Luật An ninh mạng 2025 bắt đầu có hiệu lực từ 01.07.2026: Doanh nghiệp cần lưu ý gì?

Luật An ninh mạng 2025 có hiệu lực từ 01/07/2026, thay thế Luật An ninh mạng 2018 và Luật An toàn thông tin mạng 2015. Cùng VNDX điểm lại các nội dung doanh nghiệp cần quan tâm.

Luật An ninh mạng 2025 có hiệu lực từ 01.07.2026

Luật An ninh mạng 2025, số 116/2025/QH15, được Quốc hội thông qua ngày 10/12/2025 và có hiệu lực từ ngày 01/07/2026. Đây là văn bản pháp luật quan trọng trong lĩnh vực an ninh mạng, an toàn thông tin mạng và bảo vệ hoạt động trên không gian mạng tại Việt Nam.

Một điểm đáng chú ý là từ ngày Luật An ninh mạng 2025 có hiệu lực, Luật An toàn thông tin mạng 2015 và Luật An ninh mạng 2018 hết hiệu lực. Điều này cho thấy xu hướng hợp nhất, cập nhật và đồng bộ khung pháp lý về an ninh mạng trong bối cảnh hoạt động số của doanh nghiệp ngày càng mở rộng.

Với doanh nghiệp, Luật An ninh mạng 2025 không chỉ là câu chuyện của bộ phận công nghệ thông tin. Luật có liên quan trực tiếp đến quản trị dữ liệu, vận hành hệ thống thông tin, cung cấp dịch vụ trực tuyến, phòng ngừa rủi ro an ninh mạng và trách nhiệm phối hợp khi phát sinh sự cố.

1. Luật An ninh mạng 2025 có ý nghĩa gì?

Luật An ninh mạng 2025 được xây dựng trong bối cảnh doanh nghiệp, tổ chức và cá nhân phụ thuộc ngày càng nhiều vào hạ tầng số. Website, ứng dụng, hệ thống thương mại điện tử, nền tảng thanh toán, hệ thống CRM, dịch vụ đám mây và các công cụ phân tích dữ liệu đều có thể trở thành điểm phát sinh rủi ro nếu không được quản trị đúng cách.

Luật mới hướng tới việc tạo khung pháp lý thống nhất để bảo vệ an ninh quốc gia trên không gian mạng, bảo vệ hệ thống thông tin quan trọng, phòng chống tấn công mạng, xử lý thông tin vi phạm pháp luật và nâng cao trách nhiệm của cơ quan, tổ chức, doanh nghiệp trong hoạt động trên môi trường số.

Đối với doanh nghiệp, ý nghĩa lớn nhất của luật là yêu cầu nhìn nhận an ninh mạng như một phần của quản trị rủi ro tổng thể. Doanh nghiệp cần biết hệ thống nào quan trọng, dữ liệu nào cần bảo vệ, ai có quyền truy cập, quy trình ứng phó sự cố ra sao và khi nào cần phối hợp với cơ quan có thẩm quyền.

2. Một số điểm mới doanh nghiệp cần chú ý

Luật An ninh mạng 2025 có phạm vi điều chỉnh rộng, bao gồm nhiều nội dung liên quan đến bảo vệ an ninh mạng, an toàn thông tin mạng, hệ thống thông tin, sản phẩm dịch vụ an ninh mạng và trách nhiệm của các bên trên không gian mạng.

Hợp nhất khung pháp lý về an ninh mạng và an toàn thông tin mạng.

Việc Luật An ninh mạng 2025 thay thế đồng thời Luật An toàn thông tin mạng 2015 và Luật An ninh mạng 2018 giúp doanh nghiệp có một khung tham chiếu tập trung hơn. Tuy nhiên, điều này cũng đòi hỏi doanh nghiệp phải rà soát lại các chính sách, quy trình và hệ thống đang được xây dựng theo các văn bản cũ.

Tăng cường yêu cầu bảo vệ hệ thống thông tin.

Doanh nghiệp vận hành hệ thống thông tin cần quan tâm nhiều hơn đến phân loại hệ thống, đánh giá rủi ro, triển khai biện pháp kỹ thuật, bảo vệ dữ liệu, sao lưu, giám sát truy cập và ứng phó khi có tấn công mạng hoặc sự cố an toàn thông tin.

Đề cao trách nhiệm xử lý thông tin và hành vi vi phạm trên không gian mạng.

Các tổ chức cung cấp dịch vụ, vận hành nền tảng số hoặc quản lý kênh giao tiếp trực tuyến cần chú ý đến trách nhiệm kiểm soát, xử lý hoặc phối hợp xử lý nội dung, tài khoản, hành vi có dấu hiệu vi phạm pháp luật theo yêu cầu của cơ quan có thẩm quyền.

Gắn an ninh mạng với quản trị dữ liệu và bảo vệ dữ liệu cá nhân.

An ninh mạng, an toàn thông tin và bảo vệ dữ liệu cá nhân là các mảng có liên hệ chặt chẽ. Doanh nghiệp không thể bảo vệ dữ liệu cá nhân hiệu quả nếu hệ thống thông tin thiếu kiểm soát truy cập, thiếu cơ chế giám sát, thiếu quy trình ứng phó sự cố hoặc không có biện pháp bảo vệ dữ liệu phù hợp.

Quan tâm hơn đến công nghệ mới và rủi ro mới.

Hoạt động trên không gian mạng hiện nay không chỉ dừng ở website và hệ thống nội bộ. Doanh nghiệp còn sử dụng trí tuệ nhân tạo, nền tảng đám mây, công cụ tự động hóa, dịch vụ xuyên biên giới và nhiều kênh số khác. Những công nghệ này giúp tăng hiệu quả vận hành nhưng cũng làm rủi ro an ninh mạng phức tạp hơn.

3. Tác động đối với doanh nghiệp

Luật An ninh mạng 2025 sẽ tác động đến nhiều nhóm doanh nghiệp, đặc biệt là các doanh nghiệp có hệ thống số, xử lý dữ liệu lớn hoặc cung cấp dịch vụ trực tuyến cho khách hàng.

Các doanh nghiệp nên đặc biệt lưu ý nếu thuộc một trong các nhóm sau:

  • Vận hành website, ứng dụng, nền tảng thương mại điện tử, ví điện tử, hệ thống thanh toán hoặc cổng dịch vụ trực tuyến.
  • Lưu trữ, xử lý hoặc chia sẻ dữ liệu khách hàng, dữ liệu người dùng, dữ liệu nhân sự hoặc dữ liệu đối tác.
  • Sử dụng dịch vụ đám mây, hệ thống đặt máy chủ, nhà cung cấp công nghệ hoặc đối tác xử lý dữ liệu ở trong và ngoài nước.
  • Có hệ thống thông tin phục vụ hoạt động sản xuất, vận hành, logistics, tài chính, ngân hàng, y tế, giáo dục hoặc các lĩnh vực có yêu cầu bảo mật cao.
  • Cung cấp sản phẩm, dịch vụ công nghệ thông tin, an toàn thông tin, an ninh mạng hoặc dịch vụ nền tảng số.

Về mặt vận hành, doanh nghiệp có thể cần rà soát lại quy trình quản lý tài khoản, phân quyền truy cập, lưu trữ log, bảo vệ dữ liệu, kiểm soát nhà cung cấp, ứng phó sự cố và cơ chế báo cáo nội bộ khi phát hiện dấu hiệu rủi ro.

Về mặt pháp lý, doanh nghiệp cần kiểm tra lại hợp đồng với khách hàng, đối tác, nhà cung cấp công nghệ và bên xử lý dữ liệu. Các điều khoản về bảo mật, an ninh hệ thống, xử lý sự cố, trách nhiệm phối hợp và bảo vệ dữ liệu nên được thể hiện rõ ràng hơn.

4. Doanh nghiệp nên chuẩn bị gì trước ngày 01/07/2026?

Từ nay đến thời điểm Luật An ninh mạng 2025 có hiệu lực, doanh nghiệp nên chủ động chuẩn bị thay vì chờ đến khi phát sinh sự cố hoặc yêu cầu kiểm tra. Việc chuẩn bị sớm giúp doanh nghiệp giảm rủi ro, tiết kiệm chi phí điều chỉnh và tránh tình trạng cập nhật chính sách một cách bị động.

Một số việc doanh nghiệp nên ưu tiên gồm:

  • Rà soát hệ thống thông tin đang vận hành, bao gồm website, ứng dụng, máy chủ, hệ thống nội bộ, hệ thống đám mây và công cụ bên thứ ba.
  • Lập danh mục dữ liệu quan trọng, dữ liệu cá nhân và dữ liệu nhạy cảm đang được thu thập, lưu trữ hoặc xử lý.
  • Kiểm tra cơ chế phân quyền, xác thực, quản lý tài khoản, lưu log và giám sát truy cập.
  • Rà soát chính sách an toàn thông tin, chính sách bảo vệ dữ liệu cá nhân, quy trình xử lý sự cố và quy trình phối hợp nội bộ.
  • Đánh giá hợp đồng với nhà cung cấp công nghệ, bên xử lý dữ liệu, đối tác vận hành hệ thống và đơn vị cung cấp dịch vụ đám mây.
  • Đào tạo nhận thức cho nhân sự về an ninh mạng, bảo vệ dữ liệu, nhận diện tấn công lừa đảo và báo cáo sự cố.
  • Xây dựng kế hoạch cập nhật chính sách, quy trình và biện pháp kỹ thuật theo Luật An ninh mạng 2025 và các văn bản hướng dẫn.

Luật An ninh mạng 2025 là dấu mốc quan trọng đối với hoạt động quản trị rủi ro số của doanh nghiệp tại Việt Nam. Doanh nghiệp càng phụ thuộc vào dữ liệu và hệ thống công nghệ thì càng cần chuẩn bị sớm, không chỉ để đáp ứng quy định pháp luật mà còn để bảo vệ uy tín, khách hàng và hoạt động kinh doanh lâu dài.

VNDX sẽ tiếp tục cập nhật các điểm mới của Luật An ninh mạng 2025 và các văn bản hướng dẫn thi hành trong thời gian tới, đồng thời hỗ trợ doanh nghiệp rà soát yêu cầu tuân thủ liên quan đến an ninh mạng, an toàn thông tin và bảo vệ dữ liệu cá nhân.

Nguồn tham khảo:

  • Luật An ninh mạng 2025 số 116/2025/QH15 trên Thư viện Pháp luật.
  • Cổng thông tin điện tử Chính phủ về Luật An ninh mạng 2025.