Luật An ninh mạng 2025 có gì mới ?
Luật An ninh mạng 2025 có gì mới — Doanh nghiệp cần chuẩn bị gì trước 1/7/2026?
Chuyên mục: Pháp lý & Tuân thủ
Đăng tại: antoanthongtin.edu.vn | security365.vn
Thời gian đọc: ~8 phút
Cập nhật: Tháng 4/2026
Ngày 10/12/2025, Quốc hội Việt Nam chính thức thông qua Luật An ninh mạng 2025 với 434/443 đại biểu tán thành — tỷ lệ 91,75%. Luật có hiệu lực từ 1/7/2026, còn đúng hơn 2 tháng nữa.
Điều đáng chú ý: đây không đơn thuần là bản sửa đổi. Luật 2025 hợp nhất hoàn toàn hai đạo luật trước đó — Luật An toàn thông tin mạng 2015 và Luật An ninh mạng 2018 — thành một khung pháp lý thống nhất duy nhất. Nói cách khác, toàn bộ cách doanh nghiệp hiểu và thực thi nghĩa vụ an ninh mạng sẽ thay đổi.
Nếu bạn là IT Manager, CISO, hoặc người phụ trách tuân thủ tại doanh nghiệp — bài viết này dành cho bạn.
Tại sao phải quan tâm ngay bây giờ?
Nhiều doanh nghiệp Việt Nam vẫn đang vận hành theo tư duy cũ: đầu tư firewall, antivirus, rồi nghĩ là xong. Nhưng thực tế cho thấy 91% cuộc tấn công mạng bắt đầu từ con người — một email phishing, một tin nhắn SMS giả mạo, một cuộc gọi lừa đảo.
Luật An ninh mạng 2025 nhận ra điều này. Lần đầu tiên trong lịch sử lập pháp Việt Nam, đào tạo nhân lực an ninh mạng được quy định rõ ràng như một nghĩa vụ tài chính bắt buộc — không còn là tùy chọn.
Doanh nghiệp không chuẩn bị kịp trước 1/7/2026 sẽ đối mặt với rủi ro pháp lý thực sự.
5 điểm mới quan trọng nhất doanh nghiệp cần biết
1. Hợp nhất thành một luật duy nhất — Bộ Công an là đầu mối
Trước đây tồn tại sự chồng chéo giữa Bộ TT&TT (quản lý an toàn thông tin) và Bộ Công an (quản lý an ninh mạng), khiến doanh nghiệp không biết phải báo cáo với ai.
Luật 2025 giải quyết dứt điểm: Bộ Công an là cơ quan đầu mối duy nhất giúp Chính phủ quản lý nhà nước về an ninh mạng. Điều này có nghĩa:
- Một cửa duy nhất để báo cáo sự cố
- Tiêu chuẩn kỹ thuật thống nhất do Bộ Công an ban hành
- Cơ chế xử phạt rõ ràng hơn
Tác động thực tế: Doanh nghiệp cần cập nhật lại quy trình báo cáo sự cố nội bộ, xác định rõ đầu mối liên hệ với cơ quan nhà nước.
2. Hệ thống thông tin phân 5 cấp độ — Bạn thuộc cấp nào?
Luật 2025 duy trì và làm rõ hơn việc phân loại hệ thống thông tin theo 5 cấp độ dựa trên mức độ thiệt hại nếu xảy ra sự cố:
| Cấp độ | Mức độ tổn hại nếu bị tấn công |
|---|---|
| Cấp 1 | Ảnh hưởng quyền lợi tổ chức, cá nhân |
| Cấp 2 | Tổn hại nghiêm trọng tới tổ chức/cá nhân hoặc lợi ích công cộng |
| Cấp 3 | Tổn hại đặc biệt nghiêm trọng + ảnh hưởng trật tự xã hội |
| Cấp 4 | Tổn hại đặc biệt nghiêm trọng tới trật tự xã hội hoặc an ninh quốc gia |
| Cấp 5 | Tổn hại đặc biệt nghiêm trọng tới an ninh quốc gia |
Quan trọng: Nếu hệ thống của bạn đã được xác định cấp độ theo Luật 2015, vẫn được công nhận — nhưng trong vòng 12 tháng kể từ 1/7/2026, bạn bắt buộc phải rà soát lại và cập nhật theo tiêu chuẩn mới.
Hầu hết doanh nghiệp vừa và nhỏ sẽ thuộc Cấp 1–2. Ngân hàng, tài chính, y tế, viễn thông thường từ Cấp 3 trở lên — yêu cầu bảo vệ nghiêm ngặt hơn đáng kể.
3. Đào tạo nhân lực AN NINH MẠNG lần đầu được quy định như nghĩa vụ tài chính
Đây là điểm thay đổi quan trọng nhất với phần lớn doanh nghiệp.
Điều 38 Luật An ninh mạng 2025 quy định rõ: nguồn kinh phí bảo đảm an ninh mạng bao gồm chi phí cho "đào tạo, bồi dưỡng nhân lực chuyên trách" — nghĩa là đây không còn là khoản tùy chọn trong ngân sách IT, mà là nghĩa vụ phải thực hiện.
Luật cũng khuyến khích và trong một số trường hợp yêu cầu doanh nghiệp:
- Dành tỷ lệ kinh phí tương xứng cho an ninh mạng trong tổng đầu tư CNTT
- Xây dựng đội ngũ hoặc đầu mối chuyên trách về an ninh thông tin
- Xây dựng quy chế sử dụng hệ thống thông tin (email, mạng nội bộ, thiết bị)
- Thiết lập quy trình ứng phó sự cố khi phát hiện tấn công, rò rỉ dữ liệu
Tác động thực tế: Nếu đến nay doanh nghiệp của bạn chưa có chương trình đào tạo nhận thức bảo mật (Security Awareness Training) nào, đây là thời điểm bắt buộc phải hành động.
4. Yêu cầu phối hợp và cung cấp thông tin trong 24 giờ
Luật 2025 đặt ra các thời hạn tuân thủ cụ thể — điều mà Luật 2018 không có:
- 24 giờ kể từ khi nhận yêu cầu: phải cung cấp thông tin người dùng cho lực lượng chuyên trách Bộ Công an
- 3 giờ trong trường hợp khẩn cấp đe dọa an ninh quốc gia hoặc tính mạng con người
- 24 giờ để ngăn chặn và xóa nội dung vi phạm
- 6 giờ trong trường hợp khẩn cấp để xóa nội dung vi phạm
Điều này đòi hỏi doanh nghiệp phải có quy trình ứng phó sự cố được chuẩn hóa từ trước — không thể ứng phó theo kiểu "gặp đâu xử đó".
5. Nghiêm cấm Deepfake AI và hành vi mới trên không gian mạng
Luật 2025 lần đầu tiên nghiêm cấm rõ ràng việc dùng AI để làm giả video, hình ảnh, giọng nói của người khác — phản ánh thực tế các vụ lừa đảo deepfake đang bùng nổ tại Việt Nam.
Ngoài ra, các hành vi mới bị cấm bao gồm:
- Nghe lén, ghi âm trái phép các cuộc đàm thoại trên mạng
- Mua bán, phát tán dữ liệu cá nhân trái phép
- Giả mạo thông tin, làm nhái sản phẩm của doanh nghiệp
Checklist chuẩn bị tuân thủ trước 1/7/2026
Dựa trên các quy định của Luật 2025, đây là danh sách tối thiểu doanh nghiệp cần thực hiện:
Về hệ thống & kỹ thuật:
- [ ] Xác định cấp độ hệ thống thông tin của tổ chức (Cấp 1–5)
- [ ] Rà soát và cập nhật chính sách an ninh mạng hiện hành
- [ ] Xây dựng quy trình ứng phó sự cố theo chuẩn mới (24h/3h)
- [ ] Thiết lập đầu mối liên hệ với Bộ Công an
Về con người & đào tạo:
- [ ] Đánh giá mức độ nhận thức bảo mật của nhân viên
- [ ] Triển khai chương trình Security Awareness Training định kỳ
- [ ] Mô phỏng tấn công phishing/smishing để đo lường thực tế
- [ ] Xây dựng quy chế sử dụng hệ thống thông tin nội bộ
Về dữ liệu & pháp lý:
- [ ] Rà soát chính sách bảo vệ dữ liệu cá nhân khách hàng/nhân viên
- [ ] Xác định dữ liệu nào phải lưu trữ tại Việt Nam
- [ ] Chuẩn bị cơ chế cung cấp thông tin khi có yêu cầu hợp lệ
Doanh nghiệp nào bị ảnh hưởng nhiều nhất?
Mọi doanh nghiệp có hệ thống thông tin đều chịu tác động của Luật 2025. Nhưng các ngành sau đây cần ưu tiên hành động ngay:
- Ngân hàng, tài chính, bảo hiểm — hệ thống cấp 3–4, yêu cầu nghiêm ngặt nhất
- Y tế, dược phẩm — dữ liệu bệnh nhân nhạy cảm cao
- Viễn thông, công nghệ — nghĩa vụ định danh IP và cung cấp thông tin người dùng
- Thương mại điện tử — lưu trữ dữ liệu giao dịch tại Việt Nam
- Doanh nghiệp FDI — phải đặt văn phòng/chi nhánh nếu thu thập dữ liệu người dùng VN
Hành động ngay — Trước khi quá muộn
Luật có hiệu lực 1/7/2026. Nhưng xây dựng văn hóa bảo mật trong tổ chức không thể làm trong một sớm một chiều — cần ít nhất 3–6 tháng để đào tạo và thay đổi hành vi nhân viên.
Điểm yếu lớn nhất của hầu hết doanh nghiệp Việt Nam hiện tại không phải là thiếu công nghệ — mà là nhân viên chưa được đào tạo để nhận diện và xử lý các mối đe dọa thực tế.
Bắt đầu từ đâu?
Chúng tôi cung cấp 3 mức độ hỗ trợ phù hợp với từng quy mô tổ chức:
🆓 Tự đánh giá miễn phí
Dành cho: Cá nhân, nhân viên muốn tự kiểm tra mức độ nhận thức bảo mật
10 module thực hành — phishing, smishing, vishing, AI scam, compliance — hoàn toàn miễn phí. Hoàn thành để nhận Phish-prone Score và biết điểm yếu của bạn ở đâu.
👉 Bắt đầu tại CyberAwareness Free →
⚡ Đào tạo đội nhóm
Dành cho: SME 10–100 người, cần giải pháp đơn giản, chi phí hợp lý
Triển khai đào tạo cho cả team, theo dõi tiến trình từng nhân viên, xuất báo cáo PDF — không cần hạ tầng phức tạp.
🏢 Giải pháp Enterprise — Tuân thủ Luật 2025
Dành cho: Doanh nghiệp 100+ người, cần tuân thủ pháp lý, báo cáo cho ban lãnh đạo
EC-Council Aware — nền tảng Security Awareness Training hàng đầu thế giới với 3.800+ kịch bản mô phỏng tấn công, dashboard báo cáo compliance, tích hợp Outlook/Gmail, hỗ trợ triển khai bởi đội ngũ Security365 tại Việt Nam.
👉 Yêu cầu Demo EC-Council Aware →
Bài viết tiếp theo trong loạt series này:
→ 5 cấp độ hệ thống thông tin theo Luật 2025 — Doanh nghiệp bạn thuộc cấp nào?
→ Điều 38 Luật 2025: Kinh phí an ninh mạng bắt buộc phải có đào tạo nhân lực
→ Checklist 10 việc doanh nghiệp cần làm ngay trước 1/7/2026
Security365 — Đối tác chính thức EC-Council tại Việt Nam
Liên hệ tư vấn: aware@security365.vn | Zalo: 0914 433 338
