Nhập khẩu thiết bị an toàn thông tin mạng: Những quy định bắt buộc và chiến lược tránh rủi ro

Trong giai đoạn chuyển đổi số mạnh mẽ hiện nay, bảo mật hệ thống và an toàn thông tin mạng không còn là vấn đề của riêng ngành công nghệ, mà đã trở thành nhu cầu sống còn đối với mọi doanh nghiệp. Từ khối ngân hàng, thương mại điện tử, logistics đến doanh nghiệp có hạ tầng dữ liệu lớn – tất cả đều phụ thuộc vào hệ thống bảo mật mạng để bảo vệ dữ liệu, tài sản và uy tín của mình. Tuy nhiên, các thiết bị an toàn thông tin mạng không thể nhập khẩu tùy tiện. Việt Nam hiện đang áp dụng cơ chế kiểm soát nghiêm ngặt đối với việc nhập khẩu một số loại thiết bị công nghệ thông tin, với mục tiêu đảm bảo an ninh quốc gia và ngăn ngừa rủi ro từ các công nghệ có khả năng khai thác, xâm nhập trái phép. 

Vậy cụ thể những sản phẩm nào bị kiểm soát? Doanh nghiệp cần chuẩn bị gì để xin giấy phép nhập khẩu? Và rủi ro pháp lý nào có thể xảy ra nếu không tuân thủ đúng quy trình? Bài viết này sẽ cung cấp một góc nhìn toàn diện, không chỉ từ pháp lý mà còn từ thực tiễn triển khai. 

1. Cơ sở pháp lý và chính sách quản lý nhập khẩu sản phẩm an toàn thông tin mạng

Việc kiểm soát nhập khẩu thiết bị an toàn thông tin mạng được điều chỉnh bởi các văn bản pháp lý chủ chốt sau: 

• Nghị định 108/2016/NĐ-CP: Đặt nền tảng định nghĩa và phân loại sản phẩm an toàn thông tin mạng; 

• Thông tư 13/2018/TT-BTTTT, sửa đổi bởi Thông tư 10/2022/TT-BTTTT: Hướng dẫn chi tiết danh mục, quy trình và yêu cầu cấp phép nhập khẩu; 

• Luật An toàn thông tin mạng 2015: Xác định nghĩa vụ của tổ chức khi triển khai sản phẩm có yếu tố công nghệ thông tin trong không gian mạng. 

Cơ quan chủ trì trước đây là Cục An toàn thông tin – Bộ Thông tin và Truyền thông, có vai trò thẩm định kỹ thuật, đánh giá rủi ro và cấp phép nhập khẩu, tuy nhiên hiện tại thẩm quyền này đã được chuyển giao cho Bộ Công An. 

2. Doanh nghiệp nào được phép xin giấy phép nhập khẩu?

Không phải doanh nghiệp nào có nhu cầu cũng có quyền nộp hồ sơ. Theo Thông tư 13: 

• Chỉ những doanh nghiệp đã được cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng mới đủ điều kiện pháp lý để nộp hồ sơ xin nhập khẩu. 

• Các doanh nghiệp cung cấp thiết bị công nghệ thông tin chung, đơn vị mua để sử dụng nội bộ, hoặc các nhà thầu triển khai dự án nhưng chưa đăng ký ngành nghề bảo mật thông tin sẽ không được chấp thuận. 

Do đó, để hợp pháp hóa việc nhập khẩu thiết bị này, doanh nghiệp cần đăng ký bổ sung ngành nghề kinh doanh có điều kiện, và thực hiện đầy đủ thủ tục xin Giấy phép kinh doanh sản phẩm an toàn thông tin mạng theo quy định tại Luật Đầu tư và các văn bản hướng dẫn. 

3. Quy trình xin giấy phép nhập khẩu – không chỉ là thủ tục, mà là kiểm soát kỹ thuật

Quy trình xin Giấy phép nhập khẩu sản phẩm an toàn thông tin mạng: Không chỉ là thủ tục hành chính, mà là một vòng kiểm soát kỹ thuật và pháp lý toàn diện 

Nhiều doanh nghiệp nhầm tưởng rằng xin Giấy phép nhập khẩu thiết bị an toàn thông tin mạng (ATTTM) là một hình thức thủ tục hành chính thuần túy – nộp đơn, chờ xét duyệt và nhận kết quả. Nhưng thực tế, đây là một quy trình có yếu tố kiểm soát kỹ thuật – pháp lý tích hợp, được thiết kế để ngăn chặn các thiết bị có nguy cơ gây mất an toàn cho hệ thống mạng quốc gia xâm nhập thị trường Việt Nam. 

Điều đó đồng nghĩa với việc hồ sơ không chỉ cần “đúng” về mặt giấy tờ, mà còn phải “chuẩn” về mặt kỹ thuật, minh bạch về chức năng, rõ ràng về khả năng vận hành độc lập và tuân thủ tiêu chuẩn quốc gia. 

Đơn đề nghị cấp phép nhập khẩu (Mẫu 01 – Phụ lục II Thông tư 13/2018/TT-BTTTT), đây là mẫu văn bản hành chính thể hiện ý chí đề nghị cấp phép của doanh nghiệp. Doanh nghiệp cần điền rõ ràng thông tin về doanh nghiệp, loại sản phẩm, chức năng chính của thiết bị, số lượng, xuất xứ và mục đích sử dụng. Doanh nghiệp nên trình bày rõ nếu sản phẩm được sử dụng cho mục đích triển khai dự án cụ thể, đi kèm hợp đồng hoặc kế hoạch triển khai, để chứng minh tính hợp pháp và hợp lý của nhu cầu nhập khẩu. 

Bản sao Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng 

Đây là điều kiện tiên quyết để hồ sơ được tiếp nhận. Bản sao cần có chứng thực theo đúng quy định pháp luật. Nếu nộp bản sao không chứng thực, phải mang theo bản gốc để đối chiếu khi nộp trực tiếp. Giấy phép cần còn hiệu lực ít nhất đến thời điểm nhận Giấy phép nhập khẩu, vì thời hạn cấp phép nhập khẩu không vượt quá thời hạn còn lại của Giấy phép kinh doanh. 

Tài liệu mô tả chi tiết thiết bị nhập khẩu 

Đây là thành phần có giá trị quyết định trong quá trình thẩm định kỹ thuật, và thường là nguyên nhân chính khiến hồ sơ bị yêu cầu bổ sung. 

Yêu cầu bắt buộc sẽ thường bao gồm:  

• Mô tả tên sản phẩm, hãng sản xuất, mã hiệu, phiên bản phần cứng/phần mềm (nếu có); Trình bày chức năng kỹ thuật chủ đạo: sản phẩm thuộc loại kiểm tra, giám sát hay chống tấn công? Có khả năng phân tích dữ liệu mạng, ghi log, phát hiện bất thường hay chặn truy cập không hợp lệ? 

• Nêu rõ sản phẩm là thiết bị hoàn chỉnh, có thể vận hành độc lập (theo định nghĩa của Điều 3 TT 13/2018/TT-BTTTT). Không chấp nhận mô tả cho phụ kiện, linh kiện, mô-đun tách rời. Chỉ được sử dụng tiếng Việt hoặc tiếng Anh – bản tiếng Trung hoặc tài liệu quảng cáo phải dịch và đính kèm công chứng. 

• Doanh nghiệp nên sử dụng datasheet chính thức từ nhà sản xuất, kết hợp với biên bản xác nhận tính năng từ phòng kỹ thuật nội bộ để chứng minh rõ ràng sản phẩm thuộc diện quy định trong danh mục được phép nhập khẩu. Giấy chứng nhận hợp chuẩn/hợp quy (nếu thuộc nhóm sản phẩm bắt buộc) 

• Theo Luật Tiêu chuẩn và Quy chuẩn kỹ thuật, một số thiết bị có thể nằm trong nhóm sản phẩm bắt buộc công bố hợp quy khi nhập khẩu (đặc biệt với thiết bị phát sóng, tần số cao…). 

• Trường hợp đó, doanh nghiệp cần nộp kèm giấy chứng nhận hợp quy được cấp bởi tổ chức đánh giá đã được công nhận. 

• Nếu chưa có, phải thực hiện công bố hợp quy ngay sau khi được cấp Giấy phép nhập khẩu, và trước khi đưa sản phẩm lưu thông ra thị trường. 

4. Kinh nghiệm thực tiễn: Bài học sống còn từ các doanh nghiệp công nghệ lớn

Việc nhập khẩu thiết bị an toàn thông tin mạng (ATTTM) không chỉ là một khâu kỹ thuật hay hành chính, mà là một phần then chốt trong chuỗi vận hành dự án CNTT có yếu tố bảo mật, nơi pháp lý, kỹ thuật, tài chính và hợp đồng đều phải phối hợp chặt chẽ, vì vậy lời khuyên của chúng tôi là: 

Xác định rõ danh mục sản phẩm từ giai đoạn tiền đàm phán 

Nhiều doanh nghiệp mắc sai lầm ở chỗ: trong quá trình đàm phán hợp đồng mua thiết bị với đối tác nước ngoài, họ chỉ quan tâm đến giá cả, thời gian giao hàng và hiệu suất kỹ thuật, mà bỏ qua yếu tố pháp lý liên quan đến khả năng nhập khẩu. 

Hệ quả thường gặp là đã ký hợp đồng trị giá hàng trăm nghìn USD, nhưng khi làm thủ tục hải quan thì thiết bị nằm trong danh mục kiểm soát, mà doanh nghiệp không đủ điều kiện xin giấy phép nhập khẩu; Trễ tiến độ triển khai dự án, đặc biệt nếu phục vụ cho khối ngân hàng, chính phủ, hoặc hệ thống dữ liệu lớn; Phát sinh chi phí lưu kho, phí tái xuất, thậm chí bị phạt hợp đồng từ khách hàng vì vi phạm cam kết tiến độ. 

Song song triển khai thủ tục xin Giấy phép kinh doanh ATTTM nếu chưa có 

Theo quy định, chỉ những doanh nghiệp đã được cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng mới đủ điều kiện nộp hồ sơ xin cấp phép nhập khẩu. 

Tuy nhiên, trên thực tế: Rất nhiều nhà phân phối, tích hợp hệ thống chỉ đăng ký ngành nghề “bán buôn máy móc” hoặc “thiết bị điện tử viễn thông”; Khi gặp dự án yêu cầu nhập firewall, IDS, SIEM… thì mới phát hiện thiếu điều kiện pháp lý gốc, dẫn đến chậm tiến độ. Nếu doanh nghiệp có định hướng cung cấp hoặc triển khai các giải pháp có yếu tố an toàn thông tin, hãy chủ động nộp hồ sơ xin Giấy phép kinh doanh ATTT càng sớm càng tốt. Giấy phép này có thời hạn 10 năm và là giấy tờ “gốc” bắt buộc để được nhập khẩu hợp pháp. 

Lập quy trình nội bộ kiểm soát nhập khẩu thiết bị ATTTM 

Do đặc thù của thiết bị bảo mật – dễ bị kiểm soát và dễ thay đổi về chính sách – việc xây dựng quy trình nội bộ kiểm tra thiết bị trước khi đàm phán hoặc đặt hàng là yếu tố sống còn. 

Gợi ý quy trình chuẩn cho doanh nghiệp: 

• Bước 1: Phòng kỹ thuật đánh giá sơ bộ tính năng thiết bị; 

• Bước 2: Pháp chế đối chiếu Danh mục Thông tư 13 + điều kiện nhập khẩu; 

• Bước 3: Kiểm tra Giấy phép ATTTM nội bộ còn hiệu lực hay không; 

• Bước 4: Chuẩn bị sẵn hồ sơ mẫu – tài liệu kỹ thuật, đơn đề nghị, danh mục thiết bị; 

• Bước 5: Làm việc trước với Hải quan nếu là thiết bị mới/chưa từng nhập. 

Ngoài điều kiện về giấy phép nhập khẩu, doanh nghiệp cần đặc biệt chú ý đến quy trình khai báo hải quan – đảm bảo mã HS Code chính xác, tài liệu kỹ thuật rõ ràng, và chứng minh thiết bị là hàng hoàn chỉnh nếu thuộc diện kiểm soát. 
Tuyệt đối không “mượn” pháp nhân xin giấy phép hộ, vì có thể dẫn đến rủi ro pháp lý nghiêm trọng và mất quyền sở hữu hàng hóa nếu có tranh chấp. 

Việc nhập khẩu thiết bị an toàn thông tin mạng không còn là câu chuyện riêng của bộ phận kỹ thuật – mà là một hoạt động mang tính chiến lược, đòi hỏi doanh nghiệp phải hiểu, tuân thủ và chuẩn bị đầy đủ cả về mặt pháp lý, kỹ thuật lẫn điều phối nội bộ. Một sai sót nhỏ trong khâu hồ sơ có thể khiến doanh nghiệp bị chậm dự án, thất thoát tài chính hoặc ảnh hưởng đến uy tín. Ngược lại, nếu nắm vững quy định và chủ động kiểm soát rủi ro, doanh nghiệp không chỉ đảm bảo tính tuân thủ mà còn tối ưu được chi phí, thời gian và niềm tin với đối tác. 

Thời gian viết bài: 05/06/2025

Bài viết ghi nhận thông tin chung có giá trị tham khảo, trường hợp bạn mong muốn nhận ý kiến pháp lý liên quan đến các vấn đề mà bạn đang vướng mắc, bạn vui lòng liên hệ với Luật sư của chúng tôi theo email info@cdlaf.vn

Bạn có thể tham thảo thêm:

• • Phân quyền trong công ty cổ phần: Ai thực sự nắm quyền điều hành và ra quyết định?
  • Nghĩa vụ thuế – kế toán của doanh nghiệp FDI tại Việt Nam: Những điều không thể bỏ qua
  • Thu hồi công nợ tại Việt Nam: Những điều doanh nghiệp nước ngoài cần biết trước khi khởi kiện
  • Thu hồi công nợ Quốc tế: Chiến lược pháp lý và thực tiễn cho Doanh nghiệp Việt