Luật An ninh mạng số 116/2025/QH15 (Luật An ninh mạng năm 2025) chính thức có hiệu lực thi hành từ ngày 01/07/2026, mang đến hành lang pháp lý mới để bảo vệ chủ quyền quốc gia và quyền, lợi ích hợp pháp của người dân trên không gian mạng.
Luật An ninh mạng năm 2025 thể chế hóa đầy đủ chủ trương, chính sách của Đảng, Nhà nước về bảo vệ an ninh quốc gia, chủ quyền quốc gia trên không gian mạng, đặt hoạt động bảo vệ an ninh mạng dưới sự lãnh đạo của Đảng, sự quản lý thống nhất của Nhà nước; đồng thời bảo đảm hài hòa giữa yêu cầu bảo vệ an ninh mạng với phát triển kinh tế - xã hội và chuyển đổi số quốc gia.
Luật An ninh mạng số 116/2025/QH15 được xây dựng trên cơ sở kế thừa, hợp nhất các quy định còn phù hợp của Luật An ninh mạng năm 2018 và Luật An toàn thông tin mạng năm 2015, tạo sự đồng bộ, thống nhất, xuyên suốt của hệ thống pháp luật, phục vụ cuộc cách mạng đột phá phát triển khoa học công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia theo tinh thần Nghị quyết 57-NQ/TW của Bộ Chính trị.
 |
| Luật An ninh mạng 2025 chính thức có hiệu lực thi hành từ ngày 01/7/2026. (Ảnh: CQCA) |
Gắn trách nhiệm vào đơn vị, hệ thống cụ thể trên không gian mạng
Khi Luật An ninh mạng chính thức có hiệu lực từ ngày 01/7/2026, yêu cầu bảo vệ an ninh mạng được đặt trực tiếp vào hoạt động quản lý, vận hành của từng cơ quan, tổ chức. Luật An ninh mạng năm 2025, quy định rõ cơ quan nhà nước, tổ chức chính trị, tổ chức chính trị - xã hội ở trung ương và địa phương phải xây dựng, hoàn thiện quy định, quy chế sử dụng mạng máy tính nội bộ, mạng có kết nối Internet. Đồng thời xây dựng phương án bảo đảm an ninh mạng đối với hệ thống thông tin và phương án ứng phó, khắc phục sự cố an ninh mạng.
Điểm đáng chú ý các cơ quan, tổ chức còn phải triển khai biện pháp, công nghệ bảo vệ an ninh mạng đối với hệ thống thông tin, thông tin và tài liệu được lưu trữ, soạn thảo, truyền đưa trên hệ thống thuộc phạm vi quản lý. Hoạt động cung cấp dịch vụ công trên không gian mạng, trao đổi dữ liệu, chia sẻ thông tin nội bộ và liên thông với cơ quan khác cũng phải đặt trong yêu cầu bảo vệ an ninh mạng.
Luật An ninh mạng năm 2025 cũng đặt ra trách nhiệm bồi dưỡng kiến thức an ninh mạng cho cán bộ, công chức, viên chức, người lao động; kiểm tra an ninh mạng đối với hệ thống thông tin; phòng, chống hành vi vi phạm pháp luật và ứng phó, khắc phục sự cố. Đặc biệt, người đứng đầu cơ quan, tổ chức có trách nhiệm triển khai hoạt động bảo vệ an ninh mạng thuộc phạm vi quản lý.
Điều này cho thấy an ninh mạng không còn là phần việc có thể “khoán trắng” cho bộ phận công nghệ thông tin. Đó là yêu cầu quản trị bắt buộc, gắn với trách nhiệm của người đứng đầu, với quy chế vận hành, phương án ứng cứu, năng lực nhân sự và nguồn lực đầu tư.
 |
| Luật quy định cụ thể đối với cán bộ, công chức, tổ chức sử dụng an toàn thông tin trên không gian mạng rõ ràng. (Ảnh: CQCA) |
Với các cơ quan, tổ chức, doanh nghiệp nhà nước, tổ chức chính trị, tổ chức chính trị - xã hội và đơn vị sự nghiệp công lập do ngân sách nhà nước bảo đảm, Luật An ninh mạng còn quy định phải bố trí kinh phí bảo vệ an ninh mạng trong dự toán chi cho nhiệm vụ chuyển đổi số, ứng dụng công nghệ thông tin hằng năm; đồng thời bố trí tối thiểu 15% tổng kinh phí thực hiện chương trình, đề án, dự án đầu tư chuyển đổi số, ứng dụng công nghệ thông tin để bảo vệ an ninh mạng.
Nói cách khác, từ ngày mai, an ninh mạng không chỉ là khẩu hiệu về an toàn hệ thống, mà phải được thể hiện bằng quy chế, phương án, nhân lực, công nghệ và ngân sách cụ thể.
Dịch vụ số trên không gian mạng phải an toàn, phát triển và đúng pháp luật
Đối với chủ quản hệ thống thông tin, Luật An ninh mạng năm 2025 quy định trách nhiệm bảo vệ hệ thống thông tin theo quy định của Luật. Kết nối hệ thống giám sát an ninh mạng, hệ thống phòng chống mã độc tập trung về Trung tâm An ninh mạng quốc gia của Bộ Công an hoặc Trung tâm An ninh mạng của tỉnh, thành phố để hỗ trợ giám sát an ninh mạng. Đồng thời báo cáo sự cố an ninh mạng với cơ quan chuyên trách của Bộ Công an hoặc Bộ Quốc phòng.
 |
| Khuyến cáo: Những hành vi bị nghiêm cấm trên không gian mạng. |
 |
| Hướng dẫn: Nhận diện thủ đoạn lừa đảo công nghệ cao. (Ảnh: CQCA) |
Riêng hệ thống thông tin có sử dụng ngân sách nhà nước, chủ quản hệ thống phải có phương án bảo đảm an ninh mạng được cơ quan có thẩm quyền thẩm định khi thiết lập, mở rộng hoặc nâng cấp hệ thống; đồng thời chỉ định cá nhân, bộ phận phụ trách về an ninh mạng.
Đây là nhóm quy định tác động trực tiếp đến các hệ thống đang phục vụ quản lý nhà nước, dịch vụ công, dữ liệu chuyên ngành, nền tảng số nội bộ và các hệ thống thông tin quan trọng trong quá trình chuyển đổi số. Hệ thống càng mở rộng, càng kết nối nhiều, càng xử lý nhiều dữ liệu thì yêu cầu bảo vệ an ninh mạng càng phải được tính từ khâu thiết kế, vận hành đến giám sát, ứng cứu.
Với doanh nghiệp cung cấp dịch vụ trên không gian mạng, Luật yêu cầu phải tuân thủ pháp luật về an ninh mạng. Cảnh báo khả năng mất an ninh mạng trong quá trình sử dụng dịch vụ do mình cung cấp; hướng dẫn biện pháp phòng ngừa. Ngoài ra, xây dựng phương án ứng cứu khẩn cấp để chủ động xử lý điểm yếu, rủi ro và sự cố an ninh mạng.
Khi xảy ra sự cố, doanh nghiệp phải ngay lập tức triển khai phương án ứng cứu khẩn cấp, đồng thời báo cáo với lực lượng chuyên trách bảo vệ an ninh mạng. Doanh nghiệp cũng phải áp dụng biện pháp, giải pháp kỹ thuật để bảo đảm an ninh mạng cho hoạt động xử lý dữ liệu, xử lý dữ liệu cá nhân theo quy định của Luật An ninh mạng, pháp luật về dữ liệu, pháp luật về bảo vệ dữ liệu cá nhân và các quy định liên quan.
 |
| Quyền và trách nhiệm của Công dân trên không gian mạng. (Ảnh: CQCA) |
Đối với doanh nghiệp cung cấp dịch vụ Internet, Luật An ninh mạng năm 2025 đặt thêm trách nhiệm định danh địa chỉ IP của tổ chức, cá nhân sử dụng dịch vụ Internet. Cung cấp thông tin định danh địa chỉ IP cho lực lượng chuyên trách bảo vệ an ninh mạng để thực hiện biện pháp bảo vệ an ninh mạng.
Doanh nghiệp cũng phải phối hợp theo hướng dẫn của lực lượng chuyên trách thuộc Bộ Công an trong việc thiết lập kết nối, đấu nối kỹ thuật, truyền tải dữ liệu và đáp ứng điều kiện cần thiết khi có yêu cầu phục vụ điều tra, xác minh, xử lý hành vi vi phạm pháp luật về an ninh mạng.
Luật An ninh mạng năm 2025 cũng có quy định chuyển tiếp đáng chú ý: hệ thống thông tin đã được xác định cấp độ theo Luật An toàn thông tin mạng trước đây tiếp tục giữ cấp độ đã được xác định; trong thời hạn 12 tháng kể từ ngày Luật An ninh mạng có hiệu lực, các hệ thống này phải bảo đảm điều kiện, tiêu chuẩn, biện pháp bảo vệ an ninh mạng tương ứng với cấp độ theo quy định mới. Các sản phẩm, dịch vụ, giải pháp, phương tiện kỹ thuật bảo đảm an toàn thông tin mạng đã đưa vào sử dụng trước ngày Luật có hiệu lực tiếp tục được sử dụng, nhưng cũng phải bảo đảm điều kiện an ninh mạng theo thời hạn chuyển tiếp.
 |
| Khuyến cáo: 05 cách bảo vệ dữ liệu cá nhân, bảo mật an toàn và tránh lộ thông tin. (Ảnh: VNCERT/CC) |
Chỉ còn hai ngày trước thời điểm Luật An ninh mạng chính thức có hiệu lực. Thách thức đặt là các chủ thể quản lý hệ thống, vận hành nền tảng, cung cấp dịch vụ số đã sẵn sàng đến đâu: quy chế đã có chưa, phương án ứng cứu đã được phê duyệt chưa, hệ thống giám sát đã kết nối chưa, nhân sự phụ trách đã rõ chưa, kinh phí đã được bố trí chưa và trách nhiệm xử lý sự cố đã được phân công cụ thể chưa.
Từ ngày 1/7/2026, công tác quản lý An ninh mạng bước vào giai đoạn thực thi, bằng trách nhiệm cụ thể và xử lý vi phạm (nếu có) nghiêm minh theo quy định pháp luật của Luật An ninh mạng năm 2025. Mỗi hệ thống phải được bảo vệ tốt hơn, mỗi dịch vụ số phải an toàn hơn, mỗi tổ chức vận hành không gian mạng phải chủ động hơn trước rủi ro, sự cố và hành vi vi phạm.