Nội các Hàn Quốc ngày 24/3 đã thông qua bản sửa đổi luật, trong đó bắt buộc doanh nghiệp bổ nhiệm Giám đốc An toàn thông tin (CISO) ở cấp lãnh đạo. Tuy nhiên, phạm vi và tiêu chí áp dụng nghĩa vụ này vẫn chưa được xác định cụ thể, do phải chờ nghị định hướng dẫn.

Theo các cơ quan liên quan, dự luật có thể được công bố sớm nhất vào tuần tới. Sau khi được Tổng thống ký và đăng trên công báo, luật sẽ chính thức được ban hành.

Dự kiến, luật có hiệu lực sau 6 tháng kể từ ngày công bố, nhiều khả năng vào cuối tháng 9 hoặc đầu tháng 10 năm nay. Riêng quy định về đánh giá và công bố mức độ bảo mật sẽ được áp dụng sau 1 năm, để các doanh nghiệp có thêm thời gian chuẩn bị.

Bản sửa đổi lần này do ủy ban đề xuất, trên cơ sở hợp nhất và điều chỉnh 24 dự luật do nghị sĩ thuộc cả đảng cầm quyền lẫn đối lập trình lên. Động lực trực tiếp là hàng loạt vụ tấn công mạng nhằm vào các nhà mạng lớn như SK Telecom, KT, LG Uplus cùng nhiều công ty tài chính.

Trọng tâm của đợt sửa luật là yêu cầu bổ nhiệm CISO ở cấp lãnh đạo. Vai trò của CISO cũng được mở rộng, bao gồm quản lý nhân sự an toàn thông tin, xây dựng ngân sách và báo cáo tình hình an toàn thông tin lên hội đồng quản trị.

Các doanh nghiệp đạt quy mô nhất định cũng sẽ phải thành lập và vận hành ủy ban an toàn thông tin, do CISO làm chủ tịch. Tiêu chí xác định đối tượng phải lập ủy ban này sẽ được quy định trong nghị định hướng dẫn.

Song song đó, chế tài đối với sự cố xâm nhập mạng cũng được siết chặt. Nếu do cố ý hoặc sơ suất nghiêm trọng mà trong vòng 5 năm xảy ra từ hai vụ xâm nhập trở lên, doanh nghiệp có thể bị phạt tới 3% doanh thu hằng năm.

Trong quá trình điều tra, nếu doanh nghiệp từ chối cung cấp tài liệu, cản trở điều tra hoặc không chấp hành lệnh khắc phục, cơ quan chức năng có thể áp dụng khoản tiền cưỡng chế trong phạm vi 0,03% doanh thu bình quân một ngày. Thời hạn báo cáo sự cố cũng được làm rõ là trong vòng 24 giờ kể từ thời điểm doanh nghiệp nhận biết vụ việc.

Chính phủ cũng được phép mở điều tra ngay cả khi mới xuất hiện dấu hiệu nghi ngờ có sự cố. Nghĩa vụ thông báo cho người dùng ngay khi xảy ra sự cố cũng được bổ sung vào luật.

Tại Bộ Khoa học và CNTT Hàn Quốc, một Ủy ban thẩm định điều tra sự cố xâm nhập sẽ được thành lập. Cơ quan này hoạt động đến ngày 3/12/2030 trước khi được chuyển thành tổ chức thường trực. Trong khi đó, quy định về đánh giá và công bố mức độ bảo mật vẫn được áp dụng riêng sau 1 năm kể từ ngày công bố luật.

Dù luật đã được thông qua, mức độ sẵn sàng của doanh nghiệp được đánh giá còn hạn chế. Theo báo cáo phân tích hiện trạng công bố an toàn thông tin năm 2025 của Cơ quan An ninh Internet Hàn Quốc (KISA), trong số 757 doanh nghiệp tham gia công bố, chỉ 70,9%, tương đương 537 doanh nghiệp, có CISO ở cấp lãnh đạo.

220 doanh nghiệp còn lại, tương đương 29,1%, либо bố trí CISO không thuộc cấp lãnh đạo, либо chưa chỉ định vị trí này. Với riêng 513 công ty niêm yết có doanh thu từ 300 tỷ won trở lên, tỷ lệ có CISO cấp lãnh đạo còn thấp hơn, chỉ đạt 67,4%.

Ước tính có khoảng 167 doanh nghiệp sẽ phải nâng cấp vị trí CISO trước khi luật có hiệu lực. Trong nhóm có dưới 5 nhân sự chuyên trách an toàn thông tin, gồm 512 doanh nghiệp, tỷ lệ CISO cấp lãnh đạo là 67,2%. Ở nhóm đầu tư dưới 100 triệu won cho an toàn thông tin, gồm 137 doanh nghiệp, tỷ lệ này là 64,2%. Điều đó cho thấy quy mô doanh nghiệp càng nhỏ, mức độ sẵn sàng càng thấp.

Xét theo ngành, các lĩnh vực có tỷ lệ CISO cấp lãnh đạo thấp nhất lần lượt là vận tải - kho bãi với 40,9%, xây dựng 60,0% và bán buôn - bán lẻ 64,9%. Ngành thông tin - truyền thông cũng chỉ đạt 75,4%.

Điểm nghẽn lớn nhất hiện nay được cho là nằm ở nhóm doanh nghiệp vừa. Tiêu chí xác định doanh nghiệp vừa được áp dụng theo khoản 2 điều 2 của Luật Cơ bản về doanh nghiệp nhỏ và vừa, nhưng cách thức nhóm này phải thực hiện nghĩa vụ bổ nhiệm CISO vẫn được giao cho nghị định hướng dẫn.

Đến nay, dự thảo nghị định vẫn chưa được công bố để lấy ý kiến. Đại diện một doanh nghiệp IT quy mô trung bình cho biết công ty không hoạt động chuyên về bảo mật, trong khi bộ máy lãnh đạo hiện được tổ chức theo mảng kinh doanh và công nghệ. Vì vậy, quy định mới có thể tạo thêm gánh nặng về nhân sự và tổ chức.

Theo vị này, nguồn nhân lực an toàn thông tin đủ tiêu chuẩn để bổ nhiệm ở cấp lãnh đạo tại Hàn Quốc hiện cũng còn hạn chế. Đại diện một doanh nghiệp AI quy mô trung bình khác nhận định thời gian 6 tháng là quá ngắn để tuyển CISO chuyên trách và thiết kế hệ thống bảo mật.

Người này cũng lo ngại nhiều công ty sẽ cân nhắc để CTO kiêm nhiệm vị trí CISO. Tuy nhiên, nếu không có hướng dẫn rõ ràng về phạm vi kiêm nhiệm, việc bổ nhiệm rất dễ chỉ mang tính hình thức.

Những doanh nghiệp có hệ thống CISO yếu cũng đối mặt với rủi ro bị xử phạt nặng hơn. Giới luật sư nhận định rằng khi đánh giá yếu tố “cố ý hoặc sơ suất nghiêm trọng” trong các vụ xâm nhập lặp lại, cơ quan chức năng nhiều khả năng sẽ xem xét tổng thể việc CISO có ở cấp lãnh đạo hay không, cơ chế báo cáo lên hội đồng quản trị và mức đầu tư cho bảo mật.

Luật cũng quy định đầu tư ngân sách và nhân sự cho bảo mật là một trong những căn cứ để giảm nhẹ mức phạt. Vì vậy, doanh nghiệp không thiết lập được cơ chế CISO cấp lãnh đạo sẽ có ít cơ hội được xem xét giảm nhẹ hơn nếu xảy ra sự cố.

Áp lực tuân thủ có thể chưa dừng lại ở đây. Quốc hội Hàn Quốc hiện còn đang xem xét thêm các dự luật nhằm siết chế tài với hành vi không báo cáo sự cố xâm nhập mạng.

Đề xuất của nghị sĩ Kim Yong-man thuộc Đảng Dân chủ yêu cầu thông báo tự động cho cơ quan điều tra khi doanh nghiệp báo cáo sự cố. Trong khi đó, đề xuất của nghị sĩ Kim So-hee thuộc Đảng Quyền lực Nhân dân bổ sung cơ chế phạt hành chính tăng theo số ngày chậm báo cáo.

Đại diện Bộ Khoa học và CNTT Hàn Quốc cho biết cơ quan này sẽ xem xét các biện pháp hỗ trợ khả thi, trong đó có phương án tăng cường vai trò và năng lực liên quan đến việc thành lập ủy ban an toàn thông tin. Phó thủ tướng kiêm Bộ trưởng Bae Kyeong-hoon nhấn mạnh đợt sửa luật lần này sẽ nâng cấp hệ thống phòng ngừa và ứng phó sự cố xâm nhập mạng, qua đó giảm bớt lo ngại của người dân và tạo nền tảng để doanh nghiệp tăng trưởng bền vững trong môi trường bảo mật chặt chẽ hơn.