法律人 LawPlayer logo

資料由法律人 LawPlayer整理提供·กฎหมายไทย / LawPlayer จากสำนักงานคณะกรรมการกฤษฎีกา

statute

พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

เลขที่
วันที่ประกาศ
จำนวนมาตรา
83
มาตรา อารัมภบท

พระราชบัญญัติ

การรักษาความมั่นคงปลอดภัยไซเบอร์

พ.ศ. 2562

พระบาทสมเด็จพระปรเมนทรรามาธิบดีศรีสินทรมหาวชิราลงกรณ

พระวชิรเกล้าเจ้าอยู่หัว

ให้ไว้ ณ วันที่ 24 พฤษภาคม พ.ศ. 2562

เป็นปีที่ 4 ในรัชกาลปัจจุบัน

พระบาทสมเด็จพระปรเมนทรรามาธิบดีศรีสินทรมหาวชิราลงกรณ พระวชิรเกล้าเจ้าอยู่หัว มีพระบรมราชโองการโปรดเกล้าฯ ให้ประกาศว่า

โดยที่เป็นการสมควรมีกฎหมายว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์

พระราชบัญญัตินี้มีบทบัญญัติบางประการเกี่ยวกับการจํากัดสิทธิและเสรีภาพของบุคคล ซึ่งมาตรา 26 ประกอบกับมาตรา 28 มาตรา 32 มาตรา 33 มาตรา 34 มาตรา 26 และ มาตรา 37 ของรัฐธรรมนูญแห่งราชอาณาจักรไทย บัญญัติให้กระทําได้โดยอาศัยอํานาจตามบทบัญญัติแห่งกฎหมาย

เหตุผลและความจําเป็นในการจํากัดสิทธิและเสรีภาพของบุคคลตามพระราชบัญญัตินี้เพื่อให้การรักษาความมั่นคงปลอดภัยไซเบอร์มีประสิทธิภาพและเพื่อให้มีมาตรการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์อันกระทบต่อความมั่นคงของรัฐและความสงบเรียบร้อยภายในประเทศ ซึ่งการตราพระราชบัญญัตินี้สอดคล้องกับเงื่อนไขที่บัญญัติไว้ในมาตรา 26 ของรัฐธรรมนูญแห่งราชอาณาจักรไทยแล้ว

จึงทรงพระกรุณาโปรดเกล้าฯ ให้ตราพระราชบัญญัติขึ้นไว้โดยคําแนะนําและยินยอมของสภานิติบัญญัติแห่งชาติทําหน้าที่รัฐสภา ดังต่อไปนี้

มาตรา ๑

มาตรา ๑ พระราชบัญญัตินี้เรียกว่า “พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562”

มาตรา ๒

มาตรา ๒ พระราชบัญญัตินี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป

มาตรา ๓

มาตรา ๓ ในพระราชบัญญัตินี้

“การรักษาความมั่นคงปลอดภัยไซเบอร์” หมายความว่า มาตรการหรือการดําเนินการที่กําหนดขึ้นเพื่อป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ทั้งจากภายในและภายนอกประเทศอันกระทบต่อความมั่นคงของรัฐ ความมั่นคงทางเศรษฐกิจ ความมั่นคงทางทหาร และความสงบเรียบร้อยภายในประเทศ

“ภัยคุกคามทางไซเบอร์” หมายความว่า การกระทําหรือการดําเนินการใด ๆ โดยมิชอบโดยใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือโปรแกรมไม่พึงประสงค์โดยมุ่งหมายให้เกิดการประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตรายที่ใกล้จะถึงที่จะก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทํางานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง

“ไซเบอร์” หมายความรวมถึง ข้อมูลและการสื่อสารที่เกิดจากการให้บริการหรือการประยุกต์ใช้เครือข่ายคอมพิวเตอร์ ระบบอินเทอร์เน็ต หรือโครงข่ายโทรคมนาคม รวมทั้งการให้บริการโดยปกติของดาวเทียมและระบบเครือข่ายที่คล้ายคลึงกัน ที่เชื่อมต่อกันเป็นการทั่วไป

“หน่วยงานของรัฐ” หมายความว่า ราชการส่วนกลาง ราชการส่วนภูมิภาค ราชการส่วนท้องถิ่น รัฐวิสาหกิจ องค์กรฝ่ายนิติบัญญัติ องค์กรฝ่ายตุลาการ องค์กรอิสระ องค์การมหาชน และหน่วยงานอื่นของรัฐ

“ประมวลแนวทางปฏิบัติ” หมายความว่า ระเบียบหรือหลักเกณฑ์ที่คณะกรรมการกํากับดูแลด้านความมั่นคงปลอดภัยไซเบอร์กําหนด

“เหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์” หมายความว่า เหตุการณ์ที่เกิดจากการกระทําหรือการดําเนินการใด ๆ ที่มิชอบซึ่งกระทําการผ่านทางคอมพิวเตอร์หรือระบบคอมพิวเตอร์ซึ่งอาจเกิดความเสียหายหรือผลกระทบต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือความมั่นคงปลอดภัยไซเบอร์ของคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์

“มาตรการที่ใช้แก้ปัญหาเพื่อรักษาความมั่นคงปลอดภัยไซเบอร์” หมายความว่า การแก้ไขปัญหาความมั่นคงปลอดภัยไซเบอร์โดยใช้บุคลากร กระบวนการ และเทคโนโลยี โดยผ่านคอมพิวเตอร์ ระบบคอมพิวเตอร์ โปรแกรมคอมพิวเตอร์ หรือบริการที่เกี่ยวกับคอมพิวเตอร์ใด ๆ เพื่อสร้างความมั่นใจและเสริมสร้างความมั่นคงปลอดภัยไซเบอร์ของคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์

“โครงสร้างพื้นฐานสําคัญทางสารสนเทศ” หมายความว่า คอมพิวเตอร์หรือระบบคอมพิวเตอร์ซึ่งหน่วยงานของรัฐหรือหน่วยงานเอกชนใช้ในกิจการของตนที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของรัฐ ความปลอดภัยสาธารณะ ความมั่นคงทางเศรษฐกิจของประเทศ หรือโครงสร้างพื้นฐานอันเป็นประโยชน์สาธารณะ

“หน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ” หมายความว่า หน่วยงานของรัฐหรือหน่วยงานเอกชน ซึ่งมีภารกิจหรือให้บริการโครงสร้างพื้นฐานสําคัญทางสารสนเทศ

“หน่วยงานควบคุมหรือกํากับดูแล” หมายความว่า หน่วยงานของรัฐ หน่วยงานเอกชน หรือบุคคลซึ่งมีกฎหมายกําหนดให้มีหน้าที่และอํานาจในการควบคุมหรือกํากับดูแลการดําเนินกิจการของหน่วยงานของรัฐหรือหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ

“คณะกรรมการ” หมายความว่า คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

“พนักงานเจ้าหน้าที่” หมายความว่า ผู้ซึ่งรัฐมนตรีแต่งตั้งให้ปฏิบัติการตามพระราชบัญญัตินี้

“เลขาธิการ” หมายความว่า เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

“สํานักงาน” หมายความว่า สํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

“รัฐมนตรี” หมายความว่า รัฐมนตรีผู้รักษาการตามพระราชบัญญัตินี้

มาตรา ๔

มาตรา ๔ ให้นายกรัฐมนตรีรักษาการตามพระราชบัญญัตินี้ และให้มีอํานาจออกประกาศและแต่งตั้งพนักงานเจ้าหน้าที่ เพื่อปฏิบัติการตามพระราชบัญญัตินี้

ประกาศนั้น เมื่อได้ประกาศในราชกิจจานุเบกษาแล้วให้ใช้บังคับได้

ส่วน ๑ คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

มาตรา ๕

มาตรา ๕ ให้มีคณะกรรมการคณะหนึ่งเรียกว่า “คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ” เรียกโดยย่อว่า “กมช.” และให้ใช้ชื่อเป็นภาษาอังกฤษว่า “National Cyber Security Committee” เรียกโดยย่อว่า “NCSC” ประกอบด้วย

(1) นายกรัฐมนตรี เป็นประธานกรรมการ

(2) กรรมการโดยตําแหน่ง ได้แก่ รัฐมนตรีว่าการกระทรวงกลาโหม รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงการคลัง ปลัดกระทรวงยุติธรรม ผู้บัญชาการตํารวจแห่งชาติ และเลขาธิการสภาความมั่นคงแห่งชาติ

(3) กรรมการผู้ทรงคุณวุฒิ จํานวนไม่เกินเจ็ดคน ซึ่งคณะรัฐมนตรีแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์ในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านเทคโนโลยีสารสนเทศและการสื่อสาร ด้านการคุ้มครองข้อมูลส่วนบุคคล ด้านวิทยาศาสตร์ ด้านวิศวกรรมศาสตร์ ด้านกฎหมาย ด้านการเงิน หรือด้านอื่นที่เกี่ยวข้อง และเป็นประโยชน์ต่อการรักษาความมั่นคงปลอดภัยไซเบอร์

ให้เลขาธิการเป็นกรรมการและเลขานุการ และให้เลขาธิการแต่งตั้งพนักงานของสํานักงานเป็นผู้ช่วยเลขานุการได้ไม่เกินสองคน

หลักเกณฑ์และวิธีการสรรหาบุคคลเพื่อเสนอคณะรัฐมนตรีแต่งตั้งเป็นกรรมการผู้ทรงคุณวุฒิ รวมทั้งการสรรหากรรมการผู้ทรงคุณวุฒิเพื่อดํารงตําแหน่งแทนผู้ที่พ้นจากตําแหน่งก่อนวาระตามมาตรา 7 วรรคสอง ให้เป็นไปตามระเบียบที่คณะรัฐมนตรีกําหนดโดยการเสนอแนะของคณะกรรมการ

มาตรา ๖

มาตรา ๖ กรรมการผู้ทรงคุณวุฒิในคณะกรรมการต้องมีสัญชาติไทยและไม่มีลักษณะต้องห้าม ดังต่อไปนี้

(1) เป็นบุคคลล้มละลายหรือเคยเป็นบุคคลล้มละลายทุจริต

(2) เป็นคนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ

(3) เคยต้องคําพิพากษาถึงที่สุดให้จําคุกไม่ว่าจะได้รับโทษจําคุกจริงหรือไม่ เว้นแต่เป็นโทษสําหรับความผิดที่ได้กระทําโดยประมาทหรือความผิดลหุโทษ

(4) เคยถูกไล่ออก ปลดออก หรือให้ออกจากราชการ หรือออกจากงานจากหน่วยงานที่เคยปฏิบัติหน้าที่ เพราะทุจริตต่อหน้าที่หรือประพฤติชั่วอย่างร้ายแรง

(5) เคยถูกถอดถอนออกจากตําแหน่งตามกฎหมาย

(6) เป็นผู้ดํารงตําแหน่งทางการเมือง สมาชิกสภาท้องถิ่นหรือผู้บริหารท้องถิ่น กรรมการหรือผู้ดํารงตําแหน่งซึ่งรับผิดชอบการบริหารพรรคการเมือง ที่ปรึกษาพรรคการเมือง หรือเจ้าหน้าที่ของพรรคการเมือง

มาตรา ๗

มาตรา ๗ กรรมการผู้ทรงคุณวุฒิในคณะกรรมการมีวาระการดํารงตําแหน่งคราวละสี่ปี และอาจได้รับแต่งตั้งอีกได้ แต่จะดํารงตําแหน่งเกินสองวาระไม่ได้

ในกรณีที่มีการแต่งตั้งกรรมการผู้ทรงคุณวุฒิเพิ่มเติมหรือแทนกรรมการผู้ทรงคุณวุฒิซึ่งพ้นจากตําแหน่งก่อนวาระ ให้ผู้ได้รับแต่งตั้งเป็นกรรมการผู้ทรงคุณวุฒิเพิ่มเติมหรือแทนตําแหน่งที่ว่างนั้นดํารงตําแหน่งได้เท่ากับวาระที่เหลืออยู่ของกรรมการผู้ทรงคุณวุฒิซึ่งได้แต่งตั้งไว้แล้ว เว้นแต่วาระที่เหลืออยู่ไม่ถึงเก้าสิบวันจะไม่แต่งตั้งกรรมการผู้ทรงคุณวุฒิแทนก็ได้

เมื่อครบกําหนดวาระตามวรรคหนึ่ง หากยังมิได้แต่งตั้งกรรมการผู้ทรงคุณวุฒิขึ้นใหม่ ให้กรรมการผู้ทรงคุณวุฒิซึ่งพ้นจากตําแหน่งตามวาระนั้นอยู่ในตําแหน่งเพื่อดําเนินงานต่อไปจนกว่าจะได้มีการแต่งตั้งกรรมการผู้ทรงคุณวุฒิขึ้นใหม่

มาตรา ๘

มาตรา ๘ นอกจากการพ้นจากตําแหน่งตามวาระตามมาตรา 7 กรรมการผู้ทรงคุณวุฒิพ้นจากตําแหน่ง เมื่อ

(1) ตาย

(2) ลาออก

(3) คณะรัฐมนตรีให้ออก

(4) ขาดคุณสมบัติหรือมีลักษณะต้องห้ามตามมาตรา 6

มาตรา ๙

มาตรา ๙ คณะกรรมการมีหน้าที่และอํานาจ ดังต่อไปนี้

(1) เสนอนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ ส่งเสริมและสนับสนุนการดําเนินการรักษาความมั่นคงปลอดภัยไซเบอร์ตามมาตรา 42 และมาตรา 43 ต่อคณะรัฐมนตรีเพื่อให้ความเห็นชอบ ซึ่งต้องเป็นไปตามแนวทางที่กําหนดไว้ในมาตรา 42

(2) กําหนดนโยบายการบริหารจัดการที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์สําหรับหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ

(3) จัดทําแผนปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์เสนอต่อคณะรัฐมนตรี สําหรับเป็นแผนแม่บทในการรักษาความมั่นคงปลอดภัยไซเบอร์ในสถานการณ์ปกติและในสถานการณ์ที่อาจจะเกิดหรือเกิดภัยคุกคามทางไซเบอร์ โดยแผนดังกล่าวจะต้องสอดคล้องกับนโยบาย ยุทธศาสตร์และแผนระดับชาติ และกรอบนโยบายและแผนแม่บทที่เกี่ยวกับการรักษาความมั่นคงของสภาความมั่นคงแห่งชาติ

(4) กําหนดมาตรฐานและแนวทางส่งเสริมพัฒนาระบบการให้บริการเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ สร้างมาตรฐานเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ และกําหนดมาตรฐานขั้นต่ําที่เกี่ยวข้องกับคอมพิวเตอร์ ระบบคอมพิวเตอร์ โปรแกรมคอมพิวเตอร์ รวมถึงส่งเสริมการรับรองมาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์ให้กับหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ หน่วยงานของรัฐ หน่วยงานควบคุมหรือกํากับดูแล และหน่วยงานเอกชน

(5) กําหนดมาตรการและแนวทางในการยกระดับทักษะความรู้และความเชี่ยวชาญในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของพนักงานเจ้าหน้าที่ เจ้าหน้าที่ของหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ หน่วยงานของรัฐ หน่วยงานควบคุมหรือกํากับดูแล และหน่วยงานเอกชนที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์

(6) กําหนดกรอบการประสานความร่วมมือกับหน่วยงานอื่นทั้งในประเทศและต่างประเทศที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์

(7) แต่งตั้งและถอดถอนเลขาธิการ

(8) มอบหมายการควบคุมและกํากับดูแล รวมถึงการออกข้อกําหนด วัตถุประสงค์ หน้าที่และอํานาจ และกรอบการดําเนินการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ให้หน่วยงานควบคุมหรือกํากับดูแล หน่วยงานของรัฐ หรือหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ

(9) ติดตามและประเมินผลการปฏิบัติตามนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ แผนปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์และการรักษาความมั่นคงปลอดภัยไซเบอร์ตามที่บัญญัติไว้ในพระราชบัญญัตินี้

(10) เสนอแนะและให้ความเห็นต่อคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติหรือคณะรัฐมนตรี เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์

(11) เสนอแนะต่อคณะรัฐมนตรีในการจัดให้มีหรือปรับปรุงกฎหมายที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์

(12) จัดทํารายงานสรุปผลการดําเนินงานของการรักษาความมั่นคงปลอดภัยไซเบอร์ที่มีผลกระทบอย่างมีนัยสําคัญหรือแนวทางการพัฒนามาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์ให้คณะรัฐมนตรีทราบ

(13) ปฏิบัติการอื่นใดตามที่บัญญัติไว้ในพระราชบัญญัตินี้ หรือคณะรัฐมนตรีมอบหมาย

มาตรา ๑๐

มาตรา ๑๐ การประชุมของคณะกรรมการ ให้เป็นไปตามระเบียบที่คณะกรรมการกําหนด โดยอาจประชุมด้วยวิธีการทางอิเล็กทรอนิกส์หรือวิธีการอื่นก็ได้

มาตรา ๑๑

มาตรา ๑๑ ให้ประธานกรรมการ และกรรมการได้รับเบี้ยประชุมหรือค่าตอบแทนอื่นตามหลักเกณฑ์ที่คณะรัฐมนตรีกําหนด

ส่วน ๒ คณะกรรมการกํากับดูแลด้านความมั่นคงปลอดภัยไซเบอร์

มาตรา ๑๒

มาตรา ๑๒ ในการดําเนินการตามหน้าที่และอํานาจของคณะกรรมการตามมาตรา 9 ให้มีคณะกรรมการกํากับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ เรียกโดยย่อว่า “กกม.” ประกอบด้วย

(1) รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นประธานกรรมการ

(2) กรรมการโดยตําแหน่ง ได้แก่ ปลัดกระทรวงการต่างประเทศ ปลัดกระทรวงคมนาคม ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงพลังงาน ปลัดกระทรวงมหาดไทย ปลัดกระทรวงสาธารณสุข ผู้บัญชาการตํารวจแห่งชาติ ผู้บัญชาการทหารสูงสุด เลขาธิการสภาความมั่นคงแห่งชาติ ผู้อํานวยการสํานักข่าวกรองแห่งชาติ ผู้ว่าการธนาคารแห่งประเทศไทย เลขาธิการสํานักงานคณะกรรมการกํากับหลักทรัพย์และตลาดหลักทรัพย์ และเลขาธิการคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ

(3) กรรมการผู้ทรงคุณวุฒิ จํานวนไม่เกินสี่คน ซึ่งคณะกรรมการแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์และเป็นประโยชน์ต่อการรักษาความมั่นคงปลอดภัยไซเบอร์

ให้เลขาธิการเป็นกรรมการและเลขานุการ และให้เลขาธิการแต่งตั้งพนักงานของสํานักงานเป็นผู้ช่วยเลขานุการได้ไม่เกินสองคน

หลักเกณฑ์และวิธีการสรรหาบุคคลที่เห็นสมควรเพื่อพิจารณาแต่งตั้งเป็นกรรมการผู้ทรงคุณวุฒิให้เป็นไปตามระเบียบที่คณะกรรมการกําหนด

มาตรา ๑๓

มาตรา ๑๓ กกม. มีหน้าที่และอํานาจ ดังต่อไปนี้

(1) ติดตามการดําเนินการตามนโยบายและแผนตามมาตรา 9 (1) และมาตรา 42

(2) ดูแลและดําเนินการเพื่อรับมือกับภัยคุกคามทางไซเบอร์ในระดับร้ายแรง ตามมาตรา 61 มาตรา 62 มาตรา 63 มาตรา 64 มาตรา 65 และมาตรา 66

(3) กํากับดูแลการดําเนินงานของศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ และการเผชิญเหตุและนิติวิทยาศาสตร์ทางคอมพิวเตอร์

(4) กําหนดประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์อันเป็นข้อกําหนดขั้นต่ําในการดําเนินการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สําหรับหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ รวมทั้งกําหนดมาตรการในการประเมินความเสี่ยง การตอบสนองและรับมือกับภัยคุกคามทางไซเบอร์ เมื่อมีภัยคุกคามทางไซเบอร์หรือเหตุการณ์ที่ส่งผลกระทบหรืออาจก่อให้เกิดผลกระทบหรือความเสียหายอย่างมีนัยสําคัญหรืออย่างร้ายแรงต่อระบบสารสนเทศของประเทศ เพื่อให้การรักษาความมั่นคงปลอดภัยไซเบอร์ปฏิบัติได้อย่างรวดเร็ว มีประสิทธิภาพ และเป็นไปในทิศทางเดียวกัน

(5) กําหนดหน้าที่ของหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ และหน้าที่ของหน่วยงานควบคุมหรือกํากับดูแล โดยอย่างน้อยต้องกําหนดหน้าที่ให้หน่วยงานควบคุมหรือกํากับดูแลต้องกําหนดมาตรฐานที่เหมาะสมเพื่อรับมือกับภัยคุกคามทางไซเบอร์ของแต่ละหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ และหน่วยงานของรัฐ

(6) กําหนดระดับของภัยคุกคามทางไซเบอร์ พร้อมทั้งรายละเอียดของมาตรการป้องกัน รับมือ ประเมิน ปราบปราม และระงับภัยคุกคามทางไซเบอร์ในแต่ละระดับเสนอต่อคณะกรรมการ

(7) วิเคราะห์สถานการณ์ และประเมินผลกระทบจากภัยคุกคามทางไซเบอร์ เพื่อเสนอต่อคณะกรรมการพิจารณาสั่งการ เมื่อมีหรือคาดว่าจะมีภัยคุกคามทางไซเบอร์ในระดับร้ายแรงขึ้น

ในการกําหนดกรอบมาตรฐานตามวรรคหนึ่ง (4) ให้คํานึงถึงหลักการบริหารความเสี่ยง โดยอย่างน้อยต้องประกอบด้วยวิธีการและมาตรการ ดังต่อไปนี้

(1) การระบุความเสี่ยงที่อาจจะเกิดขึ้นแก่คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ ข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ ทรัพย์สินและชีวิตร่างกายของบุคคล

(2) มาตรการป้องกันความเสี่ยงที่อาจจะเกิดขึ้น

(3) มาตรการตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์

(4) มาตรการเผชิญเหตุเมื่อมีการตรวจพบภัยคุกคามทางไซเบอร์

(5) มาตรการรักษาและฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามทางไซเบอร์

มาตรา ๑๔

มาตรา ๑๔ ในการดําเนินการตามมาตรา 13 วรรคหนึ่ง (2) เพื่อรับมือกับภัยคุกคามทางไซเบอร์ได้ทันท่วงที กกม. อาจมอบอํานาจให้รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ผู้บัญชาการทหารสูงสุด และกรรมการอื่นซึ่ง กกม. กําหนด ร่วมกันปฏิบัติการในเรื่องดังกล่าวได้ และจะกําหนดให้หน่วยงานควบคุมหรือกํากับดูแลและหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศที่ถูกคุกคามเข้าร่วมดําเนินการ ประสานงาน และให้การสนับสนุนด้วยก็ได้

การปฏิบัติตามวรรคหนึ่ง ให้เป็นไปตามระเบียบที่ กกม. กําหนด

มาตรา ๑๕

มาตรา ๑๕ ให้นําความในมาตรา 6 มาตรา 7 และมาตรา 8 มาใช้บังคับกับกรรมการผู้ทรงคุณวุฒิใน กกม. โดยอนุโลม

มาตรา ๑๖

มาตรา ๑๖ ให้ กกม. มีอํานาจแต่งตั้งคณะอนุกรรมการเพื่อปฏิบัติการอย่างใดอย่างหนึ่งตามที่ กกม. มอบหมาย

มาตรา ๑๗

มาตรา ๑๗ การประชุมของ กกม. และคณะอนุกรรมการ ให้เป็นไปตามระเบียบที่ กกม. กําหนด โดยอาจประชุมด้วยวิธีการทางอิเล็กทรอนิกส์หรือวิธีการอื่นก็ได้

มาตรา ๑๘

มาตรา ๑๘ ให้ประธานกรรมการและกรรมการ ประธานอนุกรรมการและอนุกรรมการที่ กกม. แต่งตั้ง ได้รับเบี้ยประชุมหรือค่าตอบแทนอื่นตามหลักเกณฑ์ที่คณะรัฐมนตรีกําหนด

มาตรา ๑๙

มาตรา ๑๙ ในการปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ พนักงานเจ้าหน้าที่ต้องแสดงบัตรประจําตัวต่อบุคคลที่เกี่ยวข้อง

ในการแต่งตั้งพนักงานเจ้าหน้าที่ ให้รัฐมนตรีพิจารณาแต่งตั้งจากผู้มีความรู้ความชํานาญด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ เป็นพนักงานเจ้าหน้าที่เพื่อปฏิบัติการอย่างหนึ่งอย่างใดตามพระราชบัญญัตินี้ ทั้งนี้ ระดับความรู้ความชํานาญด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของพนักงานเจ้าหน้าที่ ให้เป็นไปตามที่คณะกรรมการประกาศกําหนด

บัตรประจําตัวพนักงานเจ้าหน้าที่ให้เป็นไปตามแบบที่ กกม. ประกาศกําหนด

มาตรา ๒๐

มาตรา ๒๐ ให้มีสํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติเป็นหน่วยงานของรัฐ มีฐานะเป็นนิติบุคคล และไม่เป็นส่วนราชการตามกฎหมายว่าด้วยระเบียบบริหารราชการแผ่นดิน หรือรัฐวิสาหกิจตามกฎหมายว่าด้วยวิธีการงบประมาณหรือกฎหมายอื่น

มาตรา ๒๑

มาตรา ๒๑ กิจการของสํานักงานไม่อยู่ภายใต้บังคับแห่งกฎหมายว่าด้วยการคุ้มครองแรงงาน กฎหมายว่าด้วยแรงงานสัมพันธ์ กฎหมายว่าด้วยประกันสังคม และกฎหมายว่าด้วยเงินทดแทน แต่พนักงานและลูกจ้างของสํานักงานต้องได้รับประโยชน์ตอบแทนไม่น้อยกว่าที่กําหนดไว้ในกฎหมายว่าด้วยการคุ้มครองแรงงาน กฎหมายว่าด้วยประกันสังคม และกฎหมายว่าด้วยเงินทดแทน

มาตรา ๒๒

มาตรา ๒๒ ให้สํานักงานรับผิดชอบงานธุรการ งานวิชาการ งานการประชุม และงานเลขานุการของคณะกรรมการ และ กกม. และให้มีหน้าที่และอํานาจดังต่อไปนี้ด้วย

(1) เสนอแนะและสนับสนุนในการจัดทํานโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ และแผนปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์ตามมาตรา 9 ต่อคณะกรรมการ

(2) จัดทําประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ตามมาตรา 13 วรรคหนึ่ง (4) เสนอต่อ กกม. เพื่อให้ความเห็นชอบ

(3) ประสานงานการดําเนินการเพื่อรักษาความมั่นคงปลอดภัยไซเบอร์ของหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศตามมาตรา 53 และมาตรา 54

(4) ประสานงานและให้ความร่วมมือในการตั้งศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ในประเทศและต่างประเทศในส่วนที่เกี่ยวข้องกับเหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์และกําหนดมาตรการที่ใช้แก้ปัญหาเพื่อรักษาความมั่นคงปลอดภัยไซเบอร์

(5) ดําเนินการและประสานงานกับหน่วยงานของรัฐและเอกชนในการตอบสนองและรับมือกับภัยคุกคามทางไซเบอร์ตามที่ได้รับมอบหมายจากคณะกรรมการ

(6) เฝ้าระวังความเสี่ยงในการเกิดภัยคุกคามทางไซเบอร์ ติดตาม วิเคราะห์และประมวลผลข้อมูลเกี่ยวกับภัยคุกคามทางไซเบอร์ และการแจ้งเตือนเกี่ยวกับภัยคุกคามทางไซเบอร์

(7) ปฏิบัติการ ประสานงาน สนับสนุน และให้ความช่วยเหลือ หน่วยงานที่เกี่ยวข้องในการปฏิบัติตามนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ แผนปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์ และมาตรการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ หรือตามคําสั่งของคณะกรรมการ

(8) ดําเนินการและให้ความร่วมมือหรือช่วยเหลือในการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ โดยเฉพาะภัยคุกคามทางไซเบอร์ที่กระทบหรือเกิดแก่โครงสร้างพื้นฐานสําคัญทางสารสนเทศ

(9) เสริมสร้างความรู้ความเข้าใจเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ รวมถึงการสร้างความตระหนักด้านสถานการณ์เกี่ยวกับภัยคุกคามทางไซเบอร์ร่วมกันเพื่อให้มีการดําเนินการเชิงปฏิบัติการที่มีลักษณะบูรณาการและเป็นปัจจุบัน

(10) เป็นศูนย์กลางในการรวบรวมและวิเคราะห์ข้อมูลด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศ รวมทั้งเผยแพร่ข้อมูลที่เกี่ยวข้องกับความเสี่ยงและเหตุการณ์ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ให้แก่หน่วยงานของรัฐและหน่วยงานเอกชน

(11) เป็นศูนย์กลางในการประสานความร่วมมือระหว่างหน่วยงานเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ของหน่วยงานของรัฐและหน่วยงานเอกชนทั้งในประเทศและต่างประเทศ

(12) ทําความตกลงและร่วมมือกับองค์การหรือหน่วยงานทั้งในประเทศและต่างประเทศในกิจการที่เกี่ยวกับการดําเนินการตามหน้าที่และอํานาจของสํานักงาน เมื่อได้รับความเห็นชอบจากคณะกรรมการ

(13) ศึกษาและวิจัยข้อมูลที่จําเป็นสําหรับการรักษาความมั่นคงปลอดภัยไซเบอร์ เพื่อจัดทําข้อเสนอแนะเกี่ยวกับมาตรการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ รวมทั้งดําเนินการอบรมและฝึกซ้อมการรับมือกับภัยคุกคามทางไซเบอร์ให้แก่หน่วยงานที่เกี่ยวข้องเป็นประจํา

(14) ส่งเสริม สนับสนุน และดําเนินการในการเผยแพร่ความรู้เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ ตลอดจนดําเนินการฝึกอบรมเพื่อยกระดับทักษะความเชี่ยวชาญในการปฏิบัติหน้าที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์

(15) รายงานความคืบหน้าและสถานการณ์เกี่ยวกับการปฏิบัติตามพระราชบัญญัตินี้ รวมทั้งปัญหาและอุปสรรค เสนอต่อคณะกรรมการเพื่อพิจารณาดําเนินการ ทั้งนี้ ตามระยะเวลาที่คณะกรรมการกําหนด

(16) ปฏิบัติงานอื่นใดอันเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศตามที่คณะกรรมการหรือคณะรัฐมนตรีมอบหมาย

เพื่อประโยชน์ในการดําเนินการตามหน้าที่และอํานาจตาม (6) ให้สํานักงานจัดตั้งศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติขึ้นเป็นหน่วยงานภายในสํานักงาน และให้มีหน้าที่และอํานาจตามที่คณะกรรมการกําหนด

มาตรา ๒๓

มาตรา ๒๓ ในการดําเนินการของสํานักงาน นอกจากหน้าที่และอํานาจตามที่บัญญัติในมาตรา 22 แล้ว ให้สํานักงานมีหน้าที่และอํานาจทั่วไปดังต่อไปนี้ด้วย

(1) ถือกรรมสิทธิ์ มีสิทธิครอบครอง และมีทรัพยสิทธิต่าง ๆ

(2) ก่อตั้งสิทธิ หรือทํานิติกรรมทุกประเภทผูกพันทรัพย์สิน ตลอดจนทํานิติกรรมอื่นใดเพื่อประโยชน์ในการดําเนินกิจการของสํานักงาน

(3) จัดให้มีและให้ทุนเพื่อสนับสนุนการดําเนินกิจการของสํานักงาน

(4) เรียกเก็บค่าธรรมเนียม ค่าบํารุง ค่าตอบแทน หรือค่าบริการในการดําเนินงาน ทั้งนี้ ตามหลักเกณฑ์และอัตราที่สํานักงานกําหนดโดยความเห็นชอบของ กบส.

(5) ปฏิบัติการอื่นใดที่กฎหมายกําหนดให้เป็นหน้าที่และอํานาจของสํานักงาน หรือตามที่คณะกรรมการ หรือ กบส. มอบหมาย

มาตรา ๒๔

มาตรา ๒๔ ทุนและทรัพย์สินในการดําเนินงานของสํานักงาน ประกอบด้วย

(1) ทุนประเดิมที่รัฐบาลจัดสรรให้ตามมาตรา 81 วรรคหนึ่ง และเงินและทรัพย์สินที่ได้รับโอนมาตามมาตรา 82

(2) เงินอุดหนุนทั่วไปที่รัฐบาลจัดสรรให้ตามความเหมาะสมเป็นรายปี

(3) เงินอุดหนุนจากหน่วยงานของรัฐทั้งในประเทศและต่างประเทศ หรือองค์การระหว่างประเทศระดับรัฐบาล

(4) ค่าธรรมเนียม ค่าบํารุง ค่าตอบแทน ค่าบริการ หรือรายได้อันเกิดจากการดําเนินการตามหน้าที่และอํานาจของสํานักงาน

(5) ดอกผลของเงินหรือรายได้จากทรัพย์สินของสํานักงาน

เงินและทรัพย์สินของสํานักงานตามวรรคหนึ่ง ต้องนําส่งคลังเป็นรายได้แผ่นดิน

มาตรา ๒๕

มาตรา ๒๕ ให้มีคณะกรรมการบริหารสํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์ เรียกโดยย่อว่า “กบส.” เพื่อดูแลงานด้านกิจการบริหารงานทั่วไปของสํานักงาน ประกอบด้วย รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นประธานกรรมการ ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม อธิบดีกรมบัญชีกลาง เลขาธิการ ก.พ. เลขาธิการ ก.พ.ร. และกรรมการผู้ทรงคุณวุฒิจํานวนไม่เกินหกคน เป็นกรรมการ

ให้เลขาธิการเป็นกรรมการและเลขานุการ และให้เลขาธิการแต่งตั้งพนักงานของสํานักงานเป็นผู้ช่วยเลขานุการได้ไม่เกินสองคน

กรรมการผู้ทรงคุณวุฒิตามวรรคหนึ่ง ให้รัฐมนตรีแต่งตั้งจากบุคคลซึ่งมีความรู้ ความเชี่ยวชาญ และความสามารถเป็นที่ประจักษ์ในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านเทคโนโลยีสารสนเทศและการสื่อสาร ด้านเศรษฐศาสตร์ ด้านสังคมศาสตร์ ด้านกฎหมาย ด้านบริหารธุรกิจ หรือด้านอื่นที่เกี่ยวข้อง และเป็นประโยชน์ต่อการดําเนินงานของ กบส. ตามหลักเกณฑ์และวิธีการที่คณะกรรมการกําหนด

ให้นําความในมาตรา 6 และมาตรา 8 มาใช้บังคับกับกรรมการผู้ทรงคุณวุฒิโดยอนุโลม

มาตรา ๒๖

มาตรา ๒๖ ให้กรรมการผู้ทรงคุณวุฒิใน กบส. มีวาระการดํารงตําแหน่งคราวละสี่ปี

ในกรณีที่มีการแต่งตั้งกรรมการผู้ทรงคุณวุฒิเพิ่มเติมหรือแทนกรรมการผู้ทรงคุณวุฒิซึ่งพ้นจากตําแหน่งก่อนวาระ รัฐมนตรีอาจแต่งตั้งกรรมการผู้ทรงคุณวุฒิเพิ่มเติมหรือแทนตําแหน่งที่ว่างได้ และให้ผู้ได้รับแต่งตั้งเป็นกรรมการผู้ทรงคุณวุฒิเพิ่มเติมหรือแทนตําแหน่งที่ว่างนั้นดํารงตําแหน่งได้เท่ากับวาระที่เหลืออยู่ของกรรมการผู้ทรงคุณวุฒิซึ่งได้แต่งตั้งไว้แล้ว

เมื่อครบกําหนดวาระตามวรรคหนึ่ง หากยังมิได้แต่งตั้งกรรมการผู้ทรงคุณวุฒิขึ้นใหม่ ให้กรรมการผู้ทรงคุณวุฒิซึ่งพ้นจากตําแหน่งตามวาระนั้นอยู่ในตําแหน่งเพื่อดําเนินงานต่อไปจนกว่าจะได้มีการแต่งตั้งกรรมการผู้ทรงคุณวุฒิขึ้นใหม่

มาตรา ๒๗

มาตรา ๒๗ ให้ กบส. มีหน้าที่และอํานาจ ดังต่อไปนี้

(1) กําหนดนโยบายการบริหารงาน และให้ความเห็นชอบแผนการดําเนินงานของสํานักงาน

(2) ออกข้อบังคับว่าด้วยการจัดองค์กร การเงิน การบริหารงานบุคคล การบริหารงานทั่วไป การพัสดุ การตรวจสอบภายใน รวมตลอดทั้งการสงเคราะห์และสวัสดิการต่าง ๆ ของสํานักงาน

(3) อนุมัติแผนการใช้จ่ายเงินและงบประมาณรายจ่ายประจําปีของสํานักงาน

(4) ควบคุมการบริหารงานและการดําเนินการของสํานักงานและเลขาธิการ ให้เป็นไปตามพระราชบัญญัตินี้และกฎหมายอื่นที่เกี่ยวข้อง

(5) วินิจฉัยคําสั่งทางปกครองของเลขาธิการในส่วนที่เกี่ยวกับการบริหารงานของสํานักงาน

(6) ประเมินผลการดําเนินงานของสํานักงานและการปฏิบัติงานของเลขาธิการ

(7) ปฏิบัติหน้าที่อื่นตามที่พระราชบัญญัตินี้หรือกฎหมายอื่นกําหนดให้เป็นหน้าที่และอํานาจของ กบส. หรือตามที่คณะกรรมการหรือคณะรัฐมนตรีมอบหมาย

ในการปฏิบัติงานตามวรรคหนึ่ง กบส. อาจแต่งตั้งคณะอนุกรรมการเพื่อพิจารณา เสนอแนะ หรือกระทําการอย่างหนึ่งอย่างใดตามที่ กบส. มอบหมายได้ ทั้งนี้ การปฏิบัติงานและการประชุมให้เป็นไปตามหลักเกณฑ์และวิธีการที่ กบส. กําหนด

กบส. อาจแต่งตั้งผู้ทรงคุณวุฒิซึ่งมีความเชี่ยวชาญในด้านที่เป็นประโยชน์ต่อการดําเนินงานของสํานักงานเป็นที่ปรึกษา กบส. ทั้งนี้ ตามหลักเกณฑ์และวิธีการที่คณะกรรมการกําหนด

มาตรา ๒๘

มาตรา ๒๘ ให้ประธานกรรมการและกรรมการ ประธานอนุกรรมการและอนุกรรมการที่ กบส. แต่งตั้ง ได้รับเบี้ยประชุมและค่าตอบแทนอื่นตามหลักเกณฑ์ที่คณะกรรมการกําหนด

มาตรา ๒๙

มาตรา ๒๙ ให้สํานักงานมีเลขาธิการคนหนึ่ง รับผิดชอบการปฏิบัติงานของสํานักงาน และเป็นผู้บังคับบัญชาพนักงานและลูกจ้างของสํานักงาน

มาตรา ๓๐

มาตรา ๓๐ เลขาธิการต้องมีคุณสมบัติ ดังต่อไปนี้

(1) มีสัญชาติไทย

(2) มีอายุไม่ต่ํากว่าสามสิบห้าปี แต่ไม่เกินหกสิบปี

(3) เป็นผู้มีความรู้ ความสามารถ และประสบการณ์ในด้านที่เกี่ยวกับภารกิจของสํานักงานและการบริหารจัดการ

มาตรา ๓๑

มาตรา ๓๑ ผู้มีลักษณะอย่างใดอย่างหนึ่งดังต่อไปนี้ ต้องห้ามมิให้เป็นเลขาธิการ

(1) เป็นบุคคลล้มละลายหรือเคยเป็นบุคคลล้มละลายทุจริต

(2) เป็นคนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ

(3) เคยต้องคําพิพากษาถึงที่สุดให้จําคุกไม่ว่าจะได้รับโทษจําคุกจริงหรือไม่ เว้นแต่เป็นโทษสําหรับความผิดที่ได้กระทําโดยประมาทหรือความผิดลหุโทษ

(4) เป็นข้าราชการ พนักงาน หรือลูกจ้าง ของส่วนราชการหรือรัฐวิสาหกิจหรือหน่วยงานอื่นของรัฐหรือของราชการส่วนท้องถิ่น

(5) เป็นหรือเคยเป็นข้าราชการการเมือง ผู้ดํารงตําแหน่งทางการเมือง สมาชิกสภาท้องถิ่น หรือผู้บริหารท้องถิ่น เว้นแต่จะได้พ้นจากตําแหน่งมาแล้วไม่น้อยกว่าหนึ่งปี

(6) เป็นหรือเคยเป็นกรรมการหรือผู้ดํารงตําแหน่งอื่นในพรรคการเมืองหรือเจ้าหน้าที่ของพรรคการเมือง เว้นแต่จะได้พ้นจากตําแหน่งมาแล้วไม่น้อยกว่าหนึ่งปี

(7) เคยถูกไล่ออก ปลดออก หรือให้ออกจากราชการ หรือออกจากงานจากหน่วยงานที่เคยปฏิบัติหน้าที่ เพราะทุจริตต่อหน้าที่หรือประพฤติชั่วอย่างร้ายแรง หรือเคยถูกถอดถอนจากตําแหน่ง

(8) เคยถูกให้ออกเพราะไม่ผ่านการประเมินผลการปฏิบัติงานตามมาตรา 35 (5)

มาตรา ๓๒

มาตรา ๓๒ ให้คณะกรรมการเป็นผู้กําหนดอัตราเงินเดือนและค่าตอบแทนอื่นของเลขาธิการตามหลักเกณฑ์ที่คณะรัฐมนตรีกําหนด

มาตรา ๓๓

มาตรา ๓๓ เลขาธิการมีวาระอยู่ในตําแหน่งคราวละสี่ปี

เลขาธิการซึ่งพ้นจากตําแหน่งตามวาระอาจได้รับแต่งตั้งอีกได้ แต่ต้องไม่เกินสองวาระ

มาตรา ๓๔

มาตรา ๓๔ ในแต่ละปี ให้มีการประเมินผลการปฏิบัติงานของเลขาธิการ ทั้งนี้ ให้เป็นไปตามระยะเวลาและวิธีการที่คณะกรรมการกําหนด

มาตรา ๓๕

มาตรา ๓๕ นอกจากการพ้นจากตําแหน่งตามวาระ เลขาธิการพ้นจากตําแหน่ง เมื่อ

(1) ตาย

(2) ลาออก

(3) ขาดคุณสมบัติตามมาตรา 30 หรือมีลักษณะต้องห้ามตามมาตรา 31

(4) คณะกรรมการมีมติให้ออก เพราะบกพร่องหรือทุจริตต่อหน้าที่ มีความประพฤติเสื่อมเสีย หรือหย่อนความสามารถ

(5) คณะกรรมการให้ออก เพราะไม่ผ่านการประเมินผลการปฏิบัติงาน

(6) ออกตามกรณีที่กําหนดไว้ในสัญญาจ้างหรือข้อตกลงระหว่างคณะกรรมการกับเลขาธิการ

มาตรา ๓๖

มาตรา ๓๖ ให้เลขาธิการภายใต้การควบคุมดูแลของคณะกรรมการ กกม. และ กบส. ต้องดําเนินการตามคําสั่งของคณะกรรมการ กกม. และ กบส. ภายใต้หน้าที่และอํานาจ ดังต่อไปนี้

(1) บริหารงานของสํานักงานให้เกิดผลสัมฤทธิ์ตามภารกิจของสํานักงาน และตามนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ แผนปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์ นโยบายของคณะรัฐมนตรีและคณะกรรมการ และข้อบังคับ นโยบาย มติ และประกาศของ กบส.

(2) วางระเบียบภายใต้นโยบายของคณะกรรมการและ กกม. โดยไม่ขัดหรือแย้งกับกฎหมาย มติของคณะรัฐมนตรี และข้อบังคับ นโยบาย มติ และประกาศที่คณะกรรมการและ กกม. กําหนด

(3) เป็นผู้บังคับบัญชาพนักงานและลูกจ้างของสํานักงาน และประเมินผลการปฏิบัติงานของพนักงานและลูกจ้างของสํานักงานตามข้อบังคับของ กบส. และระเบียบของสํานักงาน

(4) แต่งตั้งรองเลขาธิการหรือผู้ช่วยเลขาธิการโดยความเห็นชอบของคณะกรรมการ เพื่อเป็นผู้ช่วยปฏิบัติงานของเลขาธิการตามที่เลขาธิการมอบหมาย

(5) บรรจุ แต่งตั้ง เลื่อน ลด ตัดเงินเดือนหรือค่าจ้าง ลงโทษทางวินัยพนักงานและลูกจ้างของสํานักงาน ตลอดจนให้พนักงานและลูกจ้างของสํานักงานออกจากตําแหน่ง ทั้งนี้ ตามข้อบังคับของ กบส. และระเบียบของสํานักงาน

(6) ปฏิบัติการอื่นใดตามข้อบังคับ นโยบาย มติ หรือประกาศของ กบส. หรือ กกม.

ในกิจการของสํานักงานที่เกี่ยวกับบุคคลภายนอก ให้เลขาธิการเป็นผู้แทนของสํานักงานภายใต้ขอบเขตที่ได้รับการแต่งตั้งโดยคณะกรรมการ

เลขาธิการอาจมอบอํานาจให้บุคคลใดในสังกัดของสํานักงาน ปฏิบัติงานเฉพาะอย่างแทนก็ได้ ทั้งนี้ ตามข้อบังคับที่ กบส. กําหนด

ในกรณีที่ไม่มีเลขาธิการหรือเลขาธิการไม่อาจปฏิบัติหน้าที่ได้ ให้รองเลขาธิการที่มีอาวุโสตามลําดับรักษาการแทน ถ้าไม่มีรองเลขาธิการหรือรองเลขาธิการไม่อาจปฏิบัติหน้าที่ได้ ให้คณะกรรมการแต่งตั้งบุคคลที่เหมาะสมมารักษาการแทน

มาตรา ๓๗

มาตรา ๓๗ การบัญชีของสํานักงานให้จัดทําตามแบบและหลักเกณฑ์ที่ กบส. กําหนด โดยให้คํานึงถึงหลักสากลและมาตรฐานการบัญชี

มาตรา ๓๘

มาตรา ๓๘ ให้สํานักงานจัดทํางบการเงินและบัญชี แล้วส่งผู้สอบบัญชีภายในเก้าสิบวันนับแต่วันสิ้นปีบัญชี

ให้สํานักงานการตรวจเงินแผ่นดินหรือผู้สอบบัญชีรับอนุญาตที่สํานักงานการตรวจเงินแผ่นดินให้ความเห็นชอบเป็นผู้สอบบัญชีของสํานักงาน และประเมินผลการใช้จ่ายเงินและทรัพย์สินของสํานักงานทุกรอบปีแล้วทํารายงานผลการสอบบัญชีเสนอต่อ กบส. เพื่อรับรอง

มาตรา ๓๙

มาตรา ๓๙ ให้สํานักงานจัดทํารายงานผลการดําเนินงานประจําปีเสนอคณะกรรมการและรัฐมนตรีภายในหนึ่งร้อยแปดสิบวันนับแต่วันสิ้นปีบัญชี และเผยแพร่รายงานนี้ต่อสาธารณชน

รายงานผลการดําเนินงานประจําปีตามวรรคหนึ่ง ให้แสดงรายละเอียดของงบการเงินที่ผู้สอบบัญชีให้ความเห็นแล้ว พร้อมทั้งผลงานของสํานักงานและรายงานการประเมินผลการดําเนินงานของสํานักงานในปีที่ล่วงมาแล้ว

การประเมินผลการดําเนินงานของสํานักงานตามวรรคสอง จะต้องดําเนินการโดยบุคคลภายนอกที่ กบส. ให้ความเห็นชอบ

มาตรา ๔๐

มาตรา ๔๐ ให้รัฐมนตรีมีอํานาจกํากับดูแลโดยทั่วไปซึ่งกิจการของสํานักงานให้เป็นไปตามหน้าที่และอํานาจของสํานักงาน กฎหมาย แผนยุทธศาสตร์ชาติ นโยบายและแผนของรัฐบาล และมติคณะรัฐมนตรีที่เกี่ยวข้อง เพื่อการนี้ให้รัฐมนตรีมีอํานาจสั่งให้เลขาธิการชี้แจงข้อเท็จจริง แสดงความคิดเห็น หรือทํารายงานเสนอ และมีอํานาจสั่งยับยั้งการกระทําของสํานักงานที่ขัดต่อหน้าที่และอํานาจของสํานักงาน กฎหมาย แผนยุทธศาสตร์ชาติ นโยบายและแผนของรัฐบาล หรือมติคณะรัฐมนตรีที่เกี่ยวข้อง ตลอดจนสั่งสอบสวนข้อเท็จจริงเกี่ยวกับการดําเนินการของสํานักงานได้

ส่วน ๑ นโยบายและแผน

มาตรา ๔๑

มาตรา ๔๑ การรักษาความมั่นคงปลอดภัยไซเบอร์ต้องคํานึงถึงความเป็นเอกภาพและการบูรณาการในการดําเนินงานของหน่วยงานของรัฐและหน่วยงานเอกชน และต้องสอดคล้องกับนโยบายและแผนระดับชาติว่าด้วยการพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคมตามกฎหมายว่าด้วยการพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม และนโยบายและแผนแม่บทที่เกี่ยวกับการรักษาความมั่นคงของสภาความมั่นคงแห่งชาติ

การดําเนินการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ต้องมุ่งหมายเพื่อสร้างศักยภาพในการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ โดยเฉพาะอย่างยิ่งในการปกป้องโครงสร้างพื้นฐานสําคัญทางสารสนเทศของประเทศ

มาตรา ๔๒

มาตรา ๔๒ นโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ ต้องมีเป้าหมายและแนวทางอย่างน้อย ดังต่อไปนี้

(1) การบูรณาการการจัดการในการรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศ

(2) การสร้างมาตรการและกลไกเพื่อพัฒนาศักยภาพในการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์

(3) การสร้างมาตรการในการปกป้องโครงสร้างพื้นฐานสําคัญทางสารสนเทศของประเทศ

(4) การประสานความร่วมมือระหว่างภาครัฐ เอกชน และประสานความร่วมมือระหว่างประเทศเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์

(5) การวิจัยและพัฒนาเทคโนโลยีและองค์ความรู้ที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์

(6) การพัฒนาบุคลากรและผู้เชี่ยวชาญด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ทั้งภาครัฐและเอกชน

(7) การสร้างความตระหนักและความรู้ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์

(8) การพัฒนาระเบียบและกฎหมายเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์

มาตรา ๔๓

มาตรา ๔๓ ให้คณะกรรมการจัดทํานโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ขึ้นตามแนวทางในมาตรา 42 เพื่อเสนอคณะรัฐมนตรีให้ความเห็นชอบ โดยให้ประกาศในราชกิจจานุเบกษา และเมื่อได้ประกาศแล้ว ให้หน่วยงานของรัฐ หน่วยงานควบคุมหรือกํากับดูแล และหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศตามที่กําหนดไว้ในแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ ดําเนินการให้เป็นไปตามนโยบายและแผนดังกล่าว

ในการจัดทํานโยบายและแผนตามวรรคหนึ่ง ให้สํานักงานจัดให้มีการรับฟังความเห็นหรือประชุมร่วมกับหน่วยงานของรัฐ หน่วยงานควบคุมหรือกํากับดูแล และหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ

มาตรา ๔๔

มาตรา ๔๔ ให้หน่วยงานของรัฐ หน่วยงานควบคุมหรือกํากับดูแล และหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศจัดทําประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของแต่ละหน่วยงานให้สอดคล้องกับนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์โดยเร็ว

ประมวลแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ตามวรรคหนึ่ง อย่างน้อยต้องประกอบด้วยเรื่อง ดังต่อไปนี้

(1) แผนการตรวจสอบและประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์โดยผู้ตรวจประเมิน ผู้ตรวจสอบภายใน หรือผู้ตรวจสอบอิสระจากภายนอก อย่างน้อยปีละหนึ่งครั้ง

(2) แผนการรับมือภัยคุกคามทางไซเบอร์

เพื่อประโยชน์ในการจัดทําประมวลแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ตามวรรคหนึ่ง ให้สํานักงานโดยความเห็นชอบของคณะกรรมการจัดทําประมวลแนวทางปฏิบัติและกรอบมาตรฐานสําหรับให้หน่วยงานของรัฐ หน่วยงานควบคุมหรือกํากับดูแล หรือหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศนําไปใช้เป็นแนวทางในการจัดทําหรือนําไปใช้เป็นประมวลแนวทางปฏิบัติของหน่วยงานของรัฐ หน่วยงานควบคุมหรือกํากับดูแล หรือหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศของตน และในกรณีที่หน่วยงานดังกล่าวยังไม่มีหรือมีแต่ไม่ครบถ้วนหรือไม่สอดคล้องกับประมวลแนวทางปฏิบัติและกรอบมาตรฐาน ให้นําประมวลแนวทางปฏิบัติและกรอบมาตรฐานดังกล่าวไปใช้บังคับ

ส่วน ๒ การบริหารจัดการ

มาตรา ๔๕

มาตรา ๔๕ หน่วยงานของรัฐ หน่วยงานควบคุมหรือกํากับดูแล และหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ มีหน้าที่ป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ตามประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของแต่ละหน่วยงาน และจะต้องดําเนินการให้เป็นไปตามประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ตามมาตรา 13 วรรคหนึ่ง (4) ด้วย

ในกรณีที่หน่วยงานของรัฐ หน่วยงานควบคุมหรือกํากับดูแล หรือหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศไม่อาจดําเนินการหรือปฏิบัติตามวรรคหนึ่งได้ สํานักงานอาจให้ความช่วยเหลือด้านบุคลากรหรือเทคโนโลยีแก่หน่วยงานนั้นตามที่ร้องขอได้

มาตรา ๔๖

มาตรา ๔๖ เพื่อประโยชน์ในการรักษาความมั่นคงปลอดภัยไซเบอร์ ให้หน่วยงานของรัฐ หน่วยงานควบคุมหรือกํากับดูแล และหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ แจ้งรายชื่อเจ้าหน้าที่ระดับบริหารและระดับปฏิบัติการ เพื่อประสานงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ไปยังสํานักงาน

ในกรณีที่มีการเปลี่ยนแปลงเจ้าหน้าที่ตามวรรคหนึ่ง ให้หน่วยงานของรัฐ หน่วยงานควบคุมหรือกํากับดูแล และหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ แจ้งให้สํานักงานทราบโดยเร็ว

มาตรา ๔๗

มาตรา ๔๗ ในกรณีที่การปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ต้องอาศัยความรู้ ความเชี่ยวชาญ คณะกรรมการหรือ กกม. อาจมอบหมายให้เลขาธิการว่าจ้างผู้เชี่ยวชาญตามความเหมาะสมเฉพาะงานได้

ผู้เชี่ยวชาญตามวรรคหนึ่งต้องมีคุณสมบัติหรือประสบการณ์ที่เหมาะสมตามที่คณะกรรมการประกาศกําหนด

เลขาธิการต้องออกบัตรประจําตัวผู้เชี่ยวชาญให้แก่บุคคลที่ได้รับการแต่งตั้ง และในการปฏิบัติหน้าที่บุคคลดังกล่าวต้องแสดงบัตรประจําตัวในฐานะผู้เชี่ยวชาญ และเมื่อพ้นจากหน้าที่แล้วจะต้องคืนบัตรประจําตัวแก่สํานักงานโดยเร็ว

ส่วน ๓ โครงสร้างพื้นฐานสําคัญทางสารสนเทศ

มาตรา ๔๘

มาตรา ๔๘ โครงสร้างพื้นฐานสําคัญทางสารสนเทศเป็นกิจการที่มีความสําคัญต่อความมั่นคงของรัฐ ความมั่นคงทางทหาร ความมั่นคงทางเศรษฐกิจ และความสงบเรียบร้อยภายในประเทศ และเป็นหน้าที่ของสํานักงานในการสนับสนุนและให้ความช่วยเหลือในการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ โดยเฉพาะภัยคุกคามทางไซเบอร์ที่กระทบหรือเกิดแก่โครงสร้างพื้นฐานสําคัญทางสารสนเทศ

มาตรา ๔๙

มาตรา ๔๙ ให้คณะกรรมการมีอํานาจประกาศกําหนดลักษณะหน่วยงานที่มีภารกิจหรือให้บริการในด้านดังต่อไปนี้ เป็นหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ

(1) ด้านความมั่นคงของรัฐ

(2) ด้านบริการภาครัฐที่สําคัญ

(3) ด้านการเงินการธนาคาร

(4) ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม

(5) ด้านการขนส่งและโลจิสติกส์

(6) ด้านพลังงานและสาธารณูปโภค

(7) ด้านสาธารณสุข

(8) ด้านอื่นตามที่คณะกรรมการประกาศกําหนดเพิ่มเติม

การพิจารณาประกาศกําหนดภารกิจหรือบริการตามวรรคหนึ่ง ให้เป็นไปตามหลักเกณฑ์ที่คณะกรรมการกําหนด โดยประกาศในราชกิจจานุเบกษา ทั้งนี้ คณะกรรมการจะต้องพิจารณาทบทวนการประกาศกําหนดภารกิจหรือบริการดังกล่าวเป็นคราว ๆ ไปตามความเหมาะสม

83 มาตรา

อ้างอิงกฎหมายนี้

พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 (Office of the Council of State). Retrieved via LawPlayer, https://lawplayer.com/th/act/pythainlp_b81d795c70ba412c

ที่มา: ระบบกลางกฎหมาย law.go.th (สำนักงานคณะกรรมการกฤษฎีกา).

Thai official texts excluded from copyright (Copyright Act B.E. 2537 s.7);開放資料層 CC BY 署名

本頁資料來源:สำนักงานคณะกรรมการกฤษฎีกา (OCS)·整理提供:法律人 LawPlayer· lawplayer.com