Xác định rõ tiêu chí cấp độ an ninh mạng, bảo đảm đồng bộ pháp luật

Một trong những định hướng xuyên suốt của dự thảo Nghị định là xác định rõ mục tiêu bảo đảm chủ quyền, an ninh quốc gia và trật tự, an toàn xã hội trên không gian mạng. Đây là nền tảng quan trọng để xây dựng cơ sở pháp lý bảo vệ lợi ích quốc gia, chủ động phòng ngừa, phát hiện, đấu tranh và xử lý các mối đe dọa từ không gian mạng. Trên cơ sở đó, dự thảo góp phần giữ vững ổn định chính trị, bảo vệ hệ thống chính trị, quốc phòng, an ninh và thúc đẩy phát triển bền vững của đất nước.

Nội dung cốt lõi của dự thảo là xây dựng tiêu chí xác định cấp độ an ninh mạng đối với các hệ thống thông tin, đồng thời làm rõ tiêu chí xác định hệ thống thông tin quan trọng về an ninh quốc gia. Đây là cơ sở để triển khai các biện pháp bảo đảm an ninh mạng phù hợp với tính chất, mức độ quan trọng của từng hệ thống, tránh cách làm dàn trải, thiếu trọng tâm hoặc đầu tư chưa tương xứng với mức độ rủi ro.

Trên cơ sở các tiêu chí được xác lập, dự thảo Nghị định hướng dẫn cụ thể việc triển khai các biện pháp bảo đảm an ninh mạng theo từng cấp độ. Cách tiếp cận này không chỉ giúp nâng cao năng lực phòng thủ mà còn tăng cường khả năng phát hiện, cảnh báo và ứng phó với các nguy cơ, thách thức đang ngày càng gia tăng trên không gian mạng. Đồng thời, việc quy định theo cấp độ cũng tạo điều kiện để các cơ quan, tổ chức, doanh nghiệp chủ động hơn trong xây dựng phương án bảo vệ, bố trí nguồn lực và tổ chức vận hành hệ thống thông tin an toàn, hiệu quả.

Dự thảo cũng bảo đảm tính kế thừa và đồng bộ với các văn bản quy phạm pháp luật hiện hành về an ninh mạng và an toàn thông tin mạng, đồng thời cụ thể hóa đầy đủ các quy định của Luật An ninh mạng năm 2025. Việc xây dựng các quy định theo hướng chi tiết, rõ ràng không chỉ giúp nâng cao tính minh bạch mà còn tăng khả năng áp dụng trong thực tiễn, tạo thuận lợi cho các chủ thể liên quan trong quá trình tổ chức thực hiện.

Đáng chú ý, việc xây dựng Nghị định được đặt trong khuôn khổ thẩm quyền của Chính phủ, phù hợp với quy định của Luật An ninh mạng năm 2025 và yêu cầu thực tiễn của Việt Nam. Dự thảo cũng chú trọng bảo đảm tính khả thi trong bối cảnh công nghệ thông tin và không gian mạng phát triển nhanh chóng, qua đó khẳng định quan điểm coi an ninh mạng là nền tảng cho phát triển kinh tế - xã hội, đồng thời bảo đảm hoạt động bình thường của các cơ quan, tổ chức, doanh nghiệp và bảo vệ quyền, lợi ích hợp pháp của tổ chức, cá nhân.

Bổ sung nhiều điểm mới về quản lý rủi ro, hệ thống cấp độ cao và trách nhiệm triển khai

Bên cạnh những quan điểm chỉ đạo và định hướng lớn, dự thảo Nghị định cũng đưa ra nhiều điểm mới và chính sách nổi bật nhằm nâng cao hiệu quả bảo vệ an ninh mạng đối với hệ thống thông tin theo cấp độ.

Dự thảo làm rõ trách nhiệm của các đơn vị chuyên trách trong việc phối hợp triển khai các biện pháp bảo vệ an ninh mạng.

Trong bối cảnh các mô hình hạ tầng công nghệ đang thay đổi nhanh, đặc biệt với xu hướng mở rộng triển khai trên hạ tầng điện toán đám mây và trung tâm dữ liệu, việc cập nhật tiêu chí xác định cấp độ là yêu cầu cần thiết để bảo đảm phù hợp thực tiễn và nâng cao hiệu quả quản lý.

Việc bổ sung nguyên tắc quản lý rủi ro trong bảo đảm an ninh mạng, là bước hoàn thiện quan trọng về tư duy quản lý, chuyển mạnh từ cách tiếp cận thiên về tuân thủ sang kết hợp với nhận diện, đánh giá và kiểm soát rủi ro. Việc bổ sung nguyên tắc này sẽ giúp các cơ quan, tổ chức, doanh nghiệp chủ động hơn trong xây dựng phương án bảo vệ, giám sát, ứng phó và khắc phục sự cố.

Dự thảo cũng hoàn thiện các quy định đối với hệ thống thông tin cấp độ cao khi triển khai trên hạ tầng điện toán đám mây, trung tâm dữ liệu. Theo hướng tiếp cận mới, dự thảo chỉ yêu cầu tách biệt về mặt vật lý đối với các hệ thống thông tin quan trọng về an ninh quốc gia và hệ thống thông tin cấp độ 5. Trong khi đó, các thành phần bảo vệ có thể dùng chung với các hệ thống khác. Quy định này thể hiện sự điều chỉnh theo hướng linh hoạt, phù hợp hơn với thực tiễn phát triển công nghệ hiện nay.

Việc chỉ yêu cầu tách biệt vật lý đối với các hệ thống đặc biệt quan trọng có ý nghĩa đáng kể trong việc giảm chi phí đầu tư cho doanh nghiệp, tổ chức, đồng thời vẫn bảo đảm yêu cầu về an ninh mạng. Đây là cách tiếp cận dung hòa giữa yêu cầu bảo vệ nghiêm ngặt đối với các hệ thống trọng yếu và yêu cầu tối ưu nguồn lực trong quá trình đầu tư, vận hành hạ tầng công nghệ.

Dự thảo cũng làm rõ hơn trách nhiệm của chủ quản hệ thống thông tin trong việc tổ chức triển khai các biện pháp bảo vệ an ninh mạng. Đây là nội dung quan trọng, bởi chủ quản hệ thống là chủ thể trực tiếp chịu trách nhiệm về an ninh mạng đối với hệ thống do mình quản lý, vận hành. Khi trách nhiệm được quy định rõ hơn, việc tổ chức thực hiện sẽ đồng bộ hơn, tránh tình trạng trông chờ, đùn đẩy hoặc thiếu rõ ràng trong phân công, phối hợp.

Đồng thời, dự thảo điều chỉnh yêu cầu kết nối các hệ thống giám sát, phòng, chống mã độc tập trung với Trung tâm An ninh mạng quốc gia hoặc Trung tâm An ninh mạng của các địa phương nhằm nâng cao hiệu quả giám sát. Đây là nội dung quan trọng trong bối cảnh các nguy cơ tấn công mạng ngày càng phức tạp, đòi hỏi phải tăng cường năng lực giám sát tập trung, chia sẻ thông tin, cảnh báo sớm và phối hợp xử lý sự cố giữa các cơ quan, đơn vị.

Một điểm đáng chú ý khác là dự thảo quy định linh hoạt hơn về hoạt động kiểm tra, đánh giá an ninh mạng và quản lý rủi ro. Theo đó, việc thuê đơn vị độc lập chỉ được áp dụng trong những trường hợp cần thiết, phù hợp với thông lệ quốc tế. Quy định này góp phần giảm gánh nặng chi phí cho cơ quan, tổ chức, doanh nghiệp, đồng thời vẫn bảo đảm trách nhiệm của chủ quản hệ thống và vai trò quản lý của cơ quan chức năng.

Ngoài ra, dự thảo còn bổ sung quy định cụ thể về thời gian báo cáo sự cố an ninh mạng. Việc quy định rõ mốc thời gian báo cáo sẽ góp phần nâng cao tính chủ động, kịp thời trong công tác xử lý sự cố, tránh tình trạng chậm trễ, ảnh hưởng đến hiệu quả ứng cứu và khắc phục hậu quả.

Bên cạnh đó, dự thảo làm rõ trách nhiệm của các đơn vị chuyên trách trong việc phối hợp kiểm tra, đánh giá, rà quét lỗ hổng, phát hiện điểm yếu và kiểm thử xâm nhập đối với các hệ thống thông tin. Quy định này giúp xác lập rõ hơn cơ chế phối hợp giữa các lực lượng, đồng thời nâng cao hiệu quả hỗ trợ kỹ thuật, chuyên môn trong quá trình bảo vệ hệ thống thông tin trước các nguy cơ mất an ninh mạng.

Có thể thấy, dự thảo Nghị định về bảo vệ an ninh mạng đối với hệ thống thông tin theo cấp độ không chỉ hướng tới cụ thể hóa quy định của Luật An ninh mạng năm 2025 mà còn tập trung hoàn thiện cơ chế pháp lý theo hướng rõ ràng, đồng bộ, khả thi và phù hợp với thực tiễn phát triển công nghệ. Việc xác định tiêu chí cấp độ an ninh mạng, bổ sung nguyên tắc quản lý rủi ro, hoàn thiện yêu cầu bảo vệ đối với hệ thống cấp độ cao trên hạ tầng điện toán đám mây, làm rõ trách nhiệm của chủ quản hệ thống và cơ chế phối hợp giữa các đơn vị chuyên trách là những nội dung quan trọng, có tác động trực tiếp đến hiệu quả bảo vệ an ninh mạng trong thời gian tới.

Trong bối cảnh chuyển đổi số tiếp tục được thúc đẩy mạnh mẽ, việc hoàn thiện cơ chế bảo vệ an ninh mạng theo cấp độ hệ thống thông tin có ý nghĩa đặc biệt quan trọng. Đây là bước đi cần thiết để xây dựng nền tảng an ninh vững chắc cho tiến trình phát triển số quốc gia, bảo đảm hoạt động an toàn, ổn định, liên tục của các hệ thống thông tin phục vụ quản lý, điều hành và phát triển kinh tế - xã hội.

Thu Uyên