Ngày 06/10/2025, Bộ trưởng Bộ Khoa học và Công nghệ ban hành Thông tư số 19/2025/TT-BKHCN quy định về kiểm toán kỹ thuật đối với chữ ký điện tử và dịch vụ tin cậy.
Thông tư quy định về kiểm toán kỹ thuật đối với chữ ký điện tử và dịch vụ tin cậy là một bước tiến quan trọng trong việc hoàn thiện khung pháp lý cho giao dịch điện tử nói chung và dịch vụ tin cậy nói riêng tại Việt Nam, cụ thể hoá chính sách của Luật Giao dịch điện tử 2023; góp phần đẩy mạnh cải cách, hoàn thiện, nâng cao chất lượng thể chế, chính sách, hỗ trợ doanh nghiệp phát triển theo các định hướng và mục tiêu tại Nghị quyết số 68-NQ/CP ngày 04/5/2025 của Bộ Chính trị về phát triển kinh tế tư nhân.
Phương thức quản lý trong lĩnh vực cung cấp dịch vụ tin cậy được từng bước chuyển dần từ cơ chế “tiền kiểm” sang “hậu kiểm” thông qua hoạt động quản lý kỹ thuật trên cơ sở tiêu chuẩn kỹ thuật, quy chuẩn kỹ thuật; theo hướng chuyên nghiệp hoá, đáp ứng các chuẩn mực quốc tế trong lĩnh vực chữ ký điện tử, dịch vụ tin cậy.
Trung tâm Chứng thực điện tử quốc gia xin giới thiệu một số điểm chính của Thông tư số 19/2025/TT-BKHCN:
Về đối tượng áp dụng:
Tổ chức cung cấp dịch vụ tin cậy phải thực hiện kiểm toán kỹ thuật theo chu kỳ 02 năm/lần; Bên cạnh đó, các cơ quan, tổ chức tạo lập, sử dụng chữ ký điện tử bảo đảm an toàn và chứng thư chữ ký điện tử bảo đảm an toàn được khuyến khích chủ động thực hiện kiểm toán kỹ thuật.
Về căn cứ đánh giá và cách thức, nội dung thực hiện:
Thông tư làm làm rõ thuật ngữ “Kiểm toán kỹ thuật” và thuật ngữ “Tổ chức kiểm toán kỹ thuật”. Trong đó Tổ chức kiểm toán kỹ thuật là tổ chức chứng nhận được chỉ định, có quyền và trách nhiệm của tổ chức chứng nhận theo quy định của pháp luật tiêu chuẩn và quy chuẩn kỹ thuật, pháp luật về chất lượng sản phẩm, hàng hóa.
Căn cứ đánh giá của kiểm toán kỹ thuật là các yêu cầu cụ thể đối với hệ thống thông tin, quy trình cung cấp dịch vụ quy định tại quy chuẩn kỹ thuật, tiêu chuẩn kỹ thuật, yêu cầu kỹ thuật áp dụng đối với chữ ký điện tử bảo đảm an toàn, chứng thư chữ ký điện tử bảo đảm an toàn, chữ ký số, chứng thư chữ ký số và dịch vụ tin cậy.
Hoạt động kiểm toán kỹ thuật bao gồm các nội dung (1) đánh giá thông tin thu thập trong quá trình xây dựng kế hoạch kiểm toán kỹ thuật và (2) đánh giá thực tế, trực tiếp tại tổ chức được kiểm toán kỹ thuật theo kế hoạch, nội dung đánh giá đã thống nhất.
Thời hạn hoàn thành một cuộc kiểm toán không quá 06 tháng, trường hợp cần thiết có thể gia hạn thêm tối đa 45 ngày để thực hiện các hành động khắc phục.
Căn cứ kết quả đánh giá của cuộc kiểm toán kỹ thuật và kết quả hành động khắc phục (nếu có), tổ chức kiểm toán kỹ thuật xem xét, quyết định cấp giấy chứng nhận kèm theo báo cáo kiểm toán kỹ thuật cho tổ chức được kiểm toán kỹ thuật. Trường hợp không cấp giấy chứng nhận, tổ chức kiểm toán kỹ thuật thông báo bằng văn bản nêu rõ lý do kèm theo báo cáo kiểm toán kỹ thuật cho tổ chức được kiểm toán.
Thông tư cũng quy định chi tiết nội dung cần thể hiện trong Báo cáo kiểm toán kỹ thuật (bao gồm các nội dung cơ bản như Thông tin chung về cuộc kiểm toán kỹ thuật; Thời gian thực hiện các nội dung kiểm toán kỹ thuật; Đánh giá rủi ro bảo mật thông tin của tổ chức được kiểm toán kỹ thuật; Phương thức kiểm toán kỹ thuật được sử dụng; Các thông tin phục vụ việc ra quyết định chứng nhận,…). Báo cáo kiểm toán kỹ thuật phải được các tổ chức cung cấp dịch vụ tin cậy gửi về Bộ Khoa học và Công nghệ (thông qua đầu mối Trung tâm Chứng thực điện tử quốc gia) để tổng hợp phục vụ công tác quản lý nhà nước.
Về trách nhiệm của các cơ quan, tổ chức có liên quan
Thông tư quy định rõ trách nhiệm của Tổ chức kiểm toán kỹ thuật, Tổ chức được kiểm toán kỹ thuật, Ủy ban Tiêu chuẩn Đo lường Chất lượng Quốc gia và Trung tâm Chứng thực điện tử quốc gia trong việc triển khai công tác kiểm toán kỹ thuật.
Trong đó, Ủy ban Tiêu chuẩn Đo lường Chất lượng Quốc gia được giao làm đầu mối tiếp nhận hồ sơ và trình chỉ định tổ chức kiểm toán kỹ thuật. Trung tâm Chứng thực điện tử quốc gia được giao là đơn vị tiếp nhận báo cáo kiểm toán kỹ thuật từ các tổ chức được kiểm toán kỹ thuật; tổng hợp, báo cáo Bộ trưởng Bộ Khoa học và Công nghệ phục vụ công tác quản lý nhà nước đối với hoạt động cung cấp dịch vụ tin cậy.
Về hiệu lực thi hành: Thông tư có hiệu lực thi hành kể từ ngày 01/01/2026.
Thông tư cũng quy định rõ lộ trình về thời gian thực hiện kiểm toán lần đầu với các tổ chức cung cấp dịch vụ được cấp phép theo NĐ 23/2025/NĐ-CP và các tổ chức cung cấp dịch vụ đã được cấp phép theo NĐ 130/2018/NĐ-CP;
Cùng với các văn bản quy định chi tiết thi hành Nghị định số 23/2025/NĐ-CP của Chính phủ về chữ ký điện tử và dịch vụ tin cậy, việc ban hành và triển khai có hiệu quả các quy định về kiểm toán kỹ thuật sẽ góp phần tạo nên thị trường dịch vụ tin cậy phát triển bền vững, đẩy mạnh chuyển đổi số, phát triển kinh tế số, xây dựng Chính phủ số.
Chi tiết Thông tư xem TẠI ĐÂY./.
(NEAC)
