Luật An ninh mạng 116/2025/QH15 - Những điều doanh nghiệp cần chuẩn bị

1. Luật An ninh mạng là gì?

Luật An ninh mạng số 116/2025/QH15 được Quốc hội khóa XV thông qua tại kỳ họp thứ 10 ngày 10/12/2025, có hiệu lực thi hành từ ngày 01/07/2026. Luật này đồng thời bãi bỏ Luật An ninh mạng số 24/2018/QH14 và Luật An toàn thông tin mạng số 86/2015/QH13 kể từ ngày có hiệu lực (Điều 44, khoản 2). Bên cạnh đó, Luật An ninh mạng 2025 giao thoa chặt chẽ với Luật Bảo vệ dữ liệu cá nhân đã có hiệu lực từ 01/01/2026, tạo thành khung pháp lý an ninh thông tin toàn diện nhất từ trước đến nay tại Việt Nam.

Lý do cần luật mới xuất phát từ thực tế: bối cảnh không gian mạng đã thay đổi căn bản so với thời điểm ban hành luật cũ. Trí tuệ nhân tạo, công nghệ deepfake, chuỗi khối và điện toán đám mây tạo ra những rủi ro an ninh hoàn toàn mới mà khung pháp lý cũ chưa điều chỉnh đầy đủ. Bên cạnh đó, làn sóng chuyển đổi số mạnh mẽ khiến ngày càng nhiều doanh nghiệp đưa hệ thống thông tin lên môi trường mạng, đòi hỏi nghĩa vụ bảo vệ an ninh mạng phải được quy định rõ ràng và cụ thể hơn.

Để hiểu đúng phạm vi của Luật, doanh nghiệp cần nắm 4 khái niệm cốt lõi được định nghĩa tại Điều 2:

• An ninh mạng là sự ổn định, an ninh, an toàn của không gian mạng, bao gồm bảo vệ hệ thống thông tin và bảo đảm thông tin, dữ liệu, hoạt động trên không gian mạng không gây phương hại đến an ninh quốc gia, trật tự, an toàn xã hội và quyền lợi hợp pháp (khoản 1).
• An ninh dữ liệu là sự bảo đảm chất lượng dữ liệu và các hoạt động xử lý, sử dụng dữ liệu trên không gian mạng phục vụ phát triển kinh tế xã hội, chuyển đổi số quốc gia, tránh bị truy cập, sử dụng, tiết lộ, sửa đổi trái phép (khoản 3). Đây là khái niệm hoàn toàn mới so với luật cũ, thể hiện sự giao thoa chặt chẽ với Luật Bảo vệ dữ liệu cá nhân.
• Tấn công mạng là hành vi sử dụng công nghệ thông tin hoặc phương tiện điện tử để chiếm đoạt thông tin, gây rối loạn, gián đoạn, tê liệt hoặc phá hoại hệ thống thông tin (khoản 13).
• Tội phạm mạng là hành vi nguy hiểm cho xã hội được quy định trong Bộ luật Hình sự, thực hiện trên không gian mạng (khoản 12). Hai khái niệm này có ranh giới rõ ràng: tấn công mạng xử lý hành chính, tội phạm mạng xử lý hình sự.

2. Luật An ninh mạng áp dụng cho ai?

2.1 Đối tượng phải tuân thủ

Theo Điều 1, khoản 2, Luật áp dụng cho ba nhóm:

• Nhóm thứ nhất là cơ quan, tổ chức, cá nhân Việt Nam (điểm a).
• Nhóm thứ hai là cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam và người gốc Việt Nam chưa xác định được quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước (điểm b).
• Nhóm thứ ba là cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động bảo vệ an ninh mạng, kinh doanh sản phẩm và dịch vụ an ninh mạng tại Việt Nam (điểm c).

Điểm quan trọng với doanh nghiệp nước ngoài là nhóm thứ ba này không cần có trụ sở tại Việt Nam vẫn bị ràng buộc bởi Luật, miễn là có hoạt động kinh doanh sản phẩm hoặc dịch vụ an ninh mạng tại đây. Với doanh nghiệp cung cấp dịch vụ trên không gian mạng tại Việt Nam, Điều 25 còn yêu cầu phải đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam nếu có hoạt động thu thập, khai thác, phân tích xử lý dữ liệu người dùng (khoản 3, Điều 25).

2.2 Hệ thống thông tin cần bảo vệ theo cấp độ

Điều 8 của Luật phân loại hệ thống thông tin theo 5 cấp độ dựa trên mức độ tổn hại tiềm tàng nếu xảy ra sự cố. Đây là căn cứ quan trọng để doanh nghiệp xác định mình phải thực hiện những biện pháp bảo vệ nào. Doanh nghiệp có trách nhiệm tự xác định cấp độ hệ thống thông tin của mình vì đây là cơ sở để biết nghĩa vụ kỹ thuật tương ứng. Chính phủ quy định chi tiết tiêu chí xác định cấp độ tại văn bản hướng dẫn (Điều 8, khoản 2).

3. Những hành vi nào bị nghiêm cấm trên không gian mạng?

3.1 Nội dung bị cấm đăng tải và phát tán

Điều 7 của Luật liệt kê toàn bộ các hành vi bị nghiêm cấm, chia làm 8 nhóm chính. Doanh nghiệp đặc biệt cần lưu ý hai điểm mới hoàn toàn so với luật cũ. Điểm g, khoản 2, Điều 7 cấm sử dụng trí tuệ nhân tạo hoặc công nghệ mới để giả mạo video, hình ảnh, giọng nói của người khác trái quy định của pháp luật. Đây là quy định tiên phong về deepfake, phản ánh thực tế rằng công nghệ AI tạo sinh đang bị lạm dụng để thực hiện các cuộc tấn công social engineering tinh vi.

Điểm h, khoản 2, Điều 7 cấm thu thập, sử dụng, phát tán, trao đổi, chuyển nhượng, kinh doanh trái phép thông tin, dữ liệu cá nhân của người khác. Điểm này tạo ra sự giao thoa trực tiếp với Luật Bảo vệ dữ liệu cá nhân đang có hiệu lực: vi phạm data breach trên không gian mạng có thể bị xử lý đồng thời theo cả hai khung pháp lý. Doanh nghiệp không tuân thủ đúng Luật Bảo vệ dữ liệu cá nhân do đó cũng có nguy cơ vi phạm Luật An ninh mạng.

Khoản 1, Điều 7 liệt kê các nội dung bị cấm đăng tải gồm thông tin tuyên truyền chống Nhà nước, xuyên tạc lịch sử, bịa đặt vu khống, thông tin sai sự thật gây hoang mang, nội dung kích động bạo lực và thông tin xúc phạm danh dự của cá nhân, tổ chức. Doanh nghiệp vận hành nền tảng cho phép người dùng đăng tải nội dung phải có cơ chế kiểm soát và xóa các nội dung này trong vòng 24 giờ khi có yêu cầu của cơ quan chức năng.

3.2 Tấn công mạng và các hành vi kỹ thuật bị cấm

Điều 18, khoản 1 liệt kê 5 nhóm hành vi tấn công mạng bị nghiêm cấm. Quan trọng với doanh nghiệp là quy định cấm sản xuất, mua bán, trao đổi, tặng cho công cụ, thiết bị, phần mềm có tính năng gây hại mạng để sử dụng vào mục đích trái pháp luật (điểm đ, khoản 1, Điều 18). Doanh nghiệp kinh doanh sản phẩm và dịch vụ an ninh mạng có kiểm thử xâm nhập (penetration testing) cần đặc biệt lưu ý: phải có giấy phép kinh doanh sản phẩm, dịch vụ an ninh mạng theo Điều 29 mới được hoạt động hợp pháp. Không có giấy phép mà kinh doanh các dịch vụ thuộc danh mục tại Điều 28 sẽ bị xử phạt theo dự thảo nghị định.

Khoản 2, Điều 18 yêu cầu chủ quản hệ thống thông tin phải áp dụng biện pháp kỹ thuật để phòng ngừa, ngăn chặn 5 nhóm hành vi tấn công mạng, tức là không được chờ bị tấn công mới phản ứng. Nghĩa vụ này cụ thể hóa yêu cầu tại Điều 10 và buộc doanh nghiệp phải có giải pháp kỹ thuật như firewall, WAF và hệ thống phát hiện, ngăn chặn xâm nhập được triển khai chủ động.

4. Doanh nghiệp có những nghĩa vụ bắt buộc nào?

4.1 Nghĩa vụ bảo vệ hệ thống thông tin theo cấp độ

Điều 10 của Luật chia nghĩa vụ bảo vệ an ninh mạng thành hai nhóm: nhiệm vụ quản lý và biện pháp kỹ thuật. Điều quan trọng là không phải doanh nghiệp nào cũng phải làm tất cả, mà tùy theo cấp độ hệ thống đã xác định ở bước trước.

Nhóm nhiệm vụ quản lý (khoản 1, Điều 10) áp dụng bắt buộc cho tất cả các cấp độ, gồm những việc như xác định cấp độ hệ thống, đánh giá và quản lý rủi ro định kỳ, giám sát và kiểm tra tuân thủ, triển khai biện pháp bảo vệ và thực hiện chế độ báo cáo với cơ quan nhà nước.

Nhóm biện pháp kỹ thuật (khoản 2, Điều 10) gồm 8 hạng mục cụ thể hơn, từ ban hành quy định nội bộ về an ninh mạng, thẩm định và đánh giá hệ thống, áp dụng tiêu chuẩn kỹ thuật, triển khai sao lưu và lưu trữ dữ liệu, giám sát an ninh mạng liên tục, đến ứng phó và khắc phục sự cố. Nhóm này không bắt buộc đồng đều cho tất cả mà phụ thuộc vào cấp độ:

• Cấp độ 1 và 2: chỉ bắt buộc nhóm nhiệm vụ quản lý, được tùy chọn áp dụng thêm biện pháp kỹ thuật.
• Cấp độ 3 và 4: bắt buộc cả nhóm nhiệm vụ quản lý và phần lớn biện pháp kỹ thuật trong khoản 2. Đây là ngưỡng mà hầu hết doanh nghiệp tài chính, y tế và viễn thông có thể rơi vào.
• Cấp độ 5: bắt buộc thực hiện toàn bộ khoản 1 và khoản 2, không có ngoại lệ.

Nói ngắn gọn: càng cao cấp độ, càng nhiều thứ phải làm. Xác định đúng cấp độ ngay từ đầu sẽ giúp doanh nghiệp không đầu tư thừa hoặc thiếu so với yêu cầu pháp lý (Điều 10, khoản 3, 4, 5).

4.2 Nghĩa vụ của doanh nghiệp cung cấp dịch vụ trên không gian mạng

Đây là nhóm nghĩa vụ quan trọng nhất với doanh nghiệp công nghệ, fintech, e-commerce, nền tảng mạng xã hội và ứng dụng di động. Điều 25, khoản 2 quy định cụ thể 4 nghĩa vụ bắt buộc.

• Phải xác thực thông tin khi người dùng đăng ký tài khoản số và bảo mật thông tin, tài khoản của người dùng.
• Phải cung cấp thông tin người dùng cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an chậm nhất là 24 giờ kể từ thời điểm có yêu cầu bằng văn bản.
• Phải ngăn chặn việc chia sẻ thông tin và xóa bỏ thông tin, gỡ bỏ dịch vụ, ứng dụng vi phạm chậm nhất là 24 giờ kể từ thời điểm có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng.
• Phải lưu trữ thông tin cá nhân của người sử dụng dịch vụ, dữ liệu do người sử dụng dịch vụ tạo ra trong thời gian theo quy định của pháp luật.

Đặc biệt, khoản 3, Điều 25 yêu cầu doanh nghiệp nước ngoài có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân và dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra phải đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam.

4.3 Nghĩa vụ phòng chống phần mềm độc hại và tấn công mạng

Điều 17 yêu cầu cơ quan, tổ chức, cá nhân có trách nhiệm chủ động phòng ngừa, phát hiện, ngăn chặn malware và thực hiện theo hướng dẫn, yêu cầu của cơ quan nhà nước có thẩm quyền (khoản 1). Với doanh nghiệp cung cấp dịch vụ thư điện tử, truyền đưa và lưu trữ thông tin, phải có hệ thống lọc phần mềm độc hại trong quá trình gửi, nhận, lưu trữ thông tin trên hệ thống và báo cáo cơ quan nhà nước có thẩm quyền (khoản 3, Điều 17).

Khoản 2, Điều 18 yêu cầu chủ quản hệ thống thông tin áp dụng biện pháp kỹ thuật để phòng ngừa, ngăn chặn tấn công mạng chủ động. Nghĩa vụ này buộc doanh nghiệp triển khai Defense in Depth, tức là bảo vệ nhiều lớp thay vì chỉ dựa vào một giải pháp đơn lẻ.

4.4 Nghĩa vụ báo cáo và kết nối với hệ thống giám sát quốc gia

Điều 40 của Luật quy định chủ quản hệ thống thông tin có hai nghĩa vụ quan trọng. Một là báo cáo sự cố an ninh mạng với cơ quan chuyên trách của Bộ Công an hoặc Bộ Quốc phòng (khoản 1, điểm c). Hai là kết nối hệ thống giám sát an ninh mạng và hệ thống phòng chống mã độc tập trung về Trung tâm An ninh mạng quốc gia của Bộ Công an hoặc Trung tâm An ninh mạng của tỉnh, thành phố (khoản 1, điểm b).

Với doanh nghiệp cung cấp dịch vụ viễn thông, Internet và dịch vụ gia tăng trên không gian mạng, khi xảy ra sự cố an ninh mạng phải ngay lập tức triển khai phương án ứng cứu khẩn cấp và đồng thời báo ngay với lực lượng chuyên trách bảo vệ an ninh mạng (Điều 41, khoản 3).

5. Ngành nào chịu tác động đặc biệt từ Luật An ninh mạng?

5.1 Doanh nghiệp cung cấp dịch vụ Internet, mạng xã hội và ứng dụng

Đây là nhóm chịu tác động trực tiếp và nặng nề nhất. Điều 25 áp đặt 4 nghĩa vụ cốt lõi gồm xác thực người dùng, cung cấp thông tin trong 24 giờ khi có yêu cầu, xóa nội dung vi phạm trong 24 giờ và lưu trữ nhật ký hệ thống. Yêu cầu đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam đối với doanh nghiệp nước ngoài là quy định quan trọng cần theo dõi, đặc biệt với các ứng dụng quốc tế đang cung cấp dịch vụ cho người dùng Việt Nam mà chưa có đại diện pháp lý tại đây.

5.2 Doanh nghiệp vận hành hệ thống thông tin trong 8 lĩnh vực quan trọng

Điều 9, khoản 2 liệt kê 8 lĩnh vực có hệ thống thông tin quan trọng về an ninh quốc gia, trong đó doanh nghiệp tư nhân cần đặc biệt chú ý nhóm hệ thống thông tin quốc gia thuộc lĩnh vực năng lượng, tài chính ngân hàng, viễn thông, giao thông vận tải, nông nghiệp, tài nguyên môi trường, hóa chất, y tế và văn hóa.

Doanh nghiệp thuộc các ngành tài chính ngân hàng, viễn thông, y tế và năng lượng cần xác định xem hệ thống thông tin của mình có thuộc danh mục hệ thống thông tin quan trọng về an ninh quốc gia theo quyết định của Thủ tướng Chính phủ hay không. Nếu có, phải thẩm định an ninh mạng, chứng nhận đủ điều kiện an ninh mạng trước khi đưa vào vận hành và kiểm tra an ninh mạng định kỳ hàng năm, cùng với tự kiểm tra an ninh mạng và thông báo kết quả bằng văn bản trước tháng 10 hàng năm (Điều 11, khoản 1, điểm b).

5.3 Doanh nghiệp kinh doanh sản phẩm và dịch vụ an ninh mạng

Điều 29, khoản 1 quy định rõ: doanh nghiệp kinh doanh sản phẩm và dịch vụ an ninh mạng phải có giấy phép kinh doanh do Bộ Công an cấp. Điều 28 liệt kê danh mục sản phẩm an ninh mạng gồm sản phẩm mật mã dân sự, sản phẩm kiểm tra và đánh giá an ninh mạng, sản phẩm giám sát an ninh mạng và sản phẩm chống tấn công xâm nhập. Dịch vụ an ninh mạng bao gồm dịch vụ kiểm tra đánh giá, WAAP, tư vấn, giám sát, ứng cứu sự cố và khôi phục dữ liệu.

Với các doanh nghiệp đang cung cấp dịch vụ bảo mật, nghĩa vụ có giấy phép là yêu cầu bắt buộc để tiếp tục hoạt động sau ngày 01/07/2026. Điều 29, khoản 2 còn yêu cầu doanh nghiệp kinh doanh sản phẩm, dịch vụ an ninh mạng phải lập, lưu giữ và bảo mật thông tin của khách hàng, quản lý hồ sơ, tài liệu về giải pháp kỹ thuật và công nghệ của sản phẩm theo quy định của pháp luật.

6. Mức phạt khi vi phạm Luật An ninh mạng là bao nhiêu?

6.1. Khung phạt chính theo dự thảo nghị định xử phạt

Dự thảo nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân xác định khung phạt riêng cho lĩnh vực an ninh mạng. Theo Điều 6, khoản 3 của dự thảo nghị định, mức phạt tiền tối đa trong lĩnh vực an ninh mạng là 100 triệu đồng đối với cá nhân và 200 triệu đồng đối với tổ chức. Với lĩnh vực an ninh mạng, tổ chức vi phạm bị phạt gấp đôi cá nhân theo Điều 6, khoản 1.

6.2 Hình phạt bổ sung và hệ quả kép với Luật Bảo vệ dữ liệu cá nhân

Ngoài tiền phạt, Điều 4 của dự thảo nghị định quy định các hình thức xử phạt bổ sung gồm tước quyền sử dụng giấy phép kinh doanh sản phẩm và dịch vụ an ninh mạng từ 1 đến 3 tháng; đình chỉ hoạt động từ 1 đến 3 tháng; tịch thu tang vật, phương tiện và tài khoản số sử dụng để vi phạm; trục xuất đối với người nước ngoài vi phạm. Biện pháp khắc phục hậu quả bao gồm buộc xóa thông tin vi phạm, buộc công khai xin lỗi trên phương tiện thông tin đại chúng và thu hồi tên miền.

Điểm đặc biệt cần nhấn mạnh: hành vi thu thập, mua bán trái phép dữ liệu cá nhân trên không gian mạng vừa vi phạm Điều 7, khoản 2, điểm h của Luật An ninh mạng vừa vi phạm các quy định của Luật Bảo vệ dữ liệu cá nhân đang có hiệu lực từ 01/01/2026. Doanh nghiệp có thể đối mặt với mức phạt tổng hợp từ cả hai khung pháp lý, cùng với nguy cơ bị đình chỉ hoạt động từ hai cơ quan thực thi khác nhau.

7. Điểm mới quan trọng so với Luật An ninh mạng 2018

Có 4 thay đổi căn bản mà doanh nghiệp cần hiểu rõ để điều chỉnh hệ thống và quy trình kịp thời.

• Thứ nhất, Luật 2025 bổ sung quy định cấm deepfake và nội dung AI giả mạo (Điều 7, khoản 2, điểm g). Luật cũ chưa có quy định này vì deepfake chưa phổ biến ở thời điểm 2018. Doanh nghiệp truyền thông, quảng cáo và các nền tảng nội dung phải có chính sách kiểm soát nội dung được tạo bởi AI.
• Thứ hai, Luật 2025 bổ sung khái niệm an ninh dữ liệu (Điều 2, khoản 3) và Điều 26 quy định riêng về bảo đảm an ninh dữ liệu với 7 biện pháp kỹ thuật bắt buộc, kết nối chặt chẽ với Luật Bảo vệ dữ liệu cá nhân để tạo thành khung pháp lý kép cho việc bảo vệ dữ liệu.
• Thứ ba, Điều 34 yêu cầu người trực tiếp quản trị, vận hành hệ thống thông tin cấp độ 3, 4 và 5 trong cơ quan, tổ chức, doanh nghiệp nhà nước phải được tập huấn kiến thức và kỹ năng chuyên sâu về an ninh mạng và được cấp chứng nhận, áp dụng với cả cán bộ, công chức, viên chức và người lao động tham gia bảo vệ an ninh mạng.
• Thứ tư, phạm vi đối tượng được mở rộng đáng kể so với luật cũ, bao phủ cả tổ chức nước ngoài kinh doanh sản phẩm và dịch vụ an ninh mạng tại Việt Nam dù không có trụ sở tại đây (Điều 1, khoản 2, điểm c).

8. Lộ trình chuẩn bị tuân thủ Luật An ninh mạng

Luật An ninh mạng có hiệu lực ngày 01/07/2026. Thời gian chuẩn bị không còn nhiều, và 5 bước dưới đây nên được triển khai song song thay vì tuần tự để kịp thời hạn:

1. Xác định cấp độ hệ thống thông tin: Rà soát toàn bộ hệ thống thông tin đang vận hành, đối chiếu với tiêu chí tại Điều 8 để xác định cấp độ. Đây là bước nền tảng vì cấp độ xác định toàn bộ nghĩa vụ kỹ thuật và tổ chức phải thực hiện. Doanh nghiệp trong lĩnh vực tài chính, y tế và viễn thông cần xác định thêm xem có thuộc danh mục hệ thống thông tin quan trọng về an ninh quốc gia không.
2. Rà soát giấy phép kinh doanh nếu cung cấp sản phẩm, dịch vụ an ninh mạng: Nếu doanh nghiệp đang cung cấp các dịch vụ kiểm tra, giám sát, chống tấn công mạng hoặc ứng cứu sự cố, phải hoàn tất thủ tục cấp giấy phép kinh doanh sản phẩm, dịch vụ an ninh mạng tại Bộ Công an trước khi Luật có hiệu lực theo Điều 29. Thủ tục cấp phép thường mất nhiều thời gian, nên bắt đầu sớm.
3. Xây dựng và bổ sung biện pháp kỹ thuật theo cấp độ: Căn cứ kết quả bước 1, triển khai các biện pháp kỹ thuật bắt buộc tại Điều 10, khoản 2. Ưu tiên triển khai hệ thống kiểm soát truy cập, giám sát an ninh mạng theo nguyên tắc zero trust, sao lưu dữ liệu định kỳ và hệ thống phát hiện xâm nhập. Với hệ thống cấp 3 trở lên, phải đảm bảo có thể kết nối vào hệ thống giám sát của Trung tâm An ninh mạng quốc gia theo Điều 40.
4. Cập nhật quy trình xử lý yêu cầu từ cơ quan chức năng: Nếu doanh nghiệp cung cấp dịch vụ trên không gian mạng, phải thiết lập quy trình nội bộ để cung cấp thông tin người dùng trong 24 giờ và xóa nội dung vi phạm trong 24 giờ khi có yêu cầu từ Bộ Công an theo Điều 25, khoản 2. Chỉ định đầu mối tiếp nhận yêu cầu và phân quyền xử lý rõ ràng.
5. Đào tạo và cấp chứng nhận cho nhân sự quản trị hệ thống: Nếu vận hành hệ thống thông tin cấp độ 3, 4 hoặc 5, người trực tiếp quản trị phải hoàn thành chương trình tập huấn và nhận chứng nhận theo Điều 34. Thủ tục đào tạo và đăng ký chứng nhận cần được lên kế hoạch sớm để đảm bảo đủ thời gian trước khi Luật có hiệu lực.

9. Kết luận

Luật An ninh mạng số 116/2025/QH15 chính thức có hiệu lực từ 01/07/2026, thay thế hoàn toàn khung pháp lý cũ với nhiều yêu cầu mới và cụ thể hơn về nghĩa vụ kỹ thuật, tổ chức và nhân sự. Kết hợp với Luật Bảo vệ dữ liệu cá nhân đã có hiệu lực từ 01/01/2026, doanh nghiệp đang đối mặt với khung pháp lý an ninh thông tin toàn diện nhất từ trước đến nay tại Việt Nam. Còn 4 tháng để chuẩn bị, nhưng 5 bước trong lộ trình trên cần được triển khai song song, không phải tuần tự, để kịp thời hạn.

VNETWORK sẵn sàng đồng hành cùng doanh nghiệp trong việc triển khai các giải pháp kỹ thuật bảo mật và ứng phó, xử lý sự cố an ninh mạng phù hợp với yêu cầu của Luật An ninh mạng 2025.

10. Tuyên bố miễn trừ trách nhiệm và nguồn tham khảo

Bài viết này được biên soạn nhằm mục đích cung cấp thông tin tổng quát và không cấu thành tư vấn pháp lý. Các nội dung phân tích, diễn giải và ví dụ trong bài là quan điểm của VNETWORK dựa trên quá trình nghiên cứu tài liệu pháp lý, không thay thế cho ý kiến tư vấn của luật sư hoặc chuyên gia pháp lý có thẩm quyền. Doanh nghiệp cần tham khảo ý kiến pháp lý chuyên sâu trước khi đưa ra bất kỳ quyết định tuân thủ nào.

Lưu ý riêng về nghị định xử phạt: tại thời điểm bài viết được công bố, nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân vẫn đang trong giai đoạn lấy ý kiến, chưa được ban hành chính thức. Các mức phạt cụ thể và quy định chi tiết có thể thay đổi so với nội dung dự thảo. VNETWORK sẽ cập nhật bài viết khi nghị định chính thức có hiệu lực.

Nguồn tài liệu tham khảo:

Luật số 116/2025/QH15 về An ninh mạng, Quốc hội khóa XV thông qua ngày 10/12/2025, Chủ tịch Quốc hội Trần Thanh Mẫn ký: Tại đây 

Dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân, Bộ Công an chủ trì soạn thảo, đang trong giai đoạn lấy ý kiến tại: Tại đây

FAQ - Những câu hỏi thường gặp về Luật An ninh mạng

1. Luật An ninh mạng 116/2025/QH15 có hiệu lực từ khi nào?

Luật số 116/2025/QH15 được Quốc hội thông qua ngày 10/12/2025 và chính thức có hiệu lực thi hành từ ngày 01/07/2026 (Điều 44, khoản 1). Kể từ ngày này, Luật An ninh mạng số 24/2018/QH14 và Luật An toàn thông tin mạng số 86/2015/QH13 đều hết hiệu lực (Điều 44, khoản 2).

2. Doanh nghiệp nước ngoài cung cấp dịch vụ tại Việt Nam có phải tuân thủ Luật An ninh mạng không?

Có. Theo Điều 1, khoản 2, điểm c, Luật áp dụng cho cả tổ chức nước ngoài tham gia hoạt động bảo vệ an ninh mạng hoặc kinh doanh sản phẩm, dịch vụ an ninh mạng tại Việt Nam dù không có trụ sở tại đây. Ngoài ra, theo Điều 25, khoản 3, doanh nghiệp nước ngoài cung cấp dịch vụ trên không gian mạng tại Việt Nam có hoạt động thu thập, xử lý dữ liệu người dùng Việt Nam phải đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam.

3. Doanh nghiệp bị phạt tối đa bao nhiêu khi vi phạm Luật An ninh mạng?

Theo Điều 6, khoản 3 của dự thảo nghị định xử phạt hành chính, mức phạt tiền tối đa trong lĩnh vực an ninh mạng là 100 triệu đồng đối với cá nhân và 200 triệu đồng đối với tổ chức (tổ chức phạt gấp đôi cá nhân theo Điều 6, khoản 1). Ngoài tiền phạt, doanh nghiệp còn có thể bị tước giấy phép kinh doanh sản phẩm, dịch vụ an ninh mạng và đình chỉ hoạt động từ 1 đến 3 tháng.

4. Hệ thống thông tin của doanh nghiệp thuộc cấp độ nào?

Cấp độ được xác định dựa trên mức độ tổn hại tiềm tàng nếu xảy ra sự cố hoặc có hành vi vi phạm pháp luật về an ninh mạng (Điều 8, khoản 1). Hầu hết hệ thống thông tin của doanh nghiệp tư nhân thông thường thuộc cấp độ 1 hoặc 2. Hệ thống trong lĩnh vực tài chính ngân hàng, y tế, năng lượng và viễn thông có thể thuộc cấp độ 3, 4 hoặc 5. Chính phủ sẽ quy định chi tiết tiêu chí xác định cấp độ tại văn bản hướng dẫn thi hành.

5. Doanh nghiệp sử dụng AI để tạo nội dung có bị ảnh hưởng bởi Luật An ninh mạng không?

Có, nếu nội dung AI tạo ra giả mạo video, hình ảnh hoặc giọng nói của người khác trái quy định của pháp luật. Điều 7, khoản 2, điểm g của Luật cấm sử dụng trí tuệ nhân tạo hoặc công nghệ mới để giả mạo thông tin cá nhân của người khác. Doanh nghiệp sử dụng hoặc phát triển công nghệ AI tạo sinh cần thiết lập chính sách kiểm soát đầu ra để tránh tạo ra nội dung vi phạm quy định này.

6. Doanh nghiệp kinh doanh dịch vụ bảo mật có cần giấy phép mới không?

Có. Điều 29, khoản 1 của Luật yêu cầu doanh nghiệp kinh doanh sản phẩm và dịch vụ an ninh mạng phải có giấy phép kinh doanh sản phẩm, dịch vụ an ninh mạng do Bộ Công an cấp. Danh mục sản phẩm và dịch vụ an ninh mạng được liệt kê tại Điều 28. Doanh nghiệp đang hoạt động trong lĩnh vực này cần rà soát ngay để hoàn thiện thủ tục cấp phép trước khi Luật có hiệu lực vào 01/07/2026.

7. Vi phạm Luật An ninh mạng và vi phạm Luật Bảo vệ dữ liệu cá nhân có bị xử lý đồng thời không?

Có. Nếu hành vi vi phạm thuộc cả hai phạm vi điều chỉnh, doanh nghiệp có thể bị xử lý theo cả hai khung pháp lý. Ví dụ, hành vi thu thập, mua bán trái phép dữ liệu cá nhân trên không gian mạng vừa vi phạm Điều 7, khoản 2, điểm h của Luật An ninh mạng vừa vi phạm các quy định của Luật Bảo vệ dữ liệu cá nhân đang có hiệu lực từ 01/01/2026. Doanh nghiệp cần xây dựng hệ thống tuân thủ tích hợp để đáp ứng đồng thời cả hai luật.