Từ ngày 01/07/2026, Luật An ninh mạng số 116/2025/QH15 chính thức có hiệu lực. Với nhiều doanh nghiệp đang vận hành hệ thống thông tin, xử lý dữ liệu hoặc cung cấp dịch vụ trên không gian mạng, an ninh mạng không còn là vấn đề riêng của IT. Đây là bài toán quản trị rủi ro, vận hành và trách nhiệm điều hành của lãnh đạo doanh nghiệp.
Theo báo cáo của Hiệp hội An ninh mạng Quốc gia, các hệ thống thông tin tại Việt Nam đối mặt với khoảng 552.000 cuộc tấn công mạng trong năm 2025. Dù số lượng cuộc tấn công giảm 19% so với năm trước, tỷ lệ tổ chức, doanh nghiệp được khảo sát ghi nhận chịu tổn hại do tấn công mạng lại tăng từ 46% lên 52,3%.
Những con số này cho thấy tấn công mạng không còn là rủi ro xa vời. Với nhiều doanh nghiệp, vấn đề không phải là liệu sự cố có xảy ra hay không, mà là doanh nghiệp có đủ khả năng phát hiện, kiểm soát, khôi phục và chứng minh trách nhiệm khi sự cố xảy ra hay không.
An ninh mạng không còn là vấn đề riêng của IT, mà là bài toán quản trị rủi ro, vận hành và trách nhiệm điều hành của lãnh đạo doanh nghiệp.
5 câu hỏi C-level cần yêu cầu đội ngũ trả lời ngay
Trước thời điểm Luật An ninh mạng số 116/2025/QH15 có hiệu lực, ban lãnh đạo không nên chỉ yêu cầu bộ phận IT “kiểm tra lại hệ thống”. Điều cần thiết hơn là một cuộc rà soát có trọng tâm, gắn với rủi ro kinh doanh và trách nhiệm quản trị.
- Doanh nghiệp đã có danh mục đầy đủ các hệ thống thông tin trọng yếu chưa?
Nếu chưa có danh mục hệ thống, doanh nghiệp sẽ khó xác định phạm vi cần bảo vệ và hệ thống nào cần ưu tiên.
- Hệ thống nào cần xác định cấp độ và ưu tiên bảo vệ trước?
Các hệ thống xử lý dữ liệu khách hàng, dữ liệu giao dịch, tài khoản đặc quyền hoặc có kết nối với bên thứ ba cần được đánh giá sớm.
- Dữ liệu khách hàng, dữ liệu giao dịch, dữ liệu vận hành đang được kiểm soát như thế nào?
Doanh nghiệp cần biết dữ liệu đang nằm ở đâu, ai có quyền truy cập, dữ liệu có được sao lưu, mã hóa, phân quyền và giám sát đầy đủ hay chưa.
- Nếu xảy ra sự cố, doanh nghiệp có phát hiện, cô lập, khôi phục và báo cáo kịp thời không?
Quy trình ứng cứu sự cố không chỉ giúp giảm thiểu thiệt hại, mà còn là cơ sở chứng minh trách nhiệm xử lý khi cần phối hợp hoặc kiểm tra.
- Doanh nghiệp có đủ bằng chứng kỹ thuật và hồ sơ để chứng minh năng lực tuân thủ không?
Trong tuân thủ, “đã làm” là chưa đủ. Doanh nghiệp cần có log, báo cáo, quy trình, biên bản đánh giá, hồ sơ xử lý sự cố và tài liệu chứng minh việc duy trì kiểm soát.
Luật An ninh mạng số 116/2025/QH15 tác động thế nào đến quản trị rủi ro số?
Luật An ninh mạng số 116/2025/QH15 tạo ra khung pháp lý đồng bộ hơn cho hoạt động bảo vệ an ninh mạng, hệ thống thông tin và dữ liệu. Với doanh nghiệp, đặc biệt là các đơn vị đang vận hành hệ thống thông tin, xử lý dữ liệu hoặc cung cấp dịch vụ trên không gian mạng, có 5 điểm tác động chính cần lưu ý:
- Phân loại hệ thống thông tin theo 5 cấp độ
Hệ thống thông tin được phân loại theo 5 cấp độ, căn cứ vào mức độ tổn hại có thể xảy ra khi hệ thống gặp sự cố hoặc có hành vi vi phạm pháp luật về an ninh mạng. Đây là cơ sở để xác định yêu cầu, biện pháp và trách nhiệm bảo đảm an ninh mạng tương ứng với từng cấp độ.
- Làm rõ trách nhiệm của chủ quản hệ thống thông tin
Chủ quản hệ thống thông tin cần xác định cấp độ, đánh giá và quản lý rủi ro, triển khai biện pháp bảo vệ, kiểm tra, giám sát, thực hiện chế độ báo cáo và tổ chức nâng cao nhận thức về an ninh mạng theo quy định.
- Đưa an ninh dữ liệu thành trọng tâm
Các nội dung như xây dựng chính sách, thiết lập quy trình bảo đảm an ninh dữ liệu, áp dụng biện pháp kỹ thuật, sử dụng mật mã, kiểm soát nhân sự trực tiếp xử lý dữ liệu, đánh giá rủi ro định kỳ và kiểm tra việc chuyển dữ liệu xuyên biên giới cần được rà soát kỹ hơn.
- Tăng trách nhiệm của doanh nghiệp cung cấp dịch vụ trên không gian mạng
Doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, Internet và các dịch vụ gia tăng trên không gian mạng tại Việt Nam cần chú ý đến trách nhiệm xác thực tài khoản số, bảo mật thông tin người dùng, phối hợp cung cấp thông tin, xử lý nội dung vi phạm, lưu nhật ký hệ thống và xây dựng phương án ứng cứu khi có sự cố.
- Nhấn mạnh giám sát, phòng chống mã độc và báo cáo sự cố
Chủ quản hệ thống thông tin cần chủ động hơn trong giám sát an ninh mạng, phòng chống mã độc, báo cáo sự cố và phối hợp với cơ quan chuyên trách khi có yêu cầu.
Từ sự cố kỹ thuật đến rủi ro vận hành và niềm tin thị trường
Tấn công mạng đang chuyển từ các hoạt động đơn lẻ sang những chiến dịch có chủ đích, khai thác đồng thời nhiều điểm yếu trong hệ thống, con người và quy trình vận hành. Một tài khoản bị lộ mật khẩu, một API cấu hình sai, một máy chủ chưa vá lỗi hoặc một máy trạm nhiễm mã độc đều có thể trở thành đường tấn công vào hệ thống nội bộ.
Theo thông tin từ Bộ Công an, năm 2025, thiệt hại do lừa đảo trực tuyến tại Việt Nam ước tính hơn 8.000 tỷ đồng. Trong những năm gần đây, nhiều vụ lộ lọt dữ liệu quy mô lớn cũng đã được ghi nhận tại Việt Nam, cho thấy dữ liệu doanh nghiệp và người dùng đang trở thành mục tiêu trực tiếp của các chiến dịch tấn công mạng.
Khi sự cố xảy ra, doanh nghiệp không chỉ mất thời gian khôi phục kỹ thuật, mà còn phải xử lý rủi ro pháp lý, truyền thông, khách hàng và niềm tin thị trường.
“Luật An ninh mạng số 116/2025/QH15 không chỉ là một yêu cầu tuân thủ pháp lý. Với doanh nghiệp, đây là thời điểm cần nhìn thẳng vào thực trạng hệ thống, dữ liệu và năng lực ứng phó sự cố. Doanh nghiệp nào đầu tư vào năng lực an ninh mạng thực chất từ hôm nay sẽ có nền tảng vững chắc hơn để bảo vệ vận hành, dữ liệu và niềm tin trong kỷ nguyên số.” – Ông Trần Quốc Chính, Phó Chủ tịch Tập đoàn CMC, Tổng Giám đốc CMC Cyber Security đánh giá.
5 khoảng trống có thể khiến doanh nghiệp bị động khi luật có hiệu lực
- Chưa có danh mục hệ thống thông tin đầy đủ
Doanh nghiệp chưa có bức tranh tổng thể về hệ thống lõi, website, ứng dụng, máy chủ, cloud, cơ sở dữ liệu, email, thiết bị đầu cuối, tài khoản đặc quyền, API và các kết nối bên thứ ba.
- Chưa xác định cấp độ hệ thống
Nếu chưa xác định cấp độ, doanh nghiệp sẽ thiếu căn cứ triển khai biện pháp bảo vệ phù hợp, dẫn đến đầu tư sai trọng tâm hoặc bỏ sót hệ thống trọng yếu.
- Thiếu năng lực giám sát liên tục
Nhiều doanh nghiệp vẫn kiểm tra bảo mật theo từng đợt, trong khi tấn công mạng có thể diễn ra bất cứ lúc nào.
- Chưa có quy trình ứng cứu sự cố rõ ràng
Khi sự cố xảy ra, doanh nghiệp cần biết ai chịu trách nhiệm, báo cáo cho ai, cô lập hệ thống thế nào, khôi phục ra sao và lưu giữ bằng chứng kỹ thuật như thế nào.
- Thiếu bằng chứng tuân thủ
Doanh nghiệp có thể đã triển khai một số biện pháp bảo mật nhưng chưa có đầy đủ tài liệu, log, báo cáo, biên bản đánh giá, hồ sơ xử lý sự cố hoặc bằng chứng kỹ thuật để chứng minh khi cần kiểm tra.
Không đáp ứng yêu cầu: doanh nghiệp có thể mất nhiều hơn chi phí khắc phục
Không đáp ứng yêu cầu của Luật An ninh mạng số 116/2025/QH15 có thể khiến doanh nghiệp đối mặt với nhiều hệ quả cùng lúc:
- Rủi ro pháp lý: bị kiểm tra, yêu cầu khắc phục hoặc xử lý vi phạm theo quy định.
- Rủi ro vận hành: hệ thống bị gián đoạn, giao dịch ngưng trệ, dữ liệu bị mã hóa hoặc mất khả năng truy cập.
- Rủi ro dữ liệu: lộ thông tin khách hàng, dữ liệu giao dịch, dữ liệu nhân sự, dữ liệu tài chính hoặc dữ liệu vận hành quan trọng.
- Rủi ro uy tín: suy giảm niềm tin của khách hàng, đối tác, nhà đầu tư và thị trường.
Với C-level, thiệt hại lớn nhất không chỉ nằm ở chi phí khắc phục kỹ thuật, mà ở câu hỏi: doanh nghiệp có đang kiểm soát được rủi ro số của chính mình hay không?
Kỳ họp Quốc hội ngày 10/12/2025 biểu quyết thông qua Luật An ninh mạng.
5 việc doanh nghiệp cần làm ngay trước khi Luật An ninh mạng số 116/2025/QH15 có hiệu lực
- Lập danh mục hệ thống thông tin và dữ liệu quan trọng
Rà soát các hệ thống đang vận hành, xác định hệ thống phục vụ hoạt động trọng yếu, hệ thống xử lý dữ liệu quan trọng và hệ thống có kết nối với khách hàng, đối tác hoặc bên thứ ba.
- Xác định cấp độ và đánh giá khoảng cách tuân thủ
Đối chiếu hiện trạng với các yêu cầu liên quan của Luật An ninh mạng số 116/2025/QH15, bao gồm bảo vệ hệ thống thông tin, an ninh dữ liệu, giám sát, phòng chống mã độc, ứng cứu sự cố và báo cáo.
- Kiểm thử lỗ hổng trên hệ thống trọng yếu
Ưu tiên website, ứng dụng giao dịch, API, hệ thống quản trị nội bộ, máy chủ, hạ tầng cloud và hệ thống lưu trữ dữ liệu.
- Thiết lập giám sát an ninh mạng và cảnh báo sớm
Doanh nghiệp cần có năng lực phát hiện sớm hành vi bất thường, mã độc, truy cập trái phép, leo thang đặc quyền, rò rỉ dữ liệu hoặc dấu hiệu tấn công vào hệ thống trọng yếu.
- Hoàn thiện quy trình ứng cứu sự cố và hồ sơ tuân thủ
Chuẩn hóa quy trình ứng cứu sự cố, phân công đầu mối phụ trách, thiết lập kịch bản xử lý, cơ chế báo cáo, phương án lưu bằng chứng và khôi phục hệ thống.
CMC Cyber Security hỗ trợ doanh nghiệp biến yêu cầu pháp lý thành lộ trình hành động
Với gần 20 năm kinh nghiệm trong lĩnh vực an ninh mạng, CMC Cyber Security hỗ trợ tổ chức, doanh nghiệp rà soát hiện trạng, đánh giá khoảng cách tuân thủ, tăng cường năng lực bảo vệ hệ thống và xây dựng khả năng phát hiện, ứng phó sự cố.
Mục tiêu của giai đoạn rà soát không phải là hoàn tất toàn bộ chương trình an ninh mạng, mà là giúp ban lãnh đạo có bức tranh rõ về hệ thống trọng yếu, khoảng cách tuân thủ và các rủi ro cần xử lý trước.
Sau hoạt động rà soát nhanh, doanh nghiệp có thể có được:
- Danh sách hệ thống thông tin trọng yếu
- Bản đồ khoảng cách tuân thủ so với yêu cầu liên quan
- Danh mục rủi ro ưu tiên cần xử lý
- Khuyến nghị năng lực giám sát an ninh mạng
- Lộ trình hành động phù hợp với nguồn lực hiện tại
Các nhóm dịch vụ CMC Cyber Security có thể đồng hành cùng các tổ chức, doanh nghiệp gồm:
- Tư vấn, đánh giá và chứng nhận tuân thủ an ninh mạng
- Kiểm thử xâm nhập và đánh giá lỗ hổng
- Giám sát an ninh mạng 24/7
- Bảo vệ endpoint và phòng chống mã độc
- Đào tạo nhận thức và diễn tập ứng cứu sự cố
Gần 1 tháng còn lại: ưu tiên đúng để không bị động
Trong thời gian còn lại, doanh nghiệp không cần làm tất cả mọi thứ cùng lúc. Điều quan trọng là xác định đúng hệ thống trọng yếu, đúng khoảng trống tuân thủ, đúng rủi ro ưu tiên và đúng lộ trình hành động.
Thông qua hoạt động rà soát nhanh mức độ sẵn sàng tuân thủ Luật An ninh mạng số 116/2025/QH15, CMC Cyber Security hỗ trợ doanh nghiệp xác định hệ thống trọng yếu, khoảng cách tuân thủ, rủi ro ưu tiên và lộ trình hành động phù hợp trước thời điểm luật có hiệu lực.
FAQ: Những câu hỏi thường gặp về Luật An ninh mạng số 116/2025/QH15
1. Luật An ninh mạng số 116/2025/QH15 có hiệu lực khi nào?
Luật An ninh mạng số 116/2025/QH15 chính thức có hiệu lực từ ngày 01/07/2026.
2. Doanh nghiệp nào cần quan tâm đến Luật An ninh mạng số 116/2025/QH15?
Các tổ chức, doanh nghiệp đang vận hành hệ thống thông tin, xử lý dữ liệu hoặc cung cấp dịch vụ trên không gian mạng nên rà soát mức độ liên quan và trách nhiệm tuân thủ tương ứng.
3. Doanh nghiệp cần làm gì trước khi Luật An ninh mạng số 116/2025/QH15 có hiệu lực?
Doanh nghiệp nên ưu tiên lập danh mục hệ thống thông tin, xác định hệ thống trọng yếu, đánh giá khoảng cách tuân thủ, kiểm thử lỗ hổng, thiết lập giám sát an ninh mạng và hoàn thiện quy trình ứng cứu sự cố.
3. Vì sao lãnh đạo doanh nghiệp cần trực tiếp quan tâm đến an ninh mạng?
Vì một sự cố an ninh mạng có thể ảnh hưởng đến vận hành, dữ liệu khách hàng, uy tín thương hiệu, trách nhiệm pháp lý và niềm tin của đối tác. Do đó, đây là bài toán quản trị rủi ro cấp doanh nghiệp.
4. CMC Cyber Security có thể hỗ trợ doanh nghiệp bắt đầu từ đâu?
CMC Cyber Security có thể hỗ trợ doanh nghiệp rà soát nhanh mức độ sẵn sàng tuân thủ, xác định hệ thống trọng yếu, đánh giá khoảng cách, nhận diện rủi ro ưu tiên và đề xuất lộ trình hành động phù hợp trước thời điểm luật có hiệu lực.
