มาตรา ๕๕

ในกรณีที่ กกม. เห็นว่า การประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือการตรวจสอบด้านความมั่นคงปลอดภัยไซเบอร์ ตามมาตรา ๕๔ ไม่เป็นไปตามมาตรฐานตามรายงานของหน่วยงานควบคุมหรือกำกับดูแล ให้ กกม. มีคำสั่งให้หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศนั้นดำเนินการประเมินความเสี่ยงใหม่เพื่อให้เป็นไปตามมาตรฐานหรือดำเนินการตรวจสอบในด้านอื่น ๆ ที่มีผลต่อโครงสร้างพื้นฐานสำคัญทางสารสนเทศได้

ในกรณีที่หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศนั้น ได้จัดให้มีการประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์หรือการตรวจสอบด้านความมั่นคงปลอดภัยไซเบอร์ตามวรรคหนึ่งแล้ว แต่ กกม. เห็นว่ายังไม่เป็นไปตามมาตรฐาน ให้ กกม. ดำเนินการ ดังต่อไปนี้

• (๑) กรณีเป็นหน่วยงานของรัฐ ให้แจ้งต่อผู้บริหารระดับสูงสุดของหน่วยงานเพื่อใช้อำนาจในทางบริหาร สั่งการไปยังหน่วยงานของรัฐหรือหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศนั้นเพื่อให้ดำเนินการแก้ไขจนได้มาตรฐานโดยเร็ว
• (๒) กรณีเป็นหน่วยงานเอกชน ให้แจ้งไปยังผู้บริหารระดับสูงสุดของหน่วยงาน ผู้ครอบครองคอมพิวเตอร์ และผู้ดูแลระบบคอมพิวเตอร์ของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศนั้นเพื่อให้ดำเนินการแก้ไขจนได้มาตรฐานโดยเร็ว

ให้เลขาธิการดำเนินการติดตามเพื่อให้เป็นไปตามความในวรรคสองด้วย