LUẬT AN NINH MẠNG 2025: NHỮNG ĐIỂM MỚI DOANH NGHIỆP CẦN ĐẶC BIỆT LƯU Ý

Luật An ninh mạng 2025 (số 116/2025/QH15) được xem là một trong những đạo luật quan trọng nhất trong lĩnh vực công nghệ và quản trị dữ liệu hiện nay.

Luật sẽ chính thức có hiệu lực từ ngày 01/07/2026, đồng thời thay thế:

• Luật An ninh mạng 2018;
• Luật An toàn thông tin mạng 2015.

Việc ban hành đạo luật mới không đơn thuần là sửa đổi kỹ thuật, mà phản ánh sự thay đổi lớn trong tư duy quản lý nhà nước đối với không gian mạng, dữ liệu và công nghệ số.

1. Hợp nhất hai lĩnh vực pháp lý thành một khung quản lý thống nhất

Điểm thay đổi nền tảng của Luật An ninh mạng 2025 là việc hợp nhất:

• “An ninh mạng” (bảo vệ chủ quyền, an ninh quốc gia trên không gian mạng);
• “An toàn thông tin mạng” (bảo vệ dữ liệu, phòng chống tấn công mạng, rò rỉ thông tin).

Mục tiêu của việc hợp nhất

Việc xây dựng một đạo luật thống nhất nhằm:

• Loại bỏ sự chồng chéo giữa các quy định trước đây;
• Làm rõ trách nhiệm quản lý của cơ quan nhà nước;
• Đơn giản hóa nghĩa vụ tuân thủ cho doanh nghiệp.

Quy mô mở rộng đáng kể

Luật mới gồm:

• 08 chương;
• 58 điều

(tăng 15 điều so với hệ thống luật cũ), cho thấy phạm vi điều chỉnh đã được mở rộng mạnh để theo kịp sự phát triển của:

• AI;
• Dữ liệu số;
• Nền tảng trực tuyến;
• Công nghệ số xuyên biên giới.

2. Lần đầu tiên quy định rõ trách nhiệm pháp lý đối với AI và Deepfake

Một trong những điểm đáng chú ý nhất của Luật An ninh mạng 2025 là việc chính thức đưa trí tuệ nhân tạo (AI) vào phạm vi điều chỉnh.

Cấm sử dụng AI để giả mạo trái pháp luật

Luật nghiêm cấm hành vi:

• Sử dụng AI để giả mạo hình ảnh;
• Giả mạo video;
• Giả mạo giọng nói;
• Tạo nội dung đánh lừa người dùng.

Quy định này tạo cơ sở pháp lý để xử lý:

• Deepfake;
• Lừa đảo công nghệ cao;
• Hành vi thao túng thông tin trên môi trường số.

Tác động đối với doanh nghiệp công nghệ và truyền thông

Các doanh nghiệp hoạt động trong lĩnh vực:

• AI;
• Truyền thông;
• Marketing;
• Nền tảng số

sẽ phải xây dựng:

• Cơ chế kiểm duyệt nội dung;
• Quy trình xác thực thông tin;
• Hệ thống quản trị rủi ro AI.

Đây được xem là xu hướng tất yếu trong bối cảnh công nghệ AI phát triển nhanh và khó kiểm soát.

3. Tăng cường bảo vệ trẻ em và nhóm yếu thế trên không gian mạng

Luật An ninh mạng 2025 lần đầu tiên thiết lập cơ chế bảo vệ riêng đối với:

• Trẻ em;
• Người cao tuổi;
• Người có khó khăn về nhận thức.

Nghĩa vụ mới của doanh nghiệp cung cấp dịch vụ trực tuyến

Các nền tảng và doanh nghiệp cung cấp dịch vụ số phải:

• Xây dựng hệ thống kiểm soát nội dung;
• Ngăn chặn nội dung độc hại;
• Giảm nguy cơ lừa đảo, thao túng hoặc xâm hại trên môi trường mạng.

Điều này đồng nghĩa với việc:

• Trách nhiệm của nền tảng số sẽ lớn hơn;
• Doanh nghiệp không thể chỉ đóng vai trò “trung gian kỹ thuật” như trước đây.

4. Tăng yêu cầu đầu tư và trách nhiệm bảo đảm an ninh mạng

Nâng tỷ lệ kinh phí tối thiểu

Luật mới nâng tỷ lệ kinh phí dành cho an ninh mạng:

• Từ mức tối thiểu 10%;
• Lên tối thiểu 15% tổng ngân sách chi cho hệ thống thông tin.

Quy định này áp dụng chủ yếu đối với:

• Cơ quan nhà nước;
• Đơn vị quản lý hệ thống thông tin quan trọng;
• Một số lĩnh vực đặc thù.

Trách nhiệm của đơn vị quản lý hệ thống

Luật cũng yêu cầu nghiêm ngặt hơn về:

• Đánh giá an ninh mạng;
• Kiểm tra lỗ hổng bảo mật;
• Ứng phó sự cố;
• Phối hợp với lực lượng chuyên trách.

Điều này cho thấy xu hướng chuyển từ “phản ứng sau sự cố” sang “quản trị rủi ro chủ động”.

5. Mở rộng ưu đãi cho ngành công nghiệp an ninh mạng

Một điểm đáng chú ý khác là:

• Hoạt động đầu tư xây dựng hạ tầng công nghiệp an ninh mạng được xếp vào nhóm ngành nghề đặc biệt ưu đãi đầu tư.

Các ưu đãi có thể áp dụng

Doanh nghiệp đáp ứng điều kiện có thể được hưởng:

• Ưu đãi thuế;
• Ưu đãi đất đai;
• Chính sách hỗ trợ đầu tư.

Đây được xem là động thái thúc đẩy:

• Công nghệ an ninh mạng nội địa;
• Startup công nghệ;
• Phát triển hệ sinh thái công nghệ chiến lược tại Việt Nam.

6. Doanh nghiệp cần lưu ý điều gì?

Luật An ninh mạng 2025 sẽ vận hành song song với Luật Bảo vệ dữ liệu cá nhân

Đây là điểm đặc biệt quan trọng.

Doanh nghiệp không chỉ phải bảo đảm:

• An ninh hệ thống;
• Bảo mật thông tin;

mà còn phải tuân thủ:

• Quy định về xử lý dữ liệu cá nhân;
• Quyền của chủ thể dữ liệu;
• Cơ chế lưu trữ và chia sẻ dữ liệu.

Nếu không đồng bộ quy trình nội bộ, doanh nghiệp có thể phát sinh:

• Rủi ro pháp lý;
• Xử phạt hành chính;
• Tranh chấp dữ liệu.

7. Checklist tuân thủ doanh nghiệp cần triển khai trước 01/07/2026

Để hạn chế rủi ro khi luật có hiệu lực, doanh nghiệp nên chủ động chuẩn bị từ sớm.

Rà soát hệ thống thông tin

• Kiểm kê toàn bộ hạ tầng số;
• Phân loại hệ thống theo cấp độ an ninh mạng.

Cập nhật quy chế nội bộ

• Chính sách bảo mật;
• Quy chế sử dụng thiết bị;
• Quy định về dữ liệu và AI.

Đào tạo nhân sự

• Phổ biến hành vi bị cấm;
• Đào tạo nhận diện rủi ro AI và lừa đảo mạng;
• Nâng cao ý thức bảo vệ dữ liệu cá nhân.

Rà soát hợp đồng và quan hệ với đối tác

• Bổ sung điều khoản về bảo mật dữ liệu;
• Xác định rõ trách nhiệm khi xảy ra sự cố mạng;
• Kiểm tra nghĩa vụ chia sẻ và lưu trữ dữ liệu.

Luật An ninh mạng 2025 đánh dấu bước chuyển lớn trong chính sách quản lý không gian mạng tại Việt Nam, với trọng tâm:

• Hợp nhất quản lý an ninh và an toàn thông tin;
• Kiểm soát rủi ro AI;
• Tăng trách nhiệm của nền tảng số;
• Bảo vệ dữ liệu và người dùng trên môi trường mạng.

Đối với doanh nghiệp, đây không còn là câu chuyện “IT nội bộ”, mà đã trở thành vấn đề:

• Quản trị pháp lý;
• Quản trị rủi ro;
• Quản trị dữ liệu và vận hành doanh nghiệp.

Việc chuẩn bị sớm trước thời điểm 01/07/2026 sẽ giúp doanh nghiệp giảm thiểu đáng kể chi phí tuân thủ và rủi ro pháp lý trong giai đoạn chuyển đổi chính sách số hiện nay.