Từ "cấp phép một lần" sang giám sát an toàn trong suốt vòng đời
Trong bối cảnh giao dịch điện tử ngày càng trở thành phương thức chủ đạo của nền kinh tế, chữ ký điện tử và các dịch vụ tin cậy không còn là giải pháp kỹ thuật đơn lẻ, mà đã trở thành hạ tầng pháp lý – kỹ thuật cốt lõi bảo đảm tính xác thực, an toàn và giá trị pháp lý của các giao dịch số.
Việc Bộ Khoa học và Công nghệ ban hành Thông tư số 19/2025/TT-BKHCN về kiểm toán kỹ thuật đối với chữ ký điện tử và dịch vụ tin cậy được xem là bước đi quan trọng nhằm củng cố "niềm tin số" – yếu tố then chốt cho phát triển kinh tế số và Chính phủ số.
Thông tư được Bộ trưởng Bộ Khoa học và Công nghệ Nguyễn Mạnh Hùng ký ban hành ngày 06/10/2025, có hiệu lực từ ngày 01/01/2026, cụ thể hóa các quy định của Nghị định số 23/2025/NĐ-CP về chữ ký điện tử và dịch vụ tin cậy, đồng thời tiệm cận với thông lệ và chuẩn mực quốc tế về quản trị rủi ro kỹ thuật.
Một trong những điểm đổi mới quan trọng của Thông tư 19/2025/TT-BKHCN là chuyển trọng tâm quản lý từ "tiền kiểm" sang "hậu kiểm", thông qua cơ chế kiểm toán kỹ thuật định kỳ.
Theo đó, thay vì chỉ kiểm tra điều kiện kỹ thuật trước khi cấp phép cung cấp dịch vụ, các tổ chức cung cấp dịch vụ tin cậy phải thực hiện kiểm toán kỹ thuật trong quá trình vận hành thực tế. Cách tiếp cận này phù hợp với đặc thù của môi trường số, nơi rủi ro an toàn thông tin không chỉ xuất hiện tại thời điểm thiết kế hệ thống, mà phát sinh liên tục trong suốt quá trình khai thác, cập nhật và mở rộng dịch vụ.
Thông tư quy định rõ chu kỳ kiểm toán kỹ thuật tối thiểu 02 năm/lần, nhằm đánh giá toàn diện các yếu tố như hạ tầng kỹ thuật, quản lý khóa và chứng thư số, năng lực xử lý sự cố, an toàn thông tin và tuân thủ quy chuẩn kỹ thuật quốc gia. Đây được xem là "hàng rào kỹ thuật" giúp phát hiện sớm lỗ hổng, giảm nguy cơ sự cố nghiêm trọng gây mất an toàn giao dịch điện tử.
Rõ vai trò, trách nhiệm của tổ chức kiểm toán kỹ thuật
Thông tư 19/2025/TT-BKHCN lần đầu tiên làm rõ khái niệm "tổ chức kiểm toán kỹ thuật" đối với chữ ký điện tử và dịch vụ tin cậy. Theo đó, đây là các tổ chức được chỉ định theo pháp luật về tiêu chuẩn, quy chuẩn kỹ thuật, có đủ năng lực, điều kiện để thực hiện đánh giá độc lập, khách quan hệ thống kỹ thuật của các tổ chức cung cấp dịch vụ tin cậy.
Việc xác lập rõ vai trò, trách nhiệm và thẩm quyền của tổ chức kiểm toán kỹ thuật không chỉ bảo đảm tính minh bạch trong hoạt động đánh giá, mà còn tạo nền tảng hình thành thị trường dịch vụ kiểm toán kỹ thuật chuyên nghiệp, góp phần nâng cao chất lượng toàn bộ hệ sinh thái tin cậy số.
Đối với các tổ chức cung cấp dịch vụ chứng thực chữ ký số đã được cấp phép trước đây theo Nghị định số 130/2018/NĐ-CP, Thông tư quy định lộ trình chuyển tiếp hợp lý. Cụ thể, các tổ chức này phải lập kế hoạch và hoàn thành kiểm toán kỹ thuật lần đầu trong vòng 03 năm kể từ khi Nghị định 23/2025/NĐ-CP có hiệu lực.
Quy định này vừa tạo khoảng thời gian cần thiết để doanh nghiệp rà soát, nâng cấp hệ thống kỹ thuật, vừa đặt ra yêu cầu rõ ràng về trách nhiệm tuân thủ, tránh tình trạng trì hoãn hoặc thực hiện mang tính hình thức.
Bài toán an toàn giao dịch số nhìn từ thực tiễn
Trong lĩnh vực ngân hàng – tài chính, chữ ký điện tử và chứng thư số đang được sử dụng rộng rãi để xác thực giao dịch trực tuyến, ký kết hợp đồng điện tử, phê duyệt giao dịch giá trị lớn. Nếu hệ thống chữ ký điện tử không được kiểm toán, đánh giá định kỳ, nguy cơ rủi ro như lộ khóa bí mật, sai sót xác thực hoặc gián đoạn dịch vụ có thể gây hậu quả nghiêm trọng, ảnh hưởng trực tiếp đến khách hàng và uy tín của tổ chức tài chính.
Theo các chuyên gia an toàn thông tin, kiểm toán kỹ thuật định kỳ chính là "cơ chế cảnh báo sớm", giúp tổ chức phát hiện điểm yếu trong thiết kế, vận hành hệ thống để kịp thời khắc phục trước khi sự cố xảy ra. Đây cũng là cách tiếp cận đang được nhiều quốc gia áp dụng trong quản lý dịch vụ tin cậy và hạ tầng giao dịch điện tử.
Thông tư 19/2025/TT-BKHCN không chỉ là văn bản hướng dẫn kỹ thuật, mà còn mang ý nghĩa chính sách sâu sắc trong hoàn thiện hành lang pháp lý cho nền kinh tế số. Khi các dịch vụ chữ ký điện tử và dịch vụ tin cậy được kiểm toán, giám sát chặt chẽ theo chuẩn mực thống nhất, niềm tin của doanh nghiệp và người dân vào giao dịch điện tử sẽ được củng cố.
Đây là điều kiện tiên quyết để thúc đẩy thương mại điện tử, tài chính số, dịch vụ công trực tuyến và các mô hình kinh doanh số phát triển an toàn, bền vững trong giai đoạn tới – khi chuyển đổi số không còn là lựa chọn, mà đã trở thành yêu cầu tất yếu của phát triển quốc gia.
