ตามที่ ก.ล.ต. มีแนวคิดในการปรับปรุงหลักเกณฑ์การจัดให้มีระบบเทคโนโลยีสารสนเทศ (IT) ผู้ประกอบธุรกิจในตลาดทุนให้มีความปลอดภัยและสร้างความเชื่อมั่นให้กับผู้ลงทุนยิ่งขึ้น โดยได้เปิดรับฟังความคิดเห็นในการปรับปรุงร่างประกาศดังกล่าวเมื่อเดือนตุลาคมที่ผ่านมา รวมทั้งได้นำความเห็นและข้อเสนอแนะอย่างกว้างขวางของผู้เกี่ยวข้องมาใช้ประกอบการยกร่างประกาศและแนวปฏิบัติที่เกี่ยวข้องแล้วนั้น      

ก.ล.ต. จึงออกประกาศ IT ฉบับแก้ไขเพิ่มเติม โดยมีรายละเอียดส่วนที่สำคัญดังนี้

    (1) ปรับความถี่ของการจัดส่งรายงานผลการตรวจสอบด้าน IT ให้เหมาะสมกับขนาดและความเสี่ยงสำหรับผู้ประกอบธุรกิจขนาดเล็ก และผู้ประกอบธุรกิจที่มีความเสี่ยงระดับต่ำ โดยยังคงติดตามความเสี่ยงของผู้ประกอบธุรกิจดังกล่าวได้เมื่อเกิดเหตุการณ์ไม่พึงประสงค์

    (2) ปรับกำหนดเวลาการจัดส่งรายงานผลการประเมินระดับความเสี่ยงตามแบบ RLA (Risk Level Assessment) และรายงานผลการตรวจสอบด้าน IT เป็นช่วงเวลาเดียวกัน โดยกำหนดให้จัดส่งภายในไตรมาสที่ 1 ของทุกปีปฏิทิน

    (3) ปรับปรุงข้อกำหนดการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมกับความเสี่ยงของผู้ประกอบธุรกิจขนาดเล็ก (cyber hygiene) เช่น การปรับรอบความถี่การทดสอบการเจาะระบบ, การเพิ่มมาตรการควบคุมการเข้าถึงให้ครอบคลุมทั้งบัญชีผู้ใช้งานทั่วไปและบัญชีผู้ใช้งานสิทธิสูงและกำหนดให้ผู้ประกอบธุรกิจมีการบริหารจัดการเหตุการณ์ผิดปกติด้าน IT โดยครอบคลุมการวิเคราะห์สาเหตุ, การบันทึกข้อมูลเหตุการณ์ผิดปกติด้าน IT, และการรายงานเหตุการณ์ดังกล่าว

    (4) ปรับปรุงขอบเขตการบังคับใช้สำหรับผู้ประกอบธุรกิจการเป็นที่ปรึกษาการลงทุนเพื่อให้ผู้ประกอบธุรกิจดังกล่าวมีมาตรการบริหารจัดการและควบคุมความเสี่ยงทางด้าน IT ที่เหมาะสมยิ่งขึ้น

    (5) ปรับปรุงรายละเอียดอื่น ๆ ของหลักเกณฑ์เพื่อสื่อสารเจตนารมณ์และทำให้ผู้ประกอบธุรกิจสามารถนำไปปฏิบัติและจัดให้มีมาตรการควบคุมความเสี่ยงได้ดียิ่งขึ้น

    ทั้งนี้ ประกาศดังกล่าวมีผลใช้บังคับตั้งแต่วันที่ 1 มกราคม 2568 เป็นต้นไป