[Recap] Webinar: Điểm mới của Luật An ninh mạng 2025 và tác động tới doanh nghiệp

1. Giới thiệu chương trình

Trong bối cảnh các quy định về an ninh mạng và bảo vệ dữ liệu ngày càng được siết chặt, việc cập nhật kịp thời những thay đổi của pháp luật không chỉ giúp doanh nghiệp hạn chế rủi ro pháp lý mà còn nâng cao năng lực quản trị và bảo vệ hệ thống thông tin trước các mối đe dọa ngày càng phức tạp.

Nhằm hỗ trợ cộng đồng doanh nghiệp nắm bắt những quy định mới nhất, LuatVietnam.vn phối hợp cùng Asia Legal, CyRadar và Hiệp hội Internet Việt Nam (VIA) tổ chức Webinar: "Điểm mới của Luật An ninh mạng 2025 và những tác động chính tới doanh nghiệp".

Tại chương trình, hai chuyên gia trong lĩnh vực pháp lý và an ninh mạng đã cùng phân tích những điểm mới đáng chú ý của Luật An ninh mạng 2025, làm rõ các nghĩa vụ tuân thủ, chế tài xử phạt và những rủi ro doanh nghiệp có thể gặp phải.

Đồng thời, cung cấp lộ trình chuẩn bị, các giải pháp thực tiễn từ cả góc độ pháp lý và kỹ thuật, giúp doanh nghiệp chủ động thích ứng và triển khai hiệu quả các yêu cầu mới.

🎤 Thông tin diễn giả 

- Luật sư Lưu Xuân Vĩnh: Luật sư Điều hành Asia Legal

• Chuyên gia tư vấn pháp lý trong các lĩnh vực đầu tư, thương mại và quản trị doanh nghiệp.

• Trọng tài viên, Hòa giải viên tại nhiều trung tâm trọng tài và hòa giải trong và ngoài nước.

- Ông Nguyễn Minh Đức: Founder & CEO CyRadar

• Hơn 20 năm kinh nghiệm trong lĩnh vực an toàn thông tin và an ninh mạng.

• Tác giả của 02 sáng chế về an toàn thông tin, từng phát hiện và cảnh báo lỗ hổng cho nhiều hệ thống lớn trong và ngoài nước.

2. Tóm tắt nội dung chương trình

2.1. Điểm mới của Luật An ninh mạng 2025 dưới góc nhìn pháp lý

Mở đầu chương trình, Luật sư Lưu Xuân Vĩnh đã trình bày cụ thể những điểm mới của Luật An ninh mạng 2025 và tác động tới cá nhân & tổ chức. Bài trình bày được chia làm ba phần chính:

Thực trạng an ninh mạng tại Việt Nam và Thế giới

Luật sư Vĩnh đã đưa ra một bức tranh toàn cảnh về các nguy cơ an ninh mạng đang ngày càng gia tăng:

Trên thế giới: Điểm lại các vụ rò rỉ dữ liệu khổng lồ như National Public Data (2,7 tỷ bản ghi), Facebook (533 triệu bản ghi) và các vụ tấn công nghiêm trọng vào Bộ Quốc phòng Anh (2024), Eurail (2026), hay sàn Upbit của Hàn Quốc.

Tại Việt Nam: Tình hình đặc biệt đáng báo động trong giai đoạn 2024-2025.

• Sự gia tăng đột biến: Số vụ rò rỉ dữ liệu năm 2025 tăng mạnh, đạt đỉnh điểm vào tháng 11 với 94 vụ (gấp 4 lần cùng kỳ năm 2024).
• Các vụ việc điển hình: Nhấn mạnh các sự cố tại VNG, Thế Giới Di Động, Vietnam Airlines và vụ tấn công vào Trung tâm Thông tin tín dụng quốc gia (CIC) làm lộ 160 triệu bản ghi vào tháng 9/2025.
• Nguyên nhân: Yếu tố con người chiếm 32,6% và lỗ hổng phần mềm chiếm 27,4%. Đặc biệt, tin tặc hiện nay sử dụng AI và Deepfake Voice để lừa đảo vượt qua bảo mật đa yếu tố (MFA).
• Rò rỉ nội bộ: Một thực trạng đáng ngại là dữ liệu bị lộ do nhân sự vô tình đăng tải mã nguồn lên các nền tảng công khai như GitHub, Postman, tập trung nhiều nhất ở ngành Tài chính - Ngân hàng và Công nghệ - Viễn thông.

Những điểm mới của Luật An ninh mạng 2025

Điểm cốt lõi là Luật An ninh mạng 2025 được xây dựng trên cơ sở hợp nhất toàn diện Luật An toàn thông tin mạng 2015 và Luật An ninh mạng 2018.

Mục tiêu: Khắc phục sự chồng chéo, thống nhất đầu mối quản lý nhà nước về Bộ Công an, đồng thời mở rộng phạm vi điều chỉnh và bổ sung các quy định về an ninh dữ liệu và bảo vệ trẻ em.

Chính sách của Nhà nước: Ưu tiên nguồn lực cho lực lượng chuyên trách, khuyến khích đào tạo nhân tài và đẩy mạnh hợp tác quốc tế.

Nhiệm vụ bảo vệ hệ thống thông tin: Quy định rõ các bước từ xác định cấp độ, đánh giá rủi ro đến triển khai biện pháp bảo vệ và chế độ báo cáo.

Kiểm soát thông tin trên không gian mạng: Luật chi tiết hóa các hành vi bị cấm như tuyên truyền chống nhà nước, kích động bạo loạn, xúc phạm vĩ nhân, đăng tải bản đồ sai lệch chủ quyền, hoặc tung tin giả gây hoang mang dư luận.

Trách nhiệm của doanh nghiệp:

• Phải xác thực thông tin người dùng và cung cấp dữ liệu cho cơ quan chức năng khi có yêu cầu (trong 24 giờ thông thường hoặc 3 giờ trong trường hợp khẩn cấp).

• Phải lưu trữ dữ liệu cá nhân của người sử dụng dịch vụ tại Việt Nam theo quy định của Chính phủ.

Bảo vệ trẻ em: Trẻ em có quyền được bảo vệ bí mật đời tư trên mạng. Doanh nghiệp phải có hệ thống kỹ thuật ngăn chặn nội dung xâm hại trẻ em, và cha mẹ có trách nhiệm giám sát tài khoản của con cái.

Kinh phí bảo vệ: Các tổ chức sử dụng ngân sách nhà nước phải bố trí tối thiểu 15% tổng kinh phí đầu tư cho công nghệ thông tin/chuyển đổi số để phục vụ an ninh mạng.

Chế tài xử phạt đối với các vi phạm

Phần cuối của bài trình bày nhấn mạnh về các hình phạt nghiêm khắc trong dự thảo Nghị định xử phạt vi phạm an ninh mạng và bảo vệ dữ liệu cá nhân.

Khung hình phạt tài chính:

• Phạt tối đa lên tới 200 triệu VNĐ đối với tổ chức vi phạm an ninh mạng.

• Đối với vi phạm về bảo vệ dữ liệu cá nhân, mức phạt có thể lên tới 03 tỷ VNĐ (đối với tổ chức).

• Đặc biệt: Vi phạm nghiêm trọng hoặc tái diễn có thể bị phạt tới 5% doanh thu năm trước liền kề.

Xử phạt theo nhóm hành vi:

• Tin giả, xúc phạm danh dự: Phạt từ 10 - 30 triệu VNĐ.

• Tấn công mạng, phát tán mã độc: Phạt từ 30 - 50 triệu VNĐ.

• Vi phạm về dữ liệu cá nhân (không xóa dữ liệu, mua bán trái phép): Phạt từ 25 - 100 triệu VNĐ hoặc gấp 10 lần số lợi thu được.

Ý nghĩa: Việc áp dụng các mức phạt nặng (theo % doanh thu) nhằm buộc các doanh nghiệp phải coi trọng bảo mật, thay vì coi chi phí phạt là "chi phí nhỏ". Điều này giúp Việt Nam tiệm cận với các tiêu chuẩn quốc tế (như GDPR của Châu Âu), tạo môi trường an toàn để thu hút đầu tư nước ngoài vào mảng trung tâm dữ liệu và công nghệ.

Kết thúc bài trình bày, Luật sư Vĩnh cũng giới thiệu các dịch vụ tư vấn của Asia Legal nhằm hỗ trợ doanh nghiệp tuân thủ pháp luật, xây dựng quy trình quản trị dữ liệu và lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.

2.2. Tuân thủ Luật An ninh mạng 2025 dưới góc nhìn kỹ thuật

Tiếp theo chương trình, ông Nguyễn Minh Đức đã có phần trình bày chi tiết về tuân thủ Luật An ninh mạng 2025 dưới góc nhìn kỹ thuật.

Cụ thể, ông Đức đã phân tích các thách thức hiện hữu và đưa ra lộ trình chuẩn bị về mặt công nghệ cho doanh nghiệp khi tuân thủ Luât An ninh mạng 2025.

Thách thức về an ninh mạng đối với doanh nghiệp tại Việt Nam

Thực tế trong giai đoạn 2024-2025: Có hơn 66% người dùng Internet bị sử dụng trái phép dữ liệu cá nhân trong năm 2024; hơn 52% doanh nghiệp bị tấn công mạng trong năm 2025 với tổng số vụ tấn công ước tính lên tới hơn 552.000 vụ.

Các hình thức tấn công phổ biến:

• Mã độc tống tiền (Ransomware): Việt Nam hứng chịu trung bình 80 vụ mỗi ngày vào năm 2025, gây thiệt hại ước tính lên đến 10 triệu USD/doanh nghiệp. Bài học rút ra là cần chú trọng lưu trữ, sao lưu dữ liệu, bảo mật thiết bị đầu cuối (Endpoint Security) và nâng cao nhận thức người dùng.

• Đánh cắp dữ liệu: Dữ liệu từ các bệnh viện, trang tuyển dụng và đặt vé máy bay thường xuyên bị rao bán trên các diễn đàn hacker.

• Lừa đảo trực tuyến (Phishing): Hacker sử dụng các website giả mạo và mã độc để chiếm đoạt tiền và dữ liệu cá nhân.

Hậu quả: Gây rò rỉ, phá hủy dữ liệu, mã hóa tống tiền và làm ngưng trệ hoàn toàn hoạt động của doanh nghiệp.

Tuân thủ Luật An ninh mạng 2025 từ góc nhìn kỹ thuật

Phần trọng tâm của bài trình bày hướng dẫn doanh nghiệp cách triển khai hạ tầng kỹ thuật để đáp ứng các quy định mới.

Trong đó, ông Đức cho biết hệ thông thông tin được phân loại theo 5 cấp độ: Dựa trên Nghị định 85/2016/NĐ-CP và Luật An ninh mạng 2025 để xác định mức độ quan trọng và yêu cầu bảo vệ tương ứng.

• Cấp độ 1 & 2: Các hệ thống nội bộ hoặc phục vụ dưới 10.000 người dùng, yêu cầu thiết lập tối thiểu 3-5 vùng mạng, có tường lửa và phòng chống mã độc cơ bản.

• Cấp độ 3: Hệ thống của ngành/tỉnh hoặc doanh nghiệp có trên 10.000 người dùng. Yêu cầu khắt khe hơn với vùng quản trị riêng, bắt buộc dự phòng nóng (Hot Redundancy), giám sát tập trung (SIEM) và chống DDoS.

• Cấp độ 4 & 5: Hệ thống quốc gia đặc biệt quan trọng, yêu cầu vận hành 24/7, bổ sung quản lý tài khoản đặc quyền (PAM) và dự phòng hệ thống tại các vị trí địa lý cách nhau ít nhất 30km.

Quy trình và yêu cầu trang bị kỹ thuật:

+ Doanh nghiệp cần tuân thủ quy trình 03 bước: Lập hồ sơ đề xuất cấp độ, thẩm định bởi cơ quan có thẩm quyền và phê duyệt.

+ Kiến trúc phân vùng mạng: Phải tách biệt các vùng mạng như Vùng Biên, DMZ, Vùng Nội bộ, Vùng Máy chủ cơ sở dữ liệu và Vùng Quản trị.

+ Giải pháp bắt buộc: Bao gồm tường lửa (Firewall) tích hợp IPS, tường lửa ứng dụng Web (WAF) cho dịch vụ công, xác thực mạnh đa yếu tố (MFA), mã hóa dữ liệu nhạy cảm và sao lưu dự phòng định kỳ.

+ Ma trận giám sát: Các hệ thống cấp độ 1, 2 phải tự đánh giá 02 năm/lần; cấp độ 3 kiểm tra hàng năm; cấp độ 4, 5 do cơ quan nhà nước kiểm tra đột xuất và định kỳ.

Định hướng nhân sự: Doanh nghiệp phải chỉ định nhân sự chuyên trách có chứng chỉ chuyên môn phù hợp. Riêng các ngành trọng điểm (Ngân hàng, Viễn thông, Cloud) phải có lực lượng bảo vệ thường trực 24/7.

Theo ông Đức, việc tuân thủ Luật An ninh mạng 2025 không chỉ là nghĩa vụ pháp lý mà còn là chiến lược bảo vệ an toàn cốt yếu cho sự sống còn của doanh nghiệp trong kỷ nguyên số.