Từ ngày 01/07/2026, Luật An ninh mạng số 116/2025/QH15 chính thức có hiệu lực, đánh dấu một bước thay đổi quan trọng trong hành lang pháp lý về an ninh mạng tại Việt Nam. So với các quy định trước đây, luật mới mở rộng phạm vi điều chỉnh, bổ sung nhiều nghĩa vụ mới và siết chặt trách nhiệm của các tổ chức, doanh nghiệp hoạt động trên không gian mạng.
Đối với doanh nghiệp, đây không đơn thuần là sự thay đổi về mặt pháp lý mà còn cuộc tái cấu trúc bắt buộcđối với hạ tầng CNTT, quy trình quản lý dữ liệu và chiến lược an toàn thông tin của mọi doanh nghiệp, bao gồm cả doanh nghiệp nội địa, tập đoàn đa quốc gia và đơn vị cung cấp dịch vụ xuyên biên giới. Từ góc độ triển khai thực tế, có 5 thay đổi quan trọng mà doanh nghiệp cần đặc biệt lưu ý.
Những doanh nghiệp nào bị tác động?
Theo Điều 1 của Luật An ninh mạng số 116/2025/QH15, đối tượng áp dụng không chỉ bao gồm cơ quan, tổ chức và cá nhân Việt Nam hoạt động trên không gian mạng mà còn mở rộng đến các tổ chức, doanh nghiệp nước ngoài cung cấp dịch vụ tại Việt Nam.
Đáng chú ý, các doanh nghiệp hoạt động trong lĩnh vực công nghệ thông tin, viễn thông, Internet, thương mại điện tử, nền tảng số, dịch vụ dữ liệu hoặc trực tiếp cung cấp giải pháp an ninh mạng đều chịu tác động trực tiếp từ các quy định mới. Điều này đồng nghĩa rằng việc tuân thủ không còn là câu chuyện của riêng các doanh nghiệp công nghệ mà đã trở thành yêu cầu chung đối với mọi tổ chức vận hành hệ thống thông tin hoặc xử lý dữ liệu người dùng.
5 thay đổi quan trọng doanh nghiệp cần ưu tiên rà soát
1. Yêu cầu lưu trữ dữ liệu tại Việt Nam và thành lập văn phòng đại diện
Theo Điều 25, các doanh nghiệp trong và ngoài nước có thu thập, khai thác, xử lý thông tin cá nhân, mối quan hệ, dữ liệu do người dùng tại Việt Nam tạo raphải:
• Lưu trữ toàn bộ các loại dữ liệu này tại Việt Nam trong thời hạn quy định.
• Các doanh nghiệp nước ngoài thuộc nhóm này bắt buộc phải thành lập chi nhánh/văn phòng đại diện pháp lý tại Việt Nam.
2. Rút ngắn thời gian phản hồi yêu cầu từ cơ quan chức năng
Luật thiết lập cơ chế phối hợp và phản hồi nhanh giữa doanh nghiệp với cơ quan chức năng thông qua văn bản, điện thoại hoặc thư điện tử. Theo đó, doanh nghiệp cung cấp dịch vụ cần đáp ứng các mốc thời gian xử lý nghiêm ngặt như sau:
Nội dung yêu cầu kỹ thuật | Tình huống thông thường | Tình huống khẩn cấp (Đe dọa an ninh quốc gia/tính mạng con người) |
Cung cấp dữ liệu/thông tin người dùng cho lực lượng chuyên trách của Bộ Công an | Chậm nhất 24 giờ | Chậm nhất 03 giờ |
Chặn lọc, ngăn chặn, xóa bỏ thông tin sai sự thật, dịch vụ vi phạm pháp luật | Chậm nhất 24 giờ | Chậm nhất 06 giờ |
Bên cạnh đó, doanh nghiệp cũng phải lưu trữ nhật ký hệ thống (System Log) theo thời gian quy định để phục vụ công tác kiểm tra, xác minh và điều tra khi có yêu cầu từ cơ quan có thẩm quyền.
3. Cơ chế phân loại cấp độ Hệ thống thông tin
Theo Điều 8 và Điều 10, hệ thống thông tin được phân loại từ Cấp độ 1 đến Cấp độ 5 theo TCVN 11930:2017, làm cơ sở để xác định các yêu cầu bảo vệ tương ứng.
• Đối với hệ thống Cấp độ 1 và 2, đơn vị quản lý được chủ động đánh giá rủi ro và lựa chọn các biện pháp bảo vệ phù hợp với thực tế vận hành.
• Đối với hệ thống từ Cấp độ 3 đến Cấp độ 5, doanh nghiệp bắt buộc phải triển khai đầy đủ các biện pháp kỹ thuật theo quy chuẩn quốc gia, bao gồm tường lửa, sao lưu dữ liệu, giám sát an ninh mạng liên tục và các giải pháp bảo vệ khác theo quy định.
Ngoài ra, theo Điều 34, nhân sự trực tiếp vận hành hệ thống thông tin từ Cấp độ 3 trở lên tại doanh nghiệp nhà nước phải được đào tạo chuyên sâu và được cấp chứng nhận về an ninh mạng.
4. Bảo đảm ngân sách đầu tư cho an ninh mạng
Luật cũng nhấn mạnh yêu cầu tăng cường đầu tư cho công tác bảo vệ hệ thống thông tin. Theo Điều 38, các cơ quan, tổ chức và doanh nghiệp nhà nước khi triển khai dự án chuyển đổi số hoặc ứng dụng CNTT phải dành tối thiểu 15% tổng kinh phí cho các giải pháp bảo đảm an ninh mạng.
Quy định này thể hiện quan điểm đưa an ninh mạng trở thành một thành phần thiết yếu trong quá trình đầu tư và phát triển hạ tầng số, thay vì chỉ được triển khai sau khi hệ thống đi vào vận hành.
5. Siết chặt quản lý việc ứng dụng AI và công nghệ Deepfake
Sự phát triển nhanh của trí tuệ nhân tạo (AI) cũng được Luật An ninh mạng số 116/2025/QH15 đưa vào phạm vi điều chỉnh. Theo Điều 7, nghiêm cấm việc sử dụng AI hoặc các công nghệ mới để giả mạo hình ảnh, video, giọng nói (Deepfake) trái quy định; đồng thời cấm phát tán thông tin sai sự thật gây hoang mang dư luận hoặc ảnh hưởng đến an ninh, trật tự, kinh tế và xã hội.
Đối với các doanh nghiệp đang nghiên cứu, phát triển hoặc ứng dụng AI, đây là thời điểm cần rà soát quy trình quản trị công nghệ và kiểm soát rủi ro nhằm bảo đảm việc triển khai phù hợp với các quy định pháp luật hiện hành.
4 khuyến nghị giúp doanh nghiệp chủ động tuân thủ Luật An ninh mạng 2025
Để đáp ứng các yêu cầu của Luật An ninh mạng số 116/2025/QH15 và giảm thiểu rủi ro trong quá trình triển khai, HPT khuyến nghị doanh nghiệp ưu tiên thực hiện các nội dung sau:
1. Rà soát và chuẩn hóa dữ liệu
Doanh nghiệp cần tiến hành kiểm toán dữ liệu (Data Audit) nhằm xác định luồng dữ liệu cá nhân của người dùng tại Việt Nam đang được thu thập, lưu trữ và xử lý. Đồng thời, cần đánh giá lại hạ tầng Cloud và On-premise để bảo đảm việc lưu trữ dữ liệu đáp ứng các yêu cầu của pháp luật.
2. Hoàn thiện quy trình ứng phó sự cố
Việc xây dựng quy trình phản ứng sự cố (Incident Response Procedure) cần được ưu tiên nhằm đáp ứng yêu cầu xử lý trong thời gian ngắn theo quy định của Luật. Doanh nghiệp nên thiết lập đội ngũ trực vận hành 24/7, sẵn sàng phối hợp xử lý, bóc tách dữ liệu vi phạm hoặc ngăn chặn kết nối khi có yêu cầu từ cơ quan chức năng.
3. Đánh giá và hoàn thiện hồ sơ cấp độ hệ thống thông tin
Doanh nghiệp cần rà soát, xác định cấp độ hệ thống thông tin theo quy định hiện hành, đồng thời phối hợp với các tổ chức được chỉ định để thực hiện thẩm định, công bố hợp chuẩn, hợp quy và hoàn thiện phương án bảo vệ phù hợp với cấp độ của hệ thống.
4. Rà soát điều kiện kinh doanh và hồ sơ pháp lý
Đối với các doanh nghiệp cung cấp sản phẩm, giải pháp hoặc dịch vụ an ninh mạng như bảo mật hệ thống, phục hồi dữ liệu, kiểm tra lỗ hổng bảo mật…, cần chủ động rà soát điều kiện kinh doanh và hoàn thiện hồ sơ xin cấp Giấy phép kinh doanh sản phẩm, dịch vụ an ninh mạng theo quy định của pháp luật.
Doanh nghiệp không tuân thủ có thể đối mặt với những rủi ro nào?
Theo Điều 42 của Luật An ninh mạng số 116/2025/QH15, doanh nghiệp vi phạm có thể phải chịu nhiều chế tài như:
• Tạm đình chỉ hoạt động của hệ thống thông tin.
• Thu hồi hoặc tịch thu tên miền.
• Xử phạt vi phạm hành chính.
• Truy cứu trách nhiệm hình sự tùy theo tính chất và mức độ vi phạm.
Ngoài các chế tài pháp lý, doanh nghiệp còn có thể chịu tổn thất về uy tín thương hiệu, gián đoạn hoạt động và ảnh hưởng đến niềm tin của khách hàng, đối tác.
HPT sẵn sàng đồng hành cùng doanh nghiệp
Việc tuân thủ Luật An ninh mạng 2025 không chỉ là yêu cầu pháp lý mà còn là nền tảng để doanh nghiệp nâng cao năng lực quản trị rủi ro và bảo vệ tài sản số. Với hơn 30 năm kinh nghiệm trong lĩnh vực CNTT và dịch vụ an toàn thông tin chuyên sâu, HPT sẵn sàng đồng hành, tư vấn lộ trình tuân thủ và triển khai các giải pháp phù hợp với nhu cầu của doanh nghiệp.
Tìm hiểu thêm về sản phẩm HSOC Platform