หลายๆ ท่านอาจจะทราบข่าวที่เรากำลังจะมี พรบ. ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ อย่างเป็นทางการเร็วๆ นี้
ทางพราวด์ขอนำเสนอของที่อื่นๆ ให้ทราบ ว่าเขาทำอย่างไรกัน ขอยกตัวอย่างของฝั่งยุโรปนะครับ หรือที่รู้จักกันทั่วไปว่า “กฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรป (EU Cybersecurity Directive)” ถูกเสนอโดยคณะกรรมาธิการยุโรป ใน พ.ศ. 2557 โดยมีจุดมุ่งหมายเพื่อสร้างความเชื่อมั่นว่าโลกไซเบอร์ในสหภาพยุโรปมีความมั่นคงปลอดภัย หลักๆ เขาต้องการให้
1. ปรับปรุงประสิทธิภาพทางเทคนิคในการรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศสมาชิกแห่งสหภาพยุโรป โดยประเทศสมาชิกแต่ละประเทศจะต้องสร้างเครือข่ายข้อมูลรักษาความมั่นคงปลอดภัย (National Information Security: NIS) ของตน ตลอดจนจัดตั้งเจ้าหน้าที่ผู้มีอำนาจแห่งชาติ (National Competent Authority: NCA) เพื่อนำกฎการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งสหภาพยุโรปมาใช้ในประเทศนอกจากนี้ประเทศสมาชิกยังต้องสร้างทีมงานคอมพิวเตอร์ฉุกเฉิน (Computer Emergency Response Team: CERT) เพื่อเป็นผู้รับผิดชอบในการจัดการและลดความเสี่ยงจากเหตุจากการรักษาความมั่นคงปลอดภัยไซเบอร์
2. เสริมสร้างความร่วมมือระหว่างประเทศสมาชิกในสหภาพยุโรป รวมถึงหน่วยงานภาครัฐและเอกชนเพื่อร่วมกันจัดการกับปัญหาการโจมตีทางไซเบอร์
3. กำหนดมาตรฐานการรักษาความมั่นคงปลอดภัยในโลกไซเบอร์ขั้นต่ำสำหรับผู้ประกอบการที่ประกอบธุรกรรมเกี่ยวกับโครงสร้างพื้นฐานที่สำคัญ เช่น ธนาคาร สุขภาพ พลังงาน ขนส่ง และอื่นๆ ที่อยู่ในประเทศสมาชิกของสหภาพยุโรปทั้งหมด ตามมาตรฐานขั้นต่ำดังกล่าว ผู้ประกอบการจะต้องกำหนดมาตรการในการบริหารความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์ และจะต้องรายงานเหตุการณ์เกี่ยวกับความมั่นคงปลอดภัยในโลกไซเบอร์ที่มี “ผลกระทบที่สำคัญ” จากการให้บริการของตน (นั้นคือคล้ายๆ GDPR)
ดังนั้นจะเห็นได้ว่า เขาเน้นเรื่องความร่วมมือระหว่างกันทั้งภาครัฐและเอกชน รวมไปถึงการวางมาตรฐานขั้นต่ำในตลาดทางด้าน Cyber เพื่อป้องกันความเสี่ยงองค์กรเป็นหลัก เราๆ ท่านๆ จึงต้องดูต่อไปว่า พรบ. ที่จะประกาศนั้นจะเป็นไปในทิศทางใด และประเทศไทยจะได้ประโยชน์มากน้อยแค่ไหนครับ