Còn đúng 3 tháng. Ngày 1 tháng 7 năm 2026, Luật An ninh mạng số 116/2025/QH15 có hiệu lực toàn phần — và lần này, kiểm thử xâm nhập (VAPT) được luật hóa rõ ràng như một dịch vụ an ninh mạng chịu sự quản lý của Bộ Công an.
Nhiều giám đốc IT và quản lý hệ thống ở Việt Nam vẫn xem VAPT là “việc tốt nên làm” — nhưng không bắt buộc. Quan niệm đó không còn đúng sau tháng 7/2026.
Luật mới thay đổi điều gì?
Quốc hội thông qua Luật An ninh mạng 2025 vào ngày 10/12/2025. Đây không chỉ là bản cập nhật — đây là việc hợp nhất hai bộ luật song song (Luật An toàn thông tin mạng 2015 và Luật An ninh mạng 2018) thành một khung pháp lý duy nhất, thống nhất dưới thẩm quyền của Bộ Công an.
Điều quan trọng với doanh nghiệp: lần đầu tiên, dịch vụ kiểm thử xâm nhập, đánh giá lỗ hổng bảo mật và kiểm tra an ninh mạng được nêu rõ là các dịch vụ an ninh mạng chịu điều kiện cấp phép. Không còn vùng xám. Đơn vị nào cung cấp VAPT cho khách hàng Việt Nam sẽ phải đáp ứng điều kiện theo quy định của Chính phủ — dự kiến ban hành trước tháng 7/2026.
Hệ thống thông tin của anh/chị được phân loại cấp nào?
Luật 116/2025 giữ nguyên khung phân loại 5 cấp độ rủi ro cho hệ thống thông tin. Cấp 1 là thấp nhất — ảnh hưởng đến quyền lợi tổ chức hoặc cá nhân. Cấp 5 là hệ thống liên quan đến an ninh quốc gia. Phần lớn doanh nghiệp thương mại, fintech và nhà cung cấp dịch vụ số rơi vào cấp 2 hoặc cấp 3.
Hệ thống cấp 3 trở lên phải thực hiện đánh giá an ninh mạng định kỳ — bao gồm kiểm thử kỹ thuật trên hệ thống thực tế. Nói đơn giản: VAPT không còn là tùy chọn với những hệ thống này.
Và tự đánh giá không được chấp nhận. Luật yêu cầu phối hợp với lực lượng an ninh mạng chuyên trách và đơn vị đánh giá độc lập.
Thực tế từ khu vực Đông Nam Á — và bài học cho Việt Nam
Đầu tháng 3/2026, hãng hàng không Malaysia Airlines xác nhận bị tấn công ransomware bởi nhóm Qilin. Dữ liệu bị đánh cắp bao gồm thông tin đặt chỗ hành khách, hồ sơ nhân sự và hợp đồng nhà cung cấp. Đây không phải tấn công vào cơ sở hạ tầng quốc phòng — đây là doanh nghiệp thương mại trong cùng khu vực với Việt Nam.
Nhóm Qilin đang hoạt động mạnh ở Đông Nam Á. Và điểm vào trong nhiều cuộc tấn công ransomware không phải từ lỗ hổng zero-day phức tạp — mà từ những lỗ hổng đã biết, chưa được vá, chưa được phát hiện vì không ai chịu kiểm tra.
VAPT tìm ra những lỗ hổng đó trước khi kẻ tấn công làm điều đó.
VAPT không chỉ là “báo cáo lỗ hổng”
Nhiều doanh nghiệp Việt hiểu nhầm rằng VAPT là quét tự động và in ra một danh sách lỗ hổng. Đó là vulnerability scan — không phải penetration test.
Kiểm thử xâm nhập thực sự đặt một chuyên gia bảo mật vào vai trò kẻ tấn công — với sự cho phép của tổ chức — và tìm cách khai thác thực tế vào hệ thống. Kết quả là chuỗi tấn công hoàn chỉnh: từ điểm xâm nhập ban đầu đến leo thang quyền hạn, di chuyển ngang, và xác định dữ liệu nào có thể bị đánh cắp.
Đây là sự khác biệt giữa biết rằng cửa sau có khóa và biết rằng khóa đó không chịu được nếu ai đó thực sự cố phá.
Doanh nghiệp cần chuẩn bị gì trước tháng 7/2026?
Ba tháng là đủ — nhưng không nhiều. Đây là những bước cụ thể:
- Xác định cấp độ hệ thống của anh/chị. Hệ thống nào xử lý dữ liệu cá nhân, thông tin tài chính, hoặc kết nối với đối tác quan trọng? Những hệ thống đó có khả năng là cấp 2 hoặc cấp 3 theo Luật 116/2025.
- Chọn đơn vị VAPT có giấy phép phù hợp. Theo khung pháp lý hiện hành (Nghị định 26/2023), VAPT là dịch vụ cần được cấp phép tại Việt Nam. Sau tháng 7/2026, yêu cầu này do Bộ Công an quản lý. Chọn đơn vị đã được cấp phép hoặc đang trong quá trình cấp phép theo khung mới.
- Thực hiện đánh giá trước khi luật có hiệu lực. Kết quả VAPT cho anh/chị thấy khoảng cách cần khắc phục — và thời gian để khắc phục trước khi cơ quan quản lý yêu cầu kiểm tra.
- Cập nhật chính sách ứng phó sự cố. Luật 116/2025 yêu cầu báo cáo sự cố và phối hợp với lực lượng chuyên trách. Nếu anh/chị chưa có quy trình ứng phó sự cố bằng văn bản, đây là lúc cần làm.
Câu hỏi anh/chị nên đặt ra ngay hôm nay
Khi nào lần cuối cùng hệ thống của anh/chị được kiểm thử bởi một chuyên gia bên ngoài? Nếu câu trả lời là “hơn một năm trước” hoặc “chưa bao giờ” — đó là rủi ro thực tế, không chỉ là vấn đề tuân thủ.
Quy mô doanh nghiệp không phải lá chắn. Nhóm ransomware không chọn mục tiêu dựa trên doanh thu — chúng chọn dựa trên khả năng xâm nhập. Hệ thống chưa được kiểm tra là hệ thống dễ xâm nhập nhất.
Dịch vụ liên quan: Kiểm thử xâm nhập (VAPT) | Tư vấn ISO 27001
Evvo Labs hỗ trợ doanh nghiệp Việt thực hiện VAPT đúng nghĩa — không phải chỉ báo cáo lỗ hổng, mà là đánh giá chuỗi tấn công thực tế phù hợp với môi trường hệ thống của anh/chị. Liên hệ để được tư vấn miễn phí về lộ trình chuẩn bị trước tháng 7/2026.