top of page
Search

Дали вашата IT компанија подлежи на усогласување со NIS2 и Закон за безбедност на мрежни и информациски системи?

  • Writer: Gjorgji Isaevski
    Gjorgji Isaevski
  • Feb 26
  • 6 min read

Updated: Feb 27

Ако обезбедувате дигитални услуги, работите со банки или критична инфраструктура, можеби вашата компанија е под законска обврска според новиот Закон за безбедност на мрежни и информациски системи.


  • Кои компании подлежат на законот?

  • Како законската регулатива класифицира средни и големи субјекти?

  • Кои обврски треба да ги примените?

  • Какви се последиците од неусогласеност?


it

Што претставува NIS2 и зошто е важен за IT компаниите во Македонија?

NIS2 е европска директива за безбедност на мрежни и информациски системи, донесена со цел да се зајакне сајбер безбедноста на критичната инфраструктура во цела Европа.


Новиот Закон за безбедност на мрежни и информациски системи е национална имплементација на NIS2 директивата и стапи на сила од 01.01.2026 година. Законот поставува правни обврски за сите компании што обезбедуваат критични дигитални услуги и инфраструктура, со цел:


  • Подобрување на сајбер безбедноста – со воведување стандарди, ризик-менаџмент и превентивни мерки

  • Заштита на критичната инфраструктура – cloud провајдери, data центри, банки, енергетика и други критични сектори

  • Намалување на ризикот од дигитални инциденти – ранливости, хакирања, downtime

  • Обврска за управување со ризици и одговорност на управители – управителите имаат законска одговорност за имплементација на мерки


Важно е да се разбере дека ова не е само ИТ прашање, туку и управувачка и правна обврска. Секој CEO, CTO или управител на IT компанија треба да знае дали неговата компанија е опфатена од законот и какви мерки треба да преземе.


Кои компании подлежат на законот?

ЗБМИС се применува на широк спектар на субјекти, вклучувајќи ги и приватните компании, доколку работат во одредени критични области или исполнуваат специфични критериуми. Според Член 4 став (2) од ЗБМИС, одредбите на овој закон се применуваат на работата на средни и големи субјекти кои обезбедуваат услуги во следните критични области, меѓу кои особено релевантни за технолошката индустрија се:


  • Банкарство и финансиски пазар: Ова ги опфаќа банките и другите финансиски институции.

  • Дигитална инфраструктура: Ова е широка категорија која вклучува даватели на услуги на точки за размена на интернет сообраќај, даватели на ДНС услуги, субјектот кој го води Единствениот регистар на врвни домени (.mk и .мкд), даватели на услуги за компјутерска обработка во облак (cloud computing), даватели на услуги за податочен центар, даватели на услуги за мрежи за испорака на содржини, даватели на доверливи услуги, како и даватели/оператори на јавни електронски комуникациски мрежи и услуги.

  • Управување со ИКТ услуги (B2B): Компании кои обезбедуваат ИКТ услуги на други бизниси.

  • Производство: Опфаќа производство на компјутерски, електронски и оптички производи, електрична опрема, машини и опрема, моторни возила и друга транспортна опрема.

  • Даватели на дигитални услуги: Вклучува даватели на услуги на интернет продажба, интернет пребарувачи и платформи за услуги за социјални мрежи.

  • Истражување: Субјекти чија примарна цел е спроведување применети истражувања или експериментален развој за комерцијални цели.


Дополнително, ЗБМИС се применува и на сите правни лица со регистрирано седиште во Републиката доколку, меѓу другото, се давател на доверливи услуги, го води Единствениот регистар на врвни домени, е единствен давател на суштинска услуга, или услугата што ја обезбедуваат има значително влијание врз јавната безбедност или предизвикува системски ризици.


Следниот чекор е да се утврди дали компанијата е среден или голем субјект, што одредува интензитет на обврските.


Како да знаете дали законот ве засега – објаснето преку примери

За овој сложен закон да го направиме подостапен до јавноста и доволно јасен за секој кој му е потребно во IT индустријата во Македонија ќе користиме два хипотетички примери: еден за среден субјект во дигиталната инфраструктура и еден за голем субјект во банкарскиот сектор. Примерите во прилог ќе ви помогнат да разберете кој подлежи на усогласување и какви обврски се применуваат.


I. Пример бр. 1 - Среден субјект од дигитална инфраструктура


  1. Компанија: „Информатички Сектор ДООЕЛ“

  2. Дејност: Компјутерска инфраструктура, обработка на податоци, серверски услуги и сродни дејности (давател на cloud computing услуги).

  3. Финансиски и кадровски податоци (хипотетички, за последните две пресметковни години):

    3.1. Просечен број на вработени е 180 вработени (што е до 250)

    3.2. Годишен приход: 7.500.000 € (под 10.000.000 €)

    3.3 Просечна вредност на вкупните средства е: 8.000.000 € (под 11.000.000 €)

  4. Зошто е среден субјект и подлежи на ЗБМИС??

    4.1. Класификација како среден трговец: Компанијата ги исполнува сите три критериуми за среден трговец според Член 470 став (6) од Законот за трговските друштва.

    4.2 Дејност во критична област: Како давател на услуги за компјутерска обработка во облак, компанијата работи во секторот „Дигитална инфраструктура“, кој е изрично наведен во ЗБМИС.

    4.3 Примена на Законот: Бидејќи е среден субјект кој обезбедува услуги во критична област, одредбите на ЗБМИС се применуваат на нејзината работа. Најверојатно, оваа компанија би била класифицирана како важен субјект според Член 8 став (2) точка 1) од ЗБМИС, бидејќи е среден субјект од критична област, а не голем субјект.

  5. Обврски:

Како важен субјект, оваа компанија е должна да преземе соодветни технички, оперативни и организациски мерки за управување со ризиците, сразмерни на ризикот и во согласност со современите достигнувања од ЗБМИС. Овие мерки најмалку вклучуваат:

  • Анализа на ризикот и безбедноста на информациските системи.

  • Справување со инциденти и континуитет на работењето.

  • Безбедност на ланецот на снабдување.

  • Основни практики на сајбер хигиена и обуки за сајбер безбедност.

  • Задолжително пријавување на значајни сајбер безбедносни инциденти до надлежниот тим за одговор на компјутерски инциденти во роковите утврдени со закон.

  • Документација за усогласеност со сите овие обврски.


II. Пример бр. 2 - Голем субјект од банкарски сектор

  1. Компанија: „Банкарски Сектор АД“

  2. Дејност: Друго монетарно посредување (Банка - Комерцијално банкарство).

  3. Финансиски и кадровски податоци (хипотетички, за последните две пресметковни години):

    3.1. Просечен број на вработени: 400 работници (што е повеќе од 250 работници).

    3.2. Годишен приход: 35.000.000 евра (што е повеќе од 10.000.000 евра).

    3.3 Просечна вредност на вкупните средства: 40.000.000 евра (што е повеќе од 11.000.000 евра).

  4. Зошто оваа компанија е голем субјект и подлежи на ЗБМИС?

    4.1. Класификација како голем трговец:

    • Компанијата ги надминува сите три критериуми за среден трговец, со што автоматски се класифицира како голем трговец според Законот за трговските друштва.

    • Дополнително, како банка, таа експлицитно спаѓа во категоријата на големи трговци според Член 470 став (10) од Законот за трговските друштва, независно од конкретните бројки.

    4.2. Дејност во критична област: Како банка, компанијата работи во секторот „Банкарство“, кој е изрично наведен во Член 4 став (2) точка 3) од ЗБМИС.

    4.3. Примена на Законот и класификација како суштински субјект: Бидејќи е голем субјект кој обезбедува услуги во критична област, одредбите на ЗБМИС се применуваат на нејзината работа, согласно Член 4 став (2) од ЗБМИС. Поради својата големина и дејност во критичен сектор, компанијата би била класифицирана како суштински субјект според Член 8 став (1) точка 1) од ЗБМИС.

  5. Обврски за голем субјект (суштински субјект): Како суштински субјект, компанијата има уште построги обврски. Покрај мерките за управување со ризици од Член 32 став (1) и (3) од ЗБМИС и задолжителното пријавување инциденти од Член 33 став (1) од ЗБМИС, таа е должна:

  6. Да има вработено или на друг начин ангажирано офицер за сајбер безбедност (Член 25 став (2) од ЗБМИС).

  7. Да обезбеди редовни обуки за членовите на нејзините органи на управување и вработените (Член 31 став (2) од ЗБМИС).

  8. Да биде подложена на повисок степен на надзор, вклучувајќи стручен надзор на лице место, вонреден надзор и безбедносни ревизии од независен ревизор (Член 49 став (2) од ЗБМИС).

  9. Да ги почитува строгите системски процедури и да поднесува регуларни извештаи до надлежните органи.


Важен vs. Суштински субјект – клучни разлики

Важен субјект

Суштински субјект

Средни компании

Големи компании

Помал интензитет на надзор

Поголем интензитет на надзор

Основни безбедносни обврски

Строги системски обврски

Инспекциски контроли

Длабок регулаторен мониторинг

И двете категории мора да имплементираат мерки за сајбер безбедност, но суштинските субјекти се под поголем надзор.


Self-check: Дали вашата компанија е усогласен со новата законска регулатива?

Запрашајте се дали вашата компанија:

  • Има над 50 вработени?

  • Годишен приход е во рамките на 2.000.000 евра до 10.000.000 евра или повеќе?

  • Обезбедува cloud, SaaS или IT инфраструктурни услуги?

  • Работи со банки, јавни институции, критични сектори или припаѓам во нив?

  • Дали има формален risk management framework?


Ако одговорот е „да“ на повеќе прашања – треба да се направи правна и compliance проценка се со цел да се утврди дали е потребно усогласување со оваа регулатива


Кои се ризиците ако не се усогласите?

  • Парични казни и регулаторни мерки

  • Репутациски ризик

  • Лична одговорност на управителите

  • Инциденти без соодветен контролен механизам


Зошто компаниите од IT индустријата треба да реагираат веднаш?


Законот не прави разлика меѓу стартап или голема компанија. Кога обезбедувате критична дигитална услуга – влегувате во рамка на NIS2 и донесениот закон доколку ги исполнувате предвидените услови.


Превенција и навремена проценка се далеку побезбедни отколку реакција по инспекција.


*

ЗАКЛУЧОК

NIS2 и новиот Закон за безбедност на мрежни и информациски системи носат:


  • Нови обврски за IT компаниите

  • Нови стандарди за сајбер безбедност

  • Одговорност на управители и директори


Првиот чекор е правна анализа за утврдување на статусот: важен или суштински субјект. Навремената проценка го намалува ризикот од казни, регулаторен надзор и репутациски штети. Контактирајте не доколку сакате да извршите проценка на ризик за вашата компанија и нејзината усогласеност со законските регулативи.


**

Често поставувани прашања (FAQ)


Дали стартап под 50 вработени подлежи на законот?

Обично не, освен ако обезбедува критични услуги или е изрично определен како важен субјект.

Дали outsourcing IT компанија спаѓа во критична област?

Да, доколку обезбедува инфраструктурни или cloud услуги за критични сектори.

Дали законот важи за компании што работат со странство?

Да, локацијата на клиентите не ја исклучува примената на законот.

Кој врши надзор?

Надлежниот национален орган определен со закон.

Колку брзо треба да се усогласиме?

Навремено, пред да дојде инспекција, за да се избегнат санкции.


***

Напомена: Овој текст е подготвен исклучиво за информативни цели и не може да се смета за правен совет или упатство за конкретно постапување. Правните прашања се сложени и секој случај има свои специфики кои мора да се разгледуваат поединечно. Токму поради тоа ви предлагаме да се консултирате со стручно лице- Адвокат кои може да најде уникатно решение за вашето правно прашање.


© 2024 by Law office Isaevski

bottom of page