคาม ด้านวิทยาศาสตร์ ด้านวิศวกรรมศาสตร์ ด้านกฎหมาย ด้านการเงิน หรือด้านอื่นที่เกี่ยวข้อง และเป็นประโยชน์ต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ ให้เลขาธิการเป็นกรรมการและเลขานุการ และให้เลขาธิการแต่งตั้งพนักงานของสำนักงานเป็นผู้ช่วยเลขานุการได้ไม่เกินสองคน หากมีเลขาธิการและวิธีการสรรหาบุคคลเพื่อเสนอคณะรัฐมนตรีแต่งตั้งเป็นกรรมการผู้ทรงคุณวุฒิ รวมทั้งการสรรหากรรมการผู้ทรงคุณวุฒิเมื่อมีตำแหน่งว่างลงก่อนวาระตามมาตรา ๙ วรรคสอง ให้เป็นไปตามระเบียบที่คณะรัฐมนตรีกำหนดโดยคำแนะนำของคณะกรรมการ

มาตรา 6 กรรมการผู้ทรงคุณวุฒิในคณะกรรมการต้องมีสัญชาติไทย และไม่มีลักษณะต้องห้าม ดังต่อไปนี้

1

เป็นบุคคลล้มละลายหรือเคยเป็นบุคคลล้มละลายทุจริต

2

เป็นคนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ

3

เคยต้องคำพิพากษาถึงที่สุดให้จำคุกและได้รับโทษจำคุกจริงหรือไม่ก็ตาม เว้นแต่เป็นโทษสำหรับความผิดที่ได้กระทำโดยประมาทหรือความผิดลหุโทษ

4

เคยถูกไล่ออก ปลดออก หรือให้ออกจากราชการ หรือออกจากงานจากหน่วยงานที่เคยปฏิบัติหน้าที่ เพราะทุจริตต่อหน้าที่หรือประพฤติชั่วอย่างร้ายแรง

5

เคยถูกถอดถอนออกจากตำแหน่งตามกฎหมาย

6

เป็นผู้ดำรงตำแหน่งทางการเมือง สมาชิกสภาท้องถิ่นหรือผู้บริหารท้องถิ่น กรรมการหรือผู้ดำรงตำแหน่งซึ่งมีอำนาจบริหารพรรคการเมือง ที่ปรึกษาพรรคการเมือง หรือเจ้าหน้าที่ของพรรคการเมือง

มาตรา 7 กรรมการผู้ทรงคุณวุฒิในคณะกรรมการมีวาระการดำรงตำแหน่งคราวละสี่ปี และอาจได้รับแต่งตั้งอีกได้ แต่จะดำรงตำแหน่งเกินสองวาระไม่ได้

ในการนี้หากมีการแต่งตั้งกรรมการผู้ทรงคุณวุฒิเพิ่มเติมหรือกรรมการผู้ทรงคุณวุฒิพ้นจากตำแหน่งก่อนครบวาระ ให้ผู้ได้รับแต่งตั้งแทนอยู่ในตำแหน่งได้เท่ากับวาระที่เหลืออยู่ของกรรมการผู้ทรงคุณวุฒิที่ตนแทน เว้นแต่การพ้นตำแหน่งนั้นมิใช่เพราะมีลักษณะต้องห้ามตามมาตรา 6 เมื่อครบกำหนดวาระตามวรรคหนึ่ง หากยังมิได้แต่งตั้งกรรมการผู้ทรงคุณวุฒิขึ้นใหม่ ให้กรรมการผู้ทรงคุณวุฒิซึ่งพ้นจากตำแหน่งตามวาระนั้น ยังคงปฏิบัติหน้าที่ต่อไปจนกว่าจะได้มีการแต่งตั้งกรรมการผู้ทรงคุณวุฒิขึ้นใหม่

มาตรา 8 นอกจากการพ้นจากตำแหน่งตามวาระตามมาตรา 7 กรรมการผู้ทรงคุณวุฒิพ้นจากตำแหน่ง เมื่อ

1

ตาย

2

ลาออก

3

คณะรัฐมนตรีให้ออก

4

ขาดคุณสมบัติหรือมีลักษณะต้องห้ามตามมาตรา 6

มาตรา 9 คณะกรรมการมีหน้าที่และอำนาจ ดังต่อไปนี้

1

เสนอแนะนโยบายและแผนดำเนินการรักษาความมั่นคงปลอดภัยไซเบอร์ ส่งเสริมและสนับสนุนการดำเนินการรักษาความมั่นคงปลอดภัยไซเบอร์ตามมาตรา 4 และมาตรา 5 ต่อคณะรัฐมนตรีเพื่อให้ความเห็นชอบ ซึ่งต้องเป็นไปตามแนวทางที่กำหนดไว้ในมาตรา 4

2

กำหนดนโยบายการบริหารจัดการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์สำหรับหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ซึ่งกำหนดแนวปฏิบัติการบริหารจัดการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์เสนอคณะรัฐมนตรี สำหรับเป็นแนวแนวทางในการรักษาความมั่นคงปลอดภัยไซเบอร์ในสถานการณ์ปกติ และในสถานการณ์ที่อาจจะเกิดภัยคุกคามทางไซเบอร์ โดยแต่งตั้งคณะทำงานซึ่งจะต้องสอดคล้องกับนโยบาย ยุทธศาสตร์และแผนระดับชาติ และกรอบนโยบายและแผนที่เกี่ยวกับการรักษาความมั่นคงของสภาความมั่นคงแห่งชาติ

๔

กำหนดมาตรฐานและแนวทางส่งเสริมพัฒนาระบบการให้บริการเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ สร้างมาตรฐานเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ และกำหนดมาตรฐานขั้นต่ำที่เกี่ยวข้องกับหน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล รวมถึงส่งเสริมการรับรองมาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์ให้กับหน่วยงานหรือองค์กรที่เกี่ยวข้องกับโครงสร้างพื้นฐานสำคัญทางสารสนเทศ หน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานเอกชนที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์

๕

กำหนดมาตรการและแนวทางในการยกระดับทักษะความรู้และความเชี่ยวชาญในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของเจ้าหน้าที่ เจ้าหน้าที่ของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ หน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานเอกชนที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์

๖

กำหนดกรอบการประสานงานระหว่างหน่วยงานอื่นทั้งในประเทศและต่างประเทศที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์

๗

แต่งตั้งและถอดถอนคณะอนุกรรมการ

๘

มอบหมายการควบคุมและกำกับดูแล รวมถึงการออกข้อกำหนด วัตถุประสงค์ หน้าที่และอำนาจของหน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล หน่วยงานเอกชนที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์ หน่วยงานของรัฐ หรือหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ

๙

ติดตามและประเมินผลการดำเนินงานของหน่วยงานที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์ รวมถึงการกำหนดแนวทางการพัฒนาการดำเนินงานของหน่วยงานที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์

๑๐

เสนอแนะและให้ความเห็นต่อคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติหรือคณะรัฐมนตรีเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์

๑๑

เสนอแนะต่อคณะรัฐมนตรีในการจัดให้มีหรือปรับปรุงกฎหมายที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์

๑๒

จัดทำรายงานสรุปผลการดำเนินงานของการรักษาความมั่นคงปลอดภัยไซเบอร์ที่มีผลกระทบต่อความมั่นคงสำคัญของประเทศและการพัฒนามาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์ให้คณะรัฐมนตรีทราบ

๑๓

ปฏิบัติการอื่นใดตามที่บัญญัติไว้ในพระราชบัญญัตินี้ หรือคณะรัฐมนตรีมอบหมาย

มาตรา ๑๐ การประชุมของคณะกรรมการให้เป็นไปตามระเบียบที่คณะกรรมการกำหนด โดยอย่างน้อยต้องมีผู้เข้าร่วมเกินกึ่งหนึ่ง หรือวิธีการอื่นที่เป็นไปตามหลักเกณฑ์ที่คณะรัฐมนตรีกำหนด

มาตรา ๑๑ ให้ประธานกรรมการ และกรรมการได้รับเบี้ยประชุมหรือค่าตอบแทนอื่นตามหลักเกณฑ์ที่คณะรัฐมนตรีกำหนด

ส่วนที่ ๒

สำนักงานคณะกรรมการกฤษฎีกา คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์

มาตรา ๓๒ ในการดำเนินการตามหน้าที่และอำนาจของคณะกรรมการตามมาตรา ๔ ให้คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ เรียกโดยย่อว่า “กมค.” ประกอบด้วย

๑

รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นประธานกรรมการ

๒

กรรมการโดยตำแหน่ง ได้แก่ ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงกลาโหม ปลัดกระทรวงการคลัง ปลัดกระทรวงยุติธรรม เลขาธิการสภาความมั่นคงแห่งชาติ เลขาธิการคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ เลขาธิการคณะกรรมการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ

๓

กรรมการผู้ทรงคุณวุฒิ จำนวนไม่เกินสี่คน ซึ่งรัฐมนตรีแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์เป็นประจำในเรื่องเกี่ยวกับประโยชน์ของความมั่นคงปลอดภัยไซเบอร์ ให้เลขาธิการเป็นกรรมการและเลขานุการ และให้แต่งตั้งเจ้าหน้าที่ของสำนักงานเป็นผู้ช่วยเลขานุการจำนวนไม่เกินสองคน หลักเกณฑ์และวิธีการสรรหาบุคคลที่เหมาะสมเพื่อดำรงตำแหน่งกรรมการ ผู้ทรงคุณวุฒิให้เป็นไปตามระเบียบที่คณะกรรมการกำหนด

มาตรา ๓๓ กมค. มีหน้าที่และอำนาจ ดังต่อไปนี้

๑

ติดตามการดำเนินการตามนโยบายและแผนตามมาตรา ๘ (๑) และมาตรา ๔๒

๒

ดูแลและดำเนินการเพื่อรับมือกับภัยคุกคามทางไซเบอร์ในระดับร้ายแรง ตามมาตรา ๒๖ มาตรา ๒๗ มาตรา ๒๘ มาตรา ๒๙ มาตรา ๓๒ และมาตรา ๓๖

๓

กำกับดูแลการดำเนินการตามมาตรฐานและวิธีการรักษาความมั่นคงปลอดภัย ระบบคอมพิวเตอร์แห่งชาติ และการเตรียมบุคลากรเพื่อการรักษาความมั่นคงปลอดภัยทางไซเบอร์

๔

กำหนดประมวลแนวปฏิบัติและกรอบมาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์อื่นในลักษณะเดียวกันกับในการดำเนินการตามมาตรฐานและวิธีการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ รวมทั้งกำหนดแนวทางการประเมินความเสี่ยง การตอบสนองและรับมือกับภัยคุกคามทางไซเบอร์ เมื่อมีภัยคุกคามทางไซเบอร์ หรือเหตุการณ์ที่ส่งผลกระทบหรืออาจก่อให้เกิดผลกระทบหรือความเสียหายอย่างมีนัยสำคัญ หรืออย่างร้ายแรงต่อระบบสารสนเทศของประเทศ หรือความมั่นคงปลอดภัยไซเบอร์

๕

กำหนดหน้าที่ของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ และหน้าที่ของหน่วยงานควบคุมหรือกำกับดูแล โดยต้องแจ้งต่อหน่วยงานที่กำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์แห่งชาติ รวมทั้งหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ และหน่วยงานของรัฐอื่น (b) กำหนดระดับของสัญญาความทางไซเบอร์ พร้อมทั้งรายละเอียดของมาตรการป้องกัน รับมือประเมิน บรรเทา และระงับภัยคุกคามทางไซเบอร์ในแต่ละระดับเสนอคณะกรรมการ

๕

วิเคราะห์สถานการณ์ และประเมินผลกระทบจากภัยคุกคามทางไซเบอร์ เพื่อเสนอคณะกรรมการพิจารณาสั่งการ เมื่อมีหรือคาดว่าจะมีภัยคุกคามทางไซเบอร์ในระดับร้ายแรงขึ้น ในการกำหนดกรอบมาตรฐานความมั่นคง (๔) ให้ดำเนินการจัดทำมาตรการบริหาร ความเสี่ยง โดยอย่างน้อยต้องจัดให้มีระบบการแจ้งเตือนภัยล่วงหน้า

๖

การระบุตามเสี่ยงที่อาจจะเกิดขึ้นในคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ ข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ หรือสิ่งและเครือข่ายที่เกี่ยวข้อง (ข) มาตรการป้องกันความเสียหายต่อข้อมูลคอมพิวเตอร์ (ค) มาตรการตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์ (ง) มาตรการสืบค้นเหตุเมื่อมีการตรวจพบภัยคุกคามทางไซเบอร์ (จ) มาตรการรักษาและฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามทางไซเบอร์

มาตรา ๑๔ ในการดำเนินการตามมาตรา ๑๓ วรรคหนึ่ง (๖) เพื่อรับมือกับภัยคุกคาม ทางไซเบอร์ให้หน่วยงาน กกม. อาจมอบอำนาจให้ผู้รับผิดชอบจัดตั้งศูนย์เพื่อเศรษฐกิจและสังคม ผู้บัญชาการทหารสูงสุด และกรรมการอื่นซึ่ง กกม. กำหนด ร่วมกับปฏิบัติการในเรื่องดังกล่าวได้ และจัดทำแผนที่หน่วยงานความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เพื่อให้หน่วยงานที่เกี่ยวข้องเข้าร่วมดำเนินการ ประสานงาน และให้การสนับสนุนต่อศูนย์ดังกล่าว การปฏิบัติตามวรรคหนึ่ง ให้เป็นไปตามระเบียบที่ กกม. กำหนด

มาตรา ๑๕ ให้มีคณะกรรมการในมาตรา ๑๓ และคณะทำงาน เพื่อให้เป็นไปสอดคล้องกับ กรรมการผู้ทรงคุณวุฒิใน กกม. โดยอยู่ในอุป

มาตรา ๑๖ ให้ กกม. มีอำนาจแต่งตั้งคณะอนุกรรมการเพื่อปฏิบัติการอย่างใดอย่างหนึ่ง ตามที่ กกม. มอบหมาย

มาตรา ๑๗ การประชุมของ กกม. และคณะอนุกรรมการ ให้เป็นไปตามระเบียบที่ กกม. กำหนด โดยอาจประชุมด้วยวิธีการทางอิเล็กทรอนิกส์ หรือวิธีการอื่นก็ได้

มาตรา ๑๘ ให้ประธานกรรมการและกรรมการ ประชุมคณะกรรมการและอนุกรรมการ ที่ กกม. แต่งตั้ง ได้รับเบี้ยประชุมหรือค่าตอบแทนอื่นตามหลักเกณฑ์ที่คณะรัฐมนตรีกำหนด

มาตรา ๑๙ ในการปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ พนักงานเจ้าหน้าที่ต้องแสดงบัตรประจำตัวต่อบุคคลที่เกี่ยวข้อง ในการแต่งตั้งพนักงานเจ้าหน้าที่ ให้ผู้สนองพระบรมราชโองการแต่งตั้งจากผู้มีความรู้ความชำนาญด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ทั้งนี้ เพื่อปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ อย่างใดตามพระราชบัญญัตินี้ ทั้งนี้ ระดับความรู้ความสามารถต้องเหมาะสมกับลักษณะงานด้านความมั่นคงปลอดภัยไซเบอร์รวมถึงหน้าที่อื่นๆที่ให้เป็นไปตามที่คณะกรรมการกำหนด

สำนักงานคณะกรรมการกฤษฎีกา บัตรประจำตัวพนักงานเจ้าหน้าที่ให้เป็นไปตามแบบที่ กมค. ประกาศกำหนด

หมวด ๒

สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

มาตรา ๒๐ ให้มีสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติเป็นหน่วยงานของรัฐ มีฐานะเป็นนิติบุคคล และไม่เป็นส่วนราชการตามกฎหมายว่าด้วยระเบียบบริหารราชการแผ่นดิน หรือรัฐวิสาหกิจตามกฎหมายว่าด้วยการปรับปรุงกระทรวง ทบวง กรม หรือกฎหมายอื่น

มาตรา ๒๑ กิจการของสำนักงานไม่อยู่ภายใต้บังคับแห่งกฎหมายว่าด้วยการคุ้มครองแรงงาน กฎหมายว่าด้วยแรงงานสัมพันธ์ กฎหมายว่าด้วยประกันสังคม และกฎหมายว่าด้วยเงินทดแทน แต่พนักงานและลูกจ้างของสำนักงานต้องได้รับประโยชน์ตอบแทนไม่ต่ำกว่าที่กำหนดไว้ในกฎหมายว่าด้วยการคุ้มครองแรงงาน กฎหมายว่าด้วยประกันสังคม และกฎหมายว่าด้วยเงินทดแทน

มาตรา ๒๒ ให้สำนักงานมีอำนาจหน้าที่รวบรวม วิเคราะห์ จัดการ รวบรวมข้อมูล และงานสนับสนุนการตัดสินใจของคณะกรรมการ และ กมค. และให้มีอำนาจหน้าที่ดังต่อไปนี้

๑

เสนอแนะและสนับสนุนในการจัดทำแผนและแนวทางการรักษาความมั่นคงปลอดภัยไซเบอร์ และให้คำปรึกษาแก่คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติและคณะกรรมการอื่นที่เกี่ยวข้องตามกฎหมายนี้

๒

จัดทำแผนและมาตรการการรักษาความมั่นคงปลอดภัยไซเบอร์ตามมาตรา ๑๓ วรรคหนึ่ง (๔) เสนอต่อ กมค. เพื่อให้ความเห็นชอบ

๓

ประสานงานการดำเนินการเพื่อรักษาความมั่นคงปลอดภัยไซเบอร์ของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศตามมาตรา ๔๓ และมาตรา ๔๕

๔

ประสานงานและให้ความร่วมมือในการดำเนินการเพื่อการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ในประเทศและต่างประเทศในส่วนที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์ และดำเนินการกรณีการที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์

๕

ดำเนินการแทนหน่วยงานของรัฐและเอกชนในการตอบสนองและรับมือกับภัยคุกคามไซเบอร์ที่มีผลกระทบต่อความมั่นคงปลอดภัยไซเบอร์ของประเทศ

๖

เฝ้าระวังความเสี่ยงในการเกิดภัยคุกคามไซเบอร์ ติดตาม วิเคราะห์ และประเมินผลข้อมูลเกี่ยวกับภัยคุกคามไซเบอร์ และการแจ้งเตือนภัยคุกคามไซเบอร์

๗

ปฏิบัติการ ประสานงาน และให้ความช่วยเหลือแก่หน่วยงานของรัฐและเอกชนในการปฏิบัติตามนโยบายและแผนการรักษาความมั่นคงปลอดภัยไซเบอร์ แผนปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์ และมาตรการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามไซเบอร์

๘

ดำเนินการและให้ความร่วมมือหรือช่วยเหลือในการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามไซเบอร์ โดยเฉพาะภัยคุกคามไซเบอร์ที่กระทบหรือเกิดในโครงสร้างพื้นฐานสำคัญทางสารสนเทศ

๔

เสริมสร้างความรู้ความเข้าใจเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ รวมถึงการสร้างความตระหนักด้านสถานการณ์เกี่ยวกับลูกคามทางไซเบอร์ร่วมกันเพื่อให้มีการดำเนินการเชิงปฏิบัติการที่สอดคล้องตามระบอบการและเป็นปัจจุบัน

๑๑

เป็นศูนย์กลางในการรวบรวมและวิเคราะห์ข้อมูลด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศ รวมทั้งเผยแพร่ข้อมูลที่เกี่ยวข้องกับผลเสียและเหตุผลของการดำเนินการรักษาความมั่นคงปลอดภัยไซเบอร์ให้แก่หน่วยงานของรัฐและเอกชนที่เกี่ยวข้อง

๑๒

เป็นศูนย์กลางในการประสานความร่วมมือระหว่างหน่วยงานที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์ของหน่วยงานของรัฐและหน่วยงานเอกชนทั้งในประเทศและต่างประเทศ

๑๓

ที่ความตกลงและร่วมมือกับองค์กรภาครัฐของต่างประเทศในประเทศและต่างประเทศในกิจการที่เกี่ยวกับการดำเนินการตามหน้าที่และอำนาจของสำนักงาน เพื่อได้รับความเห็นชอบจากคณะกรรมการ

๑๔

ศึกษาและวิจัยข้อมูลที่จำเป็นสำหรับการรักษาความมั่นคงปลอดภัยไซเบอร์ เพื่อจัดทำข้อเสนอแนะและคำปรึกษาเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ รวมทั้งดำเนินการอบรมและพัฒนาศักยภาพของเจ้าหน้าที่ของรัฐและเอกชนที่เกี่ยวข้อง

๑๕

ส่งเสริม สนับสนุน และดำเนินการในการเผยแพร่ความรู้เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ ตลอดจนดำเนินการฝึกอบรมเพื่อยกระดับทักษะความเชี่ยวชาญในการปฏิบัติหน้าที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์

๑๖

รายงานสถานะด้านนโยบายและการเตรียมการเพื่อจัดการกับภัยคุกคามไซเบอร์ รวมทั้งปัญหาและอุปสรรค เสนอข้อคิดเห็นและข้อเสนอแนะต่อรัฐบาลผ่านคณะกรรมการกำกับดูแล

๑๗

ปฏิบัติหน้าที่อื่นใดตามที่กำหนดไว้ในพระราชบัญญัตินี้ หรือกฎหมายอื่น หรือที่คณะกรรมการหรือคณะรัฐมนตรีมอบหมาย เพื่อประโยชน์ในการดำเนินการตามหน้าที่และอำนาจตาม (๑) ให้สำนักงานจัดตั้งศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติขึ้นเป็นหน่วยงานภายในสำนักงาน และให้หน่วยอื่นของทางคณะกรรมการกำหนด

มาตรา ๒๔ ในการดำเนินการของสำนักงาน นอกจากหน้าที่และอำนาจตามที่บัญญัติไว้ในมาตรา ๒๒ แล้ว ให้สำนักงานมีหน้าที่และอำนาจอย่างใดอย่างหนึ่งดังต่อไปนี้

(ก) ถือกรรมสิทธิ์ มีสิทธิครอบครอง และมีทรัพย์สินสิทธิใด ๆ (ข) ทำนิติกรรม หรือทำกิจการทุกประเภทที่เกี่ยวกับทรัพย์สิน ตลอดจนทำนิติกรรมอื่นใดเพื่อประโยชน์ในการดำเนินกิจการของสำนักงาน (ค) จัดให้และให้เช่าเช่าซื้อทรัพย์สิน (ง) เรียกเก็บค่าธรรมเนียม ค่าบำรุง ค่าตอบแทน หรือค่าบริการในการดำเนินงาน ทั้งนี้ ตามหลักเกณฑ์และอัตราที่สำนักงานกำหนดโดยความเห็นชอบของคณะกรรมการ (จ) ปฏิบัติการอื่นใดที่กฎหมายกำหนดให้เป็นหน้าที่และอำนาจของสำนักงาน หรือของที่คณะกรรมการ หรือ ครม. มอบหมาย

มาตรา ๒๕ ทุนและทรัพย์สินในการดำเนินงานของสำนักงาน ประกอบด้วย

๑

ทุนประเดิมที่รัฐบาลจัดสรรให้ตามมาตรา ๑๘ วรรคหนึ่ง และเงินและทรัพย์สินที่ได้รับโอนมาตามมาตรา ๑๒

๒

เงินอุดหนุนทั่วไปที่รัฐบาลจัดสรรให้ตามความเหมาะสมเป็นรายปี

๓

เงินอุดหนุนจากหน่วยงานของรัฐทั้งในประเทศและต่างประเทศ หรือองค์กรระหว่างประเทศระดับรัฐบาล

๔

ค่าธรรมเนียม ค่าบำรุง ค่าอนุญาต ค่าบริการ หรือรายได้อื่นใดที่เกิดจากการดำเนินการตามหน้าที่และอำนาจของสำนักงาน

๕

ดอกผลของเงินหรือรายได้จากทรัพย์สินของสำนักงาน เงินและทรัพย์สินของสำนักงานตามวรรคหนึ่ง ต้องนำส่งคลังเป็นรายได้แผ่นดิน

มาตรา ๒๕ ให้มีคณะกรรมการบริหารสำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์ เรียกโดยย่อว่า “กบส.” เพื่อดูแลการดำเนินกิจการบริหารภายในของสำนักงานประกอบด้วย รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นประธานกรรมการ ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เลขาธิการ กสทช. เลขาธิการ ก.พ.ร. และกรรมการผู้ทรงคุณวุฒิจากภายนอกไม่เกินหกคน เป็นกรรมการ

ให้เลขาธิการเป็นกรรมการและเลขานุการ และให้แต่งตั้งเจ้าหน้าที่ของสำนักงานเป็นผู้ช่วยเลขานุการได้ไม่เกินสองคน กรรมการผู้ทรงคุณวุฒิตามวรรคหนึ่ง ให้รัฐมนตรีแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์ในด้านใดด้านหนึ่งหรือหลายด้าน เช่น ด้านกฎหมาย ด้านเทคโนโลยีสารสนเทศและการสื่อสาร ด้านการบริหารจัดการองค์กร ด้านการเงิน ด้านการบัญชี ด้านการบริหารทรัพยากรบุคคล หรือด้านอื่นที่เป็นประโยชน์ต่อการดำเนินงานของสำนักงาน และวิธีการที่คณะกรรมการกำหนด ให้มีความในมาตรา ๖ และมาตรา ๗ มาใช้บังคับกับกรรมการผู้ทรงคุณวุฒิโดยอนุโลม

มาตรา ๒๖ ให้กรรมการผู้ทรงคุณวุฒิใน กบส. มีวาระการดำรงตำแหน่งคราวละสี่ปี ในกรณีการแต่งตั้งกรรมการผู้ทรงคุณวุฒิเพิ่มเติมหรือแทนกรรมการผู้ทรงคุณวุฒิซึ่งพ้นจากตำแหน่งก่อนวาระ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมแต่งตั้งแทนในตำแหน่งที่ว่างได้ และให้ผู้ได้รับแต่งตั้งเป็นกรรมการผู้ทรงคุณวุฒิเพิ่มเติมหรือแทนกรรมการผู้ทรงคุณวุฒิซึ่งพ้นจากตำแหน่งก่อนวาระดำรงตำแหน่งได้เท่ากับวาระที่เหลือของกรรมการผู้ทรงคุณวุฒิซึ่งตนได้รับแต่งตั้งแทน

เมื่อครบกำหนดวาระตามวรรคหนึ่ง หากยังมิได้แต่งตั้งกรรมการผู้ทรงคุณวุฒิใหม่ ให้กรรมการผู้ทรงคุณวุฒิพ้นจากตำแหน่งตามวาระนั้นอยู่ในตำแหน่งเพื่อปฏิบัติหน้าที่ต่อไปจนกว่าจะได้มีการแต่งตั้งกรรมการผู้ทรงคุณวุฒิใหม่

มาตรา ๒๗ ให้ กบส. มีหน้าที่และอำนาจ ดังต่อไปนี้

๑

กำหนดนโยบายการบริหารงาน และให้ความเห็นชอบแผนการดำเนินงานของสำนักงาน

๒

ออกข้อบังคับว่าด้วยการจัดองค์กร การเงิน การบริหารทรัพยากรบุคคล การบริหารงานทั่วไป การพัสดุ การตรวจสอบภายใน รวมตลอดถึงหลักเกณฑ์และอัตราค่าต่าง ๆ ของสำนักงาน ```

๓

อนุมัติแผนการใช้จ่ายเงินและงบประมาณรายจ่ายประจำปีของสำนักงาน

๔

ควบคุมการบริหารราชการและการดำเนินการของสำนักงานและเลขาธิการให้เป็นไปตามพระราชบัญญัตินี้และกฎหมายอื่นที่เกี่ยวข้อง

๕

พิจารณาสั่งการหรือตามคำสั่งของเลขาธิการในส่วนที่เกี่ยวกับราชการบริหารของสำนักงาน

๖

ประเมินผลการดำเนินงานของสำนักงานและการปฏิบัติงานของเลขาธิการ

๗

ปฏิบัติหน้าที่อื่นตามที่พระราชบัญญัตินี้หรือกฎหมายอื่นกำหนดให้เป็นหน้าที่และอำนาจของ กกต. หรือตามที่คณะกรรมการหรือคณะรัฐมนตรีมอบหมาย ในการปฏิบัติงานตามอำนาจหน้าที่ กกต. อาจแต่งตั้งคณะอนุกรรมการเพื่อพิจารณาเสนอแนะ หรือกระทำการอย่างใดอย่างหนึ่งตามที่ กกต. มอบหมายได้ ทั้งนี้ การปฏิบัติหน้าที่ของคณะอนุกรรมการให้เป็นไปตามหลักเกณฑ์และวิธีการที่ กกต. กำหนด กกต. อาจแต่งตั้งผู้ทรงคุณวุฒิซึ่งมีความเชี่ยวชาญในด้านที่เป็นประโยชน์ต่อการดำเนินงานของสำนักงานเป็นที่ปรึกษา กกต. ทั้งนี้ ตามหลักเกณฑ์และวิธีการที่คณะกรรมการกำหนด

มาตรา ๒๘ ให้มีระบบการบริหารและการเงิน ประชุมของคณะกรรมการและคณะกรรมการที่ กกต. แต่งตั้ง ได้รับเงินเบี้ยประชุมและค่าตอบแทนอื่นตามหลักเกณฑ์ที่คณะกรรมการกำหนด

มาตรา ๒๙ ให้สำนักงานเสนอต่อคณะกรรมการ รับผิดชอบการปฏิบัติราชการในงานและเป็นผู้เบิกจ่ายเงินงบประมาณและค่าใช้จ่ายต่าง ๆ ของสำนักงาน

มาตรา ๓๐ เลขาธิการต้องมีคุณสมบัติ ดังต่อไปนี้

(ก) มีสัญชาติไทย (ข) มีอายุไม่ต่ำกว่าสามสิบห้าปี แต่ไม่เกินหกสิบปี (ค) เป็นผู้มีความรู้ ความสามารถ และประสบการณ์ในด้านที่เกี่ยวกับการกิจของสำนักงานและการบริหารจัดการ

มาตรา ๓๑ ผู้สมัครจะต้องมีคุณสมบัติอย่างหนึ่งอย่างใดต่อไปนี้ ต้องห้ามมิให้เป็นเลขาธิการ

(ก) เป็นบุคคลล้มละลายหรือเคยเป็นบุคคลล้มละลายทุจริต (ข) เป็นคนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ (ค) เคยต้องคำพิพากษาถึงที่สุดให้จำคุกไม่ว่าจะได้รับโทษจำคุกจริงหรือไม่ เว้นแต่เป็นโทษสำหรับความผิดที่กระทำโดยประมาทหรือความผิดลหุโทษ (ง) เคยถูกสั่งให้พ้นจากตำแหน่ง "ผู้ตรวจการ" ของสาธารณรัฐหรือรัฐหรือหน่วยงานอื่นของรัฐ หรือองค์กรส่วนท้องถิ่น (จ) เป็นหรือเคยเป็นสมาชิกหรือผู้บริหารของพรรคการเมือง ผู้ดำรงตำแหน่งในสภาท้องถิ่น หรือผู้บริหารท้องถิ่น เว้นแต่จะได้พ้นจากตำแหน่งแล้วไม่น้อยกว่าห้าปี ``` (ซ) เคยถูกไล่ออก ปลดออก หรือให้ออกจากราชการ หรือออกจากงาน จากหน่วยงาน ที่เคยปฏิบัติหน้าที่ เพราะทุจริตต่อหน้าที่หรือประพฤติชั่วอย่างร้ายแรง หรือเคยถูกลงโทษทางวินัยถึง ให้ออกหรือปลดออกเพราะไม่สามารถประเมินผลการปฏิบัติงานตามมาตรา ๕๔ (๕)

มาตรา ๓๒ ให้คณะกรรมการเป็นผู้กำหนดอัตราเงินเดือนและค่าตอบแทนอื่น ของเลขาธิการตามหลักเกณฑ์ที่คณะรัฐมนตรีกำหนด

มาตรา ๓๓ เลขาธิการมีวาระอยู่ในตำแหน่งคราวละสี่ปี เลขาธิการซึ่งพ้นจากตำแหน่งตามวาระอาจได้รับแต่งตั้งอีกได้ แต่ต้องไม่เกินสองวาระ

มาตรา ๓๔ ในแต่ละปี ให้มีการประเมินผลการปฏิบัติงานของเลขาธิการ ทั้งนี้ ให้เป็นไปตามระยะเวลาและวิธีการที่คณะกรรมการกำหนด

มาตรา ๓๕ นอกจากการพ้นจากตำแหน่งตามวาระ เลขาธิการพ้นจากตำแหน่ง เมื่อ (๑) ตาย (๒) ลาออก (๓) ขาดคุณสมบัติตามมาตรา ๓๑ หรือมีลักษณะต้องห้ามตามมาตรา ๓๑ (๔) คณะกรรมการมีมติให้ออก เพราะกระทำผิดหรือมีพฤติการณ์ที่ทำให้คณะกรรมการ เสื่อมเสีย หรือหย่อนความสามารถ (๕) คณะกรรมการให้ออก เพราะไม่ผ่านการประเมินผลการปฏิบัติงาน (๖) ออกจากราชการเพราะต้องคำพิพากษาให้จำคุกโดยคำพิพากษาถึงที่สุด เว้นแต่เป็นความผิดลหุโทษหรือความผิดที่ได้กระทำโดยประมาทหรือความผิดลหุโทษ

มาตรา ๓๖ ให้เลขาธิการอำนวยการควบคุมดูแลของคณะกรรมการ กทม. และ กนช. ต้องดำเนินการตามคำสั่งของคณะกรรมการ กทม. และ กนช. ภายใต้บังคับแห่งกฎหมาย ดังต่อไปนี้ (๑) บริหารงานของสำนักงานให้เกิดผลสัมฤทธิ์ตามภารกิจของสำนักงาน และตาม นโยบายและแผนงานด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ แผนปฏิบัติการเพื่อการรักษา ความมั่นคงปลอดภัยไซเบอร์ นโยบายของคณะรัฐมนตรีและคณะกรรมการ และข้อบังคับ นโยบาย คำสั่ง และประกาศของ กทม. (๒) วางระเบียบภายในเกี่ยวกับของคณะกรรมการและ กทม. โดยไม่ขัดหรือแย้งกับ กฎหมาย มติของคณะรัฐมนตรี และข้อบังคับ นโยบาย มติ และประกาศที่คณะกรรมการและ กทม. กำหนด (๓) เป็นผู้บังคับบัญชาพนักงานและลูกจ้างของสำนักงาน และประเมินผลการ ปฏิบัติงานของพนักงานและลูกจ้างของสำนักงานภายใต้บังคับของ กทม. และระเบียบของสำนักงาน (๔) แต่งตั้งหรือเลื่อนตำแหน่งหรือสั่งให้พนักงานและลูกจ้างของสำนักงานพ้นจากตำแหน่ง เพื่อเป็นผู้ช่วยปฏิบัติงานของเลขาธิการตามคำสั่งของเลขาธิการ

๕

บรรจุ แต่งตั้ง เลื่อน ลด ตัดเงินเดือนหรือค่าจ้าง ลงโทษทางวินัยข้าราชการ และลูกจ้างของสำนักงาน ตลอดจนให้พนักงานและลูกจ้างของสำนักงานออกจากตำแหน่ง ทั้งนี้ ตามข้อบังคับของ กนส. และระเบียบของสำนักงาน

๖

ปฏิบัติการอื่นใดตามที่ระบุใน นโยบาย มติ หรือประกาศของ กนส. หรือ กทม. ในกิจการของสำนักงานที่เกี่ยวกับบุคคลภายนอก ให้เสนอการดำเนินการของ สำนักงานภายในเขตพื้นที่ของกรุงเทพมหานคร เลขาธิการอาจมอบอำนาจให้บุคคลใดในสำนักงานดำเนินการแทนได้ ทั้งนี้ ตามข้อบังคับที่ กนส. กำหนด ในกรณีที่ไม่มีเลขาธิการหรือเลขาธิการไม่อาจปฏิบัติหน้าที่ได้ ให้รองเลขาธิการที่มี อาวุโสสูงสุดดำรงตำแหน่งแทน ถ้าไม่มีรองเลขาธิการหรือรองเลขาธิการไม่อาจปฏิบัติหน้าที่ได้ ให้คณะกรรมการแต่งตั้งบุคคลที่เหมาะสมมารักษาการแทน

มาตรา ๓๖ การบัญชีของสำนักงานให้จัดทำตามแบบและหลักเกณฑ์ที่ กนส. กำหนด โดยให้คำนึงถึงหลักการและมาตรฐานการบัญชี

มาตรา ๓๗ ให้สำนักงานจัดทำงบการเงินและบัญชี แล้วส่งผู้สอบบัญชีภายใน เก้าสิบวันนับแต่วันสิ้นปีบัญชี

ให้สำนักงานจัดการตรวจเงินแผ่นดินหรือผู้สอบบัญชีที่สำนักงานตรวจเงิน แผ่นดินให้ความเห็นชอบเป็นผู้สอบบัญชีของสำนักงาน และเสนอผลการเงินและทรัพย์สิน ของสำนักงานทุกระมัดให้รายงานผลการสอบบัญชีเสนอต่อ กนส. เพื่อรับรอง

มาตรา ๓๘ ให้สำนักงานจัดทำรายงานผลการดำเนินงานประจำปีเสนอ คณะกรรมการและรัฐมนตรีภายในหนึ่งร้อยแปดสิบวันนับตั้งแต่วันสิ้นปีบัญชี และเผยแพร่รายงานนี้ ต่อสาธารณชน

รายงานผลการดำเนินงานประจำปีตามวรรคหนึ่ง ให้แสดงรายละเอียดของการเงิน ที่ผู้สอบบัญชีให้ความเห็นไว้ด้วย พร้อมทั้งผลการดำเนินงานและรายงานการประเมินผลการดำเนินงาน ของสำนักงานในปีที่ล่วงมาแล้ว การประเมินผลการดำเนินงานของสำนักงานตามวรรคสอง จะต้องดำเนินการ โดยบุคคลภายนอกที่ กนส. ให้ความเห็นชอบ

มาตรา ๓๙ ให้รัฐมนตรีรักษาการให้เป็นไปตามพระราชบัญญัตินี้ และให้มีอำนาจ ออกกฎกระทรวง ระเบียบ และประกาศ เพื่อปฏิบัติการตามพระราชบัญญัตินี้ หรือเพื่อให้การปฏิบัติการตามพระราชบัญญัตินี้เป็นไปโดยเรียบร้อยและมีประสิทธิภาพ ทั้งนี้ ตามที่คณะกรรมการเสนอ

ทั้งนี้ กฎกระทรวง ระเบียบ และประกาศดังกล่าว เมื่อประกาศในราชกิจจานุเบกษา แล้วให้ใช้บังคับได้

มาตรา ๔๐

การรักษาความมั่นคงปลอดภัยไซเบอร์

ส่วนที่ 3

นโยบายและแผน

มาตรา 15 การรักษาความมั่นคงปลอดภัยไซเบอร์ต้องมีความเป็นเอกภาพ และการบูรณาการในการดำเนินงานของหน่วยงานของรัฐและหน่วยงานเอกชน และต้องสอดคล้องกับนโยบายและแผนระดับชาติว่าด้วยการพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคมตามกฎหมายว่าด้วยการพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม และนโยบายและแผนแม่บทที่เกี่ยวกับการรักษาความมั่นคงของสภาความมั่นคงแห่งชาติ

การดำเนินการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ต้องมุ่งหมายเพื่อสร้างศักยภาพในการป้องกัน รับมือ และลดความเสียหายที่อาจเกิดกับลูกค้าไซเบอร์ โดยเฉพาะอย่างยิ่งในการป้องกันหรือสร้างพื้นฐานสำคัญทางสารสนเทศของประเทศ

มาตรา 16 นโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ ต้องมีเป้าหมายและแนวทางอย่างน้อยดังต่อไปนี้

(ก) การบูรณาการจัดการในการรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศ (ข) การประสานความร่วมมือระหว่างหน่วยงานที่เกี่ยวข้องในการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ (ค) การสร้างมาตรการในการปกป้องโครงสร้างพื้นฐานสำคัญทางสารสนเทศของประเทศ (ง) การประสานความร่วมมือระหว่างภาครัฐ เอกชน และประชาสังคมร่วมมือระหว่างประเทศเพื่อรักษาความมั่นคงปลอดภัยไซเบอร์ (จ) การวิจัยและพัฒนาเทคโนโลยีและองค์ความรู้ที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ (ฉ) การพัฒนาบุคลากรและผู้เชี่ยวชาญด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ทั้งภาครัฐและเอกชน (ช) การสร้างความตระหนักและความรู้เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ (ซ) การพัฒนา ระเบียบและกลไกเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์

มาตรา 17 ให้คณะกรรมการจัดทำเป้าหมายและแนวทางเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ขึ้นตามแนวทางในมาตรา 16 เพื่อเสนอคณะรัฐมนตรีให้ความเห็นชอบ โดยให้นำไปใช้เป็นกรอบดำเนินงาน และมอบให้ประธานคณะ ให้หน่วยงานของรัฐ หน่วยงานควบคุมรัฐ กำกับดูแล และหน่วยงานเอกชนที่เกี่ยวข้องดำเนินการตามเป้าหมายและแนวทางที่กำหนดไว้เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ ทั้งนี้การดำเนินการให้เป็นไปตามเป้าหมายและแนวทางดังกล่าว

ในการจัดทำนโยบายและแผนตามวรรคหนึ่ง ให้สำนักงานจัดให้มีการรับฟังความเห็นหรือประชุมร่วมกับหน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ

มาตรา ๔๔ ให้หน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศจัดทำและดำเนินการตามแผนการรักษาความมั่นคงปลอดภัยไซเบอร์ของหน่วยงานให้สอดคล้องกับนโยบายและแผนการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

ประมวลแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ตามวรรคหนึ่งอย่างน้อยต้องประกอบด้วยเรื่อง ดังต่อไปนี้

๑

แผนการตรวจสอบและประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์โดยผู้ตรวจสอบภายใน หรือผู้ตรวจสอบอิสระจากภายนอก อย่างน้อยปีเว้นปีครั้ง

๒

แผนการรับมือภัยคุกคามทางไซเบอร์

๓

แผนการฝึกอบรมและทดสอบความพร้อมในการรักษาความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน ให้สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติประมวลและจัดทำแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของหน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศให้สอดคล้องกับนโยบายและแผนการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ และให้หน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศนำแนวทางปฏิบัติดังกล่าวไปใช้เป็นแนวทางในการจัดทำแผนการรักษาความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน

ส่วนที่ ๒

การบริหารจัดการ

มาตรา ๔๕ หน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ที่ดำเนินการจัดทำ รับมือ และลดความเสี่ยงจากภัยคุกคามไซเบอร์ตามประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของแต่ละหน่วยงาน และจะต้องดำเนินการให้เป็นไปตามประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของหน่วยงานตามข้อ ๔๔ ด้วย

ในกรณีที่หน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล หรือหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศไม่อาจดำเนินการหรือปฏิบัติตามวรรคหนึ่งได้ สำนักงานอาจให้ความช่วยเหลือด้านบุคลากรหรือเทคโนโลยีที่เหมาะสมกับหน่วยงานนั้นๆ ที่ร้องขอได้

มาตรา ๔๖ เพื่อประโยชน์ในการรักษาความมั่นคงปลอดภัยไซเบอร์ ให้หน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ แจ้ง

สำนักงานคณะกรรมการกฤษฎีกา - ๑๖ - รายชื่อเจ้าหน้าที่ระดับบริหารและระดับปฏิบัติการ เพื่อประสานงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ในฝ่ายสำนักนายกฯ ในกรณีที่มีการเปลี่ยนแปลงเจ้าหน้าที่ตามวรรคหนึ่ง ให้หน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานในโครงสร้างพื้นฐานสำคัญทางสารสนเทศ แจ้งให้สำนักงานทราบโดยเร็ว

มาตรา ๔๔ ในกรณีที่การปฏิบัติงานที่ดำเนินตามพระราชบัญญัตินี้ต้องอาศัยความรู้ ความเชี่ยวชาญ คุณสมบัติหรือทักษะ อาจจ้างคนงานให้เข้ามาร่วมปฏิบัติงานตามความเหมาะสมตามฐานได้

ผู้เชี่ยวชาญตามวรรคหนึ่งต้องมีคุณสมบัติหรือประสบการณ์ที่เหมาะสมตามที่คณะกรรมการประกาศกำหนด เลขานุการต้องออกบัตรประจำตัวให้แก่บุคคลที่ได้รับการแต่งตั้ง และในการปฏิบัติหน้าที่ผู้เชี่ยวชาญต้องแสดงบัตรประจำตัวในฐานะผู้เชี่ยวชาญ และเมื่อพ้นจากตำแหน่งแล้ว จะต้องคืนบัตรประจำตัวดังกล่าวแก่เลขานุการโดยเร็ว

ส่วนที่ ๓

โครงสร้างพื้นฐานสำคัญทางสารสนเทศ

มาตรา ๔๕ โครงสร้างพื้นฐานสำคัญทางสารสนเทศเป็นกิจการที่มีความสำคัญต่อการดำรงชีวิตของประชาชน หรือความมั่นคงของรัฐ และความสงบเรียบร้อยภายในประเทศ และเป็นหน้าที่ของเจ้าหน้าที่ในการสนับสนุนและให้ความช่วยเหลือในการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ โดยเฉพาะภัยคุกคามทางไซเบอร์ที่กระทบหรือเกิดแก่โครงสร้างพื้นฐานสำคัญทางสารสนเทศ

มาตรา ๔๖ ให้คณะกรรมการมีอำนาจประกาศกำหนดหลักเกณฑ์และหน่วยงานที่มีสาระกิจหรือให้บริการในด้านดังต่อไปนี้ เป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ

๑

ด้านความมั่นคงของรัฐ

๒

ด้านบริการสาธารณสุขที่สำคัญ

๓

ด้านการเงินการธนาคาร

๔

ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม

๕

ด้านการขนส่งและโลจิสติกส์

๖

ด้านพลังงานและสาธารณูปโภค

๗

ด้านสาธารณสุข

๘

ด้านอื่นตามที่คณะกรรมการประกาศกำหนดเพิ่มเติม การจัดการหรือกระทำที่เกี่ยวข้องกับโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ให้เป็นไปตามหลักเกณฑ์ที่คณะกรรมการกำหนด โดยประสานในการดำเนินงานและการปฏิบัติงานกับหน่วยงานที่เกี่ยวข้อง

มาตรา ๔๙ ให้คณะกรรมการมีอำนาจประกาศกำหนดลักษณะ หน้าที่และความรับผิดชอบของผู้ประสานการสำรวจความมั่นคงปลอดภัยระบบคอมพิวเตอร์ สำหรับหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศตามมาตรา ๔๘ เพื่อประสานงาน แนะนำ รับมือ และแก้ไขภัยคุกคามทางไซเบอร์โดยจะกำหนดให้หน่วยงานของรัฐที่มีความพร้อม หรือหน่วยงานควบคุม หรือกำกับดูแลหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศแต่ละแห่ง ให้ดำเนินการจัดให้มีหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศตามมาตรา ๔๘ ทั้งหมดหรือบางส่วนก็ได้

การพิจารณาประกาศกำหนดการจัดบริการของหน่วยงานควบคุมหรือกำกับดูแลหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศตามวรรคหนึ่ง ให้เป็นไปตามหลักเกณฑ์ที่คณะกรรมการกำหนดโดยประกาศในราชกิจจานุเบกษา ทั้งนี้ คณะกรรมการจะต้องพิจารณาทบทวนการประกาศกำหนดการครอบบริการดังกล่าวเป็นคราว ๆ ไปตามความเหมาะสม

มาตรา ๕๐ กรณีมีข้อสงสัยหรือข้อโต้แย้งเกี่ยวกับลักษณะหน้าที่ของหน่วยงานที่มีภารกิจหรือให้บริการในด้านที่มีการประกาศกำหนดตามมาตรา ๔๘ หรือมาตรา ๕๐ ให้คณะกรรมการเป็นผู้วินิจฉัยชี้ขาด

มาตรา ๕๑ เพื่อประโยชน์ในการติดต่อนโยบายด้าน ให้หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศแจ้งรายละเอียดข้อมูลการติดต่อหน่วยงานของตนต่อกรรมการสิทธิ ผู้ครอบครองคอมพิวเตอร์ และผู้ดูแลระบบคอมพิวเตอร์ตามมาตรา ๔๘ ภายในสามสิบวันนับแต่วันที่มีการประกาศกำหนดตามมาตรา ๔๘ และหากมีการเปลี่ยนแปลงข้อมูลดังกล่าวให้แจ้งต่อกรรมการสิทธิ ผู้ครอบครองคอมพิวเตอร์ และผู้ดูแลระบบคอมพิวเตอร์ตามมาตรา ๔๘ ภายในสามสิบวันนับแต่วันที่มีการเปลี่ยนแปลงข้อมูลดังกล่าว

ในกรณีที่มีการเปลี่ยนแปลงเจ้าของกรรมสิทธิ์ ผู้ครอบครองคอมพิวเตอร์ และผู้ดูแลระบบคอมพิวเตอร์ตามมาตรา ๔๘ ให้แจ้งการเปลี่ยนแปลงไปยังหน่วยงานที่เกี่ยวข้องตามวรรคหนึ่งก่อนการเปลี่ยนแปลงล่วงหน้าไม่น้อยกว่าสิบห้าวัน เว้นแต่มีเหตุจำเป็นซึ่งไม่อาจกระทำได้ทันโดยเร็ว

มาตรา ๕๒ ในการดำเนินการรักษาความมั่นคงปลอดภัยไซเบอร์ของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ให้หน่วยงานควบคุมหรือกำกับดูแลตรวจสอบมาตรฐานเกี่ยวกับเรื่องความมั่นคงปลอดภัยไซเบอร์ของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศที่ตนกำกับดูแลหรือควบคุมอยู่ หากพบว่ามาตรฐานเกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ไม่เป็นไปตามมาตรฐานที่กำหนดไว้ ให้หน่วยงานควบคุมหรือกำกับดูแลแจ้งให้หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศที่มีความเกี่ยวข้องแก้ไขให้เป็นไปตามมาตรฐานที่กำหนดไว้ หากหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศไม่ดำเนินการ ให้หน่วยงานควบคุมหรือกำกับดูแลแจ้งให้ กกม. พิจารณาโดยให้ กกม. มีอำนาจดำเนินการดังต่อไปนี้

เมื่อได้รับคำร้องเรียนตามวรรคหนึ่ง หาก กกม. พิจารณาแล้วเห็นว่า มีเหตุผลอันควร และอาจทำให้เกิดภัยคุกคามไซเบอร์ ให้ กกม. ดำเนินการ ดังต่อไปนี้ สำนักงานคณะกรรมการกฤษฎีกา (ก) กรณีเป็นหน่วยงานของรัฐ ให้แจ้งต่อผู้บริหารระดับสูงของหน่วยงานเพื่อใช้อำนาจในทางบริหารสั่งการไปยังหน่วยงานของรัฐหรือหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศนั้น เพื่อให้ดำเนินการแก้ไขจนได้มาตรฐานโดยเร็ว (ข) กรณีเป็นหน่วยงานเอกชน ให้แจ้งไปยังผู้บริหารระดับสูงของหน่วยงาน ผู้ครอบครองคอมพิวเตอร์ และผู้ดูแลระบบคอมพิวเตอร์ของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศนั้น เพื่อให้ดำเนินการแก้ไขจนได้มาตรฐานโดยเร็ว ให้เสนอวิธีการดำเนินการติดตามเพื่อให้เป็นไปตามความในวรรคสองด้วย

มาตรา 54 หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ต้องจัดให้มีการประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์หรือการตรวจสอบด้านความมั่นคงปลอดภัยไซเบอร์ รวมทั้งต้องจัดให้มีการตรวจสอบด้านความมั่นคงปลอดภัยไซเบอร์โดยผู้ตรวจสอบด้านความมั่นคงปลอดภัยไซเบอร์ที่ได้รับการรับรองภายในหรือโดยผู้ตรวจสอบอิสระภายนอก อย่างน้อยปีละหนึ่งครั้ง ให้หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศส่งผลการประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์หรือผลการตรวจสอบดังกล่าวต่อสำนักงานภายในสามสิบวันนับแต่วันที่ได้รับผลการประเมินหรือผลการตรวจสอบ

มาตรา 55 ในกรณีที่ กกม. เห็นว่า การประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือการตรวจสอบด้านความมั่นคงปลอดภัยไซเบอร์ของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศตามมาตรา 54 ไม่ครบถ้วนสมบูรณ์ หรือไม่เป็นไปตามมาตรฐานที่กำหนด ให้ กกม. มีหนังสือแจ้งไปยังหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศนั้นเพื่อดำเนินการแก้ไขให้ครบถ้วนสมบูรณ์หรือให้เป็นไปตามมาตรฐานที่กำหนด โดยให้เสนอวิธีการดำเนินการติดตามเพื่อให้เป็นไปตามความในวรรคสองด้วย

ในกรณีที่เห็นว่าการประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์หรือการตรวจสอบด้านความมั่นคงปลอดภัยไซเบอร์ที่เกี่ยวข้องกับโครงสร้างพื้นฐานสำคัญทางสารสนเทศแห่งชาติมีผลกระทบต่อความมั่นคงของรัฐ ให้ กกม. ดำเนินการ ดังต่อไปนี้ (ก) กรณีเป็นหน่วยงานของรัฐ ให้แจ้งต่อผู้บริหารระดับสูงของหน่วยงานเพื่อใช้อำนาจในทางบริหาร สั่งการไปยังหน่วยงานของรัฐ หรือหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศนั้น เพื่อให้ดำเนินการแก้ไขจนได้มาตรฐานโดยเร็ว (ข) กรณีเป็นหน่วยงานเอกชน ให้แจ้งไปยังผู้บริหารระดับสูงของหน่วยงาน ผู้ครอบครองคอมพิวเตอร์ และผู้ดูแลระบบคอมพิวเตอร์ของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศนั้น เพื่อให้ดำเนินการแก้ไขจนได้มาตรฐานโดยเร็ว ให้เสนอวิธีการดำเนินการติดตามเพื่อให้เป็นไปตามความในวรรคสองด้วย

มาตรา 56 หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ต้องจัดทำแผนปฏิบัติหรือขั้นตอนเพื่อการแก้ไขหรือรับมือเหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ที่เกี่ยวข้องกับโครงสร้างพื้นฐานสำคัญทางสารสนเทศแห่งชาติของหน่วยงานของตนให้ครอบคลุมถึงการป้องกัน การเฝ้าระวัง การตรวจสอบ และการประเมินความเสี่ยง รวมถึงการปฏิบัติตามมาตรการที่ใช้ในการตอบโต้เหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ที่กำหนดไว้ในแผนปฏิบัติการหรือขั้นตอนร่วมในการป้องกันภัยคุกคามทางไซเบอร์ที่สำนักงานกำหนด ทั้งนี้

มาตรา 47 เมื่อมีเหตุภัยคุกคามทางไซเบอร์เกิดขึ้นอย่างน้อยสำคัญต่อระบบของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ให้หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ รายงานต่อสำนักงานและหน่วยงานควบคุมหรือกำกับดูแล และปฏิบัติการร่วมมือกับภัยคุกคามทางไซเบอร์ตามที่กำหนดในส่วนนี้ ทั้งนี้ กสทช. อาจกำหนดหลักเกณฑ์และวิธีการการรายงานด้วยก็ได้

ส่วนที่ 4

การรับมือกับภัยคุกคามทางไซเบอร์

มาตรา 48 ในกรณีที่เกิดหรือคาดว่าจะเกิดภัยคุกคามทางไซเบอร์ต่อระบบสารสนเทศ ซึ่งอยู่ในความดูแลรับผิดชอบของหน่วยงานของรัฐหรือหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ให้หน่วยงานนั้นดำเนินการตรวจสอบข้อมูลที่เกี่ยวข้อง ข้อมูลการคาดการณ์ และระบบควบคุมตรวจสอบตามสมควร และจัดทำยุทธศาสตร์แผนหรือแนวทางการรับมือกับภัยคุกคามทางไซเบอร์ที่เกิดขึ้นหรือไม่ หากผลการตรวจสอบปรากฏว่าเกิดหรือคาดว่าจะเกิดภัยคุกคามทางไซเบอร์ขึ้น ให้ดำเนินการจัดกัน รับมือ และลดความเสียหายจากภัยคุกคามทางไซเบอร์ตามประมวลแผนการปฏิบัติการ และรายงานผลการดำเนินการให้สำนักงานและหน่วยงานควบคุมหรือกำกับดูแลตามที่กำหนดในส่วนนี้ ทั้งนี้ ให้แจ้งไปยังสำนักงานและหน่วยงานควบคุมหรือกำกับดูแลตามที่กำหนดโดยเร็ว

ในกรณีที่หน่วยงานของรัฐหรือหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศไม่สามารถจัดกัน รับมือ และลดความเสียหายจากภัยคุกคามทางไซเบอร์ได้ ให้รายงานเหตุผลหรือข้อขัดข้องของการดำเนินการดังกล่าวไปยังสำนักงาน

มาตรา 49 เมื่อปรากฏแก่หน่วยงานควบคุมหรือกำกับดูแล หรือเมื่อหน่วยงานควบคุมหรือกำกับดูแลได้รับแจ้งเหตุตามมาตรา 48 ให้หน่วยงานควบคุมหรือกำกับดูแล ร่วมกับหน่วยงานตามมาตรา 50 รวบรวมข้อมูล ตรวจสอบ วิเคราะห์สถานการณ์ และประเมินผลกระทบเกี่ยวกับภัยคุกคามทางไซเบอร์ และดำเนินการดังต่อไปนี้

1

สนับสนุนและให้ความช่วยเหลือแก่หน่วยงานของรัฐหรือหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศที่อยู่ในความดูแลรับผิดชอบในการรับมือและลดความเสียหายจากภัยคุกคามทางไซเบอร์ และให้คำแนะนำในการจัดกัน รับมือ และลดความเสียหายจากภัยคุกคามทางไซเบอร์

2

แจ้งเตือนหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศที่อยู่ในการควบคุมหรือกำกับดูแล รวมถึงหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศหรือหน่วยงานของรัฐอื่นที่อาจได้รับผลกระทบจากภัยคุกคามทางไซเบอร์

มาตรา 50 การรับมือกับภัยคุกคามทางไซเบอร์ที่มีความสำคัญต่อประเทศ ให้คณะกรรมการกำหนดหลักเกณฑ์และแนวทางการรับมือภัยคุกคามทางไซเบอร์ โดยให้คำนึงถึง

1

ลักษณะและประเภทของภัยคุกคามทางไซเบอร์ที่มีความสำคัญต่อประเทศ รวมถึงภัยคุกคามที่มีความเสี่ยงอย่างสำคัญต่อโครงสร้างพื้นฐานสำคัญทางสารสนเทศที่อาจทำให้ระบบงานหรือบริการสำคัญหยุดชะงัก หรือการให้บริการล่าช้าหรือประสิทธิภาพลดลง

๒

สัญญาความทางไซเบอร์ในระดับร้ายแรง หมายถึง สัญญาความที่มีลักษณะการเพิ่มขึ้นอย่างมีนัยสำคัญอันตรายโจมตีระบบคอมพิวเตอร์ คอมพิวเตอร์ หรือข้อมูลคอมพิวเตอร์ โดยผู้หมายเจตน์โจมตีที่มีการสร้างพื้นฐานสำคัญของประเทศ และการโจมตีดังกล่าวมีผลทำให้ระบบคอมพิวเตอร์ หรือโครงสร้างพื้นฐานสำคัญทางสารสนเทศที่เกี่ยวกับการให้บริการหรือโครงสร้างพื้นฐานสำคัญของประเทศ ความมั่นคงของรัฐ ความสัมพันธ์ระหว่างประเทศ การป้องกันประเทศ เศรษฐกิจ การสาธารณสุข หรือความปลอดภัยสาธารณะของประชาชนเสียหายอย่างร้ายแรงหรือไม่สามารถทำงานหรือให้บริการได้

๓

สัญญาความทางไซเบอร์ในระดับวิกฤติ หมายถึง สัญญาความทางไซเบอร์ในระดับวิกฤติที่มีลักษณะ ดังต่อไปนี้ (ก) เป็นสัญญาความทางไซเบอร์ที่เกิดจากการโจมตีระบบคอมพิวเตอร์ คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ในระดับที่มีซึ่งสำคัญความทางไซเบอร์ในระดับร้ายแรง โดยส่งผลกระทบรุนแรงต่อโครงสร้างพื้นฐานสำคัญทางสารสนเทศของประเทศในลักษณะที่เป็นวงกว้าง จนทำให้การทำงานของหน่วยงานรัฐหรือการให้บริการของโครงสร้างพื้นฐานสำคัญของประเทศที่เกี่ยวกับประชาชนเสียหายหรือระบบเศรษฐกิจและความความมั่นคงของประเทศเสียหายอย่างร้ายแรง หรือการใช้มาตรการเยียวยาตามปกติในการแก้ไขปัญหาไม่สามารถแก้ไขปัญหาได้และมีความเสียหายที่จะลุกลามไปยังโครงสร้างพื้นฐานสำคัญอื่น ๆ ของประเทศ ซึ่งจำเป็นต้องให้หน่วยงานรัฐที่เกี่ยวข้องร่วมกันแก้ไขปัญหาโดยเร่งด่วน หรือการใช้มาตรการพิเศษเพื่อแก้ไขปัญหาในระดับประเทศ (ข) เป็นสัญญาความทางไซเบอร์ที่เกิดจากการโจมตีระบบคอมพิวเตอร์ คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ของประเทศจนเป็นภัยต่อความมั่นคงของรัฐหรือทำให้ประเทศเข้าสู่ภาวะสงครามหรือการพิจารณาสงคราม ซึ่งจำเป็นต้องมีมาตรการเร่งด่วนเพื่อรักษาระบบประเทศไว้โดยอันมีพระมหากษัตริย์ทรงเป็นประมุขของรัฐธรรมนูญแห่งราชอาณาจักรไทย เอกราชและบูรณภาพแห่งราชอาณาจักร ผลประโยชน์ของชาติ การปฏิบัติตามกฎหมาย ความปลอดภัยของประชาชน การดำรงชีวิตโดยปกติสุขของประชาชน การคุ้มครองสิทธิเสรีภาพของประชาชนหรือประโยชน์สาธารณะ หรือการป้องกันหรือแก้ไขเยียวยาความเสียหายกลับคืนสู่สภาพเดิมอย่างฉุกเฉินและร้ายแรง ทั้งนี้ รายละเอียดของลักษณะสัญญาความทางไซเบอร์ มาตรการป้องกัน รับมือ ประเมินปราบปราม และระงับสัญญาความทางไซเบอร์แต่ละระดับ ให้คณะกรรมการกำหนดไว้

มาตรา ๒๑ เมื่อปรากฏแก่ กกต. ว่ามีคดีหรือคดีความทางไซเบอร์ในระดับร้ายแรง ให้ กกต. ออกคำสั่งให้ดำเนินการดังนี้ต่อไปนี้

๑

ตรวจสอบข้อมูล สืบสวนและวิเคราะห์ หาสาเหตุ ตลอดจนพฤติการณ์ของผู้ที่เกี่ยวข้องกับสัญญาความทางไซเบอร์

๒

สืบสวนผู้ ให้ความช่วยเหลือ และเกี่ยวข้องในการป้องกัน รับมือ และลดความเสียหายจากสัญญาความทางไซเบอร์ที่เกิดขึ้น

๓

ดำเนินการป้องกันและรับมือกับเหตุการณ์ตามความมั่นคงปลอดภัยไซเบอร์ที่เกิดจากสัญญาความทางไซเบอร์ เสนอแนะหรือจัดการให้ได้รับการแก้ไขเยียวยาเพื่อรักษาความมั่นคงปลอดภัยไซเบอร์ รวมถึงการแนะนำหน่วยงานหรือวิธีการแก้ไขปัญหาที่เกิดจากความมั่นคงปลอดภัยไซเบอร์

๔

สนับสนุน ให้สำนักงาน และหน่วยงานที่เกี่ยวข้องทั้งภาครัฐและเอกชน ให้ความช่วยเหลือและเข้าร่วมในการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่เกิดขึ้น

๕

แจ้งเตือนภัยคุกคามทางไซเบอร์ให้ทราบโดยทั่วกัน ทั้งนี้ ตามความจำเป็นและเหมาะสมโดยคำนึงถึงสถานการณ์ ความร้ายแรง และผลกระทบจากภัยคุกคามทางไซเบอร์นั้น

๖

ให้ความร่วมมือจากในกรณีประสานงานระหว่างหน่วยงานของรัฐที่เกี่ยวข้อง และหน่วยงานเอกชน เพื่อจัดการความเสี่ยงและเหตุการณ์ที่เกี่ยวกับภัยคุกคามทางไซเบอร์

มาตรา ๒๑ ในการดำเนินการตามมาตรา ๒๐ เพื่อประโยชน์ในการป้องกัน รับมือ สถานการณ์และประเมินผลกระทบจากภัยคุกคามทางไซเบอร์ ให้เลขาธิการส่งให้พนักงานเจ้าหน้าที่ดำเนินการ ดังต่อไปนี้

๑

มีหนังสือขอความร่วมมือจากบุคคลที่เกี่ยวข้องเพื่อขอให้ข้อมูลภายในระยะเวลาที่เหมาะสมและตามสถานที่ที่กำหนด หรือให้ข้อมูลเป็นหนังสือเกี่ยวกับภัยคุกคามทางไซเบอร์

๒

มีหนังสือขอข้อมูล เอกสาร หรือสำเนาข้อมูลหรือเอกสารที่อยู่ในความครอบครองของผู้ซึ่งเป็นประโยชน์ในการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์

๓

สอบถามบุคคลผู้มีความรู้ความเข้าใจเกี่ยวกับเรื่องจริงและเหตุการณ์ที่มีความเกี่ยวพันกับภัยคุกคามทางไซเบอร์

๔

เข้าไปในสถานที่ที่เกี่ยวข้องกับภัยคุกคามทางไซเบอร์ เพื่อรวบรวมข้อมูลหรือพยานหลักฐานส่วนที่เกี่ยวข้องกับภัยคุกคามทางไซเบอร์รวมทั้งตรวจสอบหรือทดสอบระบบคอมพิวเตอร์จากผู้ครอบครองสถานที่นั้น การดำเนินการตามวรรคหนึ่ง ซึ่งกระทำโดยสุจริตย่อมได้รับการคุ้มครอง และไม่ถือว่าเป็นการละเมิดต่อเจ้าของหรือผู้ครอบครอง

มาตรา ๒๒ ในกรณีที่มีความจำเป็นเพื่อการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ให้ กกม. มีคำสั่งให้หน่วยงานของรัฐให้ข้อมูล สนับสนุนบุคคลากรในสังกัด หรือให้เครื่องมือทางอิเล็กทรอนิกส์ที่อยู่ในความครอบครองซึ่งเกี่ยวกับการดำเนินงานต่อภัยไซเบอร์

กกม. ต้องดูแลให้การใช้งบประมาณที่ได้มาจากพระราชบัญญัตินี้ไปใช้กับเรื่องที่ก่อให้เกิดความเสียหาย และให้ กกม. รับผิดชอบในค่าใช้จ่ายเหตุการณ์ ค่าป้องกัน หรือความเสียหายที่เกิดขึ้นจากการเกี่ยวข้องเรื่องมาตรการดังกล่าว ให้คำสั่งภายในการวรรคหนึ่งและวรรคสองไม่ใช่บังคับในกรณีร้องขอต่อเอกชนโดยความยินยอมของเอกชนนั้นด้วย

มาตรา ๒๓ ในกรณีที่เกิดหรือคาดว่าจะเกิดเหตุการณ์ภัยคุกคามทางไซเบอร์ที่อยู่ในระดับร้ายแรง ให้ กกม. ดำเนินการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ เพื่อให้เป็นไปตามมาตรการที่กำหนด

ในการดำเนินการตามมาตรานี้ ให้ กกม. มีคำสั่งให้หน่วยงานของรัฐที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์ดำเนินการหรือร่วมดำเนินการในหน้าที่ เพื่อป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ได้อย่างเหมาะสมและมีประสิทธิภาพตามแนวทางที่กำหนด กมค. กำหนด รวมทั้งร่วมกับบุคคลากรในการดำเนินการเพื่อควบคุม ระงับ หรือบรรเทาผลที่เกิดจากภัยคุกคามทางไซเบอร์นั้นได้อย่างทันท่วงที ให้เลขาธิการรายงานการดำเนินการตามมาตรานี้ต่อ กมค. อย่างต่อเนื่อง และเมื่อภัยคุกคามทางไซเบอร์ดังกล่าวสิ้นสุดลง ให้รายงานผลการดำเนินการต่อ กมค. โดยเร็ว

มาตรา ๒๕ ในกรณีพบช่องโหว่ของระบบเครือข่ายคอมพิวเตอร์ หรือข้อมูลที่เกี่ยวข้องกับภัยคุกคามทางไซเบอร์ในระดับร้ายแรง กมค. มีอำนาจออกคำสั่งเฉพาะหน้าที่จำเป็นเพื่อป้องกันภัยคุกคามทางไซเบอร์ ให้บุคคลผู้เป็นเจ้าของกรรมสิทธิ์ ผู้ครอบครอง ผู้ดูแลหรือควบคุมระบบคอมพิวเตอร์ หรือผู้ดูแลระบบคอมพิวเตอร์ รวมทั้งบุคคลอื่นใดในฐานะผู้เกี่ยวข้องกับภัยคุกคามทางไซเบอร์ หรือได้รับผลกระทบจากภัยคุกคามทางไซเบอร์ดำเนินการ ดังต่อไปนี้

(ก) แก้ไขระบบคอมพิวเตอร์หรือระบบคอมพิวเตอร์ในระยะเวลาใดระยะเวลาหนึ่ง (ข) ตรวจสอบคอมพิวเตอร์หรือระบบคอมพิวเตอร์เพื่อหาข้อเท็จจริงที่กระทบต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ วิเคราะห์สาเหตุการเกิด และประเมินผลกระทบจากภัยคุกคามทางไซเบอร์ (ค) ดำเนินมาตรการแก้ไขภัยคุกคามทางไซเบอร์เพื่อจัดการกับช่องโหว่หรือกำจัดชุดคำสั่งที่ไม่มีพรมแดน หรือระบบระบายน้ำภัยคุกคามทางไซเบอร์ที่ดำเนินการอยู่ (ง) ดำเนินการอื่นใดเกี่ยวกับคอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือสิ่งอื่นใด ๆ เพื่อดำเนินการตามวัตถุประสงค์ของมาตรานี้ตามความเหมาะสม (จ) เข้าเก็บข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ที่เกี่ยวข้องกับภัยคุกคามทางไซเบอร์ เพื่อป้องกันภัยคุกคามทางไซเบอร์ ในกรณีที่มีคำสั่งตามวรรคหนึ่ง ผู้เป็นเจ้าของกรรมสิทธิ์ ผู้ครอบครอง ผู้ดูแลระบบคอมพิวเตอร์ หรือผู้ดูแลระบบคอมพิวเตอร์ตามวรรคหนึ่งที่ดำเนินการตามคำสั่ง ทั้งนี้ คำสั่งที่ยื่นต่อท้ายต้องระบุเหตุจำนวนระยะเวลาที่จำเป็นตามดุลพินิจของคณะกรรมการหรืออาจระบุคำท้ายอย่างหนึ่งต่อท้ายถึงภัยคุกคามทางไซเบอร์ในระดับร้ายแรง ในการพิจารณาเรื่องร้องเรียนคำร้องให้ตอบคำร้องจนสิ้น และให้ดำเนินการให้แล้วเสร็จ

มาตรา ๒๖ ในกรณีการค้น รับแจ้ง และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ในระดับร้ายแรง กมค. มีอำนาจปฏิบัติการหรือให้พนักงานเจ้าหน้าที่ปฏิบัติการเฉพาะหน้าที่จำเป็นเพื่อป้องกันภัยคุกคามทางไซเบอร์ในเรื่องดังต่อไปนี้

(ก) เข้าตรวจสอบสถานที่ โดยมีหนังสือแจ้งถึงเหตุอันสมควรไปยังเจ้าของกรรมสิทธิ์ ผู้ครอบครองหรือผู้ดูแลระบบคอมพิวเตอร์ หรือระบบคอมพิวเตอร์ที่เกี่ยวข้องกับภัยคุกคามทางไซเบอร์ หรือได้รับผลกระทบจากภัยคุกคามทางไซเบอร์ (ข) เข้าเก็บข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ ที่สำเนาหรือสกัดสำเนาข้อมูลสารสนเทศ หรือในระบบคอมพิวเตอร์ ซึ่งมีเหตุอันควรเชื่อได้ว่าเกี่ยวข้อง หรือได้รับผลกระทบจากภัยคุกคามทางไซเบอร์

๓

ทดสอบการทำงานของคอมพิวเตอร์หรือระบบคอมพิวเตอร์ที่มีเหตุอันควรเชื่อได้ ว่าเกี่ยวข้อง หรือได้รับผลกระทบจากการก่อการทางไซเบอร์ หรือถูกใช้เพื่อก่อเหตุอันตรายใด ๆ ที่อยู่ภายใน หรือใช้ประโยชน์จากคอมพิวเตอร์หรือระบบคอมพิวเตอร์นั้น

๔

ถ่ายหรือทำสำเนาคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลใด ๆ โดยวิธีการที่เหมาะสม ซึ่งมีเหตุอันควรเชื่อได้ว่าเกี่ยวข้องกับภัยคุกคามทางไซเบอร์ เพื่อการตรวจสอบหรือวิเคราะห์ ทั้งนี้ ไม่เกินความจำเป็น เสมียนหรือทำสำเนาข้อมูลดังกล่าวเพื่อการตรวจสอบหรือวิเคราะห์ โดยไม่ถือว่าเป็นการละเมิดสิทธิหรือข้อมูลส่วนตัวโดยที่เจ้าหน้าที่ซึ่งกระทำการตรวจสอบหรือวิเคราะห์ดังกล่าวต้อง เก็บรักษาข้อมูลดังกล่าวไว้เป็นความลับ ในการดำเนินการตาม (๒) (๓) และ (๔) ให้ ดำเนินการดังนี้ เพื่อให้สิทธิ์ให้เจ้าหน้าที่สามารถดำเนินการตามมาตรการดังกล่าวได้ เจ้าหน้าที่ต้องรายงานต่อหัวหน้า หน่วยงานที่เกี่ยวข้องเพื่อพิจารณาอนุมัติการดำเนินการดังกล่าวโดยเร็วที่สุด และต้องรายงานผลการดำเนินการ ในระดับชั้นแรก ในการพิจารณาคำร้องให้ยื่นเป็นคำร้องฉุกเฉิน และให้ศาลพิจารณา ให้เสร็จโดยเร็ว

มาตรา ๒๗ ในกรณีที่เกิดภัยคุกคามทางไซเบอร์ในระดับวิกฤติ ให้เป็นหน้าที่และอำนาจ

ของสภาความมั่นคงแห่งชาติในการดำเนินการรักษาความมั่นคงปลอดภัยไซเบอร์ภายใต้กฎหมายว่าด้วย สภาความมั่นคงแห่งชาติและกฎหมายอื่นที่เกี่ยวข้อง

มาตรา ๒๘ ในกรณีที่มีเหตุจำเป็นเร่งด่วน และเป็นภัยคุกคามทางไซเบอร์ในระดับ

วิกฤติ คณะกรรมการอาจมอบหมายให้หน่วยงานด้านความมั่นคงแห่งชาติเป็นผู้รับผิดชอบดำเนินการ และเมื่อมีความสงบเรียบร้อยแล้วหน่วยงานดังกล่าวต้องส่งต่อข้อมูลหลักฐานที่เกี่ยวข้องกับภัยคุกคาม ดังกล่าว ให้แจ้งรายละเอียดการดำเนินการให้คณะกรรมการทราบโดยเร็ว ในกรณีที่จำเป็นเร่งหรือวิกฤติเพียงใด ระยะเวลาในการป้องกัน ประเมินผล รับมือ ปราบปราม ระงับ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ให้เสนอวิธีการโดยความเห็นชอบของ คณะกรรมการหรือ กกม. เมื่อทำงานของข้อมูลที่เป็นปัจจุบันและต่อเนื่องจากผู้ที่เกี่ยวข้องกับภัยคุกคาม ทางไซเบอร์ โดยมุ่งเน้นให้ความร่วมมือและให้ความสะดวกแก่คณะกรรมการหรือ กกม. โดยเร็ว

มาตรา ๒๙ ผู้ที่ได้รับคำสั่งเกี่ยวกับการรับมือกับภัยคุกคามทางไซเบอร์ต้องอุทธรณ์

คำสั่งได้เฉพาะที่เป็นภัยคุกคามทางไซเบอร์ในระดับไม่ร้ายแรงเท่านั้น

หมวด ๔

บทกำหนดโทษ

มาตรา ๓๐ ห้ามมิให้พนักงานเจ้าหน้าที่ที่ตามพระราชบัญญัตินี้เปิดเผยหรือส่งมอบ

ข้อมูลคอมพิวเตอร์ ข้อมูลตรวจการทางคอมพิวเตอร์ ข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ หรือข้อมูลส่วนบุคคลที่ได้จากการดำเนินการตามพระราชบัญญัตินี้แก่บุคคลใด ผู้ใดฝ่าฝืนต้องระวางโทษ จำคุกไม่เกินสามปี หรือปรับไม่เกินหกหมื่นบาท หรือทั้งจำทั้งปรับ สำนักงานคณะกรรมการกฤษฎีกา ความในวรรคหนึ่งมิให้ใช้บังคับกับการกระทำเพื่อประโยชน์ในการดำเนินคดีของผู้กระทำความผิดตามพระราชบัญญัตินี้ หรือผู้กระทำความผิดตามกฎหมายอื่น หรือเพื่อประโยชน์ในการดำเนินคดีกับพนักงานเจ้าหน้าที่เกี่ยวกับการใช้อำนาจหน้าที่โดยมิชอบ

มาตรา ๑๒ ผู้ใดนำเข้าข้อมูลสู่ระบบคอมพิวเตอร์ซึ่งเป็นข้อมูลเท็จโดยประการที่น่าจะเกิดความเสียหายแก่ผู้อื่นหรือประชาชน ข้อมูลเท็จดังกล่าวต้องเป็นข้อมูลที่เกี่ยวข้องกับระบบคอมพิวเตอร์ที่พนักงานเจ้าหน้าที่ตามพระราชบัญญัตินี้ ต้องกระทำการอย่างใดอย่างหนึ่ง หรือมิให้กระทำการอย่างหนึ่งอย่างใด หรือทั้งจำทั้งปรับ

มาตรา ๑๓ ผู้ใดส่งข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์ ข้อมูลของผู้ใช้บริการ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ที่พนักงานเจ้าหน้าที่ตามพระราชบัญญัตินี้ และเป็นข้อมูลที่ผู้นั้นมิได้มีโดยชอบ ต้องระวางโทษจำคุกไม่เกินสองปี หรือปรับไม่เกินสี่หมื่นบาท หรือทั้งจำทั้งปรับ

มาตรา ๑๔ ห้ามมิให้มีการสร้างหรือสำเนาสำเนาที่สำคัญทางสารสนเทศที่ได้ไม่ว่าจะเหตุภัยคุกคามในเบอร์ดิจิทัลมาตรา ๑๔ โดยไม่สมเหตุสมผล ต้องระวางโทษจำคุกไม่เกินสองแสนบาท

มาตรา ๑๕ ผู้ใดไม่ปฏิบัติตามหนังสือเรียกของพนักงานเจ้าหน้าที่ หรือไม่ส่งข้อมูลให้แก่พนักงานเจ้าหน้าที่ตามมาตรา ๑๘ (๑) หรือ (๒) โดยไม่มีเหตุอันสมควร ต้องระวางโทษปรับไม่เกินหนึ่งแสนบาท

มาตรา ๑๖ ผู้ใดฝ่าฝืนหรือไม่ปฏิบัติตามคำสั่งของ กทม. ตามมาตรา ๑๕ (๑) และ (๒) โดยไม่มีเหตุอันสมควร ต้องระวางโทษปรับไม่เกินสามแสนบาท และปรับอีกไม่เกินวันละหนึ่งหมื่นบาทนับแต่วันที่กระทำความผิดหรือจนกว่า กทม. ออกคำสั่งให้ปฏิบัติตามคำสั่งหรือปฏิบัติให้ถูกต้อง ผู้ใดฝ่าฝืนหรือไม่ปฏิบัติตามคำสั่งของ กทม. ตามมาตรา ๑๕ (๓) และ (๔) หรือไม่ปฏิบัติตามคำสั่งตามมาตรา ๑๕ (๔) ต้องระวางโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินสองหมื่นบาท หรือทั้งจำทั้งปรับ

มาตรา ๑๗ ผู้ใดฝ่าฝืนมาตรา หรือไม่ปฏิบัติตามคำสั่งของ กทม. หรือพนักงานเจ้าหน้าที่ที่ซึ่งปฏิบัติการตามคำสั่งของ กทม. ตามมาตรา ๑๕ (๑) หรือ (๒) หรือไม่ปฏิบัติตามคำสั่งของ กทม. ตามมาตรา ๑๕ (๒) (๓) หรือไม่ปฏิบัติตามคำสั่งของ กทม. ต้องระวางโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจำทั้งปรับ

มาตรา ๑๘ ผู้ใดกระทำการที่มีลักษณะเป็นการกระทำความผิดตามพระราชบัญญัตินี้เป็นต้นเหตุให้เกิดการกระทำความผิดตามพระราชบัญญัตินี้หรือกฎหมายอื่น หรือเป็นการกระทำที่มีลักษณะเป็นการกระทำความผิดตามพระราชบัญญัตินี้หรือกฎหมายอื่น ต้องระวางโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจำทั้งปรับ

มาตรา ๗๗ ในวาระเริ่มแรก ให้คณะกรรมการประกอบด้วยรองนายกรัฐมนตรี ประธานกรรมการตามมาตรา ๔๕ (๑) (๒) และให้แต่งตั้งกรรมการผู้ทรงคุณวุฒิจากกรรมการตามมาตรา ๔๕ (๓) โดยเร็วที่สุด เป็นกรรมการและเลขานุการ เพื่อปฏิบัติหน้าที่ที่จำเป็นไปพลางก่อน และให้ดำเนินการแต่งตั้งกรรมการผู้ทรงคุณวุฒิของคณะกรรมการตามมาตรา ๔๕ (๓) ให้แล้วเสร็จภายในเจ็ดวันนับแต่วันที่พระราชบัญญัตินี้ใช้บังคับ

ในการแต่งตั้งกรรมการผู้ทรงคุณวุฒิตามวรรคหนึ่ง รัฐมนตรียังอาจมอบหมายให้รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเสนอรายชื่อบุคคลต่อคณะรัฐมนตรีเพื่อพิจารณาแต่งตั้งเป็นกรรมการผู้ทรงคุณวุฒิดังกล่าวด้วยก็ได้

มาตรา ๗๘ ให้ดำเนินการเพื่อให้ กกท. และ กบส. ภายในกำหนดวันนับแต่วันที่มีการแต่งตั้งกรรมการผู้ทรงคุณวุฒิของคณะกรรมการตามมาตรา ๗๗

ให้ดำเนินการแต่งตั้งเลขาธิการคณะกรรมการการกระจายเสียงและกิจการโทรทัศน์แห่งชาติ และเลขาธิการคณะกรรมการการกระจายเสียงและกิจการโทรทัศน์แห่งชาติ เพื่อปฏิบัติหน้าที่ตามที่กำหนดในพระราชบัญญัตินี้ให้แล้วเสร็จภายในกำหนดเวลาดังกล่าว

มาตรา ๗๙

มาตรา ๘๐ ในวาระเริ่มแรก ให้คณะรัฐมนตรีจัดสรรงบประมาณประเดิมให้แก่สำนักงานตามความจำเป็น

ให้รัฐมนตรีเสนอคณะรัฐมนตรีเพื่อพิจารณาให้ข้าราชการ พนักงาน เจ้าหน้าที่ หรือผู้ปฏิบัติงานอื่นในหน่วยงานของรัฐ ปฏิบัติหน้าที่ที่สำนักงานเป็นการชั่วคราวในระยะเวลาที่คณะรัฐมนตรีกำหนด ให้ข้าราชการ พนักงาน เจ้าหน้าที่ หรือผู้ปฏิบัติงานอื่นในหน่วยงานของรัฐที่ปฏิบัติงานในสำนักงานตามวรรคสองได้รับการสงวนตำแหน่งและสิทธิประโยชน์ต่าง ๆ เงินเดือนหรือค่าจ้าง แล้วแต่กรณี จากต้นสังกัดเดิม ทั้งนี้ คณะกรรมการอาจกำหนดตอบแทนพิเศษให้แก่ข้าราชการ พนักงาน เจ้าหน้าที่ หรือผู้ปฏิบัติงานอื่นในหน่วยงานของรัฐตามวรรคสอง ในระหว่างปฏิบัติงานในสำนักงานตามสมควร สำนักงานคณะกรรมการกฤษฎีกา - 26 - ภายในหนึ่งร้อยแปดสิบวันนับแต่วันที่พระราชบัญญัตินี้ใช้บังคับ ให้สำนักงานดำเนินการจัดสรรตำแหน่งข้าราชการ พนักงาน เจ้าหน้าที่ หรือผู้ปฏิบัติงานอื่นในหน่วยงานของรัฐตามวรรคสองเพื่อบรรจุเป็นพนักงานของสำนักงานต่อไป ข้าราชการ พนักงาน เจ้าหน้าที่ หรือผู้ปฏิบัติงานอื่นในหน่วยงานของรัฐผู้ใดได้รับการคัดเลือกและบรรจุตามวรรคแรก ให้สิทธินับระยะเวลาการทำงานที่เคยทำมาอยู่ในราชการหรือหน่วยงานของรัฐรวมเป็นระยะเวลาทำงานในสำนักงานตามพระราชบัญญัตินี้

มาตรา 13 เมื่อพระราชบัญญัตินี้ใช้บังคับ ให้รัฐบาลจัดสรรงบประมาณและรัฐมนตรีดำเนินการเพื่ออุปถัมภ์การโอนบรรดาสถานภาพ ทรัพย์สิน สหกรณ์ หนี้ และงบประมาณของราชการหรือหน่วยงานที่เกี่ยวกับการศึกษาความมั่นคงปลอดภัยในอาชีวะของสำนักงานอาชีวะกระทรวงการจัดหาพิเศษเศรษฐกิจและสังคม และสำนักงานพัฒนาธุรกิจการอาชีวะการอาชีวะ ที่มีอยู่ในวันก่อนวันที่พระราชบัญญัตินี้ใช้บังคับไปเป็นของสำนักงานตามพระราชบัญญัตินี้

มาตรา 14 การดำเนินการออกกฎกระทรวง ระเบียบ และประกาศ ตามพระราชบัญญัตินี้ให้ดำเนินการให้แล้วเสร็จภายในหนึ่งปีนับแต่วันที่พระราชบัญญัตินี้ใช้บังคับ หากไม่สามารถดำเนินการได้ ให้รัฐมนตรีสามารถเสนอเหตุผลที่สำคัญในการให้คณะรัฐมนตรีพิจารณาได้

ผู้รับสนองพระบรมราชโองการ พลเอก ประยุทธ์ จันทร์โอชา นายกรัฐมนตรี หมวดเหตุ :- เหตุผลในการประกาศใช้พระราชบัญญัติฉบับนี้ คือ โดยที่ในปัจจุบันการให้บริการหรือการประยุกต์ใช้สื่ออิเล็กทรอนิกส์ อินเทอร์เน็ต โครงข่ายโทรคมนาคม หรือการให้บริการโดยคนกลางของภาครัฐมีความเสี่ยงจากภัยคุกคามทางไซเบอร์ซึ่งอาจกระทบต่อความมั่นคงของรัฐ และความสงบเรียบร้อยภายในประเทศ ดังนั้น เพื่อให้สามารถป้องกัน หรือรับมือภัยคุกคามทางไซเบอร์ได้อย่างทันท่วงที สมควรกำหนดหลักเกณฑ์ของการจัดบริการที่มีคุณภาพหรือประสิทธิภาพ รวมทั้งการรักษาความมั่นคงปลอดภัยไซเบอร์ที่เหมาะสมกับภัยคุกคามในแต่ละประเภท และเพื่อให้การดำเนินการดังกล่าวเป็นไปอย่างมีประสิทธิภาพ จึงจำเป็นต้องตราพระราชบัญญัตินี้ สำนักงานคณะกรรมการกฤษฎีกา ธนบดี/วรรณชัย/จัดทำ ๒๐ มิถุนายน ๒๕๖๒ พยนต์/ตรวจ ๒๔ มิถุนายน ๒๕๖๒