Nhiều doanh nghiệp vẫn cho rằng các yêu cầu về phân loại hệ thống thông tin hay an ninh mạng chỉ áp dụng cho cơ quan nhà nước hoặc đơn vị hạ tầng trọng yếu. Tuy nhiên, những thay đổi trong Luật An ninh mạng 2025 đang mở rộng phạm vi tác động tới cả khối doanh nghiệp tư nhân, đặc biệt là các tổ chức sở hữu và vận hành những hệ thống thông tin có vai trò quan trọng trong hoạt động kinh doanh.

Không chỉ đặt ra yêu cầu phân loại hệ thống thông tin theo mức độ rủi ro, Luật còn bổ sung nhiều nghĩa vụ về giám sát, bảo vệ và ứng phó sự cố an ninh mạng đối với các tổ chức, doanh nghiệp. Việc chủ động rà soát và chuẩn bị từ sớm sẽ giúp doanh nghiệp giảm thiểu rủi ro pháp lý, đồng thời nâng cao năng lực bảo vệ dữ liệu và hệ thống trước các mối đe dọa ngày càng gia tăng.

Những thay đổi đáng chú ý của Luật An ninh mạng 2025

Một trong những thay đổi đáng chú ý của Luật An ninh mạng 2025 là việc đưa ra cơ chế phân loại hệ thống thông tin theo 5 cấp độ dựa trên mức độ ảnh hưởng có thể gây ra đối với tổ chức, cá nhân, lợi ích công cộng, trật tự xã hội và an ninh quốc gia. Mỗi cấp độ sẽ đi kèm những yêu cầu và biện pháp bảo vệ an ninh mạng tương ứng, tạo cơ sở để cơ quan, tổ chức xác định trách nhiệm bảo vệ hệ thống thông tin của mình.

Khoản 1 Điều 8 Luật An ninh mạng 2025 quy định về việc phân loại cấp độ hệ thống thông tin:

1. Hệ thống thông tin được phân loại theo 5 cấp độ căn cứ vào mức độ tổn hại tới an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của tổ chức, cá nhân, lợi ích công cộng khi bị sự cố hoặc có hành vi vi phạm pháp luật về an ninh mạng như sau:
a) Cấp độ 1 có thể làm tổn hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân;
b) Cấp độ 2 có thể làm tổn hại nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc làm tổn hại tới lợi ích công cộng;
c) Cấp độ 3 có thể làm tổn hại đặc biệt nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân; tổn hại nghiêm trọng tới lợi ích công cộng; tổn hại hoặc tổn hại nghiêm trọng tới trật tự, an toàn xã hội hoặc làm tổn hại tới an ninh quốc gia;
d) Cấp độ 4 có thể làm tổn hại đặc biệt nghiêm trọng tới lợi ích công cộng, trật tự, an toàn xã hội hoặc làm tổn hại nghiêm trọng tới an ninh quốc gia;
đ) Cấp độ 5 có thể làm tổn hại đặc biệt nghiêm trọng tới an ninh quốc gia.”
Điều này đồng nghĩa với việc nhiều doanh nghiệp không thể tiếp tục xem an ninh mạng là vấn đề chỉ dành cho cơ quan nhà nước hay các đơn vị hạ tầng trọng yếu. Nếu đang sở hữu hoặc vận hành các hệ thống thông tin phục vụ hoạt động kinh doanh, lưu trữ dữ liệu khách hàng hoặc dữ liệu nội bộ quan trọng, doanh nghiệp cần chủ động rà soát, đánh giá hệ thống để xác định cấp độ phù hợp và các nghĩa vụ bảo vệ tương ứng. Vì thế, câu hỏi cấp thiết nhất lúc này không phải doanh nghiệp có lựa chọn làm hay không mà là hệ thống thông tin của doanh nghiệp đang ở cấp độ nào và cần đáp ứng những yêu cầu bảo mật kỹ thuật gì để không vi phạm pháp luật.

Những điểm doanh nghiệp cần lưu ý khi Luật An ninh mạng 2025 có hiệu lực

Trách nhiệm cụ thể của doanh nghiệp theo Luật An ninh mạng 2025

Bên cạnh việc phân loại hệ thống thông tin theo cấp độ, Luật An ninh mạng 2025 cũng đặt ra nhiều nghĩa vụ cụ thể đối với doanh nghiệp trong quá trình quản lý và vận hành hệ thống thông tin. Việc tuân thủ các quy định này không chỉ giúp doanh nghiệp đáp ứng yêu cầu pháp lý mà còn góp phần giảm thiểu rủi ro và bảo vệ dữ liệu trước các mối đe dọa ngày càng gia tăng.
Đối với các tổ chức, doanh nghiệp sở hữu hoặc vận hành hệ thống thông tin, cần triển khai các biện pháp bảo đảm an ninh mạng phù hợp với cấp độ của hệ thống, bao gồm: thực hiện giám sát, phát hiện, ngăn chặn và xử lý các nguy cơ, sự cố an ninh mạng, xây dựng phương án ứng phó để duy trì hoạt động an toàn, liên tục.

Đối với doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, Internet hoặc dịch vụ gia tăng trên không gian mạng, Luật quy định thêm nhiều nghĩa vụ cụ thể như:

  • Xác thực thông tin khi người dùng đăng ký tài khoản số;
  • Bảo mật thông tin và tài khoản của khách hàng;
  • Lưu trữ dữ liệu theo quy định;
  • Phối hợp cung cấp thông tin người dùng theo yêu cầu của lực lượng chuyên trách trong thời hạn 24 giờ (hoặc 03 giờ đối với trường hợp khẩn cấp);
    Thực hiện ngăn chặn, gỡ bỏ thông tin vi phạm trong thời hạn 24 giờ (hoặc 06 giờ nếu có yêu cầu khẩn cấp).

Ngoài ra, nhóm doanh nghiệp này còn phải xây dựng phương án ứng cứu sự cố khẩn cấp và chủ động cảnh báo nguy cơ mất an ninh mạng cho người sử dụng dịch vụ.

Trường hợp không thực hiện hoặc thực hiện không đầy đủ các nghĩa vụ theo quy định, doanh nghiệp có thể bị xử lý theo quy định của pháp luật, bao gồm xử phạt vi phạm hành chính, truy cứu trách nhiệm hình sự hoặc bồi thường thiệt hại nếu gây tổn thất cho Nhà nước, tổ chức hoặc cá nhân. Hiện nay, Luât An ninh mạng 2025 chưa quy định mức tiền xử phạt cụ thể, các nội dung này sẽ được hướng dẫn chi tiết tại các văn bản dưới luật trong thời gian tới.

Doanh nghiệp cần chuẩn bị gì khi Luật An ninh mạng có hiệu lực

Bước đầu tiên doanh nghiệp cần thực hiện là rà soát toàn bộ hệ thống thông tin đang vận hành, bao gồm hệ thống quản trị nội bộ, cơ sở dữ liệu khách hàng, nền tảng cung cấp dịch vụ trực tuyến và các hệ thống phục vụ hoạt động kinh doanh. Việc đánh giá này giúp doanh nghiệp xác định hệ thống thuộc cấp độ nào theo quy định của Luật An ninh mạng 2025, từ đó biết được các yêu cầu và biện pháp bảo vệ cần áp dụng.

Trong nhiều vụ việc lộ lọt dữ liệu, nguyên nhân không đến từ các cuộc tấn công tinh vi mà xuất phát từ việc phân quyền chưa phù hợp hoặc thiếu khả năng giám sát hoạt động người dùng. Doanh nghiệp cần rà soát cơ chế cấp quyền, kiểm soát truy cập vào dữ liệu quan trọng và tăng cường khả năng ghi nhận, theo dõi các hoạt động trên hệ thống. Đây cũng là nền tảng quan trọng để đáp ứng các yêu cầu về giám sát, phát hiện và xử lý các hành vi có nguy cơ ảnh hưởng đến an ninh mạng.

Các mối đe dọa an ninh mạng ngày nay không chỉ đến từ bên ngoài mà còn có thể xuất phát từ chính người dùng nội bộ, đối tác hoặc các thiết bị kết nối trong hệ thống. Vì vậy, doanh nghiệp cần xây dựng cơ chế giám sát liên tục nhằm phát hiện sớm các dấu hiệu bất thường, hành vi truy cập trái phép hoặc các nguy cơ lộ lọt dữ liệu. Việc chủ động nhận diện và ngăn chặn rủi ro ngay từ giai đoạn đầu không chỉ giúp giảm thiểu thiệt hại mà còn góp phần nâng cao khả năng đáp ứng các yêu cầu bảo vệ hệ thống thông tin theo quy định pháp luật.