สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) มีแนวคิดในการปรับปรุงหลักเกณฑ์ข้อกำหนดการจัดให้มีระบบเทคโนโลยีสารสนเทศ (เกณฑ์ IT) เพื่อให้สอดคล้องกับระดับความเสี่ยงของผู้ประกอบธุรกิจแต่ละกลุ่ม รองรับการเปลี่ยนแปลงของเทคโนโลยี พร้อมรับมือภัยคุกคามทางไซเบอร์และสอดคล้องมาตรฐานสากล
ตามที่ ก.ล.ต. ได้ออกเกณฑ์ IT ไว้เมื่อปี 2565 แล้วนั้น เพื่อให้ผู้ประกอบธุรกิจในตลาดทุนมีมาตรการควบคุมความเสี่ยงด้านเทคโนโลยีสารสนเทศที่มีประสิทธิภาพและมีความพร้อมในการรับมือต่อภัยคุกคามทางไซเบอร์ที่เพิ่มขึ้นอย่างต่อเนื่อง โดยไม่สร้างภาระเกินจำเป็นแก่ผู้ประกอบธุรกิจ ก.ล.ต. จึงเห็นควรปรับปรุงหลักเกณฑ์และเปิดรับฟังความคิดเห็นต่อการปรับปรุงเกณฑ์ IT ดังกล่าว โดยมีสาระสำคัญดังนี้
(1) ปรับความถี่ของการจัดส่งรายงานผลการตรวจสอบด้าน IT ให้เหมาะสมกับขนาดและความเสี่ยง โดยผู้ประกอบธุรกิจที่มีขนาดเล็กและผู้ประกอบธุรกิจที่มีระดับความเสี่ยงต่ำ ให้ดำเนินการทุก 3 ปี ตามรอบปีที่ ก.ล.ต. กำหนด และเมื่อมีเหตุการณ์ไม่พึงประสงค์ซึ่งเกิดขึ้นกับผู้ประกอบธุรกิจและส่งผลกระทบในวงกว้าง
(2) ปรับกำหนดเวลาการจัดส่งรายงานผลการประเมินระดับความเสี่ยงตามแบบ RLA (Risk Level Assessment) และรายงานผลการตรวจสอบด้าน IT เป็นช่วงเวลาเดียวกันภายในไตรมาสแรกของทุกปีปฏิทิน
(3) ปรับปรุงข้อกำหนดการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมกับความเสี่ยงของผู้ประกอบธุรกิจที่มีขนาดเล็ก เช่น ลดความถี่การทดสอบการเจาะระบบเป็นทุก 3 ปี เพิ่มมาตรการควบคุมให้ครอบคลุมบัญชีผู้ใช้ทั่วไป และกำหนดให้มีการบริหารจัดการเหตุผิดปกติโดยวิเคราะห์สาเหตุและบันทึกข้อมูลอย่างน้อย 2 ปี เป็นต้น
(4) ปรับปรุงขอบเขตการบังคับใช้สำหรับผู้ประกอบธุรกิจการเป็นที่ปรึกษาการลงทุน เพื่อให้มีมาตรการบริหารจัดการและควบคุมความเสี่ยงทางด้าน IT ที่เหมาะสมยิ่งขึ้น
(5) ปรับปรุงรายละเอียดอื่น ๆ ของหลักเกณฑ์ เพื่อสื่อสารเจตนารมณ์ได้ชัดเจนและสามารถนำไปปฏิบัติให้มีการควบคุมความเสี่ยงได้ดียิ่งขึ้น
ทั้งนี้ ก.ล.ต. ได้เผยแพร่เอกสารรับฟังความคิดเห็นดังกล่าวไว้ที่เว็บไซต์ ก.ล.ต. https://www.sec.or.th/TH/Pages/PB_Detail.aspx?SECID=998 และระบบกลางทางกฎหมาย www.law.go.th ผู้ที่เกี่ยวข้องและผู้สนใจสามารถแสดงความคิดเห็นได้ที่เว็บไซต์ หรือทาง e-mail: cyberteam@sec.or.th จนถึงวันที่ 15 กรกฎาคม 2567