Ngày 06/10/2025, Bộ Khoa học và Công nghệ ban hành Thông tư số 19/2025/TT-BKHCN về việc quy định kiểm toán kỹ thuật đối với chữ ký điện tử và dịch vụ tin cậy. Thông tư này quy định chi tiết về hoạt động kiểm toán kỹ thuật được quy định tại khoản 2 Điều 27 Nghị định số 23/2025/NĐ-CP ngày 21/2/2025 của Chính phủ quy định về chữ ký điện tử và dịch vụ tin cậy.

Đối tượng áp dụng của Thông tư gồm: Các cơ quan tổ chức, cá nhân tham gia hoặc có liên quan đến hoạt động kiểm toán kỹ thuật đối với hệ thống thông tin, quy trình cung cấp dịch vụ chữ ký điện tử bảo đảm an toàn, chứng thư chữ ký điện tử bảo đảm an toàn, chữ ký số, chứng thư chữ ký số và dịch vụ tin cậy; Cơ quan, tổ chức tạo lập, sử dụng chữ ký điện tử bảo đảm an toàn và chứng thư chữ ký điện tử bảo đảm an toàn được chủ động thực hiện kiểm toán kỹ thuật quy định tại Thông tư này để đánh giá hệ thống thông tin và quy trình cung cấp dịch vụ. Theo Thông tư, tổ chức kiểm toán kỹ thuật có trách nhiệm thu thập thông tin nhằm mục đích làm cơ sở đề xuất kế hoạch kiểm toán kỹ thuật phù hợp với quy mô và tình hình thực tế của tổ chức được kiểm toán kỹ thuật. Các thông tin này bao gồm: Thông tin chi tiết của tổ chức được kiểm toán kỹ thuật; Quy chế chứng thực và chính sách chứng thư chữ ký điện tử; Quy trình vận hành và kiểm soát; Tài liệu kỹ thuật về hệ thống thông tin; Các điều khoản giao kết với khách hàng; Các hợp đồng, thỏa thuận với bên thứ ba (nếu có); Tài liệu, hồ sơ chứng minh về tuân thủ hoạt động như nhật ký hệ thống, nhật ký vận hành; Các báo cáo khác có liên quan nhằm phục vụ kiểm toán kỹ thuật. Bên cạnh đó, Thông tư quy định thời hạn của cuộc kiểm toán kỹ thuật được tính từ ngày bắt đầu thực hiện đánh giá thông tin thu thập tới ngày ban hành báo cáo kiểm toán kỹ thuật; thời hạn cho mỗi cuộc kiểm toán kỹ thuật không quá 06 tháng. Đặc biệt, trong trường hợp cần thực hiện hành động khắc phục, thời gian để hoàn thành kế hoạch khắc phục do tổ chức được kiểm toán kỹ thuật đề xuất vượt quá thời hạn kiểm toán kỹ thuật nêu tại khoản 2 Điều này, tổ chức kiểm toán kỹ thuật và tổ chức được kiểm toán kỹ thuật thống nhất bằng văn bản về việc kéo dài thời hạn kiểm toán kỹ thuật nhưng không quá 45 ngày.

Thông tư quy định rõ trách nhiệm của Tổ chức kiểm toán kỹ thuật, Tổ chức được kiểm toán kỹ thuật, Ủy ban Tiêu chuẩn Đo lường Chất lượng Quốc gia và Trung tâm Chứng thực điện tử quốc gia trong việc triển khai công tác kiểm toán kỹ thuật. Trong đó, Ủy ban Tiêu chuẩn Đo lường Chất lượng Quốc gia được giao làm đầu mối tiếp nhận, xử lý hồ sơ và trình chỉ định tổ chức kiểm toán kỹ thuật. Trung tâm Chứng thực điện tử quốc gia được giao là đơn vị tiếp nhận báo cáo kiểm toán kỹ thuật từ các tổ chức được kiểm toán kỹ thuật; tổng hợp, báo cáo Bộ trưởng Bộ Khoa học và Công nghệ phục vụ công tác quản lý nhà nước đối với hoạt động cung cấp dịch vụ tin cậy. 

Thông tư này có hiệu lực thi hành kể từ ngày 1/1/2026. Trong thời hạn 03 (ba) năm kể từ ngày Nghị định số 23/2025/NĐ-CP ngày 21/02/2025 của Chính phủ quy định về chữ ký điện tử và dịch vụ tin cậy có hiệu lực, các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng đã được cấp phép theo Nghị định số 130/2018/NĐ-CP ngày 27/9/2018 của Chính phủ quy định chỉ tiết thi hành luật giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số phải lập kế hoạch và hoàn thành việc kiểm toán kỹ thuật lần đầu.

Thông tư 19/2025/TT-BKHCN không chỉ là một bước tiến quan trọng trong việc đảm bảo an toàn cho các dịch vụ chữ ký điện tử mà còn là một phần của chiến lược tổng thể nhằm thúc đẩy sự phát triển của nền kinh tế số tại Việt Nam.