1. Вовед и преглед на апликацијата

1.1 Цел и намена на апликацијата

1.1.1 Што е алатка за самооценување на сајбер безбедност

Алатката за самооценување на сајбер безбедност е специјализирана веб апликација дизајнирана да им помогне на организациите да го проценат нивото на усогласеност со барањата на Законот за безбедност на мрежни и информациски системи (ЗБМИС) на Република Северна Македонија.

Апликацијата овозможува:

  • Автоматска класификација на субјектот според критериумите од ЗБМИС
  • Систематска проценка на 12 домени на сајбер безбедност (52 контроли) за средни и големи субјекти
  • Поедноставена проценка преку 6 домени (25 контроли) за мали претпријатија (MSME)
  • Генерирање на извештаи со препораки за подобрување
  • Следење на напредокот преку зачувување и враќање на проценки

1.1.2 Целни корисници и примена

Апликацијата е наменета за:

Целна групаПримена
Службеници за информациска безбедностРедовна проценка на состојбата и планирање на подобрувања
Раководители на организацииПреглед на усогласеност и донесување одлуки за инвестиции
Консултанти за сајбер безбедностИницијална проценка на клиенти и развој на патоказ
РевизориПодготовка за надворешна ревизија и верификација
Регулаторни телаМониторинг на усогласеност во критични сектори

1.1.3 Придобивки од самооценувањето

Редовното самооценување носи значителни придобивки:

  • Идентификација на слабости - Откривање на области со недоволна заштита пред да настане инцидент
  • Приоретизирање на инвестиции - Насочување на ресурси кон најкритичните подобрувања
  • Усогласеност со закон - Подготовка за задолжителна усогласеност со ЗБМИС
  • Подобрување на отпорност - Зголемување на способноста за справување со сајбер закани
  • Документирање на состојба - Создавање формален запис за интерни и надворешни потреби

1.2 Правна рамка

1.2.1 Закон за безбедност на мрежни и информациски системи (ЗБМИС)

Службен весник на РСМ бр. 135 од 4.7.2025 година

Законот е донесен на 27 јуни 2025 година од Собранието на Република Северна Македонија. ЗБМИС е основниот правен акт кој ги дефинира обврските за сајбер безбедност во Република Северна Македонија. Законот е усогласен со Директивата NIS2 на Европската Унија и воведува:

  • Класификација на субјекти во СУШТИНСКИ и ВАЖНИ категории
  • Задолжителни мерки за управување со ризици од сајбер безбедност
  • Обврски за известување за сајбер инциденти
  • Надзор и санкции за неусогласеност

Клучни членови од ЗБМИС:

ЧленСодржина
Член 4Дефиниции и опсег на примена
Член 8Класификација на субјекти
Член 20-23CSIRT и координација
Член 25Управување со сајбер безбедност
Член 29Раководна одговорност
Член 31Мерки за управување со ризици
Член 32Технички и организациски мерки
Член 33Задолжително пријавување на значајни инциденти и закани
Член 34Годишен извештај за состојбите во сајбер безбедноста
Член 35Сертификација
Член 37Споделување на информации
Член 39Обука и свесност

1.2.2 Директива NIS2 (ЕУ 2022/2555)

Директивата NIS2 е европската регулатива за мрежна и информациска безбедност, донесена на 14 декември 2022 година. ЗБМИС е транспозиција на оваа директива во македонското законодавство.

Клучни елементи од NIS2:

  • Article 20 - Управување и раководна одговорност
  • Article 21 - Мерки за управување со ризици
  • Article 23 - Известување за инциденти
  • Article 7 - Национална стратегија за сајбер безбедност

1.2.3 Регулатива за спроведување (ЕУ 2024/2690)

Регулативата за спроведување на Комисијата детално ги разработува техничките и методолошките барања за имплементација на NIS2. Таа обезбедува:

  • Специфични критериуми за проценка на ризик
  • Детални барања по сектори
  • Методологија за известување за инциденти

1.2.4 ISO/IEC 27001:2022

Меѓународниот стандард за системи за управување со информациска безбедност (ISMS) е референтна рамка за многу контроли во апликацијата. Клучни клаузули:

  • 5.1 - Лидерство и посветеност
  • 5.3 - Организациски улоги и одговорности
  • 6.1 - Управување со ризици
  • Annex A - Контроли за информациска безбедност

1.3 Видови проценки

1.3.1 BMIS проценка (за средни и големи субјекти)

BMIS (Bezbednost na Mrezhni i Informaciski Sistemi / Безбедност на мрежни и информациски системи) проценката е наменета за:

  • Средни субјекти (50-250 вработени или 10-50 милиони евра промет)
  • Големи субјекти (над 250 вработени или над 50 милиони евра промет)
  • Субјекти класифицирани како СУШТИНСКИ или ВАЖНИ според ЗБМИС

Карактеристики на BMIS проценката:

ПараметарВредност
Број на домени12
Број на контроли52
Нивоа на зрелост4 (L1-L4)
Compliance baselines5
Време за завршување60-120 минути

1.3.2 MSME проценка (за мали претпријатија)

MSME (Micro, Small and Medium Enterprises) проценката е поедноставена верзија наменета за:

  • Микро претпријатија (помалку од 10 вработени)
  • Мали претпријатија (10-50 вработени)
  • Субјекти ВОН ОПСЕГ на ЗБМИС кои сакаат доброволно подобрување

Карактеристики на MSME проценката:

ПараметарВредност
Број на домени6
Број на контроли25
Нивоа на зрелост3 (Foundation/Advanced/Expert)
Референтна рамкаENISA водич за ММСП
Време за завршување20-40 минути

1.3.3 Критериуми за избор на соодветна проценка

┌─────────────────────────────────────────────────────────────┐ │ ИЗБОР НА ТИП НА ПРОЦЕНКА │ ├─────────────────────────────────────────────────────────────┤ │ │ │ Дали субјектот е класифициран како │ │ СУШТИНСКИ или ВАЖЕН според ЗБМИС? │ │ │ │ ДА НЕ │ │ │ │ │ │ ▼ ▼ │ │ ┌────────────────┐ ┌────────────────────┐ │ │ │ BMIS ПРОЦЕНКА │ │ Дали субјектот е │ │ │ │ (12 домени, │ │ среден или голем? │ │ │ │ 52 контроли) │ │ │ │ │ └────────────────┘ └────────────────────┘ │ │ │ │ │ │ ДА НЕ │ │ │ │ │ │ ▼ ▼ │ │ ┌──────────────┐ ┌──────────────┐ │ │ │ BMIS │ │ MSME │ │ │ │ (опционо) │ │ ПРОЦЕНКА │ │ │ └──────────────┘ │ (6 домени, │ │ │ │ 25 контроли)│ │ │ └──────────────┘ │ └─────────────────────────────────────────────────────────────┘

1. Introduction and Application Overview

1.1 Purpose and Scope of the Application

1.1.1 What is the Cybersecurity Self-Assessment Tool

The cybersecurity self-assessment tool is a specialized web application designed to help organizations assess their level of compliance with the requirements of the Law on Network and Information Systems Security (LNIS) of the Republic of North Macedonia.

The application enables:

  • Automatic entity classification according to LNIS criteria
  • Systematic assessment of 12 cybersecurity domains (52 controls) for medium and large entities
  • Simplified assessment through 6 domains (25 controls) for small enterprises (MSME)
  • Report generation with improvement recommendations
  • Progress tracking through saving and restoring assessments

1.1.2 Target Users and Application

The application is intended for:

Target GroupApplication
Information Security OfficersRegular status assessment and improvement planning
Organization ManagersCompliance overview and investment decision-making
Cybersecurity ConsultantsInitial client assessment and roadmap development
AuditorsExternal audit preparation and verification
Regulatory BodiesCompliance monitoring in critical sectors

1.1.3 Benefits of Self-Assessment

Regular self-assessment brings significant benefits:

  • Weakness Identification - Detecting areas with insufficient protection before an incident occurs
  • Investment Prioritization - Directing resources toward the most critical improvements
  • Legal Compliance - Preparation for mandatory LNIS compliance
  • Resilience Improvement - Increasing the ability to deal with cyber threats
  • Status Documentation - Creating a formal record for internal and external needs

1.2 Legal Framework

1.2.1 Law on Network and Information Systems Security (LNIS)

Official Gazette of RSM No. 135 from 4.7.2025

The Law was adopted on June 27, 2025 by the Assembly of the Republic of North Macedonia. LNIS is the primary legal act defining cybersecurity obligations in the Republic of North Macedonia. The Law is aligned with the EU NIS2 Directive and introduces:

  • Classification of entities into ESSENTIAL and IMPORTANT categories
  • Mandatory cybersecurity risk management measures
  • Cyber incident reporting obligations
  • Supervision and sanctions for non-compliance

Key articles of LNIS:

ArticleContent
Article 4Definitions and scope of application
Article 8Entity classification
Article 20-23CSIRT and coordination
Article 25Cybersecurity management
Article 29Management responsibility
Article 31Risk management measures
Article 32Technical and organizational measures
Article 33Mandatory reporting of significant incidents and threats
Article 34Annual cybersecurity status report
Article 35Certification
Article 37Information sharing
Article 39Training and awareness

1.2.2 NIS2 Directive (EU 2022/2555)

The NIS2 Directive is the European regulation for network and information security, adopted on December 14, 2022. LNIS is a transposition of this directive into Macedonian legislation.

Key elements of NIS2:

  • Article 20 - Governance and management responsibility
  • Article 21 - Risk management measures
  • Article 23 - Incident reporting
  • Article 7 - National cybersecurity strategy

1.2.3 Implementing Regulation (EU 2024/2690)

The Commission Implementing Regulation elaborates in detail the technical and methodological requirements for NIS2 implementation. It provides:

  • Specific risk assessment criteria
  • Detailed sector-specific requirements
  • Incident reporting methodology

1.2.4 ISO/IEC 27001:2022

The international standard for information security management systems (ISMS) is a reference framework for many controls in the application. Key clauses:

  • 5.1 - Leadership and commitment
  • 5.3 - Organizational roles and responsibilities
  • 6.1 - Risk management
  • Annex A - Information security controls

1.3 Assessment Types

1.3.1 BMIS Assessment (for medium and large entities)

BMIS (Bezbednost na Mrezhni i Informaciski Sistemi / Network and Information Systems Security) assessment is intended for:

  • Medium entities (50-250 employees or 10-50 million euros turnover)
  • Large entities (over 250 employees or over 50 million euros turnover)
  • Entities classified as ESSENTIAL or IMPORTANT under LNIS

BMIS assessment characteristics:

ParameterValue
Number of domains12
Number of controls52
Maturity levels4 (L1-L4)
Compliance baselines5
Completion time60-120 minutes

1.3.2 MSME Assessment (for small enterprises)

MSME (Micro, Small and Medium Enterprises) assessment is a simplified version intended for:

  • Micro enterprises (fewer than 10 employees)
  • Small enterprises (10-50 employees)
  • Entities OUT OF SCOPE of LNIS seeking voluntary improvement

MSME assessment characteristics:

ParameterValue
Number of domains6
Number of controls25
Maturity levels3 (Foundation/Advanced/Expert)
Reference frameworkENISA SME Guide
Completion time20-40 minutes

1.3.3 Criteria for Choosing the Appropriate Assessment

┌─────────────────────────────────────────────────────────────┐ │ ASSESSMENT TYPE SELECTION │ ├─────────────────────────────────────────────────────────────┤ │ │ │ Is the entity classified as │ │ ESSENTIAL or IMPORTANT under LNIS? │ │ │ │ YES NO │ │ │ │ │ │ ▼ ▼ │ │ ┌────────────────┐ ┌────────────────────┐ │ │ │ BMIS ASSESSMENT│ │ Is the entity │ │ │ │ (12 domains, │ │ medium or large? │ │ │ │ 52 controls) │ │ │ │ │ └────────────────┘ └────────────────────┘ │ │ │ │ │ │ YES NO │ │ │ │ │ │ ▼ ▼ │ │ ┌──────────────┐ ┌──────────────┐ │ │ │ BMIS │ │ MSME │ │ │ │ (optional) │ │ ASSESSMENT │ │ │ └──────────────┘ │ (6 domains, │ │ │ │ 25 controls)│ │ │ └──────────────┘ │ └─────────────────────────────────────────────────────────────┘

1. Hyrje dhe Pasqyra e Aplikacionit

1.1 Qëllimi dhe Fushëveprimi i Aplikacionit

1.1.1 Çfarë është mjeti i vetëvlerësimit të sigurisë kibernetike

Mjeti i vetëvlerësimit të sigurisë kibernetike është një aplikacion i specializuar ueb i projektuar për t'u ndihmuar organizatave të vlerësojnë nivelin e përputhshmërisë me kërkesat e Ligjit për Sigurinë e Rrjeteve dhe Sistemeve Informative (LSRSI) të Republikës së Maqedonisë së Veriut.

Aplikacioni mundëson:

  • Klasifikimin automatik të subjektit sipas kritereve të LSRSI
  • Vlerësimin sistematik të 12 domeneve të sigurisë kibernetike (52 kontrolle) për subjektet e mesme dhe të mëdha
  • Vlerësim të thjeshtuar përmes 6 domeneve (25 kontrolle) për ndërmarrjet e vogla (MSME)
  • Gjenerimin e raporteve me rekomandime për përmirësim
  • Ndjekjen e progresit përmes ruajtjes dhe rikthimit të vlerësimeve

1.1.2 Përdoruesit e Synuar dhe Zbatimi

Aplikacioni është i destinuar për:

Grupi i SynuarZbatimi
Zyrtarët e Sigurisë InformativeVlerësimi i rregullt i gjendjes dhe planifikimi i përmirësimeve
Drejtuesit e OrganizatavePasqyra e përputhshmërisë dhe vendimmarrja për investime
Konsulentët e Sigurisë KibernetikeVlerësimi fillestar i klientëve dhe zhvillimi i udhërrëfyesit
AuditorëtPërgatitja për auditime të jashtme dhe verifikimi
Organet RregullatoreMonitorimi i përputhshmërisë në sektorët kritikë

1.1.3 Përfitimet e Vetëvlerësimit

Vetëvlerësimi i rregullt sjell përfitime të konsiderueshme:

  • Identifikimi i dobësive - Zbulimi i fushave me mbrojtje të pamjaftueshme para se të ndodhë një incident
  • Prioritizimi i investimeve - Drejtimi i burimeve drejt përmirësimeve më kritike
  • Përputhshmëria ligjore - Përgatitja për përputhshmërinë e detyrueshme me LSRSI
  • Përmirësimi i reziliencës - Rritja e aftësisë për t'u përballur me kërcënimet kibernetike
  • Dokumentimi i gjendjes - Krijimi i një regjistrimi formal për nevoja të brendshme dhe të jashtme

1.2 Korniza Ligjore

1.2.1 Ligji për Sigurinë e Rrjeteve dhe Sistemeve Informative (LSRSI)

Gazeta Zyrtare e RSM nr. 135 nga 4.7.2025

Ligji u miratua më 27 qershor 2025 nga Kuvendi i Republikës së Maqedonisë së Veriut. LSRSI është akti kryesor ligjor që përcakton detyrimet për sigurinë kibernetike në Republikën e Maqedonisë së Veriut. Ligji është harmonizuar me Direktivën NIS2 të Bashkimit Evropian dhe prezanton:

  • Klasifikimin e subjekteve në kategoritë THELBËSORE dhe TË RËNDËSISHME
  • Masa të detyrueshme për menaxhimin e rreziqeve të sigurisë kibernetike
  • Detyrime për raportimin e incidenteve kibernetike
  • Mbikëqyrje dhe sanksione për mosrespektim

Nenet kryesore të LSRSI:

NeniPërmbajtja
Neni 4Përkufizime dhe fushëveprimi
Neni 8Klasifikimi i subjekteve
Neni 20-23CSIRT dhe koordinimi
Neni 25Menaxhimi i sigurisë kibernetike
Neni 29Përgjegjësia e drejtuesve
Neni 31Masat për menaxhimin e rreziqeve
Neni 32Masat teknike dhe organizative
Neni 33Raportimi i detyrueshëm i incidenteve dhe kërcënimeve të rëndësishme
Neni 34Raporti vjetor për gjendjen e sigurisë kibernetike
Neni 35Certifikimi
Neni 37Ndarja e informacionit
Neni 39Trajnimi dhe ndërgjegjësimi

1.2.2 Direktiva NIS2 (BE 2022/2555)

Direktiva NIS2 është rregullorja evropiane për sigurinë e rrjeteve dhe informacionit, e miratuar më 14 dhjetor 2022. LSRSI është transpozimi i kësaj direktive në legjislacionin maqedonas.

Elementet kryesore të NIS2:

  • Neni 20 - Qeverisja dhe përgjegjësia e drejtuesve
  • Neni 21 - Masat për menaxhimin e rreziqeve
  • Neni 23 - Raportimi i incidenteve
  • Neni 7 - Strategjia kombëtare për sigurinë kibernetike

1.2.3 Rregullorja Zbatuese (BE 2024/2690)

Rregullorja Zbatuese e Komisionit përpunon në detaje kërkesat teknike dhe metodologjike për zbatimin e NIS2. Ajo siguron:

  • Kritere specifike për vlerësimin e rrezikut
  • Kërkesa të detajuara sipas sektorëve
  • Metodologji për raportimin e incidenteve

1.2.4 ISO/IEC 27001:2022

Standardi ndërkombëtar për sistemet e menaxhimit të sigurisë informative (ISMS) është korniza referuese për shumë kontrolle në aplikacion. Klauzolat kryesore:

  • 5.1 - Lidershipi dhe angazhimi
  • 5.3 - Rolet dhe përgjegjësitë organizative
  • 6.1 - Menaxhimi i rreziqeve
  • Aneksi A - Kontrollat e sigurisë informative

1.3 Llojet e Vlerësimeve

1.3.1 Vlerësimi BMIS (për subjektet e mesme dhe të mëdha)

BMIS (Bezbednost na Mrezhni i Informaciski Sistemi / Siguria e Rrjeteve dhe Sistemeve Informative) vlerësimi është i destinuar për:

  • Subjektet e mesme (50-250 punonjës ose 10-50 milionë euro qarkullim)
  • Subjektet e mëdha (mbi 250 punonjës ose mbi 50 milionë euro qarkullim)
  • Subjektet e klasifikuara si THELBËSORE ose TË RËNDËSISHME sipas LSRSI

Karakteristikat e vlerësimit BMIS:

ParametriVlera
Numri i domeneve12
Numri i kontrolleve52
Nivelet e pjekurisë4 (L1-L4)
Linjat bazë të përputhshmërisë5
Koha e përfundimit60-120 minuta

1.3.2 Vlerësimi MSME (për ndërmarrjet e vogla)

MSME (Micro, Small and Medium Enterprises) vlerësimi është një version i thjeshtuar i destinuar për:

  • Mikro ndërmarrjet (më pak se 10 punonjës)
  • Ndërmarrjet e vogla (10-50 punonjës)
  • Subjektet JASHTË FUSHËVEPRIMIT të LSRSI që dëshirojnë përmirësim vullnetar

Karakteristikat e vlerësimit MSME:

ParametriVlera
Numri i domeneve6
Numri i kontrolleve25
Nivelet e pjekurisë3 (Foundation/Advanced/Expert)
Korniza referueseUdhëzuesi ENISA për NVM
Koha e përfundimit20-40 minuta

1.3.3 Kriteret për Zgjedhjen e Vlerësimit të Përshtatshëm

┌─────────────────────────────────────────────────────────────┐ │ ZGJEDHJA E LLOJIT TË VLERËSIMIT │ ├─────────────────────────────────────────────────────────────┤ │ │ │ A është subjekti i klasifikuar si │ │ THELBËSOR ose I RËNDËSISHËM sipas LSRSI? │ │ │ │ PO JO │ │ │ │ │ │ ▼ ▼ │ │ ┌────────────────┐ ┌────────────────────┐ │ │ │ VLERËSIMI BMIS │ │ A është subjekti │ │ │ │ (12 domene, │ │ i mesëm ose i madh?│ │ │ │ 52 kontrolle) │ │ │ │ │ └────────────────┘ └────────────────────┘ │ │ │ │ │ │ PO JO │ │ │ │ │ │ ▼ ▼ │ │ ┌──────────────┐ ┌──────────────┐ │ │ │ BMIS │ │ MSME │ │ │ │ (opsionale) │ │ VLERËSIMI │ │ │ └──────────────┘ │ (6 domene, │ │ │ │ 25 kontrolle│ │ │ └──────────────┘ │ └─────────────────────────────────────────────────────────────┘

2. Фаза 1: Класификација на субјектот

2.1 Внесување на податоци за субјектот

2.1.1 Избор на НКД шифра (Национална класификација на дејности)

Првиот чекор е идентификација на главната дејност на субјектот преку НКД шифрата. Апликацијата овозможува:

  • Пребарување по шифра - Директно внесување на познатата НКД шифра
  • Пребарување по опис - Пронаоѓање на шифра преку опис на дејноста
  • Хиерархиско прегледување - Навигација низ структурата на дејности
Формат на НКД шифра: Пример: 35.11 │ │ │ └──Подкласа (производство на електрична енергија) └───────Оддел (снабдување со електрична енергија, гас, пареа)

2.1.2 Внесување на број на вработени

Бројот на вработени се внесува како целобројна вредност и се користи за определување на големината на субјектот:

КатегоријаБрој на вработени
Микро< 10
Мал10 - 49
Среден50 - 249
Голем≥ 250

2.1.3 Внесување на годишен промет (во евра)

Годишниот промет се внесува во евра и служи како дополнителен критериум:

КатегоријаГодишен промет
Микро≤ 2 милиони €
Мал≤ 10 милиони €
Среден≤ 50 милиони €
Голем> 50 милиони €

2.1.4 Внесување на вкупни средства/биланс (во евра)

Вкупните средства од билансот на состојба се третиот критериум:

КатегоријаВкупни средства
Микро≤ 2 милиони €
Мал≤ 10 милиони €
Среден≤ 43 милиони €
Голем> 43 милиони €

2.2 Мапирање на НКД шифри кон сектори

2.2.1 Сектори со висока критичност (Член 7, став (1), точка 1) од ЗБМИС)

Секторите со висока критичност се оние кои се од суштинско значење за функционирањето на општеството и економијата:

#СекторНКД шифриТип на субјект
1Енергетика05, 06, 19, 35.xСуштински (големи)
2Транспорт49.x, 50, 51, 52Суштински (големи)
3Банкарство64.1xСуштински (сите)
4Финансиски пазари66.xСуштински (инфраструктура)
5Здравство86.x, 87, 88Суштински (големи)
6Вода за пиење36Суштински (големи)
7Отпадни води37Суштински (големи)
8Дигитална инфраструктура61.x, 63.xСуштински (DNS, TLD, облак)
9ИКТ услуги (Б2Б)62.xСуштински (големи)
10Јавна администрација84.xСуштински (централна власт)
11Вселена-Суштински (оператори)

2.2.2 Други критични сектори (Член 7, став (1), точка 2) од ЗБМИС)

Другите критични сектори имаат пониско ниво на критичност, но сè уште се значајни. Важно: Според Член 8(1)1) од ЗБМИС, големите субјекти од овие сектори се класифицираат како СУШТИНСКИ (не Важни), бидејќи Член 4(2) ги опфаќа сите 16 сектори.

#СекторНКД шифриТип на субјект
1Поштенски услуги53.xСуштински (големи) / ВОН ОПСЕГ (средни)*
2Управување со отпад38.xСуштински (големи) / ВОН ОПСЕГ (средни)*
3Хемикалии20.xСуштински (големи) / ВОН ОПСЕГ (средни)*
4Храна10, 11, 46.xСуштински (големи) / ВОН ОПСЕГ (средни)*
5Производство - Медицински средства26.6, 32.5Суштински (големи) / ВОН ОПСЕГ (средни)*
6Производство - Компјутери/Електроника26.x, 27.xСуштински (големи) / ВОН ОПСЕГ (средни)*
7Производство - Машини28.xСуштински (големи) / ВОН ОПСЕГ (средни)*
8Производство - Возила29.x, 30.xСуштински (големи) / ВОН ОПСЕГ (средни)*
9Дигитални провајдери47.91, 58.2, 63.1xСуштински (големи) / ВОН ОПСЕГ (средни)*
10Истражување72.xСуштински (големи) / ВОН ОПСЕГ (средни)*

*Средните субјекти од Член 7(1)2) сектори можат да бидат прогласени за ВАЖНИ преку посебна проценка на ризик (Член 8(2)2))

2.3 Критериуми за големина на субјектот

2.3.1 Мали субјекти (помалку од 50 вработени)

Малите субјекти генерално се ВОН ОПСЕГ на ЗБМИС, освен ако:

  • Се единствен снабдувач на критична услуга
  • Нарушувањето би имало значително влијание врз јавната безбедност
  • Се дел од критична инфраструктура по посебен акт

2.3.2 Средни субјекти (50-250 вработени)

Средните субјекти се класифицираат според секторот:

  • Сектори со висока критичност (Член 7(1)1)) → ВАЖЕН субјект
  • Други критични сектори (Член 7(1)2)) → ВОН ОПСЕГ (освен по посебна проценка)

2.3.3 Големи субјекти (повеќе од 250 вработени)

Големите субјекти се класифицираат:

  • Сектори со висока критичност (Член 7(1)1)) → СУШТИНСКИ субјект
  • Други критични сектори (Член 7(1)2)) → СУШТИНСКИ субјект
Важна напомена: Според Член 8(1)1) од ЗБМИС, сите големи субјекти од областите во Член 4(2) се СУШТИНСКИ - ова ги вклучува и двете категории од Член 7(1) (точка 1 и точка 2). Ова е построго од NIS2 Директивата каде големите субјекти од другите критични области се само ВАЖНИ.

2.3.4 Комбинирани критериуми (вработени + промет/средства)

ГОЛЕМ субјект ако: Вработени ≥ 250 ИЛИ (Промет > 50M € И Средства > 43M €) СРЕДЕН субјект ако: (Вработени ≥ 50 И Вработени < 250) ИЛИ (Промет > 10M € И Промет ≤ 50M €) ИЛИ (Средства > 10M € И Средства ≤ 43M €) МАЛ субјект: сите останати

2.4 Резултати од класификацијата

2.4.1 СУШТИНСКИ субјект (член 8(1) од ЗБМИС)

Субјектот е СУШТИНСКИ ако:

  • Е голем субјект (≥250 вработени или >50M€ промет и >43M€ средства) И работи во било кој сектор од Член 4(2) - ова ги вклучува и сектори со висока критичност (Член 7(1)1)) и други критични сектори (Член 7(1)2))
Важно: Според Член 8(1)1), сите големи субјекти од областите наведени во Член 4(2) се СУШТИНСКИ - ова ги вклучува и двете категории сектори. Ова е построго од NIS2 Директивата!

Или специјални категории (независно од големината):

  • Давачи на услуги на доверба (trust services)
  • DNS оператори
  • TLD регистри
  • Централна јавна администрација

Обврски за СУШТИНСКИ субјекти:

ОбврскаЧленРок
РегистрацијаЧлен 273 месеци од стапување во сила
Мерки за безбедностЧлен 31-3212 месеци
Известување за инцидентиЧлен 333h иницијално / 24h рано предупредување / 72h детално / 1 месец финално
Раководна одговорностЧлен 29Постојано
Годишна ревизијаЧлен 35Годишно

2.4.2 ВАЖЕН субјект (член 8(2) од ЗБМИС)

Субјектот е ВАЖЕН ако:

  • Работи во сектор со висока критичност (Член 7(1)1)) И е среден субјект
  • ИЛИ е прогласен за ВАЖЕН преку посебна проценка на ризик (Член 8(2)2))
ВАЖНО: Според Член 8(2)1), само субјектите од областите со висока критичност (Член 7(1)1)) автоматски стануваат ВАЖНИ ако се средни. Големите субјекти од Член 7(1)2) се СУШТИНСКИ (не Важни) согласно Член 8(1)1).

Обврски за ВАЖНИ субјекти: Исти како за СУШТИНСКИ субјекти, но со:

  • Помалку строг надзор
  • Поблаги санкции за неусогласеност
  • Можност за поедноставени процедури

2.4.3 ВОН ОПСЕГ на ЗБМИС

Субјектите кои не ги исполнуваат критериумите за СУШТИНСКИ или ВАЖЕН се ВОН ОПСЕГ на законските обврски, но:

  • Можат доброволно да спроведат самооценување
  • Се охрабруваат да ја користат MSME проценката
  • Можат да бидат вклучени со посебен акт

2.4.4 Посебни услови и исклучоци

Автоматска класификација како СУШТИНСКИ:

  • Давачи на квалификувани услуги на доверба
  • DNS оператори на највисоко ниво
  • Регистри на имиња на домени од највисоко ниво
  • Единствени снабдувачи на критична услуга во држава

Можност за прогласување по проценка на ризик:

Средни субјекти во Член 7(1)2) сектори можат да бидат прогласени за ВАЖНИ ако:

  • Имаат критична улога во секторот
  • Нарушувањето би имало значително влијание
  • Ги исполнуваат критериумите од посебна проценка

2.5 Правни референци за класификација

2.5.1 Член 4 од ЗБМИС - Опсег на примена

Член 4, став (1):

„Овој закон се применува на правни лица и физички лица кои вршат регистрирана дејност (во натамошниот текст: субјекти) кои спаѓаат во секторите наведени во Член 7(1)1) и Член 7(1)2)…"

Член 4, став (2):

„Овој закон се применува на субјектите од ставот (1) кои се квалификуваат како средни или големи претпријатија…"

2.5.2 Член 8 од ЗБМИС - Класификација на субјекти

Член 8, став (1) - СУШТИНСКИ субјекти:

„Суштински субјекти од аспект на безбедност на мрежни и информациски системи се:

1) големите субјекти кои припаѓаат на областите од членот 4 ставот (2) од овој закон [сите 16 сектори - и Член 7(1)1) и Член 7(1)2)];

2) даватели на квалификувани доверливи услуги, регистар на имиња на врвните домени или давател на ДНС услуги, независно од нивната големина;

3) оператори на јавни електронски комуникациски мрежи и услуги кои се средни и големи субјекти;

4) институциите на јавниот сектор од членот 4 став (1);

5) субјектите, независно од нивната големина, кои се даватели на доверливи услуги или водат Регистар на врвни домени;

6) субјектите кои се сопственици/оператори на критична инфраструктура;

7) субјектите кои согласно националното законодавство се утврдени како суштински;

8) други субјекти утврдени како суштински преку проценка на ризик."

Член 8, став (2) - ВАЖНИ субјекти:

„Важните субјекти од аспект на безбедност на мрежни и информациски системи се:

1) сите субјекти од деталната листа на областите со висока критичност од член 7 став (1) точка 1), а кои не спаѓаат во групата на суштинските субјекти [т.е. средни субјекти];

2) други субјекти утврдени како важни преку проценка на ризик."

КРИТИЧНО: Член 8(2)1) јасно наведува дека само субјектите од областите со висока критичност (Член 7(1)1)) автоматски стануваат ВАЖНИ ако се средни. Средните субјекти од други критични области (Член 7(1)2)) НЕ се автоматски важни - тие можат да станат важни само преку посебна проценка на ризик (Член 8(2)2)).

2.5.3 Споредба со NIS2 Директивата

Клучна разлика: Македонскиот ЗБМИС е ПОСТРОГ од NIS2!
АспектNIS2 ДирективаМакедонски ЗБМИСРазлика
Големи субјекти во Член 7(1)1)СУШТИНСКИСУШТИНСКИИсто
Големи субјекти во Член 7(1)2)ВАЖНИСУШТИНСКИ⚠️ ЗБМИС е построг
Средни субјекти во Член 7(1)1)ВАЖНИВАЖНИИсто
Средни субјекти во Член 7(1)2)ВОН ОПСЕГ (по проценка)ВОН ОПСЕГ (по проценка)Исто
Мали субјектиВОН ОПСЕГВОН ОПСЕГИсто

Критична разлика: Македонскиот ЗБМИС е построг бидејќи Член 8(1)1) ги класифицира СИТЕ големи субјекти од Член 4(2) како СУШТИНСКИ, вклучувајќи ги и секторите од Член 7(1)2). Во NIS2 Директивата, големите субјекти од Член 7(1)2) се само ВАЖНИ, не СУШТИНСКИ.

2.6 Процес на самоидентификација како суштински или важен субјект

ЗАКОНСКА ОБВРСКА: Согласно Член 8, став (5) од Законот за безбедност на мрежни и информациски системи (ЗБМИС, Службен весник на РСМ бр. 135/2025), субјектите кои ги исполнуваат условите за суштински или важен субјект, но не се ставени на деталните листи, се ДОЛЖНИ до надлежниот орган да достават известување дека ги исполнуваат условите. Неисполнувањето на оваа обврска повлекува глоба до 10.000 евра (Член 55(1)1)).

2.6.1 Правна основа

Член 8, став (5) од ЗБМИС:

„Суштински и важните субјекти кои не се ставени на деталната листа на суштински субјекти од членот 7 став (1) точката 3) од овој закон, или на деталната листа на важни субјекти од членот 7 став (1) точката 4) од овој закон, а ги исполнуваат условите да бидат на овие листи, се должни до надлежниот орган да достават известување дека ги исполнуваат условите за клучен субјект, односно важен субјект."

Ова значи дека самоидентификацијата не е доброволна - таа е законска обврска за секој субјект кој ги исполнува критериумите, дури и ако Владата/Министерството сè уште не го ставиле на соодветната листа.

2.6.2 Кои субјекти треба да се самоидентификуваат?

Субјектот мора да изврши самоидентификација доколку ги исполнува критериумите од Член 8, но не е веќе ставен на деталните листи од Член 7(1) точки 3) и 4). Конкретно:

Самоидентификација како СУШТИНСКИ субјект (Член 8(1)):

#КритериумОпис
1Голем субјект во Член 4(2) области≥250 вработени ИЛИ (>50M€ промет И >43M€ средства) во кој било од 16-те сектори
2Давател на квалификувани доверливи услугиНезависно од големината
3DNS оператор / TLD регистарРегистар на имиња на врвни домени (mk, мкд) или давател на DNS услуги - независно од големината
4Оператор на јавни електронски комуникацииСреден или голем субјект
5Институција на јавниот секторСпоред Член 4(1)
6Сопственик/оператор на критична инфраструктураУтврден согласно закон
7Утврден со национално законодавствоПосебен закон го определува субјектот како суштински
8Утврден преку проценка на ризикМетодологијата ја пропишува надлежниот орган (Член 8(3))

Самоидентификација како ВАЖЕН субјект (Член 8(2)):

#КритериумОпис
1Среден субјект во област со висока критичност50-249 вработени во секторите од Член 7(1)1) и не се квалификува како суштински
2Утврден преку проценка на ризикМетодологијата ја пропишува надлежниот орган (Член 8(3))

2.6.3 Чекори за самоидентификација

ПРОЦЕС НА САМОИДЕНТИФИКАЦИЈА Чекор 1: ПРОВЕРКА НА ДЕЈНОСТ ├── Определете ја вашата НКД шифра ├── Проверете дали припаѓа на сектор од Член 4(2) │ ├── 11 сектори со висока критичност (Член 7(1)1)) │ └── 5 други критични сектори* (Член 7(1)2)) └── Ако ДА → продолжете на Чекор 2 Чекор 2: ПРОВЕРКА НА ГОЛЕМИНА ├── Пресметајте: вработени, годишен промет, вкупни средства ├── Определете категорија: Голем / Среден / Мал └── Примена на критериуми од Член 8 Чекор 3: ОПРЕДЕЛУВАЊЕ НА КЛАСИФИКАЦИЈА ├── Голем + било кој сектор од Член 4(2) → СУШТИНСКИ ├── Среден + сектор со висока критичност → ВАЖЕН ├── Посебна категорија (DNS, TLD, доверливи услуги) → СУШТИНСКИ └── Критична инфраструктура → СУШТИНСКИ Чекор 4: ИЗВЕСТУВАЊЕ ДО НАДЛЕЖЕН ОРГАН ├── За субјекти од Член 4(1) точки 3,4,5,6,7,9: │ └── Министерство за дигитална трансформација ├── За субјекти од Член 4(1) точки 1,2,8 и Член 4(2)(3): │ └── Агенција за електронски комуникации (MKD-CIRT) └── Доставете известување со сите потребни податоци Чекор 5: РЕГИСТРАЦИЈА НА ПОРТАЛ ├── Регистрирајте се на единствениот портал за сајбер безбедност (Член 15(5)) └── Обезбедете ги потребните податоци * За субјектите од области 8-16 од Член 4(2) - одредбите важат од денот на пристапување на РСМ во ЕУ (Член 61(2))

2.6.4 Надлежни органи (Член 11)

Надлежен органСубјекти за кои е надлеженПравна основа
Министерство за дигитална трансформацијаИнституции на јавниот сектор: министерства, самостојни органи, управни организации, општини, градот СкопјеЧлен 11(1)1) - Член 4(1) точки 3,4,5,6,7,9
Агенција за електронски комуникации (MKD-CIRT)Приватни субјекти во сектори со висока критичност и други критични сектори, даватели на услугиЧлен 11(1)2) - Член 4(1) точки 1,2,8, Член 4(2) и (3)

2.6.5 Потребни податоци при известување

Согласно Член 7(5), деталните листи содржат:

  • Назив на субјектот - Целосно правно име
  • Контакти - Седиште, телефон, електронска адреса
  • Услуги/активности - Кои услуги ги дава, односно активности кои ги врши
  • Опсег на IP - IP адресни простори на субјектот

За субјекти без седиште во РСМ (Член 9), дополнително е потребна регистрација на претставник во Министерството.

2.6.6 Единствен портал за сајбер безбедност (Член 15(5-8))

ЗАДОЛЖИТЕЛНА РЕГИСТРАЦИЈА: Согласно Член 15(7), суштинските и важните субјекти задолжително ќе бидат регистрирани и ќе ги пријавуваат сајбер инцидентите преку единствениот портал за сајбер безбедност.

Министерството воспоставува и одржува единствен портал за сајбер безбедност (Член 15(5)) со цел:

  • Централизирано и унифицирано регистрирање на суштинските и важните субјекти
  • Пријавување на сајбер безбедносните инциденти
  • Олеснето вршење на надзор
  • Достапност на сите податоци, информации и акти поврзани со сајбер безбедноста

2.6.7 Временски рамки

РокОбврскаПравна основа
4 јули 2025Законот објавен во Службен весник на РСМ, бр. 135Објава
12 јули 2025Законот влегува во сила (осмиот ден по објавата)Член 62
1 јануари 2026Законот започнува да се применуваЧлен 62
12 јануари 2026Рок за донесување подзаконски акти (6 месеци од влегување во сила)Член 58(1)
12 јули 2026Рок за утврдување детални листи (12 месеци од влегување во сила)Член 58(2)
По пристапување во ЕУПримена за сектори 8-16 од Член 4(2): поштенски услуги, управување со отпад, хемикалии, храна, производство, дигитални провајдери, истражувањеЧлен 61(2)

2.6.8 Обврски по самоидентификација

По успешната самоидентификација и ставање на деталната листа, субјектот е должен да ги исполни следните обврски:

За суштински субјекти:

ОбврскаПравна основаДетали
Назначување офицер за сајбер безбедностЧлен 25Најмалку едно лице со високо образование од ИКТ, телекомуникации, безбедност или право
Проценка на ризициЧлен 31Најмалку еднаш годишно
Мерки за управување со ризициЧлен 3210 минимални мерки (анализа на ризик, справување со инциденти, континуитет, безбедност на ланец на снабдување, итн.)
Пријавување на инцидентиЧлен 33Рано предупредување во 24h, известување во 72h, завршно во 1 месец
Обуки на вработениЧлен 31(2)Редовна основа за органи на управување и вработени
Регистрација на порталЧлен 15(7)Задолжителна регистрација на единствениот портал

За важни субјекти:

Истите обврски како за суштинските субјекти, но со:

  • Екс пост надзор (наместо проактивен) - Член 51
  • Помали санкции: глоба до 1,4% од годишен приход (наместо 2%) - Член 54(2)

2.6.9 Санкции за неисполнување

ВНИМАНИЕ - КАЗНЕНИ ОДРЕДБИ:
ПрекршокГлобаПравна основа
Недоставување известување за самоидентификацијадо 10.000 евраЧлен 55(1)1) во врска со Член 8(5)
Непреземање мерки за безбедностдо 2% од годишен приход (суштински)
до 1,4% од годишен приход (важен)		Член 54(1)1) / Член 54(2)1)
Непријавување на значаен инцидентдо 2% / 1,4% од годишен приходЧлен 54(1)2) / Член 54(2)2)
Привремена забрана за вршење дејностДополнителна санкцијаЧлен 56(1) - од 3 месеци до 2 години
Забрана за одговорно лице3 месеци до 1 годинаЧлен 56(3)

2.6.10 Регистри што ги води Министерството (Член 7(9))

Министерството води четири електронски регистри:

  • Регистар на области со висока критичност
  • Регистар на други критични области
  • Регистар на суштински субјекти
  • Регистар на важни субјекти
Напомена: Податоците од овие регистри се класифицирани информации со соодветен степен на тајност, согласно Законот за класифицирани информации (Член 7(10)).

2. Phase 1: Entity Classification

2.1 Entering Entity Data

2.1.1 NKD Code Selection (National Classification of Activities)

The first step is identifying the entity's main activity through the NKD code. The application provides:

  • Search by code - Direct entry of a known NKD code
  • Search by description - Finding a code through activity description
  • Hierarchical browsing - Navigation through the activity structure
NKD code format: Example: 35.11 │ │ │ └──Subclass (electricity production) └───────Division (electricity, gas, steam supply)

2.1.2 Entering Number of Employees

The number of employees is entered as an integer value and is used to determine the entity's size:

CategoryNumber of Employees
Micro< 10
Small10 - 49
Medium50 - 249
Large≥ 250

2.1.3 Entering Annual Turnover (in euros)

Annual turnover is entered in euros and serves as an additional criterion:

CategoryAnnual Turnover
Micro≤ 2 million €
Small≤ 10 million €
Medium≤ 50 million €
Large> 50 million €

2.1.4 Entering Total Assets/Balance Sheet (in euros)

Total assets from the balance sheet are the third criterion:

CategoryTotal Assets
Micro≤ 2 million €
Small≤ 10 million €
Medium≤ 43 million €
Large> 43 million €

2.2 Mapping NKD Codes to Sectors

2.2.1 High Criticality Sectors (Article 7(1)(1) of LNIS)

High criticality sectors are those of essential importance for the functioning of society and economy:

#SectorNKD CodesEntity Type
1Energy05, 06, 19, 35.xEssential (large)
2Transport49.x, 50, 51, 52Essential (large)
3Banking64.1xEssential (all)
4Financial Markets66.xEssential (infrastructure)
5Healthcare86.x, 87, 88Essential (large)
6Drinking Water36Essential (large)
7Wastewater37Essential (large)
8Digital Infrastructure61.x, 63.xEssential (DNS, TLD, cloud)
9ICT Services (B2B)62.xEssential (large)
10Public Administration84.xEssential (central gov.)
11Space-Essential (operators)

2.2.2 Other Critical Sectors (Article 7(1)(2) of LNIS)

Other critical sectors have a lower level of criticality but are still significant. Important: Under Article 8(1)(1) of LNIS, large entities from these sectors are classified as ESSENTIAL (not Important), because Article 4(2) covers all 16 sectors.

#SectorNKD CodesEntity Type
1Postal Services53.xEssential (large) / OUT OF SCOPE (medium)*
2Waste Management38.xEssential (large) / OUT OF SCOPE (medium)*
3Chemicals20.xEssential (large) / OUT OF SCOPE (medium)*
4Food10, 11, 46.xEssential (large) / OUT OF SCOPE (medium)*
5Manufacturing - Medical Devices26.6, 32.5Essential (large) / OUT OF SCOPE (medium)*
6Manufacturing - Computers/Electronics26.x, 27.xEssential (large) / OUT OF SCOPE (medium)*
7Manufacturing - Machinery28.xEssential (large) / OUT OF SCOPE (medium)*
8Manufacturing - Vehicles29.x, 30.xEssential (large) / OUT OF SCOPE (medium)*
9Digital Providers47.91, 58.2, 63.1xEssential (large) / OUT OF SCOPE (medium)*
10Research72.xEssential (large) / OUT OF SCOPE (medium)*

*Medium entities from Article 7(1)(2) sectors may be designated as IMPORTANT through a special risk assessment (Article 8(2)(2))

2.3 Entity Size Criteria

2.3.1 Small Entities (fewer than 50 employees)

Small entities are generally OUT OF SCOPE of LNIS, unless:

  • They are the sole provider of a critical service
  • A disruption would have a significant impact on public safety
  • They are part of critical infrastructure by special act

2.3.2 Medium Entities (50-250 employees)

Medium entities are classified according to sector:

  • High criticality sectors (Article 7(1)(1)) → IMPORTANT entity
  • Other critical sectors (Article 7(1)(2)) → OUT OF SCOPE (except by special assessment)

2.3.3 Large Entities (more than 250 employees)

Large entities are classified:

  • High criticality sectors (Article 7(1)(1)) → ESSENTIAL entity
  • Other critical sectors (Article 7(1)(2)) → ESSENTIAL entity
Important Note: Under Article 8(1)(1) of LNIS, all large entities from the areas in Article 4(2) are ESSENTIAL - this includes both categories from Article 7(1) (point 1 and point 2). This is stricter than the NIS2 Directive where large entities from other critical areas are only IMPORTANT.

2.3.4 Combined Criteria (employees + turnover/assets)

LARGE entity if: Employees ≥ 250 OR (Turnover > 50M € AND Assets > 43M €) MEDIUM entity if: (Employees ≥ 50 AND Employees < 250) OR (Turnover > 10M € AND Turnover ≤ 50M €) OR (Assets > 10M € AND Assets ≤ 43M €) SMALL entity: all others

2.4 Classification Results

2.4.1 ESSENTIAL Entity (Article 8(1) of LNIS)

The entity is ESSENTIAL if:

  • It is a large entity (≥250 employees or >50M€ turnover and >43M€ assets) AND operates in any sector from Article 4(2) - this includes both high criticality sectors (Article 7(1)(1)) and other critical sectors (Article 7(1)(2))
Important: Under Article 8(1)(1), all large entities from the areas listed in Article 4(2) are ESSENTIAL - this includes both sector categories. This is stricter than the NIS2 Directive!

Or special categories (regardless of size):

  • Qualified trust service providers
  • DNS operators
  • TLD registries
  • Central public administration

Obligations for ESSENTIAL entities:

ObligationArticleDeadline
RegistrationArticle 273 months from entry into force
Security measuresArticle 31-3212 months
Incident reportingArticle 333h initial / 24h early warning / 72h detailed / 1 month final
Management responsibilityArticle 29Continuous
Annual auditArticle 35Annual

2.4.2 IMPORTANT Entity (Article 8(2) of LNIS)

The entity is IMPORTANT if:

  • It operates in a high criticality sector (Article 7(1)(1)) AND is a medium entity
  • OR is designated as IMPORTANT through a special risk assessment (Article 8(2)(2))
IMPORTANT: Under Article 8(2)(1), only entities from high criticality areas (Article 7(1)(1)) automatically become IMPORTANT if they are medium. Large entities from Article 7(1)(2) are ESSENTIAL (not Important) per Article 8(1)(1).

Obligations for IMPORTANT entities: Same as for ESSENTIAL entities, but with:

  • Less strict supervision
  • Milder sanctions for non-compliance
  • Possibility for simplified procedures

2.4.3 OUT OF SCOPE of LNIS

Entities that do not meet the criteria for ESSENTIAL or IMPORTANT are OUT OF SCOPE of legal obligations, but:

  • May voluntarily conduct self-assessment
  • Are encouraged to use the MSME assessment
  • May be included by special act

2.4.4 Special Conditions and Exceptions

Automatic classification as ESSENTIAL:

  • Qualified trust service providers
  • Top-level DNS operators
  • Top-level domain name registries
  • Sole providers of critical service in the country

Possibility for designation by risk assessment:

Medium entities in Article 7(1)(2) sectors may be designated as IMPORTANT if:

  • They have a critical role in the sector
  • A disruption would have significant impact
  • They meet the criteria from a special assessment

2.5 Legal References for Classification

2.5.1 Article 4 of LNIS - Scope of Application

Article 4, paragraph (1):

"This law applies to legal entities and natural persons performing registered activities (hereinafter: entities) that fall within the sectors listed in Article 7(1)(1) and Article 7(1)(2)..."

Article 4, paragraph (2):

"This law applies to entities from paragraph (1) that qualify as medium or large enterprises..."

2.5.2 Article 8 of LNIS - Entity Classification

Article 8, paragraph (1) - ESSENTIAL entities:

"Essential entities in terms of network and information systems security are:

1) large entities belonging to the areas from Article 4, paragraph (2) [all 16 sectors - both Article 7(1)(1) and Article 7(1)(2)];

2) qualified trust service providers, top-level domain name registries or DNS service providers, regardless of their size;

3) operators of public electronic communications networks and services that are medium and large entities;

4) public sector institutions from Article 4, paragraph (1);

5) entities, regardless of their size, that are trust service providers or maintain a top-level domain registry;

6) entities that are owners/operators of critical infrastructure;

7) entities determined as essential under national legislation;

8) other entities determined as essential through risk assessment."

Article 8, paragraph (2) - IMPORTANT entities:

"Important entities in terms of network and information systems security are:

1) all entities from the detailed list of high criticality areas from Article 7, paragraph (1), point 1), that do not fall within the group of essential entities [i.e., medium entities];

2) other entities determined as important through risk assessment."

CRITICAL: Article 8(2)(1) clearly states that only entities from high criticality areas (Article 7(1)(1)) automatically become IMPORTANT if they are medium. Medium entities from other critical areas (Article 7(1)(2)) are NOT automatically important - they can become important only through a special risk assessment (Article 8(2)(2)).

2.5.3 Comparison with the NIS2 Directive

Key Difference: Macedonian LNIS is STRICTER than NIS2!
AspectNIS2 DirectiveMacedonian LNISDifference
Large entities in Art. 7(1)(1)ESSENTIALESSENTIALSame
Large entities in Art. 7(1)(2)IMPORTANTESSENTIAL⚠️ LNIS is stricter
Medium entities in Art. 7(1)(1)IMPORTANTIMPORTANTSame
Medium entities in Art. 7(1)(2)OUT OF SCOPE (by assessment)OUT OF SCOPE (by assessment)Same
Small entitiesOUT OF SCOPEOUT OF SCOPESame

Critical difference: Macedonian LNIS is stricter because Article 8(1)(1) classifies ALL large entities from Article 4(2) as ESSENTIAL, including sectors from Article 7(1)(2). In the NIS2 Directive, large entities from Article 7(1)(2) are only IMPORTANT, not ESSENTIAL.

2.6 Self-Identification Process as Essential or Important Entity

LEGAL OBLIGATION: Pursuant to Article 8, paragraph (5) of the Law on Security of Network and Information Systems (LNIS, Official Gazette of RNM No. 135/2025), entities that meet the conditions for essential or important entity but are not placed on the detailed lists are OBLIGATED to submit a notification to the competent authority that they meet the conditions. Failure to comply carries a fine of up to EUR 10,000 (Article 55(1)(1)).

2.6.1 Legal Basis

Article 8, paragraph (5) of LNIS:

"Essential and important entities that are not placed on the detailed list of essential entities under Article 7, paragraph (1), point 3) of this law, or on the detailed list of important entities under Article 7, paragraph (1), point 4) of this law, but meet the conditions to be on these lists, are obligated to submit a notification to the competent authority that they meet the conditions for being an essential entity, or an important entity, respectively."

This means self-identification is not voluntary - it is a legal obligation for every entity that meets the criteria, even if the Government/Ministry has not yet placed it on the respective list.

2.6.2 Which Entities Must Self-Identify?

An entity must perform self-identification if it meets the criteria under Article 8 but is not already placed on the detailed lists under Article 7(1), points 3) and 4). Specifically:

Self-identification as ESSENTIAL entity (Article 8(1)):

#CriterionDescription
1Large entity in Article 4(2) areas≥250 employees OR (>50M€ turnover AND >43M€ assets) in any of the 16 sectors
2Qualified trust service providerRegardless of size
3DNS operator / TLD registryRegistry of top-level domain names (mk, mkd) or DNS service provider - regardless of size
4Public electronic communications operatorMedium or large entity
5Public sector institutionUnder Article 4(1)
6Critical infrastructure owner/operatorDesignated pursuant to law
7Designated by national legislationSpecial law designates the entity as essential
8Designated through risk assessmentMethodology prescribed by the competent authority (Article 8(3))

Self-identification as IMPORTANT entity (Article 8(2)):

#CriterionDescription
1Medium entity in high criticality area50-249 employees in sectors under Article 7(1)(1) and does not qualify as essential
2Designated through risk assessmentMethodology prescribed by the competent authority (Article 8(3))

2.6.3 Self-Identification Steps

SELF-IDENTIFICATION PROCESS Step 1: VERIFY ACTIVITY ├── Determine your NKD code ├── Check if it belongs to a sector under Article 4(2) │ ├── 11 high criticality sectors (Article 7(1)(1)) │ └── 5 other critical sectors* (Article 7(1)(2)) └── If YES → proceed to Step 2 Step 2: VERIFY SIZE ├── Calculate: employees, annual turnover, total assets ├── Determine category: Large / Medium / Small └── Apply criteria from Article 8 Step 3: DETERMINE CLASSIFICATION ├── Large + any sector from Article 4(2) → ESSENTIAL ├── Medium + high criticality sector → IMPORTANT ├── Special category (DNS, TLD, trust services) → ESSENTIAL └── Critical infrastructure → ESSENTIAL Step 4: NOTIFY COMPETENT AUTHORITY ├── For entities under Art. 4(1) points 3,4,5,6,7,9: │ └── Ministry of Digital Transformation ├── For entities under Art. 4(1) points 1,2,8 and Art. 4(2)(3): │ └── Agency for Electronic Communications (MKD-CIRT) └── Submit notification with all required data Step 5: REGISTER ON PORTAL ├── Register on the unified cybersecurity portal (Article 15(5)) └── Provide the required information * For entities in areas 8-16 of Article 4(2) - provisions apply from the date of accession of RNM to the EU (Article 61(2))

2.6.4 Competent Authorities (Article 11)

Competent AuthorityEntities Under JurisdictionLegal Basis
Ministry of Digital TransformationPublic sector institutions: ministries, independent bodies, administrative organizations, municipalities, City of SkopjeArticle 11(1)(1) - Article 4(1) points 3,4,5,6,7,9
Agency for Electronic Communications (MKD-CIRT)Private entities in high criticality and other critical sectors, service providersArticle 11(1)(2) - Article 4(1) points 1,2,8, Article 4(2) and (3)

2.6.5 Required Data for Notification

Pursuant to Article 7(5), detailed lists contain:

  • Entity name - Full legal name
  • Contact information - Headquarters, telephone, email address
  • Services/activities - Which services are provided, or activities performed
  • IP range - IP address ranges of the entity

For entities without headquarters in RNM (Article 9), additional registration of a representative at the Ministry is required.

2.6.6 Unified Cybersecurity Portal (Article 15(5-8))

MANDATORY REGISTRATION: Pursuant to Article 15(7), essential and important entities shall be mandatorily registered and shall report cyber incidents through the unified cybersecurity portal.

The Ministry establishes and maintains a unified cybersecurity portal (Article 15(5)) for the purpose of:

  • Centralized and unified registration of essential and important entities
  • Reporting of cybersecurity incidents
  • Facilitated supervision
  • Availability of all data, information and acts related to cybersecurity in one place

2.6.7 Timelines

DeadlineObligationLegal Basis
July 4, 2025Law published in Official Gazette of RNM, No. 135Publication
July 12, 2025Law enters into force (eighth day after publication)Article 62
January 1, 2026Law starts to be appliedArticle 62
January 12, 2026Deadline for adoption of bylaws (6 months from entry into force)Article 58(1)
July 12, 2026Deadline for establishing detailed lists (12 months from entry into force)Article 58(2)
Upon EU accessionApplication for sectors 8-16 of Article 4(2): postal services, waste management, chemicals, food, manufacturing, digital providers, researchArticle 61(2)

2.6.8 Obligations After Self-Identification

After successful self-identification and placement on the detailed list, the entity is obligated to fulfill the following obligations:

For essential entities:

ObligationLegal BasisDetails
Appoint cyber security officerArticle 25At least one person with higher education in ICT, telecommunications, security or law
Risk assessmentArticle 31At least once annually
Risk management measuresArticle 3210 minimum measures (risk analysis, incident handling, continuity, supply chain security, etc.)
Incident reportingArticle 33Early warning within 24h, notification within 72h, final report within 1 month
Employee trainingArticle 31(2)Regular basis for management bodies and employees
Portal registrationArticle 15(7)Mandatory registration on the unified portal

For important entities:

Same obligations as essential entities, but with:

  • Ex post supervision (instead of proactive) - Article 51
  • Lower penalties: fine up to 1.4% of annual turnover (instead of 2%) - Article 54(2)

2.6.9 Penalties for Non-Compliance

WARNING - PENALTY PROVISIONS:
OffenseFineLegal Basis
Failure to submit self-identification notificationup to EUR 10,000Article 55(1)(1) in conjunction with Article 8(5)
Failure to adopt security measuresup to 2% of annual turnover (essential)
up to 1.4% of annual turnover (important)		Article 54(1)(1) / Article 54(2)(1)
Failure to report significant incidentup to 2% / 1.4% of annual turnoverArticle 54(1)(2) / Article 54(2)(2)
Temporary ban on activityAdditional sanctionArticle 56(1) - from 3 months to 2 years
Ban for responsible person3 months to 1 yearArticle 56(3)

2.6.10 Registries Maintained by the Ministry (Article 7(9))

The Ministry maintains four electronic registries:

  • Registry of high criticality areas
  • Registry of other critical areas
  • Registry of essential entities
  • Registry of important entities
Note: Data from these registries are classified information with an appropriate level of secrecy, in accordance with the Law on Classified Information (Article 7(10)).

2. Faza 1: Klasifikimi i Subjektit

2.1 Futja e të Dhënave të Subjektit

2.1.1 Zgjedhja e Kodit NKD (Klasifikimi Kombëtar i Aktiviteteve)

Hapi i parë është identifikimi i aktivitetit kryesor të subjektit përmes kodit NKD. Aplikacioni mundëson:

  • Kërkim sipas kodit - Futja direkte e kodit NKD të njohur
  • Kërkim sipas përshkrimit - Gjetja e kodit përmes përshkrimit të aktivitetit
  • Shfletim hierarkik - Navigimi përmes strukturës së aktiviteteve

2.1.2 Futja e Numrit të Punonjësve

Numri i punonjësve futet si vlerë e plotë dhe përdoret për përcaktimin e madhësisë së subjektit:

KategoriaNumri i Punonjësve
Mikro< 10
I vogël10 - 49
I mesëm50 - 249
I madh≥ 250

2.1.3 Futja e Qarkullimit Vjetor (në euro)

Qarkullimi vjetor futet në euro dhe shërben si kriter shtesë:

KategoriaQarkullimi Vjetor
Mikro≤ 2 milionë €
I vogël≤ 10 milionë €
I mesëm≤ 50 milionë €
I madh> 50 milionë €

2.1.4 Futja e Aseteve Totale/Bilancit (në euro)

Asetet totale nga bilanci janë kriteri i tretë:

KategoriaAsetet Totale
Mikro≤ 2 milionë €
I vogël≤ 10 milionë €
I mesëm≤ 43 milionë €
I madh> 43 milionë €

2.2 Hartëzimi i Kodeve NKD me Sektorët

2.2.1 Sektorët me Kritikë të Lartë (Neni 7(1)(1) i LSRSI)

Sektorët me kritikë të lartë janë ata me rëndësi thelbësore për funksionimin e shoqërisë dhe ekonomisë:

#SektoriKodet NKDLloji i Subjektit
1Energjia05, 06, 19, 35.xThelbësor (i madh)
2Transporti49.x, 50, 51, 52Thelbësor (i madh)
3Bankimi64.1xThelbësor (të gjithë)
4Tregjet Financiare66.xThelbësor (infrastruktura)
5Shëndetësia86.x, 87, 88Thelbësor (i madh)
6Uji i Pijshëm36Thelbësor (i madh)
7Ujërat e Ndotura37Thelbësor (i madh)
8Infrastruktura Digjitale61.x, 63.xThelbësor (DNS, TLD, cloud)
9Shërbimet TIK (B2B)62.xThelbësor (i madh)
10Administrata Publike84.xThelbësor (qeverisja qendrore)
11Hapësira-Thelbësor (operatorët)

2.2.2 Sektorë të Tjerë Kritikë (Neni 7(1)(2) i LSRSI)

Sektorët e tjerë kritikë kanë nivel më të ulët kriticiteti por janë ende të rëndësishëm. E rëndësishme: Sipas Nenit 8(1)(1) të LSRSI, subjektet e mëdha nga këta sektorë klasifikohen si THELBËSORE (jo të Rëndësishme), sepse Neni 4(2) mbulon të gjithë 16 sektorët.

#SektoriKodet NKDLloji i Subjektit
1Shërbimet Postare53.xThelbësor (i madh) / JASHTË FUSHËVEPRIMIT (i mesëm)*
2Menaxhimi i Mbetjeve38.xThelbësor (i madh) / JASHTË FUSHËVEPRIMIT (i mesëm)*
3Kimikatet20.xThelbësor (i madh) / JASHTË FUSHËVEPRIMIT (i mesëm)*
4Ushqimi10, 11, 46.xThelbësor (i madh) / JASHTË FUSHËVEPRIMIT (i mesëm)*
5Prodhimi - Pajisje Mjekësore26.6, 32.5Thelbësor (i madh) / JASHTË FUSHËVEPRIMIT (i mesëm)*
6Prodhimi - Kompjuterë/Elektronikë26.x, 27.xThelbësor (i madh) / JASHTË FUSHËVEPRIMIT (i mesëm)*
7Prodhimi - Makineri28.xThelbësor (i madh) / JASHTË FUSHËVEPRIMIT (i mesëm)*
8Prodhimi - Automjete29.x, 30.xThelbësor (i madh) / JASHTË FUSHËVEPRIMIT (i mesëm)*
9Ofruesit Digjitalë47.91, 58.2, 63.1xThelbësor (i madh) / JASHTË FUSHËVEPRIMIT (i mesëm)*
10Kërkimi72.xThelbësor (i madh) / JASHTË FUSHËVEPRIMIT (i mesëm)*

*Subjektet e mesme nga sektorët e Nenit 7(1)(2) mund të caktohen si TË RËNDËSISHME përmes vlerësimit special të rrezikut (Neni 8(2)(2))

2.3 Kriteret e Madhësisë së Subjektit

2.3.1 Subjektet e Vogla (më pak se 50 punonjës)

Subjektet e vogla janë përgjithësisht JASHTË FUSHËVEPRIMIT të LSRSI, përveç nëse:

  • Janë ofruesi i vetëm i një shërbimi kritik
  • Ndërprerja do të kishte ndikim të rëndësishëm mbi sigurinë publike
  • Janë pjesë e infrastrukturës kritike me akt special

2.3.2 Subjektet e Mesme (50-250 punonjës)

Subjektet e mesme klasifikohen sipas sektorit:

  • Sektorët me kritikë të lartë (Neni 7(1)(1)) → Subjekt I RËNDËSISHËM
  • Sektorë të tjerë kritikë (Neni 7(1)(2)) → JASHTË FUSHËVEPRIMIT (përveç me vlerësim special)

2.3.3 Subjektet e Mëdha (mbi 250 punonjës)

Subjektet e mëdha klasifikohen:

  • Sektorët me kritikë të lartë (Neni 7(1)(1)) → Subjekt THELBËSOR
  • Sektorë të tjerë kritikë (Neni 7(1)(2)) → Subjekt THELBËSOR
Shënim i Rëndësishëm: Sipas Nenit 8(1)(1) të LSRSI, të gjithë subjektet e mëdha nga fushat në Nenin 4(2) janë THELBËSORE - kjo përfshin të dyja kategoritë nga Neni 7(1) (pika 1 dhe pika 2). Kjo është më e rreptë se Direktiva NIS2 ku subjektet e mëdha nga fushat e tjera kritike janë vetëm TË RËNDËSISHME.

2.3.4 Kriteret e Kombinuara (punonjës + qarkullim/asete)

Subjekt I MADH nëse: Punonjës ≥ 250 OSE (Qarkullim > 50M € DHE Asete > 43M €) Subjekt I MESËM nëse: (Punonjës ≥ 50 DHE Punonjës < 250) OSE (Qarkullim > 10M € DHE Qarkullim ≤ 50M €) OSE (Asete > 10M € DHE Asete ≤ 43M €) Subjekt I VOGËL: të gjithë të tjerët

2.4 Rezultatet e Klasifikimit

2.4.1 Subjekt THELBËSOR (Neni 8(1) i LSRSI)

Subjekti është THELBËSOR nëse:

  • Është subjekt i madh (≥250 punonjës ose >50M€ qarkullim dhe >43M€ asete) DHE operon në cilindo sektor nga Neni 4(2)

Ose kategori speciale (pavarësisht nga madhësia):

  • Ofruesit e shërbimeve të besueshme të kualifikuara
  • Operatorët DNS
  • Regjistrat TLD
  • Administrata publike qendrore

Detyrimet për subjektet THELBËSORE:

DetyrimiNeniAfati
RegjistrimiNeni 273 muaj nga hyrja në fuqi
Masat e sigurisëNeni 31-3212 muaj
Raportimi i incidenteveNeni 333h fillimisht / 24h paralajmërim i hershëm / 72h i detajuar / 1 muaj përfundimtar
Përgjegjësia e drejtuesveNeni 29Vazhdimisht
Auditimi vjetorNeni 35Vjetore

2.4.2 Subjekt I RËNDËSISHËM (Neni 8(2) i LSRSI)

Subjekti është I RËNDËSISHËM nëse:

  • Operon në sektor me kritikë të lartë (Neni 7(1)(1)) DHE është subjekt i mesëm
  • OSE është caktuar si I RËNDËSISHËM përmes vlerësimit special të rrezikut (Neni 8(2)(2))

2.4.3 JASHTË FUSHËVEPRIMIT të LSRSI

Subjektet që nuk i plotësojnë kriteret për THELBËSOR ose TË RËNDËSISHËM janë JASHTË FUSHËVEPRIMIT, por:

  • Mund të kryejnë vullnetarisht vetëvlerësim
  • Inkurajohen të përdorin vlerësimin MSME
  • Mund të përfshihen me akt special

2.4.4 Kushtet Speciale dhe Përjashtimet

Klasifikimi automatik si THELBËSOR:

  • Ofruesit e shërbimeve të besueshme të kualifikuara
  • Operatorët DNS të nivelit më të lartë
  • Regjistrat e emrave të domeneve të nivelit më të lartë
  • Ofruesit e vetëm të shërbimit kritik në shtet

2.5 Referencat Ligjore për Klasifikimin

2.5.1 Neni 4 i LSRSI - Fushëveprimi

Neni 4, paragrafi (1):

„Ky ligj zbatohet për personat juridikë dhe fizikë që kryejnë veprimtari të regjistruar (në tekstin e mëtejmë: subjekte) që bien në sektorët e renditur në Nenin 7(1)(1) dhe Nenin 7(1)(2)..."

Neni 4, paragrafi (2):

„Ky ligj zbatohet për subjektet nga paragrafi (1) që kualifikohen si ndërmarrje të mesme ose të mëdha..."

2.5.2 Neni 8 i LSRSI - Klasifikimi i Subjekteve

Neni 8, paragrafi (1) - Subjektet THELBËSORE:

„Subjektet thelbësore nga aspekti i sigurisë së rrjeteve dhe sistemeve informative janë:

1) subjektet e mëdha që i përkasin fushave nga Neni 4, paragrafi (2) [të gjithë 16 sektorët];

2) ofruesit e shërbimeve të besueshme të kualifikuara, regjistrat e emrave të domeneve të nivelit të lartë ose ofruesit e shërbimeve DNS, pavarësisht nga madhësia;

3) operatorët e rrjeteve dhe shërbimeve publike të komunikimeve elektronike që janë subjekte të mesme dhe të mëdha;

4) institucionet e sektorit publik nga Neni 4, paragrafi (1);

5) subjektet, pavarësisht nga madhësia, që janë ofrues të shërbimeve të besueshme ose mbajnë regjistër të domeneve të nivelit të lartë;

6) subjektet që janë pronarë/operatorë të infrastrukturës kritike;

7) subjektet e përcaktuara si thelbësore sipas legjislacionit kombëtar;

8) subjekte të tjera të përcaktuara si thelbësore përmes vlerësimit të rrezikut."

Neni 8, paragrafi (2) - Subjektet E RËNDËSISHME:

„Subjektet e rëndësishme nga aspekti i sigurisë së rrjeteve dhe sistemeve informative janë:

1) të gjithë subjektet nga lista e detajuar e fushave me kritikë të lartë nga Neni 7, paragrafi (1), pika 1), që nuk bien në grupin e subjekteve thelbësore [p.sh., subjektet e mesme];

2) subjekte të tjera të përcaktuara si të rëndësishme përmes vlerësimit të rrezikut."

2.5.3 Krahasimi me Direktivën NIS2

Dallimi Kryesor: LSRSI maqedonas është MË I RREPTË se NIS2!
AspektiDirektiva NIS2LSRSI MaqedonasDallimi
Subjektet e mëdha në Nenin 7(1)(1)THELBËSORETHELBËSORENjëjtë
Subjektet e mëdha në Nenin 7(1)(2)TË RËNDËSISHMETHELBËSORE⚠️ LSRSI më i rreptë
Subjektet e mesme në Nenin 7(1)(1)TË RËNDËSISHMETË RËNDËSISHMENjëjtë
Subjektet e mesme në Nenin 7(1)(2)JASHTË FUSHËVEPRIMITJASHTË FUSHËVEPRIMITNjëjtë
Subjektet e voglaJASHTË FUSHËVEPRIMITJASHTË FUSHËVEPRIMITNjëjtë

2.6 Procesi i Vetë-Identifikimit si Subjekt Thelbësor ose i Rëndësishëm

DETYRIM LIGJOR: Sipas Nenit 8, paragrafi (5) i Ligjit për Sigurinë të Rrjeteve dhe Sistemeve Informative (LSRSI, Gazeta Zyrtare e RMV nr. 135/2025), subjektet që i plotësojnë kushtet për subjekt thelbësor ose të rëndësishëm, por nuk janë vendosur në listat e detajuara, janë TË DETYRUARA t'i dorëzojnë organit kompetent njoftimin se i plotësojnë kushtet. Mosplotësimi i kësaj detyre bart gjobë deri në 10.000 euro (Neni 55(1)(1)).

2.6.1 Baza Ligjore

Neni 8, paragrafi (5) i LSRSI:

„Subjektet thelbësore dhe të rëndësishme që nuk janë vendosur në listën e detajuar të subjekteve thelbësore nga Neni 7, paragrafi (1), pika 3) e këtij ligji, ose në listën e detajuar të subjekteve të rëndësishme nga Neni 7, paragrafi (1), pika 4) e këtij ligji, por i plotësojnë kushtet për të qenë në këto lista, janë të detyruar t'i dorëzojnë organit kompetent njoftimin se i plotësojnë kushtet për subjekt kyç, përkatësisht subjekt të rëndësishëm."

Kjo do të thotë se vetë-identifikimi nuk është vullnetar - është detyrim ligjor për çdo subjekt që i plotëson kriteret, edhe nëse Qeveria/Ministria ende nuk e ka vendosur në listën përkatëse.

2.6.2 Cilët Subjekte Duhet të Vetë-Identifikohen?

Subjekti duhet të kryejë vetë-identifikim nëse i plotëson kriteret nga Neni 8, por nuk është vendosur ende në listat e detajuara nga Neni 7(1), pikat 3) dhe 4). Konkretisht:

Vetë-identifikimi si subjekt THELBËSOR (Neni 8(1)):

#KriteriPërshkrimi
1Subjekt i madh në fushat e Nenit 4(2)≥250 punonjës OSE (>50M€ qarkullim DHE >43M€ aktive) në cilindo nga 16 sektorët
2Ofrues i shërbimeve të besueshme të kualifikuaraPavarësisht nga madhësia
3Operator DNS / Regjistër TLDRegjistër i emrave të domeneve të nivelit të lartë (mk, mkd) ose ofrues i shërbimeve DNS - pavarësisht nga madhësia
4Operator i komunikimeve elektronike publikeSubjekt i mesëm ose i madh
5Institucion i sektorit publikSipas Nenit 4(1)
6Pronar/operator i infrastrukturës kritikeI caktuar sipas ligjit
7I caktuar me legjislacion kombëtarLigj special e cakton subjektin si thelbësor
8I caktuar përmes vlerësimit të rrezikutMetodologjia e përshkruan organi kompetent (Neni 8(3))

Vetë-identifikimi si subjekt I RËNDËSISHËM (Neni 8(2)):

#KriteriPërshkrimi
1Subjekt i mesëm në fushë me kritikë të lartë50-249 punonjës në sektorët sipas Nenit 7(1)(1) dhe nuk kualifikohet si thelbësor
2I caktuar përmes vlerësimit të rrezikutMetodologjia e përshkruan organi kompetent (Neni 8(3))

2.6.3 Hapat e Vetë-Identifikimit

PROCESI I VETË-IDENTIFIKIMIT Hapi 1: VERIFIKONI AKTIVITETIN ├── Përcaktoni kodin tuaj NKD ├── Kontrolloni nëse i përket një sektori sipas Nenit 4(2) │ ├── 11 sektorë me kritikë të lartë (Neni 7(1)(1)) │ └── 5 sektorë të tjerë kritikë* (Neni 7(1)(2)) └── Nëse PO → vazhdoni në Hapin 2 Hapi 2: VERIFIKONI MADHËSINË ├── Llogaritni: punonjës, qarkullim vjetor, aktive totale ├── Përcaktoni kategorinë: I madh / I mesëm / I vogël └── Zbatoni kriteret nga Neni 8 Hapi 3: PËRCAKTONI KLASIFIKIMIN ├── I madh + çdo sektor nga Neni 4(2) → THELBËSOR ├── I mesëm + sektor me kritikë të lartë → I RËNDËSISHËM ├── Kategori speciale (DNS, TLD, shërbime besimi) → THELBËSOR └── Infrastrukturë kritike → THELBËSOR Hapi 4: NJOFTONI ORGANIN KOMPETENT ├── Për subjektet sipas Nenit 4(1) pikat 3,4,5,6,7,9: │ └── Ministria e Transformimit Digjital ├── Për subjektet sipas Nenit 4(1) pikat 1,2,8 dhe Neni 4(2)(3): │ └── Agjencia për Komunikime Elektronike (MKD-CIRT) └── Dorëzoni njoftimin me të gjitha të dhënat e nevojshme Hapi 5: REGJISTROHUNI NË PORTAL ├── Regjistrohuni në portalin e unifikuar të sigurisë kibernetike (Neni 15(5)) └── Siguroni informatat e nevojshme * Për subjektet në fushat 8-16 të Nenit 4(2) - dispozitat zbatohen nga dita e anëtarësimit të RMV-së në BE (Neni 61(2))

2.6.4 Organet Kompetente (Neni 11)

Organi KompetentSubjektet nën JuridiksionBaza Ligjore
Ministria e Transformimit DigjitalInstitucionet e sektorit publik: ministritë, organet e pavarura, organizatat administrative, komunat, Qyteti i ShkupitNeni 11(1)(1) - Neni 4(1) pikat 3,4,5,6,7,9
Agjencia për Komunikime Elektronike (MKD-CIRT)Subjektet private në sektorë me kritikë të lartë dhe sektorë të tjerë kritikë, ofruesit e shërbimeveNeni 11(1)(2) - Neni 4(1) pikat 1,2,8, Neni 4(2) dhe (3)

2.6.5 Të Dhënat e Nevojshme për Njoftim

Sipas Nenit 7(5), listat e detajuara përmbajnë:

  • Emri i subjektit - Emri i plotë ligjor
  • Informatat e kontaktit - Selia, telefoni, adresa e postës elektronike
  • Shërbimet/aktivitetet - Cilat shërbime ofrohen, përkatësisht aktivitetet që kryhen
  • Hapësira IP - Diapazonet e adresave IP të subjektit

Për subjektet pa seli në RMV (Neni 9), kërkohet regjistrimi shtesë i një përfaqësuesi në Ministri.

2.6.6 Portali i Unifikuar i Sigurisë Kibernetike (Neni 15(5-8))

REGJISTRIM I DETYRUESHËM: Sipas Nenit 15(7), subjektet thelbësore dhe të rëndësishme do të regjistrohen në mënyrë të detyrueshme dhe do t'i raportojnë incidentet kibernetike përmes portalit të unifikuar të sigurisë kibernetike.

Ministria krijon dhe mirëmban një portal të unifikuar të sigurisë kibernetike (Neni 15(5)) me qëllim:

  • Regjistrimi i centralizuar dhe i unifikuar i subjekteve thelbësore dhe të rëndësishme
  • Raportimi i incidenteve të sigurisë kibernetike
  • Mbikëqyrja e lehtësuar
  • Disponueshmëria e të gjitha të dhënave, informatave dhe akteve që lidhen me sigurinë kibernetike në një vend

2.6.7 Afatet Kohore

AfatiDetyrimiBaza Ligjore
4 korrik 2025Ligji publikuar në Gazetën Zyrtare të RMV, nr. 135Publikimi
12 korrik 2025Ligji hyn në fuqi (dita e tetë pas publikimit)Neni 62
1 janar 2026Ligji fillon të zbatohetNeni 62
12 janar 2026Afati për miratimin e akteve nënligjore (6 muaj nga hyrja në fuqi)Neni 58(1)
12 korrik 2026Afati për krijimin e listave të detajuara (12 muaj nga hyrja në fuqi)Neni 58(2)
Me anëtarësimin në BEZbatimi për sektorët 8-16 të Nenit 4(2): shërbimet postare, menaxhimi i mbeturinave, kimikatet, ushqimi, prodhimi, ofruesit digjitalë, kërkimiNeni 61(2)

2.6.8 Detyrimet pas Vetë-Identifikimit

Pas vetë-identifikimit të suksesshëm dhe vendosjes në listën e detajuar, subjekti është i detyruar të plotësojë detyrimet e mëposhtme:

Për subjektet thelbësore:

DetyrimiBaza LigjoreDetajet
Emërimi i oficerit për siguri kibernetikeNeni 25Së paku një person me arsim të lartë në TIK, telekomunikacione, siguri ose drejtësi
Vlerësimi i rrezikutNeni 31Së paku një herë në vit
Masat e menaxhimit të rrezikutNeni 3210 masa minimale (analiza e rrezikut, trajtimi i incidenteve, vazhdimësia, siguria e zinxhirit të furnizimit, etj.)
Raportimi i incidenteveNeni 33Paralajmërim i hershëm brenda 24h, njoftim brenda 72h, raport përfundimtar brenda 1 muaj
Trajnimi i punonjësveNeni 31(2)Baza e rregullt për organet drejtuese dhe punonjësit
Regjistrimi në portalNeni 15(7)Regjistrim i detyrueshëm në portalin e unifikuar

Për subjektet e rëndësishme:

Detyrime të njëjta si për subjektet thelbësore, por me:

  • Mbikëqyrje ekz post (në vend të proaktive) - Neni 51
  • Gjoba më të ulëta: deri në 1.4% e qarkullimit vjetor (në vend të 2%) - Neni 54(2)

2.6.9 Gjobat për Mosplotësim

KUJDES - DISPOZITAT NDËSHKIMORE:
KundërvajtjaGjobaBaza Ligjore
Mosdorëzimi i njoftimit për vetë-identifikimderi në 10.000 euroNeni 55(1)(1) në lidhje me Nenin 8(5)
Mosmiratimi i masave të sigurisëderi në 2% e qarkullimit vjetor (thelbësor)
deri në 1.4% e qarkullimit vjetor (i rëndësishëm)		Neni 54(1)(1) / Neni 54(2)(1)
Mosraportimi i incidentit të rëndësishëmderi në 2% / 1.4% e qarkullimit vjetorNeni 54(1)(2) / Neni 54(2)(2)
Ndalim i përkohshëm i veprimtarisëSanksion shtesëNeni 56(1) - nga 3 muaj deri në 2 vjet
Ndalim për personin përgjegjës3 muaj deri 1 vitNeni 56(3)

2.6.10 Regjistrat e Ministrisë (Neni 7(9))

Ministria mban katër regjistra elektronikë:

  • Regjistri i fushave me kritikë të lartë
  • Regjistri i fushave të tjera kritike
  • Regjistri i subjekteve thelbësore
  • Regjistri i subjekteve të rëndësishme
Shënim: Të dhënat nga këto regjistra janë informacione të klasifikuara me shkallë përkatëse të fshehtësisë, sipas Ligjit për Informacione të Klasifikuara (Neni 7(10)).

3. Фаза 2: Проценка на усогласеност (BMIS)

3.1 Преглед на 12-те домени на сајбер безбедност

BMIS проценката опфаќа 12 домени со вкупно 52 контроли, структурирани според барањата на ЗБМИС и меѓународните стандарди.

#ДоменКонтролиВкупно
1Управување, Лидерство и ОдговорностGOV-01 - GOV-044
2Управување со Ризици и Донесување ОдлукиRISK-01 - RISK-044
3Гаранција за Правна и Регулаторна УсогласеностCOMP-01 - COMP-044
4Управување со Средства и ИнформацииASSET-01 - ASSET-044
5Луѓе, Идентификација и Управување со ПристапIAM-01 - IAM-044
6Свесност, Обука и Човечка ОтпорностAWARE-01 - AWARE-055
7Сигурно Набавување, Развој и ПромениDEV-01 - DEV-044
8Синџир на Снабдување и Безбедност на Трети СтраниSUPP-01 - SUPP-044
9Техничка Заштита и Мрежна БезбедностTECH-01 - TECH-066
10Управување со Ранливости и ИзложеностVULN-01 - VULN-044
11Откривање, Одговор и Координација на ИнцидентиIR-01 - IR-055
12Отпорност, Обнова и Управување со КризаRES-01 - RES-044
ВКУПНО52

3.1.1 Домен 1: Управување, Лидерство и Одговорност

Цел: Воспоставување управување со сајбер безбедност на највисоко организациско ниво.

Контроли:

IDКонтролаПриоритет
GOV-01Формална, документирана и од раководството одобрена политика за сајбер безбедностКритичен
GOV-02Јасно дефинирани улоги, одговорности и авторитет за безбедностКритичен
GOV-03Назначен службеник за сајбер безбедност со соодветен авторитетКритичен
GOV-04Редовно известување до раководството за состојбата со сајбер безбедностаВисок

Правни референци:

  • Закон за БМИС: Член 31(1), Член 25(4), Член 29
  • NIS2 Директива: Article 20(1), Article 21(1), Article 7
  • ISO/IEC 27001:2022: 5.1, 5.3
  • Регулатива (ЕУ) 2024/2690: Article 3, Annex I

3.1.2 Домен 2: Управување со Ризици и Донесување Одлуки

Цел: Систематски пристап кон идентификација, анализа и третман на ризиците.

Контроли:

IDКонтролаПриоритет
RISK-01Формална методологија за процена на ризикКритичен
RISK-02Редовна процена на ризици (најмалку годишно)Критичен
RISK-03Документиран регистар на ризициВисок
RISK-04План за третман на ризици со приоритетиВисок

Правни референци:

  • Закон за БМИС: Член 31(1), Член 32(1)(а)
  • NIS2 Директива: Article 21(1), Article 21(2)(a)
  • ISO/IEC 27001:2022: 6.1, 8.2, 8.3

3.1.3 Домен 3: Гаранција за Правна и Регулаторна Усогласеност

Цел: Обезбедување усогласеност со законски барања и регулативи.

Контроли:

IDКонтролаПриоритет
COMP-01Идентификација на применливи законски барањаКритичен
COMP-02Програма за усогласеност со редовен мониторингВисок
COMP-03Внатрешна ревизија на усогласеностаВисок
COMP-04Управување со договорни обврски за безбедностСреден

Правни референци:

  • Закон за БМИС: Член 32(3)(6), Член 35(1)
  • NIS2 Директива: Article 21(2)(f)
  • ISO/IEC 27001:2022: 5.31, 5.32, 5.33

3.1.4 Домен 4: Управување со Средства и Информации

Цел: Идентификација, класификација и заштита на информациски средства.

Контроли:

IDКонтролаПриоритет
ASSET-01Инвентар на критични информациски средстваКритичен
ASSET-02Класификација на податоциВисок
ASSET-03Политика за животен циклус на средстваСреден
ASSET-04Безбедно отстранување на средстваСреден

Правни референци:

  • Закон за БМИС: Член 32(1)(д), Член 32(3)(1)
  • NIS2 Директива: Article 21(2)(d)
  • ISO/IEC 27001:2022: 5.9, 5.10, 5.11, 5.12

3.1.5 Домен 5: Луѓе, Идентификација и Управување со Пристап

Цел: Контрола на пристап до системи и податоци.

Контроли:

IDКонтролаПриоритет
IAM-01Политика за контрола на пристапКритичен
IAM-02Управување со идентитетиВисок
IAM-03Силна автентикација (MFA)Критичен
IAM-04Привилегиран пристап - управувањеКритичен

Правни референци:

  • Закон за БМИС: Член 32(1)(д), Член 32(3)(3)
  • NIS2 Директива: Article 21(2)(i)
  • ISO/IEC 27001:2022: 5.15, 5.16, 5.17, 5.18

3.1.6 Домен 6: Свесност, Обука и Човечка Отпорност

Цел: Подигање на свеста и компетенциите за сајбер безбедност.

Контроли:

IDКонтролаПриоритет
AWARE-01Програма за свесност за сајбер безбедностКритичен
AWARE-02Обука за вработениКритичен
AWARE-03Специјализирана обука за техничкиот персоналВисок
AWARE-04Обука за раководствотоВисок
AWARE-05Тестирање на свеста (фишинг симулации)Среден

Правни референци:

  • Закон за БМИС: Член 31(2), Член 39(1-3), Член 32(1)(g)
  • NIS2 Директива: Article 20(2), Article 21(2)(g)
  • ISO/IEC 27001:2022: 6.3, 7.2, 7.3

3.1.7 Домен 7: Сигурно Набавување, Развој и Промени

Цел: Безбедност во животниот циклус на развој на софтвер и системи.

Контроли:

IDКонтролаПриоритет
DEV-01Политики за безбедно програмирањеВисок
DEV-02Безбедносно тестирање на апликацииВисок
DEV-03Управување со промениКритичен
DEV-04Контрола на верзии и конфигурацииСреден

Правни референци:

  • Закон за БМИС: Член 32(1)(е), Член 32(3)(5)
  • NIS2 Директива: Article 21(2)(e)
  • ISO/IEC 27001:2022: 8.25, 8.26, 8.27, 8.28

3.1.8 Домен 8: Синџир на Снабдување и Безбедност на Трети Страни

Цел: Управување со ризици од добавувачи и партнери.

Контроли:

IDКонтролаПриоритет
SUPP-01Политика за безбедност на синџирот на снабдувањеКритичен
SUPP-02Процена на добавувачиВисок
SUPP-03Договорни безбедносни барањаВисок
SUPP-04Мониторинг на добавувачиСреден

Правни референци:

  • Закон за БМИС: Член 32(1)(д), Член 32(3)(4)
  • NIS2 Директива: Article 21(2)(d), Article 21(3)
  • ISO/IEC 27001:2022: 5.19, 5.20, 5.21, 5.22

3.1.9 Домен 9: Техничка Заштита и Мрежна Безбедност

Цел: Имплементација на технички контроли за заштита.

Контроли:

IDКонтролаПриоритет
TECH-01Заштита на мрежата (firewall, сегментација)Критичен
TECH-02Заштита на крајни точкиКритичен
TECH-03Криптографија и шифрирањеКритичен
TECH-04Мониторинг и логирањеВисок
TECH-05Безбедна конфигурацијаВисок
TECH-06Заштита од малверКритичен

Правни референци:

  • Закон за БМИС: Член 32(1)(e)(h)(i), Член 32(3)(2)(7)
  • NIS2 Директива: Article 21(2)(e)(h)(i)
  • ISO/IEC 27001:2022: 8.20, 8.21, 8.22, 8.23, 8.24

3.1.10 Домен 10: Управување со Ранливости и Изложеност

Цел: Идентификација и отстранување на ранливости.

Контроли:

IDКонтролаПриоритет
VULN-01Политика за управување со ранливостиКритичен
VULN-02Редовно скенирање за ранливостиВисок
VULN-03Процес за ажурирање (patch management)Критичен
VULN-04Пенетрациско тестирањеСреден

Правни референци:

  • Закон за БМИС: Член 32(1)(e), Член 32(3)(5)
  • NIS2 Директива: Article 21(2)(e)
  • ISO/IEC 27001:2022: 8.8, 8.9

3.1.11 Домен 11: Откривање, Одговор и Координација на Инциденти

Цел: Способност за детекција и одговор на инциденти.

Контроли:

IDКонтролаПриоритет
IR-01План за одговор на инцидентиКритичен
IR-02Тим за одговор (CSIRT контакт)Критичен
IR-03Процедури за известувањеКритичен
IR-04Форензичка подготвеностВисок
IR-05Редовни вежби и тестирањаСреден

Правни референци:

  • Закон за БМИС: Член 32(1)(б), Член 33, Член 20-23
  • NIS2 Директива: Article 21(2)(b), Article 23
  • ISO/IEC 27001:2022: 5.24, 5.25, 5.26, 5.27

3.1.12 Домен 12: Отпорност, Обнова и Управување со Криза

Цел: Континуитет на работењето и обнова после инциденти.

Контроли:

IDКонтролаПриоритет
RES-01Анализа на влијание врз бизнисот (BIA)Критичен
RES-02План за континуитет на работењетоКритичен
RES-03План за обнова од катастрофиКритичен
RES-04Тестирање на плановитеВисок

Правни референци:

  • Закон за БМИС: Член 32(1)(в), Член 32(3)(8)
  • NIS2 Директива: Article 21(2)(c)
  • ISO/IEC 27001:2022: 5.29, 5.30, 8.13, 8.14

3.2 Систем за оценување на контроли

3.2.1 Нивоа на зрелост (L1-L4)

BMIS проценката користи 4 нивоа на зрелост за секоја контрола:

┌─────────────────────────────────────────────────────────────────┐ │ НИВОА НА ЗРЕЛОСТ │ ├─────────────────────────────────────────────────────────────────┤ │ L4 - Оптимизирано/Проактивно ████████████████ 100% │ │ L3 - Управувано/Измерено ████████████░░░░ 75% │ │ L2 - Дефинирано/Повторливо ████████░░░░░░░░ 50% │ │ L1 - Почетно/Ад-хок ████░░░░░░░░░░░░ 25% │ │ L0 - Не е имплементирано ░░░░░░░░░░░░░░░░ 0% │ └─────────────────────────────────────────────────────────────────┘

3.2.2 Значење на секое ниво на зрелост

L1 Почетно / Ад-хок (25%)

Организацијата има почетна свесност за контролата, но практиките се неформални и неконзистентни.

Карактеристики:

  • Неформални или недокументирани процедури
  • Минимални ресурси доделени
  • Реактивен пристап кон проблемите
  • Зависност од индивидуални напори
  • Нема систематско следење

L2 Дефинирано / Повторливо (50%)

Организацијата има формални политики и процедури кои се документирани и комуницирани.

Карактеристики:

  • Формално документирани политики и процедури
  • Дефинирани улоги и одговорности
  • Основно следење и известување
  • Годишни прегледи спроведени
  • Конзистентна примена низ организацијата

L3 Управувано / Измерено (75%)

Контролите се интегрирани во оперативните процеси со континуирано мерење и подобрување.

Карактеристики:

  • Интегрирано во оперативните процеси
  • Континуирано следење и мерење
  • KPI дефинирани и активно следени
  • Редовно тестирање и валидација
  • Донесување одлуки засновано на докази

L4 Оптимизирано / Проактивно (100%)

Најнапредно ниво со автоматизација, предиктивна аналитика и континуирано подобрување.

Карактеристики:

  • Автоматизирано следење и одговор каде што е применливо
  • Предиктивна аналитика и интеграција на разузнавање за закани
  • Култура на континуирано подобрување
  • Водечки во индустријата или иновативни практики
  • Интегрирано со управување со ризикот на претпријатието

3.3 Основи за усогласеност (Compliance Baselines)

3.3.1 Македонски ЗБМИС барања

Минимални барања според Законот за безбедност на мрежни и информациски системи.

Применливо за: Сите СУШТИНСКИ и ВАЖНИ субјекти

Карактеристики:

  • Задолжителни барања со законска сила
  • Строги рокови за усогласување
  • Санкции за неусогласеност
  • Регулаторен надзор

Типично потребно ниво: L2-L3

3.3.2 ENISA основни барања

Основно ниво на сајбер безбедност според ENISA препораки.

Применливо за: Мали и средни претпријатија кои сакаат основна заштита

Карактеристики:

  • Фокус на критични контроли
  • Практичен и достижен пристап
  • Добра основа за натамошно подобрување

Типично потребно ниво: L1-L2

3.3.3 ENISA напредни барања

Напредно ниво за организации со повисоки безбедносни потреби.

Применливо за: Организации кои бараат повисока заштита

Карактеристики:

  • Сеопфатна покриеност
  • Проактивни мерки
  • Напредни технички контроли

Типично потребно ниво: L2-L3

3.3.4 ISO/IEC 27001 барања

Меѓународен стандард за системи за управување со информациска безбедност.

Применливо за: Организации кои сакаат сертификација

Карактеристики:

  • Процесен пристап
  • Континуирано подобрување
  • Формална сертификација
  • Меѓународно признат

Типично потребно ниво: L3

3.4 Правни референци по домени

3.4.1 Мапирање на контроли кон член 31 од ЗБМИС

Член 31 - Мерки за управување со ризици од сајбер безбедност

СтавБарањеПоврзани контроли
31(1)Политики за анализа на ризици и безбедностGOV-01, GOV-02, RISK-01-04
31(2)Обука за раководните органиAWARE-04
31(3)Доволни ресурси за имплементацијаGOV-03, GOV-04

3.4.2 Мапирање на контроли кон член 32 од ЗБМИС

Член 32 - Технички и организациски мерки

СтавБарањеПоврзани контроли
32(1)(а)Политики за анализа на ризициRISK-01, RISK-02
32(1)(б)Ракување со инцидентиIR-01 - IR-05
32(1)(в)Континуитет на работењетоRES-01 - RES-04
32(1)(г)Безбедност на синџирот на снабдувањеSUPP-01 - SUPP-04
32(1)(д)Набавка, развој и одржувањеDEV-01 - DEV-04
32(1)(е)Управување со ранливостиVULN-01 - VULN-04
32(1)(ж)Процена на ефективностаCOMP-03
32(1)(з)Сајбер хигиена и обукаAWARE-01 - AWARE-05
32(1)(ѕ)КриптографијаTECH-03
32(1)(и)Контрола на пристапIAM-01 - IAM-04
32(3)(1)Управување со средстваASSET-01 - ASSET-04
32(3)(2)Техничка заштитаTECH-01 - TECH-06
32(3)(3)Управување со идентитетиIAM-01 - IAM-04
32(3)(4)Безбедност на добавувачиSUPP-01 - SUPP-04
32(3)(5)Безбедно програмирањеDEV-01, DEV-02
32(3)(6)УсогласеностCOMP-01, COMP-02
32(3)(7)Мрежна безбедностTECH-01, TECH-04
32(3)(8)Управување со кризиRES-01 - RES-04

3. Phase 2: Compliance Assessment (BMIS)

3.1 Overview of 12 Cybersecurity Domains

The BMIS assessment covers 12 domains with a total of 52 controls, structured according to LNIS requirements and international standards.

#DomainControlsTotal
1Governance, Leadership and AccountabilityGOV-01 - GOV-044
2Risk Management and Decision MakingRISK-01 - RISK-044
3Legal and Regulatory Compliance AssuranceCOMP-01 - COMP-044
4Asset and Information ManagementASSET-01 - ASSET-044
5People, Identification and Access ManagementIAM-01 - IAM-044
6Awareness, Training and Human ResilienceAWARE-01 - AWARE-055
7Secure Procurement, Development and ChangesDEV-01 - DEV-044
8Supply Chain and Third-Party SecuritySUPP-01 - SUPP-044
9Technical Protection and Network SecurityTECH-01 - TECH-066
10Vulnerability and Exposure ManagementVULN-01 - VULN-044
11Incident Detection, Response and CoordinationIR-01 - IR-055
12Resilience, Recovery and Crisis ManagementRES-01 - RES-044
TOTAL52

3.1.1 Domain 1: Governance, Leadership and Accountability

Goal: Establishing cybersecurity governance at the highest organizational level.

Controls:

IDControlPriority
GOV-01Formal, documented and management-approved cybersecurity policyCritical
GOV-02Clearly defined security roles, responsibilities and authorityCritical
GOV-03Designated cybersecurity officer with appropriate authorityCritical
GOV-04Regular reporting to management on cybersecurity statusHigh

Legal References:

  • LNIS Law: Article 31(1), Article 25(4), Article 29
  • NIS2 Directive: Article 20(1), Article 21(1), Article 7
  • ISO/IEC 27001:2022: 5.1, 5.3
  • Regulation (EU) 2024/2690: Article 3, Annex I

3.1.2 Domain 2: Risk Management and Decision Making

Goal: Systematic approach to risk identification, analysis and treatment.

Controls:

IDControlPriority
RISK-01Formal risk assessment methodologyCritical
RISK-02Regular risk assessment (at least annually)Critical
RISK-03Documented risk registerHigh
RISK-04Risk treatment plan with prioritiesHigh

Legal References:

  • LNIS Law: Article 31(1), Article 32(1)(a)
  • NIS2 Directive: Article 21(1), Article 21(2)(a)
  • ISO/IEC 27001:2022: 6.1, 8.2, 8.3

3.1.3 Domain 3: Legal and Regulatory Compliance Assurance

Goal: Ensuring compliance with legal requirements and regulations.

Controls:

IDControlPriority
COMP-01Identification of applicable legal requirementsCritical
COMP-02Compliance program with regular monitoringHigh
COMP-03Internal compliance auditHigh
COMP-04Management of contractual security obligationsMedium

Legal References:

  • LNIS Law: Article 32(3)(6), Article 35(1)
  • NIS2 Directive: Article 21(2)(f)
  • ISO/IEC 27001:2022: 5.31, 5.32, 5.33

3.1.4 Domain 4: Asset and Information Management

Goal: Identification, classification and protection of information assets.

Controls:

IDControlPriority
ASSET-01Critical information assets inventoryCritical
ASSET-02Data classificationHigh
ASSET-03Asset lifecycle policyMedium
ASSET-04Secure asset disposalMedium

Legal References:

  • LNIS Law: Article 32(1)(d), Article 32(3)(1)
  • NIS2 Directive: Article 21(2)(d)
  • ISO/IEC 27001:2022: 5.9, 5.10, 5.11, 5.12

3.1.5 Domain 5: People, Identification and Access Management

Goal: Control of access to systems and data.

Controls:

IDControlPriority
IAM-01Access control policyCritical
IAM-02Identity managementHigh
IAM-03Strong authentication (MFA)Critical
IAM-04Privileged access managementCritical

Legal References:

  • LNIS Law: Article 32(1)(d), Article 32(3)(3)
  • NIS2 Directive: Article 21(2)(i)
  • ISO/IEC 27001:2022: 5.15, 5.16, 5.17, 5.18

3.1.6 Domain 6: Awareness, Training and Human Resilience

Goal: Raising cybersecurity awareness and competencies.

Controls:

IDControlPriority
AWARE-01Cybersecurity awareness programCritical
AWARE-02Employee trainingCritical
AWARE-03Specialized training for technical staffHigh
AWARE-04Management trainingHigh
AWARE-05Awareness testing (phishing simulations)Medium

Legal References:

  • LNIS Law: Article 31(2), Article 39(1-3), Article 32(1)(g)
  • NIS2 Directive: Article 20(2), Article 21(2)(g)
  • ISO/IEC 27001:2022: 6.3, 7.2, 7.3

3.1.7 Domain 7: Secure Procurement, Development and Changes

Goal: Security in the software and systems development lifecycle.

Controls:

IDControlPriority
DEV-01Secure coding policiesHigh
DEV-02Application security testingHigh
DEV-03Change managementCritical
DEV-04Version and configuration controlMedium

Legal References:

  • LNIS Law: Article 32(1)(e), Article 32(3)(5)
  • NIS2 Directive: Article 21(2)(e)
  • ISO/IEC 27001:2022: 8.25, 8.26, 8.27, 8.28

3.1.8 Domain 8: Supply Chain and Third-Party Security

Goal: Managing risks from suppliers and partners.

Controls:

IDControlPriority
SUPP-01Supply chain security policyCritical
SUPP-02Supplier assessmentHigh
SUPP-03Contractual security requirementsHigh
SUPP-04Supplier monitoringMedium

Legal References:

  • LNIS Law: Article 32(1)(d), Article 32(3)(4)
  • NIS2 Directive: Article 21(2)(d), Article 21(3)
  • ISO/IEC 27001:2022: 5.19, 5.20, 5.21, 5.22

3.1.9 Domain 9: Technical Protection and Network Security

Goal: Implementation of technical protection controls.

Controls:

IDControlPriority
TECH-01Network protection (firewall, segmentation)Critical
TECH-02Endpoint protectionCritical
TECH-03Cryptography and encryptionCritical
TECH-04Monitoring and loggingHigh
TECH-05Secure configurationHigh
TECH-06Malware protectionCritical

Legal References:

  • LNIS Law: Article 32(1)(e)(h)(i), Article 32(3)(2)(7)
  • NIS2 Directive: Article 21(2)(e)(h)(i)
  • ISO/IEC 27001:2022: 8.20, 8.21, 8.22, 8.23, 8.24

3.1.10 Domain 10: Vulnerability and Exposure Management

Goal: Identification and remediation of vulnerabilities.

Controls:

IDControlPriority
VULN-01Vulnerability management policyCritical
VULN-02Regular vulnerability scanningHigh
VULN-03Patch management processCritical
VULN-04Penetration testingMedium

Legal References:

  • LNIS Law: Article 32(1)(e), Article 32(3)(5)
  • NIS2 Directive: Article 21(2)(e)
  • ISO/IEC 27001:2022: 8.8, 8.9

3.1.11 Domain 11: Incident Detection, Response and Coordination

Goal: Capability for incident detection and response.

Controls:

IDControlPriority
IR-01Incident response planCritical
IR-02Response team (CSIRT contact)Critical
IR-03Reporting proceduresCritical
IR-04Forensic readinessHigh
IR-05Regular exercises and testingMedium

Legal References:

  • LNIS Law: Article 32(1)(b), Article 33, Article 20-23
  • NIS2 Directive: Article 21(2)(b), Article 23
  • ISO/IEC 27001:2022: 5.24, 5.25, 5.26, 5.27

3.1.12 Domain 12: Resilience, Recovery and Crisis Management

Goal: Business continuity and recovery after incidents.

Controls:

IDControlPriority
RES-01Business impact analysis (BIA)Critical
RES-02Business continuity planCritical
RES-03Disaster recovery planCritical
RES-04Plan testingHigh

Legal References:

  • LNIS Law: Article 32(1)(c), Article 32(3)(8)
  • NIS2 Directive: Article 21(2)(c)
  • ISO/IEC 27001:2022: 5.29, 5.30, 8.13, 8.14

3.2 Control Scoring System

3.2.1 Maturity Levels (L1-L4)

The BMIS assessment uses 4 maturity levels for each control:

┌─────────────────────────────────────────────────────────────────┐ │ MATURITY LEVELS │ ├─────────────────────────────────────────────────────────────────┤ │ L4 - Optimized/Proactive ████████████████ 100% │ │ L3 - Managed/Measured ████████████░░░░ 75% │ │ L2 - Defined/Repeatable ████████░░░░░░░░ 50% │ │ L1 - Initial/Ad-hoc ████░░░░░░░░░░░░ 25% │ │ L0 - Not Implemented ░░░░░░░░░░░░░░░░ 0% │ └─────────────────────────────────────────────────────────────────┘

3.2.2 Meaning of Each Maturity Level

L1 Initial / Ad-hoc (25%)

The organization has initial awareness of the control, but practices are informal and inconsistent.

Characteristics:

  • Informal or undocumented procedures
  • Minimal resources allocated
  • Reactive approach to problems
  • Dependence on individual efforts
  • No systematic monitoring

L2 Defined / Repeatable (50%)

The organization has formal policies and procedures that are documented and communicated.

Characteristics:

  • Formally documented policies and procedures
  • Defined roles and responsibilities
  • Basic monitoring and reporting
  • Annual reviews conducted
  • Consistent application across the organization

L3 Managed / Measured (75%)

Controls are integrated into operational processes with continuous measurement and improvement.

Characteristics:

  • Integrated into operational processes
  • Continuous monitoring and measurement
  • KPIs defined and actively tracked
  • Regular testing and validation
  • Evidence-based decision making

L4 Optimized / Proactive (100%)

Most advanced level with automation, predictive analytics and continuous improvement.

Characteristics:

  • Automated monitoring and response where applicable
  • Predictive analytics and threat intelligence integration
  • Culture of continuous improvement
  • Industry-leading or innovative practices
  • Integrated with enterprise risk management

3.3 Compliance Baselines

3.3.1 Macedonian LNIS Requirements

Minimum requirements under the Law on Network and Information Systems Security.

Applicable for: All ESSENTIAL and IMPORTANT entities

Characteristics:

  • Mandatory requirements with legal force
  • Strict compliance deadlines
  • Sanctions for non-compliance
  • Regulatory oversight

Typically required level: L2-L3

3.3.2 ENISA Basic Requirements

Basic cybersecurity level according to ENISA recommendations.

Applicable for: Small and medium enterprises seeking basic protection

Characteristics:

  • Focus on critical controls
  • Practical and achievable approach
  • Good foundation for further improvement

Typically required level: L1-L2

3.3.3 ENISA Advanced Requirements

Advanced level for organizations with higher security needs.

Applicable for: Organizations requiring higher protection

Characteristics:

  • Comprehensive coverage
  • Proactive measures
  • Advanced technical controls

Typically required level: L2-L3

3.3.4 ISO/IEC 27001 Requirements

International standard for information security management systems.

Applicable for: Organizations seeking certification

Characteristics:

  • Process approach
  • Continuous improvement
  • Formal certification
  • Internationally recognized

Typically required level: L3

3.4 Legal References by Domain

3.4.1 Mapping Controls to Article 31 of LNIS

Article 31 - Cybersecurity Risk Management Measures

ParagraphRequirementRelated Controls
31(1)Risk analysis and security policiesGOV-01, GOV-02, RISK-01-04
31(2)Training for management bodiesAWARE-04
31(3)Sufficient resources for implementationGOV-03, GOV-04

3.4.2 Mapping Controls to Article 32 of LNIS

Article 32 - Technical and Organizational Measures

ParagraphRequirementRelated Controls
32(1)(а)Risk analysis policiesRISK-01, RISK-02
32(1)(б)Incident handlingIR-01 - IR-05
32(1)(в)Business continuityRES-01 - RES-04
32(1)(г)Supply chain securitySUPP-01 - SUPP-04
32(1)(д)Procurement, development and maintenanceDEV-01 - DEV-04
32(1)(е)Vulnerability managementVULN-01 - VULN-04
32(1)(ж)Effectiveness assessmentCOMP-03
32(1)(з)Cyber hygiene and trainingAWARE-01 - AWARE-05
32(1)(ѕ)CryptographyTECH-03
32(1)(и)Access controlIAM-01 - IAM-04
32(3)(1)Asset managementASSET-01 - ASSET-04
32(3)(2)Technical protectionTECH-01 - TECH-06
32(3)(3)Identity managementIAM-01 - IAM-04
32(3)(4)Supplier securitySUPP-01 - SUPP-04
32(3)(5)Secure codingDEV-01, DEV-02
32(3)(6)ComplianceCOMP-01, COMP-02
32(3)(7)Network securityTECH-01, TECH-04
32(3)(8)Crisis managementRES-01 - RES-04

3. Faza 2: Vlerësimi i Përputhshmërisë (BMIS)

3.1 Pasqyra e 12 Domeneve të Sigurisë Kibernetike

Vlerësimi BMIS mbulon 12 domene me gjithsej 52 kontrolle, të strukturuara sipas kërkesave të LSRSI dhe standardeve ndërkombëtare.

#DomeniKontrollatGjithsej
1Qeverisja, Lidershipi dhe PërgjegjësiaGOV-01 - GOV-044
2Menaxhimi i Rreziqeve dhe VendimmarrjaRISK-01 - RISK-044
3Sigurimi i Përputhshmërisë Ligjore dhe RregullatoreCOMP-01 - COMP-044
4Menaxhimi i Aseteve dhe InformacionitASSET-01 - ASSET-044
5Njerëzit, Identifikimi dhe Menaxhimi i QasjesIAM-01 - IAM-044
6Ndërgjegjësimi, Trajnimi dhe Rezilienca NjerëzoreAWARE-01 - AWARE-055
7Prokurimi i Sigurt, Zhvillimi dhe NdryshimetDEV-01 - DEV-044
8Zinxhiri i Furnizimit dhe Siguria e Palëve të TretaSUPP-01 - SUPP-044
9Mbrojtja Teknike dhe Siguria e RrjetitTECH-01 - TECH-066
10Menaxhimi i Dobësive dhe EkspozimitVULN-01 - VULN-044
11Zbulimi, Përgjigja dhe Koordinimi i IncidenteveIR-01 - IR-055
12Rezilienca, Rimëkëmbja dhe Menaxhimi i KrizësRES-01 - RES-044
GJITHSEJ52

3.1.1 Domeni 1: Qeverisja, Lidershipi dhe Përgjegjësia

Qëllimi: Vendosja e qeverisjes së sigurisë kibernetike në nivelin më të lartë organizativ.

Kontrollat:

IDKontrollaPrioriteti
GOV-01Politikë formale, e dokumentuar dhe e miratuar nga drejtuesit për sigurinë kibernetikeKritik
GOV-02Role, përgjegjësi dhe autoritet të përcaktuara qartë për sigurinëKritik
GOV-03Zyrtar i caktuar i sigurisë kibernetike me autoritetin e duhurKritik
GOV-04Raportim i rregullt te drejtuesit për gjendjen e sigurisë kibernetikeI lartë

Referencat Ligjore:

  • Ligji LSRSI: Neni 31(1), Neni 25(4), Neni 29
  • Direktiva NIS2: Neni 20(1), Neni 21(1), Neni 7
  • ISO/IEC 27001:2022: 5.1, 5.3
  • Rregullorja (BE) 2024/2690: Neni 3, Aneksi I

3.1.2 Domeni 2: Menaxhimi i Rreziqeve dhe Vendimmarrja

Qëllimi: Qasje sistematike ndaj identifikimit, analizës dhe trajtimit të rreziqeve.

Kontrollat:

IDKontrollaPrioriteti
RISK-01Metodologji formale për vlerësimin e rrezikutKritik
RISK-02Vlerësim i rregullt i rreziqeve (të paktën vjetore)Kritik
RISK-03Regjistër i dokumentuar i rreziqeveI lartë
RISK-04Plan i trajtimit të rreziqeve me prioriteteI lartë

Referencat Ligjore:

  • Ligji LSRSI: Neni 31(1), Neni 32(1)(a)
  • Direktiva NIS2: Neni 21(1), Neni 21(2)(a)
  • ISO/IEC 27001:2022: 6.1, 8.2, 8.3

3.1.3 Domeni 3: Sigurimi i Përputhshmërisë Ligjore dhe Rregullatore

Qëllimi: Sigurimi i përputhshmërisë me kërkesat ligjore dhe rregulloret.

Kontrollat:

IDKontrollaPrioriteti
COMP-01Identifikimi i kërkesave ligjore të zbatueshmeKritik
COMP-02Program përputhshmërie me monitorim të rregulltI lartë
COMP-03Auditim i brendshëm i përputhshmërisëI lartë
COMP-04Menaxhimi i detyrimeve kontraktuale të sigurisëI mesëm

Referencat Ligjore:

  • Ligji LSRSI: Neni 32(3)(6), Neni 35(1)
  • Direktiva NIS2: Neni 21(2)(f)
  • ISO/IEC 27001:2022: 5.31, 5.32, 5.33

3.1.4 Domeni 4: Menaxhimi i Aseteve dhe Informacionit

Qëllimi: Identifikimi, klasifikimi dhe mbrojtja e aseteve informative.

Kontrollat:

IDKontrollaPrioriteti
ASSET-01Inventari i aseteve informative kritikeKritik
ASSET-02Klasifikimi i të dhënaveI lartë
ASSET-03Politika e ciklit jetësor të aseteveI mesëm
ASSET-04Asgjësimi i sigurt i aseteveI mesëm

Referencat Ligjore:

  • Ligji LSRSI: Neni 32(1)(d), Neni 32(3)(1)
  • Direktiva NIS2: Neni 21(2)(d)
  • ISO/IEC 27001:2022: 5.9, 5.10, 5.11, 5.12

3.1.5 Domeni 5: Njerëzit, Identifikimi dhe Menaxhimi i Qasjes

Qëllimi: Kontrolli i qasjes në sisteme dhe të dhëna.

Kontrollat:

IDKontrollaPrioriteti
IAM-01Politika e kontrollit të qasjesKritik
IAM-02Menaxhimi i identiteteveI lartë
IAM-03Autentifikimi i fortë (MFA)Kritik
IAM-04Menaxhimi i qasjes së privilegjuarKritik

Referencat Ligjore:

  • Ligji LSRSI: Neni 32(1)(d), Neni 32(3)(3)
  • Direktiva NIS2: Neni 21(2)(i)
  • ISO/IEC 27001:2022: 5.15, 5.16, 5.17, 5.18

3.1.6 Domeni 6: Ndërgjegjësimi, Trajnimi dhe Rezilienca Njerëzore

Qëllimi: Rritja e ndërgjegjësimit dhe kompetencave për sigurinë kibernetike.

Kontrollat:

IDKontrollaPrioriteti
AWARE-01Program ndërgjegjësimi për sigurinë kibernetikeKritik
AWARE-02Trajnim i punonjësveKritik
AWARE-03Trajnim i specializuar për stafin teknikI lartë
AWARE-04Trajnim i drejtuesveI lartë
AWARE-05Testimi i ndërgjegjësimit (simulime phishing)I mesëm

Referencat Ligjore:

  • Ligji LSRSI: Neni 31(2), Neni 39(1-3), Neni 32(1)(g)
  • Direktiva NIS2: Neni 20(2), Neni 21(2)(g)
  • ISO/IEC 27001:2022: 6.3, 7.2, 7.3

3.1.7 Domeni 7: Prokurimi i Sigurt, Zhvillimi dhe Ndryshimet

Qëllimi: Siguria në ciklin jetësor të zhvillimit të softuerit dhe sistemeve.

Kontrollat:

IDKontrollaPrioriteti
DEV-01Politikat e kodimit të sigurtI lartë
DEV-02Testimi i sigurisë së aplikacioneveI lartë
DEV-03Menaxhimi i ndryshimeveKritik
DEV-04Kontrolli i versioneve dhe konfigurimeveI mesëm

Referencat Ligjore:

  • Ligji LSRSI: Neni 32(1)(e), Neni 32(3)(5)
  • Direktiva NIS2: Neni 21(2)(e)
  • ISO/IEC 27001:2022: 8.25, 8.26, 8.27, 8.28

3.1.8 Domeni 8: Zinxhiri i Furnizimit dhe Siguria e Palëve të Treta

Qëllimi: Menaxhimi i rreziqeve nga furnitorët dhe partnerët.

Kontrollat:

IDKontrollaPrioriteti
SUPP-01Politika e sigurisë së zinxhirit të furnizimitKritik
SUPP-02Vlerësimi i furnitorëveI lartë
SUPP-03Kërkesat kontraktuale të sigurisëI lartë
SUPP-04Monitorimi i furnitorëveI mesëm

Referencat Ligjore:

  • Ligji LSRSI: Neni 32(1)(d), Neni 32(3)(4)
  • Direktiva NIS2: Neni 21(2)(d), Neni 21(3)
  • ISO/IEC 27001:2022: 5.19, 5.20, 5.21, 5.22

3.1.9 Domeni 9: Mbrojtja Teknike dhe Siguria e Rrjetit

Qëllimi: Zbatimi i kontrolleve teknike për mbrojtje.

Kontrollat:

IDKontrollaPrioriteti
TECH-01Mbrojtja e rrjetit (firewall, segmentimi)Kritik
TECH-02Mbrojtja e pikave fundoreKritik
TECH-03Kriptografia dhe enkriptimiKritik
TECH-04Monitorimi dhe regjistriI lartë
TECH-05Konfigurimi i sigurtI lartë
TECH-06Mbrojtja nga malwareKritik

Referencat Ligjore:

  • Ligji LSRSI: Neni 32(1)(e)(h)(i), Neni 32(3)(2)(7)
  • Direktiva NIS2: Neni 21(2)(e)(h)(i)
  • ISO/IEC 27001:2022: 8.20, 8.21, 8.22, 8.23, 8.24

3.1.10 Domeni 10: Menaxhimi i Dobësive dhe Ekspozimit

Qëllimi: Identifikimi dhe riparimi i dobësive.

Kontrollat:

IDKontrollaPrioriteti
VULN-01Politika e menaxhimit të dobësiveKritik
VULN-02Skanim i rregullt i dobësiveI lartë
VULN-03Procesi i përditësimit (patch management)Kritik
VULN-04Testimi i depërtimitI mesëm

Referencat Ligjore:

  • Ligji LSRSI: Neni 32(1)(e), Neni 32(3)(5)
  • Direktiva NIS2: Neni 21(2)(e)
  • ISO/IEC 27001:2022: 8.8, 8.9

3.1.11 Domeni 11: Zbulimi, Përgjigja dhe Koordinimi i Incidenteve

Qëllimi: Aftësia për zbulimin dhe përgjigjen ndaj incidenteve.

Kontrollat:

IDKontrollaPrioriteti
IR-01Plani i përgjigjes ndaj incidenteveKritik
IR-02Ekipi i përgjigjes (kontakti CSIRT)Kritik
IR-03Procedurat e raportimitKritik
IR-04Gatishmëria forenzikeI lartë
IR-05Ushtrime dhe testime të rregulltaI mesëm

Referencat Ligjore:

  • Ligji LSRSI: Neni 32(1)(b), Neni 33, Neni 20-23
  • Direktiva NIS2: Neni 21(2)(b), Neni 23
  • ISO/IEC 27001:2022: 5.24, 5.25, 5.26, 5.27

3.1.12 Domeni 12: Rezilienca, Rimëkëmbja dhe Menaxhimi i Krizës

Qëllimi: Vazhdimësia e biznesit dhe rimëkëmbja pas incidenteve.

Kontrollat:

IDKontrollaPrioriteti
RES-01Analiza e ndikimit në biznes (BIA)Kritik
RES-02Plani i vazhdimësisë së biznesitKritik
RES-03Plani i rimëkëmbjes nga katastrofatKritik
RES-04Testimi i planeveI lartë

Referencat Ligjore:

  • Ligji LSRSI: Neni 32(1)(c), Neni 32(3)(8)
  • Direktiva NIS2: Neni 21(2)(c)
  • ISO/IEC 27001:2022: 5.29, 5.30, 8.13, 8.14

3.2 Sistemi i Vlerësimit të Kontrolleve

3.2.1 Nivelet e Pjekurisë (L1-L4)

Vlerësimi BMIS përdor 4 nivele pjekurie për secilën kontrollë:

┌─────────────────────────────────────────────────────────────────┐ │ NIVELET E PJEKURISË │ ├─────────────────────────────────────────────────────────────────┤ │ L4 - I Optimizuar/Proaktiv ████████████████ 100% │ │ L3 - I Menaxhuar/I Matur ████████████░░░░ 75% │ │ L2 - I Përcaktuar/I Përsëritshëm ████████░░░░░░░░ 50% │ │ L1 - Fillestar/Ad-hoc ████░░░░░░░░░░░░ 25% │ │ L0 - I Pazbatuar ░░░░░░░░░░░░░░░░ 0% │ └─────────────────────────────────────────────────────────────────┘

3.2.2 Kuptimi i Secilit Nivel Pjekurie

L1 Fillestar / Ad-hoc (25%)

Organizata ka ndërgjegjësim fillestar për kontrollin, por praktikat janë joformale dhe jokonsistente.

Karakteristikat:

  • Procedura joformale ose të padokumentuara
  • Burime minimale të alokuara
  • Qasje reaktive ndaj problemeve
  • Varësi nga përpjekjet individuale
  • Asnjë monitorim sistematik

L2 I Përcaktuar / I Përsëritshëm (50%)

Organizata ka politika dhe procedura formale që janë të dokumentuara dhe të komunikuara.

Karakteristikat:

  • Politika dhe procedura të dokumentuara formalisht
  • Role dhe përgjegjësi të përcaktuara
  • Monitorim dhe raportim bazë
  • Rishikime vjetore të kryera
  • Zbatim konsistent në organizatë

L3 I Menaxhuar / I Matur (75%)

Kontrollat janë të integruara në proceset operacionale me matje dhe përmirësim të vazhdueshëm.

Karakteristikat:

  • I integruar në proceset operacionale
  • Monitorim dhe matje e vazhdueshme
  • KPI-të të përcaktuara dhe ndjekura aktivisht
  • Testim dhe validim i rregullt
  • Vendimmarrje e bazuar në dëshmi

L4 I Optimizuar / Proaktiv (100%)

Niveli më i avancuar me automatizim, analitikë parashikuese dhe përmirësim të vazhdueshëm.

Karakteristikat:

  • Monitorim dhe përgjigje e automatizuar ku është e zbatueshme
  • Analitikë parashikuese dhe integrim i inteligjencës së kërcënimeve
  • Kulturë e përmirësimit të vazhdueshëm
  • Praktika udhëheqëse ose inovative në industri
  • E integruar me menaxhimin e rrezikut të ndërmarrjes

3.3 Linjat Bazë të Përputhshmërisë

3.3.1 Kërkesat e LSRSI Maqedonas

Kërkesat minimale sipas Ligjit për Sigurinë e Rrjeteve dhe Sistemeve Informative.

I zbatueshëm për: Të gjithë subjektet THELBËSORE dhe TË RËNDËSISHME

Karakteristikat:

  • Kërkesa të detyrueshme me fuqi ligjore
  • Afate strikte përputhshmërie
  • Sanksione për mosrespektim
  • Mbikëqyrje rregullatore

Niveli tipikisht i nevojshëm: L2-L3

3.3.2 Kërkesat Bazë ENISA

Niveli bazë i sigurisë kibernetike sipas rekomandimeve të ENISA.

I zbatueshëm për: Ndërmarrjet e vogla dhe të mesme që kërkojnë mbrojtje bazë

Karakteristikat:

  • Fokus në kontrollat kritike
  • Qasje praktike dhe e arritshme
  • Bazë e mirë për përmirësim të mëtejshëm

Niveli tipikisht i nevojshëm: L1-L2

3.3.3 Kërkesat e Avancuara ENISA

Nivel i avancuar për organizatat me nevoja më të larta sigurie.

I zbatueshëm për: Organizatat që kërkojnë mbrojtje më të lartë

Karakteristikat:

  • Mbulim gjithëpërfshirës
  • Masa proaktive
  • Kontrolle teknike të avancuara

Niveli tipikisht i nevojshëm: L2-L3

3.3.4 Kërkesat ISO/IEC 27001

Standardi ndërkombëtar për sistemet e menaxhimit të sigurisë informative.

I zbatueshëm për: Organizatat që kërkojnë certifikim

Karakteristikat:

  • Qasje procesurale
  • Përmirësim i vazhdueshëm
  • Certifikim formal
  • I njohur ndërkombëtarisht

Niveli tipikisht i nevojshëm: L3

3.4 Referencat Ligjore sipas Domeneve

3.4.1 Hartëzimi i Kontrolleve me Nenin 31 të LSRSI

Neni 31 - Masat për Menaxhimin e Rreziqeve të Sigurisë Kibernetike

ParagrafiKërkesaKontrollat e Lidhura
31(1)Politikat e analizës së rrezikut dhe sigurisëGOV-01, GOV-02, RISK-01-04
31(2)Trajnim për organet drejtueseAWARE-04
31(3)Burime të mjaftueshme për zbatimGOV-03, GOV-04

3.4.2 Hartëzimi i Kontrolleve me Nenin 32 të LSRSI

Neni 32 - Masat Teknike dhe Organizative

ParagrafiKërkesaKontrollat e Lidhura
32(1)(а)Politikat e analizës së rrezikutRISK-01, RISK-02
32(1)(б)Trajtimi i incidenteveIR-01 - IR-05
32(1)(в)Vazhdimësia e biznesitRES-01 - RES-04
32(1)(г)Siguria e zinxhirit të furnizimitSUPP-01 - SUPP-04
32(1)(д)Prokurimi, zhvillimi dhe mirëmbajtjaDEV-01 - DEV-04
32(1)(е)Menaxhimi i dobësiveVULN-01 - VULN-04
32(1)(ж)Vlerësimi i efektivitetitCOMP-03
32(1)(з)Higjjena kibernetike dhe trajnimiAWARE-01 - AWARE-05
32(1)(ѕ)KriptografiaTECH-03
32(1)(и)Kontrolli i qasjesIAM-01 - IAM-04
32(3)(1)Menaxhimi i aseteveASSET-01 - ASSET-04
32(3)(2)Mbrojtja teknikeTECH-01 - TECH-06
32(3)(3)Menaxhimi i identiteteveIAM-01 - IAM-04
32(3)(4)Siguria e furnitorëveSUPP-01 - SUPP-04
32(3)(5)Kodimi i sigurtDEV-01, DEV-02
32(3)(6)PërputhshmëriaCOMP-01, COMP-02
32(3)(7)Siguria e rrjetitTECH-01, TECH-04
32(3)(8)Menaxhimi i krizësRES-01 - RES-04

4. Фаза 2: Проценка на усогласеност (MSME)

4.1 Преглед на домени за мали претпријатија

MSME проценката е поедноставена верзија наменета за микро, мали и средни претпријатија кои се вон опсег на ЗБМИС или сакаат доброволно подобрување. Базирана е на ENISA водичот за ММСП.

Табела: Преглед на MSME домени и контроли

#ДоменКонтролиВкупно
1Управување и ризици1.1 до 1.44
2Луѓе и свесност2.1 до 2.44
3Технички контроли3.1 до 3.77
4Континуитет и закрепнување4.1 до 4.33
5Правни и усогласеност5.1 до 5.33
6Трета страна и усогласеност6.1 до 6.44
ВКУПНО25

4.1.1 Домен 1: Управување и ризици

Цел: Стратешки надзор и приод базиран на ризик за управување со сајбер безбедноста.

ENISA референца: Чекори 1-2 од "Cybersecurity Guide for SMEs"

Контроли:

IDПрашање
1.1Дали има назначено лице одговорно за сајбер безбедноста во вашата организација?
1.2Дали постои процена на ризикот за сајбер безбедност во вашата организација?
1.3Дали постои план за одговор на безбедносни инциденти?
1.4Дали се спроведуваат редовни резервни копии на критичните податоци?

4.1.2 Домен 2: Луѓе и свесност

Цел: Изградба на култура за сајбер безбедност и подигање на свеста кај вработените.

ENISA референца: Чекори 3-4 од "Cybersecurity Guide for SMEs"

Контроли:

IDПрашање
2.1Дали вработените редовно се обучуваат за најновите сајбер закани?
2.2Дали постојат јасни политики за користење на лозинки?
2.3Дали вработените знаат како да пријават безбедносни инциденти?
2.4Дали се спроведуваат проверки на заднината при вработување на нов персонал?

4.1.3 Домен 3: Технички контроли

Цел: Имплементација на технички мерки за заштита на системите и податоците.

ENISA референца: Чекори 5-8 од "Cybersecurity Guide for SMEs"

Контроли:

IDПрашање
3.1Дали уредите и системите се конфигурирани безбедно (отстранети стандардни лозинки, исклучени непотребни сервиси)?
3.2Дали системите и софтверот се редовно ажурираат?
3.3Дали сите крајни точки имаат управувана заштита (AV/EDR) и основни контроли (USB, администраторски права)?
3.4Дали се блокирани phishing/злонамерни сајтови и дали е-поштата е филтрирана?
3.5Дали е конфигуриран firewall и дали критичните системи се одделени каде што е можно?
3.6Дали се користи шифрирање за чувствителни податоци?
3.7Дали далечинскиот пристап е безбеден (VPN, MFA)?

4.1.4 Домен 4: Континуитет и закрепнување

Цел: Обезбедување способност за закрепнување после сајбер инциденти.

ENISA референца: Чекори 9-10 од "Cybersecurity Guide for SMEs"

Контроли:

IDПрашање
4.1Дали постои план за континуитет на работењето?
4.2Дали резервните копии се тестираат редовно?
4.3Дали има дефинирани процедури за обнова од катастрофи?

4.1.5 Домен 5: Правни и усогласеност

Цел: Обезбедување усогласеност со регулативи за заштита на податоци.

ENISA референца: Чекор 11 од "Cybersecurity Guide for SMEs"

Контроли:

IDПрашање
5.1Дали организацијата е усогласена со Законот за заштита на лични податоци?
5.2Дали постојат политики за управување со податоци?
5.3Дали се следат индустриски стандарди и регулативи?

4.1.6 Домен 6: Трета страна и усогласеност

Цел: Управување со ризици од добавувачи и партнери.

ENISA референца: Чекор 12 од "Cybersecurity Guide for SMEs"

Контроли:

IDПрашање
6.1Дали се проверуваат добавувачите за безбедносни практики?
6.2Дали договорите со добавувачи вклучуваат безбедносни барања?
6.3Дали се следат пристапите на трети страни до системите?
6.4Дали постојат процедури за известување за инциденти од добавувачи?

4.2 ENISA референтна рамка за ММСП

4.2.1 12 чекори за обезбедување на вашиот бизнис

ENISA водичот "Cybersecurity Guide for SMEs - 12 Steps to Securing Your Business" (2021) е основа за MSME проценката:

ЧекорОписMSME домен
1Развијте култура за сајбер безбедност1
2Спроведете редовни ревизии1
3Обезбедете обука за вработените2
4Воспоставете политики за лозинки2
5Заштитете ги уредите3
6Ажурирајте го софтверот3
7Заштитете ја мрежата3
8Имплементирајте шифрирање3
9Правете резервни копии4
10Планирајте за инциденти4
11Следете ги регулативите5
12Управувајте со добавувачите6

4.2.2 Приоритетни контроли за мали претпријатија

За мали претпријатија со ограничени ресурси, препорачуваме фокус на следните приоритети:

Критични (прва фаза):

  • Редовни резервни копии (1.4)
  • Политика за лозинки (2.2)
  • Ажурирање на софтвер (3.2)
  • Антивирус/EDR (3.3)
  • Firewall (3.5)

Високи (втора фаза):

  • Назначено одговорно лице (1.1)
  • Обука за вработени (2.1)
  • Безбедна конфигурација (3.1)
  • План за инциденти (1.3)

Средни (трета фаза):

  • Процена на ризик (1.2)
  • Проверки на добавувачи (6.1)
  • Континуитет на работењето (4.1)

4.3 Систем за оценување

4.3.1 Нивоа на имплементација

MSME проценката користи 3 нивоа на зрелост:

MSME НИВОА НА ЗРЕЛОСТ

Expert (Експертско) — 100%
Формален комитет или тим за сајбер безбедност со документирани процедури. Проактивен пристап со континуирано подобрување.

Advanced (Напредно) — 66%
Јасно дефинирани задачи и редовно известување до раководството. Систематски пристап.

Foundation (Основно) — 33%
Назначено е лице одговорно за сајбер безбедноста. Основни мерки се на место.

None (Не е имплементирано) — 0%

Foundation (Основно) - 33%

Основното ниво претставува минимална имплементација:

  • Назначено е одговорно лице или се знае кој е одговорен
  • Постојат основни мерки, но не се формализирани
  • Реактивен пристап кон безбедноста
  • Ограничена документација

Пример за контрола 1.1:

"Назначено е лице одговорно за сајбер безбедноста"

Advanced (Напредно) - 66%

Напредното ниво претставува формализирана имплементација:

  • Јасно дефинирани улоги и одговорности
  • Редовно известување до раководството
  • Формални политики и процедури
  • Систематски пристап кон безбедноста

Пример за контрола 1.1:

"Одговорното лице има јасно дефинирани задачи и редовно известува до раководството"

Expert (Експертско) - 100%

Експертското ниво претставува оптимална имплементација:

  • Формален тим или комитет за безбедност
  • Документирани и тестирани процедури
  • Проактивен пристап со континуирано подобрување
  • Интеграција со бизнис процесите

Пример за контрола 1.1:

"Постои формален комитет или тим за сајбер безбедност со документирани процедури"

4.3.2 Пресметка на усогласеност

Формула за пресметка:

Вкупна усогласеност = (Σ нивоа на сите контроли) / (максимален број поени)

Пример:
25 контроли × 3 (максимално ниво) = 75 максимални поени
Ако организацијата има 50 поени = 66.7% усогласеност

Тежини по домени:

ДоменБрој контролиТежина (%)
Управување и ризици416%
Луѓе и свесност416%
Технички контроли728%
Континуитет и закрепнување312%
Правни и усогласеност312%
Трета страна416%
ВКУПНО25100%

4. Phase 2: Compliance Assessment (MSME)

4.1 Overview of Domains for Small Enterprises

The MSME assessment is a simplified version intended for micro, small and medium enterprises that are outside the scope of LNIS or wish to voluntarily improve. It is based on the ENISA Guide for SMEs.

Table: Overview of MSME Domains and Controls

#DomainControlsTotal
1Governance and Risks1.1 to 1.44
2People and Awareness2.1 to 2.44
3Technical Controls3.1 to 3.77
4Continuity and Recovery4.1 to 4.33
5Legal and Compliance5.1 to 5.33
6Third Party and Compliance6.1 to 6.44
TOTAL25

4.1.1 Domain 1: Governance and Risks

Objective: Strategic oversight and risk-based approach for managing cyber security.

ENISA Reference: Steps 1-2 from "Cybersecurity Guide for SMEs"

Controls:

IDQuestion
1.1Is there a designated person responsible for cyber security in your organization?
1.2Is there a cyber security risk assessment in your organization?
1.3Is there a security incident response plan?
1.4Are regular backups of critical data being performed?

4.1.2 Domain 2: People and Awareness

Objective: Building a cyber security culture and raising employee awareness.

ENISA Reference: Steps 3-4 from "Cybersecurity Guide for SMEs"

Controls:

IDQuestion
2.1Are employees regularly trained on the latest cyber threats?
2.2Are there clear password usage policies?
2.3Do employees know how to report security incidents?
2.4Are background checks conducted when hiring new personnel?

4.1.3 Domain 3: Technical Controls

Objective: Implementation of technical measures to protect systems and data.

ENISA Reference: Steps 5-8 from "Cybersecurity Guide for SMEs"

Controls:

IDQuestion
3.1Are devices and systems securely configured (default passwords removed, unnecessary services disabled)?
3.2Are systems and software regularly updated?
3.3Do all endpoints have managed protection (AV/EDR) and basic controls (USB, administrator rights)?
3.4Are phishing/malicious sites blocked and is email filtered?
3.5Is a firewall configured and are critical systems segregated where possible?
3.6Is encryption used for sensitive data?
3.7Is remote access secure (VPN, MFA)?

4.1.4 Domain 4: Continuity and Recovery

Objective: Ensuring the ability to recover after cyber incidents.

ENISA Reference: Steps 9-10 from "Cybersecurity Guide for SMEs"

Controls:

IDQuestion
4.1Is there a business continuity plan?
4.2Are backups tested regularly?
4.3Are there defined disaster recovery procedures?

4.1.5 Domain 5: Legal and Compliance

Objective: Ensuring compliance with data protection regulations.

ENISA Reference: Step 11 from "Cybersecurity Guide for SMEs"

Controls:

IDQuestion
5.1Is the organization compliant with the Personal Data Protection Law?
5.2Are there data management policies?
5.3Are industry standards and regulations followed?

4.1.6 Domain 6: Third Party and Compliance

Objective: Managing risks from suppliers and partners.

ENISA Reference: Step 12 from "Cybersecurity Guide for SMEs"

Controls:

IDQuestion
6.1Are suppliers checked for security practices?
6.2Do supplier contracts include security requirements?
6.3Are third-party accesses to systems monitored?
6.4Are there procedures for incident reporting from suppliers?

4.2 ENISA Reference Framework for SMEs

4.2.1 12 Steps to Securing Your Business

The ENISA guide "Cybersecurity Guide for SMEs - 12 Steps to Securing Your Business" (2021) is the basis for the MSME assessment:

StepDescriptionMSME Domain
1Develop a cyber security culture1
2Conduct regular audits1
3Provide employee training2
4Establish password policies2
5Protect devices3
6Update software3
7Protect the network3
8Implement encryption3
9Perform backups4
10Plan for incidents4
11Follow regulations5
12Manage suppliers6

4.2.2 Priority Controls for Small Enterprises

For small enterprises with limited resources, we recommend focusing on the following priorities:

Critical (first phase):

  • Regular backups (1.4)
  • Password policy (2.2)
  • Software updates (3.2)
  • Antivirus/EDR (3.3)
  • Firewall (3.5)

High (second phase):

  • Designated responsible person (1.1)
  • Employee training (2.1)
  • Secure configuration (3.1)
  • Incident response plan (1.3)

Medium (third phase):

  • Risk assessment (1.2)
  • Supplier checks (6.1)
  • Business continuity (4.1)

4.3 Scoring System

4.3.1 Implementation Levels

The MSME assessment uses 3 maturity levels:

MSME MATURITY LEVELS

Expert (Expert) — 100%
A formal cyber security committee or team with documented procedures. Proactive approach with continuous improvement.

Advanced (Advanced) — 66%
Clearly defined tasks and regular reporting to management. Systematic approach.

Foundation (Foundation) — 33%
A person responsible for cyber security has been designated. Basic measures are in place.

None (Not implemented) — 0%

Foundation - 33%

The foundation level represents minimal implementation:

  • A responsible person is designated or it is known who is responsible
  • Basic measures exist but are not formalized
  • Reactive approach to security
  • Limited documentation

Example for control 1.1:

"A person responsible for cyber security has been designated"

Advanced - 66%

The advanced level represents formalized implementation:

  • Clearly defined roles and responsibilities
  • Regular reporting to management
  • Formal policies and procedures
  • Systematic approach to security

Example for control 1.1:

"The responsible person has clearly defined tasks and regularly reports to management"

Expert - 100%

The expert level represents optimal implementation:

  • Formal security team or committee
  • Documented and tested procedures
  • Proactive approach with continuous improvement
  • Integration with business processes

Example for control 1.1:

"A formal cyber security committee or team with documented procedures exists"

4.3.2 Compliance Calculation

Calculation formula:

Total compliance = (Σ levels of all controls) / (maximum number of points)

Example:
25 controls × 3 (maximum level) = 75 maximum points
If the organization has 50 points = 66.7% compliance

Weights by domain:

DomainNumber of ControlsWeight (%)
Governance and Risks416%
People and Awareness416%
Technical Controls728%
Continuity and Recovery312%
Legal and Compliance312%
Third Party416%
TOTAL25100%

4. Faza 2: Vleresimi i perputhshmerise (MSME)

4.1 Pasqyre e domeneve per ndermarrjet e vogla

Vleresimi MSME eshte nje version i thjeshtuar i destinuar per mikro, ndermarrjet e vogla dhe te mesme qe jane jashte fushes se LSRIM ose deshirojne permiresim vullnetar. Bazohet ne udherrefersin e ENISA per NVM.

Tabela: Pasqyre e domeneve dhe kontrolleve MSME

#DominiKontrolletGjithsej
1Qeverisja dhe rreziqet1.1 deri 1.44
2Njerezit dhe ndergjegjesimi2.1 deri 2.44
3Kontrollet teknike3.1 deri 3.77
4Vazhdimesia dhe rimekembja4.1 deri 4.33
5Ligjore dhe perputhshmeria5.1 deri 5.33
6Pala e trete dhe perputhshmeria6.1 deri 6.44
GJITHSEJ25

4.1.1 Domini 1: Qeverisja dhe rreziqet

Qellimi: Mbikqyrja strategjike dhe qasja e bazuar ne rrezik per menaxhimin e sigurise kibernetike.

Referenca ENISA: Hapat 1-2 nga "Cybersecurity Guide for SMEs"

Kontrollet:

IDPyetja
1.1A ka nje person te caktuar pergjegjes per sigurine kibernetike ne organizaten tuaj?
1.2A ekziston nje vleresim i rrezikut te sigurise kibernetike ne organizaten tuaj?
1.3A ekziston nje plan per pergjigje ndaj incidenteve te sigurise?
1.4A kryhen rregullisht kopje rezerve te te dhenave kritike?

4.1.2 Domini 2: Njerezit dhe ndergjegjesimi

Qellimi: Ndertimi i nje kulture per sigurine kibernetike dhe rritja e ndergjegjesimit te punonjesve.

Referenca ENISA: Hapat 3-4 nga "Cybersecurity Guide for SMEs"

Kontrollet:

IDPyetja
2.1A trajnohen rregullisht punonjesit per kercenimet me te reja kibernetike?
2.2A ekzistojne politika te qarta per perdorimin e fjalekalimeve?
2.3A dine punonjesit si te raportojne incidentet e sigurise?
2.4A kryhen kontrolle te sfondit gjate punesimit te personelit te ri?

4.1.3 Domini 3: Kontrollet teknike

Qellimi: Implementimi i masave teknike per mbrojtjen e sistemeve dhe te dhenave.

Referenca ENISA: Hapat 5-8 nga "Cybersecurity Guide for SMEs"

Kontrollet:

IDPyetja
3.1A jane pajisjet dhe sistemet e konfiguruara ne menyre te sigurt (fjalekalime standarde te hequra, sherbime te panevojshme te caktivizuara)?
3.2A perditsohen rregullisht sistemet dhe softueri?
3.3A kane te gjitha pikat fundore mbrojtje te menaxhuar (AV/EDR) dhe kontrolle baze (USB, te drejta administratori)?
3.4A jane te bllokuara faqet phishing/keqdashese dhe a filtrohet emaili?
3.5A eshte konfiguruar firewall dhe a jane sistemet kritike te ndara aty ku eshte e mundur?
3.6A perdoret enkriptimi per te dhenat e ndjeshme?
3.7A eshte aksesi ne distance i sigurt (VPN, MFA)?

4.1.4 Domini 4: Vazhdimesia dhe rimekembja

Qellimi: Sigurimi i aftesise per rimekembje pas incidenteve kibernetike.

Referenca ENISA: Hapat 9-10 nga "Cybersecurity Guide for SMEs"

Kontrollet:

IDPyetja
4.1A ekziston nje plan per vazhdimesine e biznesit?
4.2A testohen rregullisht kopjet rezerve?
4.3A ka procedura te percaktuara per rimekembjen nga katastrofat?

4.1.5 Domini 5: Ligjore dhe perputhshmeria

Qellimi: Sigurimi i perputhshmerise me rregulloret per mbrojtjen e te dhenave.

Referenca ENISA: Hapi 11 nga "Cybersecurity Guide for SMEs"

Kontrollet:

IDPyetja
5.1A eshte organizata ne perputhje me Ligjin per Mbrojtjen e te Dhenave Personale?
5.2A ekzistojne politika per menaxhimin e te dhenave?
5.3A ndiqen standardet dhe rregulloret e industrise?

4.1.6 Domini 6: Pala e trete dhe perputhshmeria

Qellimi: Menaxhimi i rreziqeve nga furnitoret dhe partneret.

Referenca ENISA: Hapi 12 nga "Cybersecurity Guide for SMEs"

Kontrollet:

IDPyetja
6.1A kontrollohen furnitoret per praktikat e sigurise?
6.2A perfshijne kontratat me furnitoret kerkesa sigurie?
6.3A monitorohen akseset e paleve te treta ne sisteme?
6.4A ekzistojne procedura per raportimin e incidenteve nga furnitoret?

4.2 Korniza referuese ENISA per NVM

4.2.1 12 hapa per sigurimin e biznesit tuaj

Udherrefersi i ENISA "Cybersecurity Guide for SMEs - 12 Steps to Securing Your Business" (2021) eshte baza per vleresimin MSME:

HapiPershkrimiDomini MSME
1Zhvilloni nje kulture per sigurine kibernetike1
2Kryeni auditime te rregullta1
3Siguroni trajnim per punonjesit2
4Vendosni politika per fjalekalime2
5Mbroni pajisjet3
6Perditsoni softuerin3
7Mbroni rrjetin3
8Implementoni enkriptimin3
9Beni kopje rezerve4
10Planifikoni per incidentet4
11Ndiqni rregulloret5
12Menaxhoni furnitoret6

4.2.2 Kontrollet prioritare per ndermarrjet e vogla

Per ndermarrjet e vogla me burime te kufizuara, rekomandojme fokusim ne prioritetet e meposhtme:

Kritike (faza e pare):

  • Kopje rezerve te rregullta (1.4)
  • Politika e fjalekalimeve (2.2)
  • Perditesimi i softuerit (3.2)
  • Antivirus/EDR (3.3)
  • Firewall (3.5)

Te larta (faza e dyte):

  • Person pergjegjes i caktuar (1.1)
  • Trajnimi i punonjesve (2.1)
  • Konfigurim i sigurt (3.1)
  • Plan per pergjigje ndaj incidenteve (1.3)

Te mesme (faza e trete):

  • Vleresimi i rrezikut (1.2)
  • Kontrolli i furnitoreve (6.1)
  • Vazhdimesia e biznesit (4.1)

4.3 Sistemi i vleresimit

4.3.1 Nivelet e implementimit

Vleresimi MSME perdor 3 nivele pjekurie:

NIVELET E PJEKURISE MSME

Expert (Ekspert) — 100%
Komitet ose ekip formal per sigurine kibernetike me procedura te dokumentuara. Qasje proaktive me permiresim te vazhdueshem.

Advanced (I avancuar) — 66%
Detyra te percaktuara qarte dhe raportim i rregullt tek menaxhmenti. Qasje sistematike.

Foundation (Baze) — 33%
Eshte caktuar nje person pergjegjes per sigurine kibernetike. Masat baze jane ne vend.

None (E pa implementuar) — 0%

Foundation (Baze) - 33%

Niveli baze perfaqeson implementimin minimal:

  • Eshte caktuar nje person pergjegjes ose dihet kush eshte pergjegjes
  • Ekzistojne masa baze, por nuk jane formalizuara
  • Qasje reaktive ndaj sigurise
  • Dokumentim i kufizuar

Shembull per kontrollen 1.1:

"Eshte caktuar nje person pergjegjes per sigurine kibernetike"

Advanced (I avancuar) - 66%

Niveli i avancuar perfaqeson implementimin e formalizuar:

  • Role dhe pergjegjesira te percaktuara qarte
  • Raportim i rregullt tek menaxhmenti
  • Politika dhe procedura formale
  • Qasje sistematike ndaj sigurise

Shembull per kontrollen 1.1:

"Personi pergjegjes ka detyra te percaktuara qarte dhe raporton rregullisht tek menaxhmenti"

Expert (Ekspert) - 100%

Niveli ekspert perfaqeson implementimin optimal:

  • Ekip ose komitet formal per sigurine
  • Procedura te dokumentuara dhe te testuara
  • Qasje proaktive me permiresim te vazhdueshem
  • Integrim me proceset e biznesit

Shembull per kontrollen 1.1:

"Ekziston nje komitet ose ekip formal per sigurine kibernetike me procedura te dokumentuara"

4.3.2 Llogaritja e perputhshmerise

Formula e llogaritjes:

Perputhshmeria totale = (Σ nivelet e te gjitha kontrolleve) / (numri maksimal i pikeve)

Shembull:
25 kontrolle × 3 (niveli maksimal) = 75 pike maksimale
Nese organizata ka 50 pike = 66.7% perputhshmeri

Peshat sipas domeneve:

DominiNumri i kontrollevePesha (%)
Qeverisja dhe rreziqet416%
Njerezit dhe ndergjegjesimi416%
Kontrollet teknike728%
Vazhdimesia dhe rimekembja312%
Ligjore dhe perputhshmeria312%
Pala e trete416%
GJITHSEJ25100%

5. Фаза 3: Резултати и анализа

5.1 Приказ на резултати

5.1.1 Вкупен резултат на усогласеност

Апликацијата генерира вкупен резултат изразен во проценти:

Формула за пресметка

Вкупна усогласеност = (Σ нивоа на сите контроли) / (максимален број поени) Пример: - 25 контроли × 3 (максимално ниво) = 75 максимални поени - Ако организацијата има 50 поени = 66.7% усогласеност

Тежини по домени (MSME проценка)

ДоменБрој контролиТежина (%)
Управување и ризици416%
Луѓе и свесност416%
Технички контроли728%
Континуитет и закрепнување312%
Правни и усогласеност312%
Трета страна416%
ВКУПНО25100%

Визуелен приказ на вкупна усогласеност

┌─────────────────────────────────────────────────────────────────┐ │ ВКУПНА УСОГЛАСЕНОСТ │ ├─────────────────────────────────────────────────────────────────┤ │ │ │ ████████████████████████████████████░░░░░░░░░░░░ │ │ │ │ 68% │ │ │ │ Статус: СРЕДЕН РИЗИК │ │ │ │ Потребно: Подобрување во 3 критични домени │ │ │ └─────────────────────────────────────────────────────────────────┘

Интерпретација на резултатот

ОпсегСтатусПрепорака
90-100%ОдличноОдржување и континуирано подобрување
75-89%ДоброФокус на специфични области
50-74%Среден ризикПриоритетно подобрување потребно
25-49%Висок ризикИтни мерки потребни
0-24%КритичноИтна интервенција

5.1.2 Резултати по домени

Резултатите се прикажуваат за секој домен посебно:

BMIS проценка (12 домени):

#ДоменРезултатСтатус
1Управување, Лидерство и Одговорност75%✓ Добро
2Управување со Ризици50%⚠ Среден ризик
3Правна Усогласеност80%✓ Добро
4Средства и Информации60%⚠ Среден ризик
5Идентификација и Пристап85%✓ Добро
6Свесност и Обука40%✗ Висок ризик
7Развој и Промени55%⚠ Среден ризик
8Синџир на Снабдување45%✗ Висок ризик
9Техничка Заштита70%✓ Добро
10Ранливости65%⚠ Среден ризик
11Одговор на Инциденти55%⚠ Среден ризик
12Отпорност и Обнова60%⚠ Среден ризик

5.1.3 Радар дијаграм на зрелост

Апликацијата генерира интерактивен радар дијаграм кој визуелно ги прикажува резултатите по домени:

Домен 1 │ ▲ │ ▲ / │ \ / │ \ Домен 12 │ Домен 2 \ │ / \ │ / \ │ / Домен 11 ─────●──●──●───── Домен 3 / │ \ / │ \ / │ \ Домен 10 │ Домен 4 \ │ / \ │ / ▼ │ ▼ │ Домен 9 ──────┼────── Домен 5 │ Домен 6 │ Домен 7 │ Домен 8

5.2 Патоказ за подобрување

5.2.1 Приоритетни области за подобрување

Апликацијата автоматски генерира приоритизирана листа на подобрувања:

Критични (Итна акција потребна):
  • AWARE-01: Програма за свесност (40% → 75%)
    - Ризик: Висок | Време: 2-3 месеци | Трошок: Среден
  • SUPP-01: Политика за синџир на снабдување (45% → 75%)
    - Ризик: Висок | Време: 1-2 месеци | Трошок: Низок
Високи (Краткорочно):
  • RISK-02: Редовна процена на ризици (50% → 75%)
  • IR-01: План за одговор на инциденти (55% → 75%)
Средни (Среднорочно):
  • DEV-01: Политики за безбедно програмирање (55% → 75%)
  • RES-02: План за континуитет (60% → 75%)

5.2.2 Проценка на потребно време и ресурси

ПодобрувањеВремеТрошокСложеност
L1 → L23-6 месециНизок до среденНиска
L2 → L36-12 месециСреденСредна
L3 → L412-24 месециВисокВисока

5.2.3 Препорачани следни чекори

Краткорочно (0-3 месеци):

  1. Адресирање на критични празнини
  2. Спроведување на итни технички мерки
  3. Известување на раководството

Среднорочно (3-12 месеци):

  1. Формализирање на политики и процедури
  2. Имплементација на програма за обука
  3. Воспоставување на редовни прегледи

Долгорочно (12+ месеци):

  1. Интеграција со бизнис процесите
  2. Автоматизација каде е возможно
  3. Континуирано подобрување

5.3 Правни обврски

5.3.1 Обврски за СУШТИНСКИ субјекти

ОбврскаЧленРокСанкција
Регистрација273 месециДо 2% од промет
Мерки за безбедност31-3212 месециДо 2% од промет
Известување за инциденти333h/24h/72h/1 месецДо 2% од промет
Годишна ревизија35ГодишноДо 1% од промет
Раководна одговорност29ПостојаноЛична одговорност

5.3.2 Обврски за ВАЖНИ субјекти

ОбврскаЧленРокСанкција
Регистрација273 месециДо 1.4% од промет
Мерки за безбедност31-3212 месециДо 1.4% од промет
Известување за инциденти333h/24h/72h/1 месецДо 1.4% од промет
Раководна одговорност29ПостојаноЛична одговорност

5.3.3 Рокови за усогласување

Временска линија:

Јули 2025 Октомври 2025 Јули 2026 │ │ │ │ Закон донесен │ Регистрација │ Полна усогласеност │ (Сл. весник │ завршува │ потребна │ 135/2025) │ │ ▼ ▼ ▼ ──●───────────────────●───────────────────●──────────────────→ 3 месеци 12 месеци за регистрација за технички мерки

5. Phase 3: Results and Analysis

5.1 Displaying Results

5.1.1 Overall Compliance Score

The application generates an overall score expressed as a percentage:

Calculation Formula

Overall Compliance = (Σ levels of all controls) / (maximum possible points) Example: - 25 controls × 3 (maximum level) = 75 maximum points - If the organization has 50 points = 66.7% compliance

Domain Weights (MSME Assessment)

DomainNumber of ControlsWeight (%)
Governance and Risks416%
People and Awareness416%
Technical Controls728%
Continuity and Recovery312%
Legal and Compliance312%
Third Party416%
TOTAL25100%

Visual Display of Overall Compliance

┌─────────────────────────────────────────────────────────────────┐ │ OVERALL COMPLIANCE │ ├─────────────────────────────────────────────────────────────────┤ │ │ │ ████████████████████████████████████░░░░░░░░░░░░ │ │ │ │ 68% │ │ │ │ Status: MEDIUM RISK │ │ │ │ Required: Improvement in 3 critical domains │ │ │ └─────────────────────────────────────────────────────────────────┘

Score Interpretation

RangeStatusRecommendation
90-100%ExcellentMaintenance and continuous improvement
75-89%GoodFocus on specific areas
50-74%Medium riskPriority improvement needed
25-49%High riskUrgent measures needed
0-24%CriticalImmediate intervention

5.1.2 Results by Domain

Results are displayed for each domain individually:

BMIS Assessment (12 domains):

#DomainScoreStatus
1Governance, Leadership and Accountability75%✓ Good
2Risk Management50%⚠ Medium risk
3Legal Compliance80%✓ Good
4Assets and Information60%⚠ Medium risk
5Identification and Access85%✓ Good
6Awareness and Training40%✗ High risk
7Development and Changes55%⚠ Medium risk
8Supply Chain45%✗ High risk
9Technical Protection70%✓ Good
10Vulnerabilities65%⚠ Medium risk
11Incident Response55%⚠ Medium risk
12Resilience and Recovery60%⚠ Medium risk

5.1.3 Maturity Radar Diagram

The application generates an interactive radar diagram that visually displays the results by domain:

Domain 1 │ ▲ │ ▲ / │ \ / │ \ Domain 12 │ Domain 2 \ │ / \ │ / \ │ / Domain 11 ─────●──●──●───── Domain 3 / │ \ / │ \ / │ \ Domain 10 │ Domain 4 \ │ / \ │ / ▼ │ ▼ │ Domain 9 ──────┼────── Domain 5 │ Domain 6 │ Domain 7 │ Domain 8

5.2 Improvement Roadmap

5.2.1 Priority Areas for Improvement

The application automatically generates a prioritized list of improvements:

Critical (Urgent Action Required):
  • AWARE-01: Awareness Program (40% → 75%)
    - Risk: High | Time: 2-3 months | Cost: Medium
  • SUPP-01: Supply Chain Policy (45% → 75%)
    - Risk: High | Time: 1-2 months | Cost: Low
High (Short-term):
  • RISK-02: Regular Risk Assessment (50% → 75%)
  • IR-01: Incident Response Plan (55% → 75%)
Medium (Mid-term):
  • DEV-01: Secure Development Policies (55% → 75%)
  • RES-02: Continuity Plan (60% → 75%)

5.2.2 Estimated Time and Resources

ImprovementTimeCostComplexity
L1 → L23-6 monthsLow to mediumLow
L2 → L36-12 monthsMediumMedium
L3 → L412-24 monthsHighHigh

5.2.3 Recommended Next Steps

Short-term (0-3 months):

  1. Address critical gaps
  2. Implement urgent technical measures
  3. Notify management

Mid-term (3-12 months):

  1. Formalize policies and procedures
  2. Implement a training program
  3. Establish regular reviews

Long-term (12+ months):

  1. Integration with business processes
  2. Automation where possible
  3. Continuous improvement

5.3 Legal Obligations

5.3.1 Obligations for ESSENTIAL Entities

ObligationArticleDeadlineSanction
Registration273 monthsUp to 2% of turnover
Security measures31-3212 monthsUp to 2% of turnover
Incident reporting333h/24h/72h/1 monthUp to 2% of turnover
Annual audit35AnnuallyUp to 1% of turnover
Management responsibility29OngoingPersonal liability

5.3.2 Obligations for IMPORTANT Entities

ObligationArticleDeadlineSanction
Registration273 monthsUp to 1.4% of turnover
Security measures31-3212 monthsUp to 1.4% of turnover
Incident reporting333h/24h/72h/1 monthUp to 1.4% of turnover
Management responsibility29OngoingPersonal liability

5.3.3 Compliance Deadlines

Timeline:

July 2025 October 2025 July 2026 │ │ │ │ Law enacted │ Registration │ Full compliance │ (Official │ deadline │ required │ Gazette │ │ │ 135/2025) │ │ ▼ ▼ ▼ ──●───────────────────●───────────────────●──────────────────→ 3 months 12 months for registration for technical measures

5. Faza 3: Rezultatet dhe Analiza

5.1 Shfaqja e rezultateve

5.1.1 Rezultati i përgjithshëm i përputhshmërisë

Aplikacioni gjeneron një rezultat të përgjithshëm të shprehur në përqindje:

Formula e llogaritjes

Përputhshmëria e përgjithshme = (Σ nivelet e të gjitha kontrolleve) / (pikët maksimale të mundshme) Shembull: - 25 kontrolle × 3 (niveli maksimal) = 75 pikë maksimale - Nëse organizata ka 50 pikë = 66.7% përputhshmëri

Peshat sipas fushave (Vlerësimi MSME)

FushaNumri i kontrollevePesha (%)
Qeverisja dhe rreziqet416%
Njerëzit dhe ndërgjegjësimi416%
Kontrollet teknike728%
Vazhdimësia dhe rikuperimi312%
Ligjore dhe përputhshmëria312%
Pala e tretë416%
GJITHSEJ25100%

Paraqitja vizuale e përputhshmërisë së përgjithshme

┌─────────────────────────────────────────────────────────────────┐ │ PËRPUTHSHMËRIA E PËRGJITHSHME │ ├─────────────────────────────────────────────────────────────────┤ │ │ │ ████████████████████████████████████░░░░░░░░░░░░ │ │ │ │ 68% │ │ │ │ Statusi: RREZIK I MESËM │ │ │ │ Nevojitet: Përmirësim në 3 fusha kritike │ │ │ └─────────────────────────────────────────────────────────────────┘

Interpretimi i rezultatit

DiapazoniStatusiRekomandimi
90-100%ShkëlqyeshëmMirëmbajtje dhe përmirësim i vazhdueshëm
75-89%MirëFokus në fusha specifike
50-74%Rrezik i mesëmPërmirësim prioritar i nevojshëm
25-49%Rrezik i lartëMasa urgjente të nevojshme
0-24%KritikeNdërhyrje e menjëhershme

5.1.2 Rezultatet sipas fushave

Rezultatet shfaqen për secilën fushë veç e veç:

Vlerësimi BMIS (12 fusha):

#FushaRezultatiStatusi
1Qeverisja, Udhëheqja dhe Përgjegjësia75%✓ Mirë
2Menaxhimi i Rreziqeve50%⚠ Rrezik i mesëm
3Përputhshmëria Ligjore80%✓ Mirë
4Asetet dhe Informacionet60%⚠ Rrezik i mesëm
5Identifikimi dhe Aksesi85%✓ Mirë
6Ndërgjegjësimi dhe Trajnimi40%✗ Rrezik i lartë
7Zhvillimi dhe Ndryshimet55%⚠ Rrezik i mesëm
8Zinxhiri i Furnizimit45%✗ Rrezik i lartë
9Mbrojtja Teknike70%✓ Mirë
10Dobësitë65%⚠ Rrezik i mesëm
11Reagimi ndaj Incidenteve55%⚠ Rrezik i mesëm
12Qëndrueshmëria dhe Rikuperimi60%⚠ Rrezik i mesëm

5.1.3 Diagrami Radar i Maturitetit

Aplikacioni gjeneron një diagram radar interaktiv që paraqet vizualisht rezultatet sipas fushave:

Fusha 1 │ ▲ │ ▲ / │ \ / │ \ Fusha 12 │ Fusha 2 \ │ / \ │ / \ │ / Fusha 11 ─────●──●──●───── Fusha 3 / │ \ / │ \ / │ \ Fusha 10 │ Fusha 4 \ │ / \ │ / ▼ │ ▼ │ Fusha 9 ──────┼────── Fusha 5 │ Fusha 6 │ Fusha 7 │ Fusha 8

5.2 Udhërrëfyesi për përmirësim

5.2.1 Fushat prioritare për përmirësim

Aplikacioni gjeneron automatikisht një listë të prioritizuar të përmirësimeve:

Kritike (Veprim i menjëhershëm i nevojshëm):
  • AWARE-01: Programi i ndërgjegjësimit (40% → 75%)
    - Rreziku: I lartë | Koha: 2-3 muaj | Kostoja: E mesme
  • SUPP-01: Politika e zinxhirit të furnizimit (45% → 75%)
    - Rreziku: I lartë | Koha: 1-2 muaj | Kostoja: E ulët
Të larta (Afatshkurtra):
  • RISK-02: Vlerësimi i rregullt i rreziqeve (50% → 75%)
  • IR-01: Plani i reagimit ndaj incidenteve (55% → 75%)
Të mesme (Afatmesme):
  • DEV-01: Politikat e zhvillimit të sigurt (55% → 75%)
  • RES-02: Plani i vazhdimësisë (60% → 75%)

5.2.2 Vlerësimi i kohës dhe burimeve të nevojshme

PërmirësimiKohaKostojaKompleksiteti
L1 → L23-6 muajE ulët deri mesmeI ulët
L2 → L36-12 muajE mesmeI mesëm
L3 → L412-24 muajE lartëI lartë

5.2.3 Hapat e ardhshëm të rekomanduar

Afatshkurtra (0-3 muaj):

  1. Adresimi i boshllëqeve kritike
  2. Zbatimi i masave urgjente teknike
  3. Njoftimi i menaxhmentit

Afatmesme (3-12 muaj):

  1. Formalizimi i politikave dhe procedurave
  2. Implementimi i programit të trajnimit
  3. Vendosja e rishikimeve të rregullta

Afatgjata (12+ muaj):

  1. Integrimi me proceset e biznesit
  2. Automatizimi aty ku është e mundur
  3. Përmirësimi i vazhdueshëm

5.3 Detyrimet ligjore

5.3.1 Detyrimet për subjektet THELBËSORE

DetyrimiNeniAfatiSanksioni
Regjistrimi273 muajDeri në 2% të qarkullimit
Masat e sigurisë31-3212 muajDeri në 2% të qarkullimit
Raportimi i incidenteve333h/24h/72h/1 muajDeri në 2% të qarkullimit
Auditimi vjetor35VjetoreDeri në 1% të qarkullimit
Përgjegjësia e menaxhmentit29E përhershmePërgjegjësi personale

5.3.2 Detyrimet për subjektet E RËNDËSISHME

DetyrimiNeniAfatiSanksioni
Regjistrimi273 muajDeri në 1.4% të qarkullimit
Masat e sigurisë31-3212 muajDeri në 1.4% të qarkullimit
Raportimi i incidenteve333h/24h/72h/1 muajDeri në 1.4% të qarkullimit
Përgjegjësia e menaxhmentit29E përhershmePërgjegjësi personale

5.3.3 Afatet e përputhshmërisë

Linja kohore:

Korrik 2025 Tetor 2025 Korrik 2026 │ │ │ │ Ligji miratuar │ Afati i │ Përputhshmëria e plotë │ (Gazeta │ regjistrimit │ e nevojshme │ Zyrtare │ përfundon │ │ 135/2025) │ │ ▼ ▼ ▼ ──●───────────────────●───────────────────●──────────────────→ 3 muaj 12 muaj për regjistrim për masat teknike

6. Фаза 4: Извештај

6.1 Содржина на извештајот

6.1.1 Резиме за раководството

Извештајот вклучува резиме за раководството со следните елементи:

Клучни информации:

  • Датум на проценка
  • Тип на проценка (BMIS/MSME)
  • Класификација на субјектот (СУШТИНСКИ / ВАЖЕН / ВОН ОПСЕГ)
  • Вкупен резултат на усогласеност
  • Број на критични празнини

Наоди:

  • Топ 5 ризици
  • Области со најдобри резултати
  • Области кои бараат итна акција

Препораки:

  • Приоритетни активности за следните 30/60/90 дена
  • Процена на потребни инвестиции
  • Временска рамка за постигнување усогласеност

6.1.2 Детални резултати по домени

За секој домен се генерираат:

Општи информации:

  • Име и опис на доменот
  • Број на контроли
  • Просечен резултат

Детали по контроли:

  • ID и опис на контролата
  • Тековно ниво на зрелост
  • Целно ниво на зрелост
  • Празнина (gap)
  • Препораки за подобрување

Правни референци:

  • Релевантни членови од ЗБМИС
  • Референци кон NIS2 Директивата
  • ISO/IEC 27001 контроли

6.1.3 Препораки за подобрување

Извештајот вклучува приоритизирани препораки:

ПриоритетКонтролаТековноЦелноПрепорака
1AWARE-01L1L3Развијте формална програма за свесност
2SUPP-01L1L2Дефинирајте политика за добавувачи
3RISK-02L2L3Воспоставете квартална процена на ризици

6.2 Формати на извештај

6.2.1 PDF извештај

Структура на PDF извештајот:

  1. Насловна страница
    • Име на организацијата
    • Датум на проценка
    • Верзија на документот
  2. Резиме за раководството (1-2 страници)
  3. Класификација на субјектот (1 страница)
  4. Резултати по домени (2-4 страници)
  5. Детален патоказ (3-5 страници)
  6. Правни референци (1-2 страници)
  7. Анекси
    • Комплетни одговори
    • Методологија

6.2.2 JSON извоз на податоци

Апликацијата овозможува извоз на податоците во JSON формат за:

  • Интеграција со други системи
  • Споредба на проценки
  • Архивирање

Пример на JSON структура:

{ "assessment": { "id": "uuid-1234", "date": "2026-02-14", "type": "BMIS", "version": "12.7.4" }, "classification": { "designation": "ESSENTIAL", "sector": "Енергетика", "nkdCode": "35.11", "employees": 300, "turnover": 55000000 }, "results": { "overallScore": 68, "domains": [ { "id": "domain_1", "name": "Управување, Лидерство и Одговорност", "score": 75, "controls": [ { "id": "GOV-01", "level": 3, "maxLevel": 4 } ] } ] }, "recommendations": [ { "priority": 1, "controlId": "AWARE-01", "currentLevel": 1, "targetLevel": 3, "timeframe": "3-6 months" } ] }

6.3 Употреба на извештајот

6.3.1 Интерна анализа

Цели:

  • Идентификација на слабости
  • Планирање на подобрувања
  • Алокација на ресурси
  • Следење на напредок

Препорачан пристап:

  1. Презентирајте го резимето на раководството
  2. Дискутирајте ги приоритетите со релевантни тимови
  3. Развијте акционен план
  4. Поставете рокови и одговорни лица
  5. Закажете повторна проценка

6.3.2 Подготовка за надворешна ревизија

Документација за ревизори:

  • Комплетен извештај од самооценување
  • Докази за имплементирани контроли
  • План за третман на празнини
  • Временска рамка за постигнување усогласеност

Подготовка:

  1. Прегледајте ги резултатите од проценката
  2. Обезбедете докази за секоја контрола
  3. Документирајте ги плановите за подобрување
  4. Подгответе ја документацијата за регулаторот

6.3.3 Известување до регулаторни тела

Член 33 од ЗБМИС - Известување за инциденти

Субјектите се должни да известуваат за значајни инциденти:

Рокови за известување при инцидент:
  • Иницијално известување: 3 часа (веднаш, а најдоцна во рок од 3 часа од дознавањето)
  • Рано предупредување: 24 часа
  • Детално известување: 72 часа
  • Финален извештај: 1 месец
За даватели на доверливи услуги:

Известување во рок од 24 часа (член 33(4))

Член 34 од ЗБМИС - Годишни извештаи

Годишен извештај до надзорното тело

Извештај по барање на регулаторот

6. Phase 4: Report

6.1 Report Contents

6.1.1 Executive Summary

The report includes an executive summary with the following elements:

Key Information:

  • Assessment date
  • Assessment type (BMIS/MSME)
  • Entity classification (ESSENTIAL / IMPORTANT / OUT OF SCOPE)
  • Overall compliance score
  • Number of critical gaps

Findings:

  • Top 5 risks
  • Areas with best results
  • Areas requiring urgent action

Recommendations:

  • Priority activities for the next 30/60/90 days
  • Estimated required investments
  • Timeframe for achieving compliance

6.1.2 Detailed Results by Domain

For each domain the following is generated:

General Information:

  • Domain name and description
  • Number of controls
  • Average score

Control Details:

  • Control ID and description
  • Current maturity level
  • Target maturity level
  • Gap
  • Improvement recommendations

Legal References:

  • Relevant articles from LSNIS
  • References to the NIS2 Directive
  • ISO/IEC 27001 controls

6.1.3 Improvement Recommendations

The report includes prioritized recommendations:

PriorityControlCurrentTargetRecommendation
1AWARE-01L1L3Develop a formal awareness program
2SUPP-01L1L2Define a supplier policy
3RISK-02L2L3Establish quarterly risk assessments

6.2 Report Formats

6.2.1 PDF Report

PDF report structure:

  1. Cover Page
    • Organization name
    • Assessment date
    • Document version
  2. Executive Summary (1-2 pages)
  3. Entity Classification (1 page)
  4. Results by Domain (2-4 pages)
  5. Detailed Roadmap (3-5 pages)
  6. Legal References (1-2 pages)
  7. Annexes
    • Complete answers
    • Methodology

6.2.2 JSON Data Export

The application enables data export in JSON format for:

  • Integration with other systems
  • Assessment comparison
  • Archiving

Example JSON structure:

{ "assessment": { "id": "uuid-1234", "date": "2026-02-14", "type": "BMIS", "version": "12.7.4" }, "classification": { "designation": "ESSENTIAL", "sector": "Energy", "nkdCode": "35.11", "employees": 300, "turnover": 55000000 }, "results": { "overallScore": 68, "domains": [ { "id": "domain_1", "name": "Governance, Leadership and Accountability", "score": 75, "controls": [ { "id": "GOV-01", "level": 3, "maxLevel": 4 } ] } ] }, "recommendations": [ { "priority": 1, "controlId": "AWARE-01", "currentLevel": 1, "targetLevel": 3, "timeframe": "3-6 months" } ] }

6.3 Report Usage

6.3.1 Internal Analysis

Objectives:

  • Identification of weaknesses
  • Improvement planning
  • Resource allocation
  • Progress tracking

Recommended approach:

  1. Present the executive summary to management
  2. Discuss priorities with relevant teams
  3. Develop an action plan
  4. Set deadlines and responsible persons
  5. Schedule a reassessment

6.3.2 Preparation for External Audit

Documentation for auditors:

  • Complete self-assessment report
  • Evidence of implemented controls
  • Gap treatment plan
  • Timeframe for achieving compliance

Preparation:

  1. Review the assessment results
  2. Provide evidence for each control
  3. Document improvement plans
  4. Prepare documentation for the regulator

6.3.3 Reporting to Regulatory Bodies

Article 33 of LSNIS - Incident Reporting

Entities are required to report significant incidents:

Incident reporting deadlines:
  • Initial notification: 3 hours (immediately, no later than 3 hours from discovery)
  • Early warning: 24 hours
  • Detailed notification: 72 hours
  • Final report: 1 month
For trust service providers:

Notification within 24 hours (Article 33(4))

Article 34 of LSNIS - Annual Reports

Annual report to the supervisory body

Report upon request of the regulator

6. Faza 4: Raporti

6.1 Përmbajtja e raportit

6.1.1 Përmbledhja ekzekutive

Raporti përfshin një përmbledhje ekzekutive me elementet e mëposhtme:

Informacionet kryesore:

  • Data e vlerësimit
  • Lloji i vlerësimit (BMIS/MSME)
  • Klasifikimi i subjektit (THELBËSOR / I RËNDËSISHËM / JASHTË FUSHËVEPRIMIT)
  • Rezultati i përgjithshëm i përputhshmërisë
  • Numri i boshllëqeve kritike

Gjetjet:

  • 5 rreziqet kryesore
  • Fushat me rezultatet më të mira
  • Fushat që kërkojnë veprim urgjent

Rekomandimet:

  • Aktivitetet prioritare për 30/60/90 ditët e ardhshme
  • Vlerësimi i investimeve të nevojshme
  • Korniza kohore për arritjen e përputhshmërisë

6.1.2 Rezultatet e hollësishme sipas fushave

Për secilën fushë gjenerohen:

Informacione të përgjithshme:

  • Emri dhe përshkrimi i fushës
  • Numri i kontrolleve
  • Rezultati mesatar

Detajet e kontrolleve:

  • ID-ja dhe përshkrimi i kontrollës
  • Niveli aktual i maturitetit
  • Niveli i synuar i maturitetit
  • Boshllëku (gap)
  • Rekomandimet për përmirësim

Referencat ligjore:

  • Nenet relevante nga LSRSI
  • Referencat ndaj Direktivës NIS2
  • Kontrollet ISO/IEC 27001

6.1.3 Rekomandimet për përmirësim

Raporti përfshin rekomandime të prioritizuara:

PrioritetiKontrollaAktualeSynuareRekomandimi
1AWARE-01L1L3Zhvilloni një program formal ndërgjegjësimi
2SUPP-01L1L2Përcaktoni një politikë për furnizuesit
3RISK-02L2L3Vendosni vlerësim tremujor të rreziqeve

6.2 Formatet e raportit

6.2.1 Raporti PDF

Struktura e raportit PDF:

  1. Faqja e kopertinës
    • Emri i organizatës
    • Data e vlerësimit
    • Versioni i dokumentit
  2. Përmbledhja ekzekutive (1-2 faqe)
  3. Klasifikimi i subjektit (1 faqe)
  4. Rezultatet sipas fushave (2-4 faqe)
  5. Udhërrëfyesi i hollësishëm (3-5 faqe)
  6. Referencat ligjore (1-2 faqe)
  7. Anekset
    • Përgjigjet e plota
    • Metodologjia

6.2.2 Eksporti i të dhënave JSON

Aplikacioni mundëson eksportin e të dhënave në format JSON për:

  • Integrimin me sisteme të tjera
  • Krahasimin e vlerësimeve
  • Arkivimin

Shembull i strukturës JSON:

{ "assessment": { "id": "uuid-1234", "date": "2026-02-14", "type": "BMIS", "version": "12.7.4" }, "classification": { "designation": "ESSENTIAL", "sector": "Energjetikë", "nkdCode": "35.11", "employees": 300, "turnover": 55000000 }, "results": { "overallScore": 68, "domains": [ { "id": "domain_1", "name": "Qeverisja, Udhëheqja dhe Përgjegjësia", "score": 75, "controls": [ { "id": "GOV-01", "level": 3, "maxLevel": 4 } ] } ] }, "recommendations": [ { "priority": 1, "controlId": "AWARE-01", "currentLevel": 1, "targetLevel": 3, "timeframe": "3-6 muaj" } ] }

6.3 Përdorimi i raportit

6.3.1 Analiza e brendshme

Objektivat:

  • Identifikimi i dobësive
  • Planifikimi i përmirësimeve
  • Alokimi i burimeve
  • Ndjekja e progresit

Qasja e rekomanduar:

  1. Prezantoni përmbledhjen ekzekutive tek menaxhmenti
  2. Diskutoni prioritetet me ekipet relevante
  3. Zhvilloni një plan veprimi
  4. Vendosni afate dhe persona përgjegjëse
  5. Planifikoni një rivlerësim

6.3.2 Përgatitja për auditimin e jashtëm

Dokumentacioni për auditorët:

  • Raporti i plotë i vetëvlerësimit
  • Dëshmitë e kontrolleve të implementuara
  • Plani i trajtimit të boshllëqeve
  • Korniza kohore për arritjen e përputhshmërisë

Përgatitja:

  1. Rishikoni rezultatet e vlerësimit
  2. Siguroni dëshmi për secilën kontrollë
  3. Dokumentoni planet e përmirësimit
  4. Përgatitni dokumentacionin për rregullatorin

6.3.3 Raportimi tek organet rregullatore

Neni 33 i LSRSI - Raportimi i incidenteve

Subjektet janë të detyruara të raportojnë incidentet e rëndësishme:

Afatet e raportimit të incidenteve:
  • Njoftimi fillestar: 3 orë (menjëherë, por jo më vonë se 3 orë nga zbulimi)
  • Paralajmërimi i hershëm: 24 orë
  • Njoftimi i hollësishëm: 72 orë
  • Raporti përfundimtar: 1 muaj
Për ofruesit e shërbimeve të besueshme:

Njoftim brenda 24 orëve (Neni 33(4))

Neni 34 i LSRSI - Raportet vjetore

Raport vjetor tek organi mbikëqyrës

Raport sipas kërkesës së rregullatorit

7. Комплетен правен референтен водич

7.1 Закон за безбедност на мрежни и информациски системи

7.1.1 Член 4 - Опсег на примена

Член 4 - Опсег на примена

"Овој закон се применува на правни лица и физички лица кои вршат регистрирана дејност (во натамошниот текст: субјекти) кои спаѓаат во секторите наведени во Член 7(1)1) и Член 7(1)2) од овој закон."

Исклучоци:

  • Субјекти од одбраната и безбедноста
  • Субјекти со помалку од 50 вработени (со исклучоци)
  • Микро претпријатија (со исклучоци)
NIS2 споредба: Член 4 од ЗБМИС е усогласен со опсегот на NIS2 Директивата (Article 2), но со фиксирана примена наместо флексибилност за земјите-членки.

7.1.2 Член 8 - Класификација на субјекти

Член 8(1) - СУШТИНСКИ субјекти:

  • Големи субјекти од Член 7(1)1) сектори
  • Давачи на квалификувани услуги на доверба
  • DNS оператори од највисоко ниво
  • Регистри на имиња на домени од највисоко ниво
  • Субјекти определени со посебен акт

Член 8(2) - ВАЖНИ субјекти:

  • Средни субјекти од Член 7(1)1) сектори
  • Големи субјекти од Член 7(1)2) сектори
  • Субјекти определени по процена на ризик
Построго од NIS2: Во ЗБМИС, големите субјекти од Член 7(1)2) сектори се СУШТИНСКИ (Член 8(1)1)), додека во NIS2 тие би биле само ВАЖНИ.

7.1.3 Член 20-23 - CSIRT и координација

Член 20 - Национален CSIRT:

  • Одговорност за координација на одговор на инциденти
  • Техничка помош за субјектите
  • Споделување на информации за закани

Член 21 - Обврски на CSIRT:

  • 24/7 достапност
  • Анализа на закани
  • Координација со меѓународни партнери

Член 22-23 - Соработка:

  • Соработка со надлежни органи
  • Меѓународна размена на информации
NIS2 споредба: Членовите 20-23 од ЗБМИС одговараат на Articles 10-13 од NIS2 (CSIRTs) и на Article 14 (Cooperation Group). Барањата за 24/7 достапност и меѓународна координација се идентични.

7.1.4 Член 25 - Управување со сајбер безбедност

Член 25 - Управување со сајбер безбедност

"Субјектите се должни да воспостават систем за управување со сајбер безбедноста кој вклучува политики, процедури и технички мерки пропорционални на идентификуваните ризици."

Барања:

  • Формална организациска структура
  • Јасно дефинирани улоги
  • Ресурси за имплементација
  • Редовно известување

7.1.5 Член 29 - Раководна одговорност

Член 29 - Раководна одговорност

Клучни одредби:

"Раководните органи на субјектите се одговорни за одобрување на мерките за управување со ризиците од сајбер безбедност и за надзор над нивната имплементација."

Обврски на раководството:

  • Одобрување на политики
  • Обезбедување на ресурси
  • Надзор над имплементацијата
  • Обука за сајбер безбедност
Санкции за неусогласеност:
  • Лична одговорност на раководителите
  • Можност за забрана за вршење функција
NIS2 споредба: Член 29 од ЗБМИС одговара на Article 20 од NIS2. Обуката на раководството е ЗАДОЛЖИТЕЛНА во ЗБМИС, додека NIS2 само ја препорачува.

7.1.6 Член 31 - Мерки за управување со ризици

Член 31 - Мерки за управување со ризици

Став (1):

"Субјектите се должни да преземат соодветни и пропорционални технички, оперативни и организациски мерки за управување со ризиците..."

Став (2):

"Раководните органи на субјектите се должни да ја завршат обуката за сајбер безбедност..."

Став (3):

"Субјектите се должни да обезбедат доволни ресурси за имплементација на мерките..."

NIS2 споредба: Член 31 одговара на Article 21(1) од NIS2. ЗБМИС е поконкретен во своите барања.

7.1.7 Член 32 - Технички и организациски мерки

Член 32, Став (1) - Основни мерки

ТочкаБарање
(а)Политики за анализа на ризици и безбедност на информациските системи
(б)Ракување со инциденти
(в)Континуитет на работењето
(г)Безбедност на синџирот на снабдување
(д)Набавка, развој и одржување на мрежни и информациски системи
(е)Политики и процедури за оценување на ефективноста
(ж)Основни практики за сајбер хигиена и обука
(з)Политики за користење на криптографија
(ѕ)Безбедност на човечките ресурси
(и)Политики за контрола на пристап и управување со средства

Член 32, Став (3) - Детални барања

ТочкаБарање
(1)Класификација на информации и средства
(2)Физичка безбедност
(3)Управување со идентитети и пристап
(4)Безбедност на синџирот на снабдување
(5)Безбедност во развој на системи
(6)Усогласеност и ревизија
(7)Мрежна безбедност
(8)Управување со кризи
NIS2 споредба: Член 32 од ЗБМИС одговара на Article 21(2) од NIS2. ЗБМИС е поконкретен со додатен Став (3) за детални барања кои не се експлицитно наведени во NIS2.

7.1.8 Член 33 - Задолжително пријавување на значајни сајбер безбедносни инциденти и закани

Член 33 - Рокови за известување

ФазаРокСодржинаПравна основа
Иницијално известување3 часаВеднаш, а најдоцна во рок од 3 часа од дознавањето - основни информации до надлежен CSIRTЧлен 33(1)
Рано предупредување24 часаДали е инцидентот предизвикан од незаконско/злонамерно дејствување, прекугранично влијаниеЧлен 33(3)(1)
Известување за инцидент72 часаАжурирање на информации, почетна процена на сериозност и влијание, показатели за загрозеностЧлен 33(3)(2)
Привремено известувањеПо барањеРелевантни ажурирања на статусот на барање од CSIRTЧлен 33(3)(3)
Завршно известување1 месецДетален опис, тип на закана/причина, мерки за ублажување, прекугранично влијаниеЧлен 33(3)(4)
Извештај за напредокПри тековен инцидентАко инцидентот е тековен при завршното известувањеЧлен 33(3)(5)
Посебни рокови за даватели на доверливи услуги:

Член 33(4): Без непотребно одложување, а најдоцна во рок од 24 часа од дознавањето.

Обврска на CSIRT:

Член 33(5): Одговор на субјектот во рок од 24 часа од приемот на раното предупредување.

Критериуми за значаен сајбер безбедносен инцидент (Член 16 дефиниција):

  • Предизвикал или може да предизвика значително нарушување на услугите
  • Предизвикал или може да предизвика финансиска загуба за субјектот
  • Засегнал или може да засегне физички или правни лица со предизвикување на значителна штета

Дополнителни критериуми:

  • Влијание врз критични услуги
  • Број на засегнати корисници
  • Времетраење на прекин
  • Финансиска штета
  • Потенцијално прекугранично влијание
NIS2 споредба: ЗБМИС има построг рок за иницијално известување - 3 часа наспроти само 24 часа во NIS2 (Article 23). Ова е една од најзначајните разлики помеѓу двата закони.

7.1.9 Член 35 - Сертификација

Член 35 - Сертификација

"Субјектите можат да бараат сертификација на нивните мрежни и информациски системи согласно признати европски или меѓународни шеми за сертификација."

Признати шеми:

  • ISO/IEC 27001
  • SOC 2
  • Европски шеми за сертификација

7.1.10 Член 37 - Споделување на информации

Член 37 - Споделување на информации

"Субјектите можат меѓусебно да споделуваат информации за сајбер закани, ранливости и инциденти..."

Цели:

  • Колективна одбрана
  • Рано предупредување
  • Споделување на добри практики

7.1.11 Член 39 - Обука и свесност

Член 39 - Обука и свесност

Став (1):

"Субјектите се должни да обезбедат редовна обука за сајбер безбедност за сите вработени..."

Став (2):

"Раководните органи се должни да завршат специјализирана обука..."

Став (3):

"Техничкиот персонал е должен да заврши напредна обука..."

7.2 Член 7 од ЗБМИС - Листа на сектори

7.2.1 Член 7(1)1) - Сектори со висока критичност

#СекторПодсектори
1ЕнергетикаЕлектрична енергија, нафта, гас, хидроген, греење/ладење
2ТранспортВоздушен, железнички, воден, патен
3БанкарствоКредитни институции
4Финансиска пазарна инфраструктураМеста за тргување, ЦКД
5ЗдравствоДавачи на здравствена заштита, референтни лаборатории
6Вода за пиењеСнабдувачи и дистрибутери на вода
7Отпадни водиОператори за третман
8Дигитална инфраструктураIXP, DNS, TLD, облак, центри за податоци
9ИКТ услуги (Б2Б)Управувани безбедносни услуги
10Јавна администрацијаЦентрална влада
11ВселенаОператори на земска инфраструктура

7.2.2 Член 7(1)2) - Други критични сектори

#СекторПодсектори
1Поштенски услугиПоштенски оператори, курирски услуги
2Управување со отпадСобирање, третман, отстранување
3ХемикалииПроизводство, дистрибуција
4ХранаПроизводство, преработка, дистрибуција
5ПроизводствоМедицински средства, електроника, машини, возила
6Дигитални провајдериОнлајн пазари, пребарувачи, социјални мрежи
7ИстражувањеИстражувачки организации

7.3 Директива NIS2 (ЕУ 2022/2555)

7.3.1 Член 20 - Управување

NIS2 Article 20 - Governance

"Member States shall ensure that the management bodies of essential and important entities approve the cybersecurity risk-management measures..."

Барања:

  • Одобрување на мерки за ризик
  • Надзор над имплементација
  • Обука за раководството
  • Одговорност за неусогласеност

7.3.2 Член 21 - Мерки за управување со ризици

NIS2 Article 21 - Cybersecurity risk-management measures

Став (1):

"Member States shall ensure that essential and important entities take appropriate and proportionate technical, operational and organisational measures..."

Став (2) - Минимални мерки:

  • (а) Политики за ризик
  • (б) Ракување со инциденти
  • (в) Континуитет
  • (г) Синџир на снабдување
  • (д) Набавка и развој
  • (е) Оценување на ефективност
  • (ж) Сајбер хигиена и обука
  • (з) Криптографија
  • (ѕ) Човечки ресурси
  • (и) Автентикација и пристап

7.3.3 Член 7 - Национална стратегија

NIS2 Article 7 - National cybersecurity strategy

Барања за стратегијата:

  • Цели и приоритети
  • Рамка за управување
  • Идентификација на средства
  • Мерки за отпорност
  • R&D план
  • Едукација и свесност

7.4 Споредбена анализа ЗБМИС vs NIS2

7.4.1 Разлики во класификација

АспектNIS2ЗБМИС
Дефиниција на големинаЕУ препоракаИдентична
Автоматска класификацијаDNS, TLD, trustDNS, TLD, trust
ФлексибилностЧленки одлучуваатФиксирана

7.4.2 Построги барања во ЗБМИС

ОбластNIS2ЗБМИС
Рок за регистрацијаНе е специфициран3 месеци
Годишна ревизијаПрепорачанаЗадолжителна за суштински
Обука на раководствоПрепорачанаЗадолжителна
Важно: ЗБМИС е во неколку области построг од NIS2 Директивата. Организациите кои работат и во ЕУ и во Македонија треба да ги следат построгите барања од ЗБМИС.

7.4.3 Табела на споредба

Член NIS2Член ЗБМИСРазлика
Article 20Член 29Идентично
Article 21Член 31-32ЗБМИС поконкретен
Article 23Член 33ЗБМИС има построг рок (3h иницијално vs само 24h во NIS2)
Article 7Член 10Идентично

7. Complete Legal Reference Guide

7.1 Law on Security of Network and Information Systems

7.1.1 Article 4 - Scope of Application

Article 4 - Scope of Application

"This law applies to legal entities and natural persons carrying out registered activities (hereinafter: entities) that fall within the sectors listed in Article 7(1)1) and Article 7(1)2) of this law."

Exclusions:

  • Defence and security entities
  • Entities with fewer than 50 employees (with exceptions)
  • Micro enterprises (with exceptions)
NIS2 comparison: Article 4 of LNIS is aligned with the scope of the NIS2 Directive (Article 2), but with fixed application instead of flexibility for member states.

7.1.2 Article 8 - Classification of Entities

Article 8(1) - ESSENTIAL entities:

  • Large entities from Article 7(1)1) sectors
  • Providers of qualified trust services
  • Top-level DNS operators
  • Top-level domain name registries
  • Entities designated by special act

Article 8(2) - IMPORTANT entities:

  • Medium entities from Article 7(1)1) sectors
  • Large entities from Article 7(1)2) sectors
  • Entities designated through risk assessment
Stricter than NIS2: Under LNIS, large entities from Article 7(1)2) sectors are ESSENTIAL (Article 8(1)1)), whereas under NIS2 they would only be IMPORTANT.

7.1.3 Articles 20-23 - CSIRT and Coordination

Article 20 - National CSIRT:

  • Responsibility for incident response coordination
  • Technical assistance for entities
  • Threat information sharing

Article 21 - CSIRT Obligations:

  • 24/7 availability
  • Threat analysis
  • Coordination with international partners

Articles 22-23 - Cooperation:

  • Cooperation with competent authorities
  • International information exchange
NIS2 comparison: Articles 20-23 of LNIS correspond to Articles 10-13 of NIS2 (CSIRTs) and Article 14 (Cooperation Group). The requirements for 24/7 availability and international coordination are identical.

7.1.4 Article 25 - Cybersecurity Governance

Article 25 - Cybersecurity Governance

"Entities are obliged to establish a cybersecurity management system that includes policies, procedures and technical measures proportionate to the identified risks."

Requirements:

  • Formal organizational structure
  • Clearly defined roles
  • Resources for implementation
  • Regular reporting

7.1.5 Article 29 - Management Responsibility

Article 29 - Management Responsibility

Key provisions:

"The management bodies of entities are responsible for approving cybersecurity risk management measures and for overseeing their implementation."

Management obligations:

  • Approval of policies
  • Provision of resources
  • Oversight of implementation
  • Cybersecurity training
Sanctions for non-compliance:
  • Personal liability of managers
  • Possibility of prohibition from holding office
NIS2 comparison: Article 29 of LNIS corresponds to Article 20 of NIS2. Management training is MANDATORY under LNIS, while NIS2 only recommends it.

7.1.6 Article 31 - Risk Management Measures

Article 31 - Risk Management Measures

Paragraph (1):

"Entities are obliged to take appropriate and proportionate technical, operational and organizational measures for risk management..."

Paragraph (2):

"The management bodies of entities are obliged to complete cybersecurity training..."

Paragraph (3):

"Entities are obliged to provide sufficient resources for implementing the measures..."

NIS2 comparison: Article 31 corresponds to Article 21(1) of NIS2. LNIS is more specific in its requirements.

7.1.7 Article 32 - Technical and Organizational Measures

Article 32, Paragraph (1) - Basic Measures

ItemRequirement
(a)Policies for risk analysis and information system security
(b)Incident handling
(c)Business continuity
(d)Supply chain security
(e)Procurement, development and maintenance of network and information systems
(f)Policies and procedures for evaluating effectiveness
(g)Basic cyber hygiene practices and training
(h)Policies on the use of cryptography
(i)Human resources security
(j)Policies for access control and asset management

Article 32, Paragraph (3) - Detailed Requirements

ItemRequirement
(1)Classification of information and assets
(2)Physical security
(3)Identity and access management
(4)Supply chain security
(5)Security in system development
(6)Compliance and audit
(7)Network security
(8)Crisis management
NIS2 comparison: Article 32 of LNIS corresponds to Article 21(2) of NIS2. LNIS is more specific with an additional Paragraph (3) for detailed requirements not explicitly listed in NIS2.

7.1.8 Article 33 - Mandatory Reporting of Significant Cybersecurity Incidents and Threats

Article 33 - Reporting Deadlines

PhaseDeadlineContentLegal Basis
Initial notification3 hoursImmediately, no later than 3 hours from discovery - basic information to competent CSIRTArticle 33(1)
Early warning24 hoursWhether the incident was caused by unlawful/malicious action, cross-border impactArticle 33(3)(1)
Incident notification72 hoursUpdate of information, initial assessment of severity and impact, indicators of compromiseArticle 33(3)(2)
Interim notificationOn requestRelevant status updates at the request of CSIRTArticle 33(3)(3)
Final report1 monthDetailed description, type of threat/cause, mitigation measures, cross-border impactArticle 33(3)(4)
Progress reportDuring ongoing incidentIf the incident is ongoing at the time of the final reportArticle 33(3)(5)
Special deadlines for trust service providers:

Article 33(4): Without undue delay, no later than 24 hours from discovery.

CSIRT obligation:

Article 33(5): Response to the entity within 24 hours of receipt of the early warning.

Criteria for a significant cybersecurity incident (Article 16 definition):

  • Has caused or may cause significant disruption to services
  • Has caused or may cause financial loss to the entity
  • Has affected or may affect natural or legal persons by causing significant damage

Additional criteria:

  • Impact on critical services
  • Number of affected users
  • Duration of interruption
  • Financial damage
  • Potential cross-border impact
NIS2 comparison: LNIS has a stricter initial notification deadline - 3 hours versus only 24 hours in NIS2 (Article 23). This is one of the most significant differences between the two laws.

7.1.9 Article 35 - Certification

Article 35 - Certification

"Entities may request certification of their network and information systems in accordance with recognized European or international certification schemes."

Recognized schemes:

  • ISO/IEC 27001
  • SOC 2
  • European certification schemes

7.1.10 Article 37 - Information Sharing

Article 37 - Information Sharing

"Entities may share information about cyber threats, vulnerabilities and incidents with each other..."

Objectives:

  • Collective defence
  • Early warning
  • Sharing of good practices

7.1.11 Article 39 - Training and Awareness

Article 39 - Training and Awareness

Paragraph (1):

"Entities are obliged to provide regular cybersecurity training for all employees..."

Paragraph (2):

"Management bodies are obliged to complete specialized training..."

Paragraph (3):

"Technical personnel are obliged to complete advanced training..."

7.2 Article 7 of LNIS - List of Sectors

7.2.1 Article 7(1)1) - Sectors of High Criticality

#SectorSub-sectors
1EnergyElectricity, oil, gas, hydrogen, heating/cooling
2TransportAir, rail, water, road
3BankingCredit institutions
4Financial market infrastructureTrading venues, CCPs
5HealthHealthcare providers, reference laboratories
6Drinking waterWater suppliers and distributors
7WastewaterTreatment operators
8Digital infrastructureIXP, DNS, TLD, cloud, data centres
9ICT services (B2B)Managed security services
10Public administrationCentral government
11SpaceGround infrastructure operators

7.2.2 Article 7(1)2) - Other Critical Sectors

#SectorSub-sectors
1Postal servicesPostal operators, courier services
2Waste managementCollection, treatment, disposal
3ChemicalsManufacturing, distribution
4FoodProduction, processing, distribution
5ManufacturingMedical devices, electronics, machinery, vehicles
6Digital providersOnline marketplaces, search engines, social networks
7ResearchResearch organizations

7.3 NIS2 Directive (EU 2022/2555)

7.3.1 Article 20 - Governance

NIS2 Article 20 - Governance

"Member States shall ensure that the management bodies of essential and important entities approve the cybersecurity risk-management measures..."

Requirements:

  • Approval of risk measures
  • Oversight of implementation
  • Management training
  • Liability for non-compliance

7.3.2 Article 21 - Risk Management Measures

NIS2 Article 21 - Cybersecurity risk-management measures

Paragraph (1):

"Member States shall ensure that essential and important entities take appropriate and proportionate technical, operational and organisational measures..."

Paragraph (2) - Minimum measures:

  • (a) Risk policies
  • (b) Incident handling
  • (c) Business continuity
  • (d) Supply chain
  • (e) Procurement and development
  • (f) Effectiveness evaluation
  • (g) Cyber hygiene and training
  • (h) Cryptography
  • (i) Human resources
  • (j) Authentication and access

7.3.3 Article 7 - National Strategy

NIS2 Article 7 - National cybersecurity strategy

Strategy requirements:

  • Objectives and priorities
  • Governance framework
  • Asset identification
  • Resilience measures
  • R&D plan
  • Education and awareness

7.4 Comparative Analysis LNIS vs NIS2

7.4.1 Classification Differences

AspectNIS2LNIS
Size definitionEU recommendationIdentical
Automatic classificationDNS, TLD, trustDNS, TLD, trust
FlexibilityMember states decideFixed

7.4.2 Stricter Requirements in LNIS

AreaNIS2LNIS
Registration deadlineNot specified3 months
Annual auditRecommendedMandatory for essential
Management trainingRecommendedMandatory
Important: LNIS is stricter than the NIS2 Directive in several areas. Organizations operating in both the EU and North Macedonia should follow the stricter requirements of LNIS.

7.4.3 Comparison Table

NIS2 ArticleLNIS ArticleDifference
Article 20Article 29Identical
Article 21Article 31-32LNIS more specific
Article 23Article 33LNIS has stricter deadline (3h initial vs only 24h in NIS2)
Article 7Article 10Identical

7. Udhëzuesi i plotë i referencave ligjore

7.1 Ligji për sigurinë e sistemeve të rrjetit dhe informacionit

7.1.1 Neni 4 - Fushëveprimi i zbatimit

Neni 4 - Fushëveprimi i zbatimit

"Ky ligj zbatohet për personat juridikë dhe personat fizikë që kryejnë veprimtari të regjistruar (në tekstin e mëtejmë: subjekte) që bien në sektoret e përmendur në Nenin 7(1)1) dhe Nenin 7(1)2) të këtij ligji."

Përjashtimet:

  • Subjektet e mbrojtes dhe sigurisë
  • Subjektet me më pak se 50 punëtorë (me përjashtime)
  • Mikro ndërmarrjet (me përjashtime)
Krahasimi me NIS2: Neni 4 i LSMIS është i harmonizuar me fushëveprimin e Direktivës NIS2 (Neni 2), por me zbatim fiks në vend të fleksibilitetit për shtetet anëtare.

7.1.2 Neni 8 - Klasifikimi i subjekteve

Neni 8(1) - Subjektet ESENCIALE:

  • Subjektet e mëdha nga sektoret e Nenit 7(1)1)
  • Ofrueset e shërbimeve të kualifikuara të besimit
  • Operatorët DNS të nivelit më të lartë
  • Regjistrat e emrave të domeneve të nivelit më të lartë
  • Subjektet e përcaktuara me akt të veçantë

Neni 8(2) - Subjektet E RËNDËSISHME:

  • Subjektet e mesme nga sektoret e Nenit 7(1)1)
  • Subjektet e mëdha nga sektoret e Nenit 7(1)2)
  • Subjektet e përcaktuara përmes vlerësimit të rrezikut
Më e reptë se NIS2: Sipas LSMIS, subjektet e mëdha nga sektoret e Nenit 7(1)2) janë ESENCIALE (Neni 8(1)1)), ndërsa sipas NIS2 ato do të ishin vetëm TË RËNDËSISHME.

7.1.3 Nenet 20-23 - CSIRT dhe koordinimi

Neni 20 - CSIRT Kombëtar:

  • Përgjegjësi për koordinimin e përgjigjes ndaj incidenteve
  • Ndihmë teknike për subjektet
  • Shkmbimi i informacioneve për kërcënimet

Neni 21 - Detyrimet e CSIRT:

  • Disponueshmni 24/7
  • Analizë e kërcënimeve
  • Koordinimi me partnerët ndërkombëtarë

Nenet 22-23 - Bashkëpunimi:

  • Bashkëpunimi me autoritet kompetente
  • Shkëmbimi ndërkombëtar i informacioneve
Krahasimi me NIS2: Nenet 20-23 të LSMIS korrespondojnë me Nenet 10-13 të NIS2 (CSIRT-et) dhe Nenin 14 (Grupi i Bashkëpunimit). Kërkesat për disponueshmërinë 24/7 dhe koordinimin ndërkombëtar janë identike.

7.1.4 Neni 25 - Qeverisja e sigurisë kibernetike

Neni 25 - Qeverisja e sigurisë kibernetike

"Subjektet janë të detyruar të krijojnë një sistem për menaxhimin e sigurisë kibernetike që përfshin politika, procedura dhe masa teknike proporcionale me rreziqet e identifikuara."

Kërkesat:

  • Strukturë formale organizative
  • Role të përcaktuara qartë
  • Burime për zbatimin
  • Raportim i rregullt

7.1.5 Neni 29 - Përgjegjësia e menaxhmentit

Neni 29 - Përgjegjësia e menaxhmentit

Dispozitat kryesore:

"Organet drejtuese të subjekteve janë përgjegjëse për miratimin e masave për menaxhimin e rreziqeve të sigurisë kibernetike dhe për mbikëqyrjen e zbatimit të tyre."

Detyrimet e menaxhmentit:

  • Miratimi i politikave
  • Sigurimi i burimeve
  • Mbikëqyrja e zbatimit
  • Trajnimi për sigurinë kibernetike
Sanksionet për mospërputhje:
  • Përgjegjësi personale e drejtuesve
  • Mundësi e ndalimit të ushtrimit të funksionit
Krahasimi me NIS2: Neni 29 i LSMIS korrespondon me Nenin 20 të NIS2. Trajnimi i menaxhmentit është I DETYRUESHËM sipas LSMIS, ndërsa NIS2 vetëm e rekomandon.

7.1.6 Neni 31 - Masat për menaxhimin e rreziqeve

Neni 31 - Masat për menaxhimin e rreziqeve

Paragrafi (1):

"Subjektet janë të detyruar të marrin masa të përshtatshme dhe proporcionale teknike, operacionale dhe organizative për menaxhimin e rreziqeve..."

Paragrafi (2):

"Organet drejtuese të subjekteve janë të detyruar të përfundojnë trajnimin për sigurinë kibernetike..."

Paragrafi (3):

"Subjektet janë të detyruar të sigurojnë burime të mjaftueshme për zbatimin e masave..."

Krahasimi me NIS2: Neni 31 korrespondon me Nenin 21(1) të NIS2. LSMIS është më specifik në kërkesat e tij.

7.1.7 Neni 32 - Masat teknike dhe organizative

Neni 32, Paragrafi (1) - Masat bazë

PikaKërkesa
(a)Politikat për analizën e rrezikut dhe sigurinë e sistemeve të informacionit
(b)Trajtimi i incidenteve
(c)Vazhdimësia e biznesit
(d)Siguria e zinxhirit të furnizimit
(e)Prokurimi, zhvillimi dhe mirëmbajtja e sistemeve të rrjetit dhe informacionit
(f)Politikat dhe procedurat për vlerësimin e efektivitetit
(g)Praktikat bazë të higjienës kibernetike dhe trajnimi
(h)Politikat për përdorimin e kriptografisë
(i)Siguria e burimeve njerëzore
(j)Politikat për kontrollin e aksesit dhe menaxhimin e aseteve

Neni 32, Paragrafi (3) - Kërkesat e detajuara

PikaKërkesa
(1)Klasifikimi i informacioneve dhe aseteve
(2)Siguria fizike
(3)Menaxhimi i identitetit dhe aksesit
(4)Siguria e zinxhirit të furnizimit
(5)Siguria në zhvillimin e sistemeve
(6)Përputhshmëria dhe auditimi
(7)Siguria e rrjetit
(8)Menaxhimi i krizave
Krahasimi me NIS2: Neni 32 i LSMIS korrespondon me Nenin 21(2) të NIS2. LSMIS është më specifik me një Paragraf shtesë (3) për kërkesa të detajuara që nuk janë të listuara eksplicit në NIS2.

7.1.8 Neni 33 - Raportimi i detyrueshëm i incidenteve dhe kërcënimeve të rëndësishme të sigurisë kibernetike

Neni 33 - Afatet e raportimit

FazaAfatiPërmbajtjaBaza ligjore
Njoftimi fillestar3 orëMenjëherë, jo më vonë se 3 orë nga zbulimi - informacione bazë për CSIRT-in kompetentNeni 33(1)
Paralajmërimi i hershëm24 orëNëse incidenti është shkaktuar nga veprim i paligjshëm/keqdashës, ndikim ndërkufitarNeni 33(3)(1)
Njoftimi për incidentin72 orëPërditësim i informacioneve, vlerësim fillestar i ashpërsisë dhe ndikimit, tregues kompromisiNeni 33(3)(2)
Njoftimi i ndërmjetëmMe kërkesëPërditësime relevante të statusit me kërkesë të CSIRTNeni 33(3)(3)
Raporti përfundimtar1 muajPërshkrim i detajuar, lloji i kërcënimit/shkaku, masat e zbutjes, ndikimi ndërkufitarNeni 33(3)(4)
Raporti i progresitGjatë incidentit të vazhdueshëmNëse incidenti është i vazhdueshëm në kohën e raportit përfundimtarNeni 33(3)(5)
Afate të veçanta për ofrueset e shërbimeve të besimit:

Neni 33(4): Pa vonim të panevojshme, jo më vonë se 24 orë nga zbulimi.

Detyrimi i CSIRT:

Neni 33(5): Përgjigje për subjektin brenda 24 orëve nga pranimi i paralajmërimit të hershëm.

Kriteret për një incident të rëndësishëm të sigurisë kibernetike (përkufizimi i Nenit 16):

  • Ka shkaktuar ose mund të shkaktojë ndërprerje të rëndësishme të shërbimeve
  • Ka shkaktuar ose mund të shkaktojë humbje financiare për subjektin
  • Ka prekur ose mund të prekë persona fizikë ose juridikë duke shkaktuar dëm të rëndësishëm

Kritere shtesë:

  • Ndikimi në shërbimet kritike
  • Numri i përdoruesve të prekur
  • Kohëzgjatja e ndërprerjes
  • Dëmi financiar
  • Ndikimi potencial ndërkufitar
Krahasimi me NIS2: LSMIS ka afat më të reptë për njoftimin fillestar - 3 orë kundër vetëm 24 orëve në NIS2 (Neni 23). Kjo është një nga ndryshimet më të rëndësishme mes dy ligjeve.

7.1.9 Neni 35 - Certifikimi

Neni 35 - Certifikimi

"Subjektet mund të kërkojnë certifikimin e sistemeve të tyre të rrjetit dhe informacionit sipas skemave të njohura europiane ose ndërkombëtare të certifikimit."

Skemat e njohura:

  • ISO/IEC 27001
  • SOC 2
  • Skemat europiane të certifikimit

7.1.10 Neni 37 - Shkëmbimi i informacioneve

Neni 37 - Shkëmbimi i informacioneve

"Subjektet mund të shkëmbejnë ndërmjet tyre informacione për kërcënimet kibernetike, dobësitë dhe incidentet..."

Objektivat:

  • Mbrojtja kolektive
  • Paralajmërim i hershëm
  • Shkëmbimi i praktikave të mira

7.1.11 Neni 39 - Trajnimi dhe ndërgjegjësimi

Neni 39 - Trajnimi dhe ndërgjegjësimi

Paragrafi (1):

"Subjektet janë të detyruar të sigurojnë trajnim të rregullt për sigurinë kibernetike për të gjithë punëtorët..."

Paragrafi (2):

"Organet drejtuese janë të detyruar të përfundojnë trajnim të specializuar..."

Paragrafi (3):

"Personeli teknik është i detyruar të përfundojë trajnim të avancuar..."

7.2 Neni 7 i LSMIS - Lista e sektoreve

7.2.1 Neni 7(1)1) - Sektoret me kritikitet të lartë

#SektoriNën-sektoret
1EnergjiaEnergjia elektrike, nafta, gazi, hidrogjeni, ngrohja/ftohja
2TransportiAjror, hekurudhor, ujor, rrugor
3BankimiInstitucionet e kreditit
4Infrastruktura e tregut financiarVendet e tregtimit, CCP
5ShëndetësiaOfrueset e kujdesit shëndetësor, laboratorët referente
6Uji i pijshëmFurnizuesit dhe shpërndarësit e ujit
7Ujrat e ndoturaOperatorët e trajtimit
8Infrastruktura digjitaleIXP, DNS, TLD, cloud, qendrat e të dhënave
9Shërbimet TIK (B2B)Shërbimet e menaxhuara të sigurisë
10Administrata publikeQeveria qendrore
11HapësiraOperatorët e infrastrukturës tokësore

7.2.2 Neni 7(1)2) - Sektoret e tjerë kritikë

#SektoriNën-sektoret
1Shërbimet postareOperatorët postarë, shërbimet e korrierit
2Menaxhimi i mbeturinaveMbledhja, trajtimi, largimi
3KimikatetProdhimi, shpërndarja
4UshqimiProdhimi, përpunimi, shpërndarja
5ProdhimiPajisjet mjekësore, elektronika, makineritë, mjetet
6Ofrueset digjitalëTregjet online, motorët e kërkimit, rrjetet sociale
7KërkimiOrganizatat kërkimore

7.3 Direktiva NIS2 (BE 2022/2555)

7.3.1 Neni 20 - Qeverisja

NIS2 Neni 20 - Qeverisja

"Shtetet anëtare duhet të sigurojnë që organet drejtuese të subjekteve esenciale dhe të rëndësishme miratojnë masat e menaxhimit të rrezikut të sigurisë kibernetike..."

Kërkesat:

  • Miratimi i masave të rrezikut
  • Mbikëqyrja e zbatimit
  • Trajnimi i menaxhmentit
  • Përgjegjësia për mospërputhje

7.3.2 Neni 21 - Masat për menaxhimin e rreziqeve

NIS2 Neni 21 - Masat për menaxhimin e rrezikut të sigurisë kibernetike

Paragrafi (1):

"Shtetet anëtare duhet të sigurojnë që subjektet esenciale dhe të rëndësishme marrin masa të përshtatshme dhe proporcionale teknike, operacionale dhe organizative..."

Paragrafi (2) - Masat minimale:

  • (a) Politikat e rrezikut
  • (b) Trajtimi i incidenteve
  • (c) Vazhdimësia e biznesit
  • (d) Zinxhiri i furnizimit
  • (e) Prokurimi dhe zhvillimi
  • (f) Vlerësimi i efektivitetit
  • (g) Higjiena kibernetike dhe trajnimi
  • (h) Kriptografia
  • (i) Burimet njerëzore
  • (j) Autentifikimi dhe aksesi

7.3.3 Neni 7 - Strategjia kombëtare

NIS2 Neni 7 - Strategjia kombëtare e sigurisë kibernetike

Kërkesat për strategjinë:

  • Objektivat dhe prioritetet
  • Korniza e qeverisjes
  • Identifikimi i aseteve
  • Masat e reziliencës
  • Plani i K&Zh
  • Edukimi dhe ndërgjegjësimi

7.4 Analiza krahasuese LSMIS vs NIS2

7.4.1 Ndryshimet në klasifikim

AspektiNIS2LSMIS
Përkufizimi i madhësisëRekomandimi i BE-sëIdentike
Klasifikimi automatikDNS, TLD, trustDNS, TLD, trust
FleksibilitetiShtetet anëtare vendosinFikse

7.4.2 Kërkesa më të repta në LSMIS

FushaNIS2LSMIS
Afati i regjistrimitNuk është specifikuar3 muaj
Auditimi vjetorI rekomanduarI detyrueshëm për esencialët
Trajnimi i menaxhmentitI rekomanduarI detyrueshëm
E rëndësishme: LSMIS është më i reptë se Direktiva NIS2 në disa fusha. Organizatat që operojnë si në BE ashtu edhe në Maqedoninë e Veriut duhet të ndjekin kërkesat më të repta të LSMIS.

7.4.3 Tabela e krahasimit

Neni NIS2Neni LSMISNdryshimi
Neni 20Neni 29Identik
Neni 21Neni 31-32LSMIS më specifik
Neni 23Neni 33LSMIS ka afat më të reptë (3h fillestar vs vetëm 24h në NIS2)
Neni 7Neni 10Identik

8. Мапирање на НКД шифри

8.1 Сектори со висока критичност (Член 7(1)1))

ПРАВИЛА ЗА КЛАСИФИКАЦИЈА согласно Член 8 од ЗБМИС:
  • ГОЛЕМИ субјекти во Член 7(1)1) сектори → СУШТИНСКИ (Член 8(1)1))
  • СРЕДНИ субјекти во Член 7(1)1) сектори → ВАЖНИ (Член 8(2)1))
  • Субјекти означени со "(сите)" се СУШТИНСКИ независно од големината

8.1.1 Енергетика (НКД: 05, 06, 19, 35.x)

НКДОписПодсекторГолемиСредни
05Рударство на јагленПроизводствоСуштинскиВажни
06Вадење на сурова нафта и земен гасПроизводствоСуштинскиВажни
19Производство на кокс и рафинирани нафтени производиРафинирањеСуштинскиВажни
35Снабдување со електрична енергија, гас, пареаСнабдувањеСуштинскиВажни
35.1Производство, пренос и дистрибуција на ел. енергијаЕлектрична енергијаСуштинскиВажни
35.11Производство на електрична енергијаПроизводствоСуштинскиВажни
35.12Пренос на електрична енергијаПреносСуштински (сите)Суштински (сите)
35.13Дистрибуција на електрична енергијаДистрибуцијаСуштинскиВажни
35.14Трговија со електрична енергијаТрговијаСуштинскиВажни
35.2Производство на гас; дистрибуција на гасовити гориваГасСуштинскиВажни
35.3Снабдување со пареа и климатизацијаТоплинска енергијаСуштинскиВажни

8.1.2 Транспорт (НКД: 49.x, 50, 51, 52)

НКДОписПодсекторГолемиСредни
49Копнен транспорт и транспорт во цевководиКопненСуштинскиВажни
49.1Меѓуградски железнички патнички транспортЖелезницаСуштински (сите)Суштински (сите)
49.2Железнички товарен транспортЖелезницаСуштински (сите)Суштински (сите)
49.3Други копнени патнички транспортКопненСуштинскиВажни
49.4Товарен транспорт на патиштаКопненСуштинскиВажни
49.5Транспорт во цевоводиЦевоводиСуштински (сите)Суштински (сите)
50Воден транспортВоденСуштинскиВажни
51Воздушен транспортВоздушенСуштинскиВажни
52Складирање и придружни дејности во транспортотИнфраструктураСуштинскиВажни

8.1.3 Банкарство (НКД: 64.1x)

НКДОписПодсекторГолемиСредни
64.1Монетарно посредништвоБанкарствоСуштински (сите)Суштински (сите)
64.11Дејности на централната банкаЦентрална банкаСуштински (сите)Суштински (сите)
64.19Други монетарни посредништваКомерцијални банкиСуштински (сите)Суштински (сите)

8.1.4 Финансиски пазар (НКД: 66.x)

НКДОписПодсекторГолемиСредни
66.11Администрирање на финансиски пазариБерзаСуштински (сите)Суштински (сите)
66.12Брокерство со вредносни хартии и стокиБрокериСуштинскиВажни
66.19Помошни дејности во финансиските услугиПомошниСуштинскиВажни
66.3Дејности за управување со фондовиУправувањеСуштинскиВажни

8.1.5 Здравство (НКД: 86.x, 87, 88)

НКДОписПодсекторГолемиСредни
86Здравствени дејности на луѓетоЗдравствоСуштинскиВажни
86.1Болнички дејностиБолнициСуштинскиВажни
86.2Лекарска и стоматолошка практикаПримарна здр.СуштинскиВажни
86.9Други здравствени дејностиСпецијализираниСуштинскиВажни
87Установи за сместување со негувањеСоцијална заштитаСуштинскиВажни
88Социјални дејности без сместувањеСоцијална заштитаСуштинскиВажни

8.1.6 Водоснабдување (НКД: 36, 37)

НКДОписПодсекторГолемиСредни
36Собирање, пречистување и дистрибуција на водаВода за пиењеСуштинскиВажни
37КанализацијаОтпадни водиСуштинскиВажни

8.1.7 Дигитална инфраструктура (НКД: 61.x, 63.x)

НКДОписПодсекторГолемиСредни
61ТелекомуникацииТелекомСуштинскиВажни
61.1Жични телекомуникациски дејностиФиксна мрежаСуштинскиВажни
61.2Безжични телекомуникациски дејностиМобилна мрежаСуштинскиВажни
61.3Сателитски телекомуникациски дејностиСателитСуштински (сите)Суштински (сите)
61.9Други телекомуникациски дејностиДругиСуштинскиВажни
63.11Обработка на податоци, хостингЦентри за податоциСуштинскиВажни
63.12Веб порталиДигитални услугиСуштинскиВажни
63.9Други информатички услужни дејностиИТ услугиСуштинскиВажни

8.1.8 ИКТ услуги Б2Б (НКД: 62.x)

НКДОписПодсекторГолемиСредни
62.01Компјутерско програмирањеРазвојСуштинскиВажни
62.02Консултантски дејности во врска со компјутериКонсалтингСуштинскиВажни
62.03Управување со компјутерски капацитетиУправувањеСуштинскиВажни
62.09Други дејности за информатичка технологијаДругиСуштинскиВажни

8.1.9 Јавна администрација (НКД: 84.x)

НКДОписПодсекторГолемиСредни
84.1Активности на централната и локалната властЦентрална властСуштински (сите)Суштински (сите)

8.2 Други критични сектори (Член 7(1)2))

ВАЖНА НАПОМЕНА согласно Член 8 од ЗБМИС:
  • ГОЛЕМИ субјекти во Член 7(1)2) сектори → СУШТИНСКИ (Член 8(1)1))
  • СРЕДНИ субјекти во Член 7(1)2) сектори → ВОН ОПСЕГ (освен по посебна проценка на ризик - Член 8(2)2))
  • Ова е построго од NIS2 каде големите субјекти од Член 7(1)2) се само ВАЖНИ

8.2.1 Поштенски услуги (НКД: 53.x)

НКДОписГолеми субјектиСредни субјекти
53Поштенски и курирски дејностиСуштинскиВОН ОПСЕГ*
53.1Поштенски дејности под универзална услужна обврскаСуштинскиПо проценка
53.2Други поштенски и курирски дејностиСуштинскиВОН ОПСЕГ*

8.2.2 Управување со отпад (НКД: 38.x)

НКДОписГолеми субјектиСредни субјекти
38Собирање, преработка и отстранување на отпадСуштинскиВОН ОПСЕГ*
38.1Собирање на отпадСуштинскиВОН ОПСЕГ*
38.2Преработка и отстранување на отпадСуштинскиВОН ОПСЕГ*
38.3РециклирањеСуштинскиВОН ОПСЕГ*

8.2.3 Хемикалии (НКД: 20.x)

НКДОписГолеми субјектиСредни субјекти
20Производство на хемикалииСуштинскиВОН ОПСЕГ*
20.1Основни хемикалии, ѓубриваСуштинскиВОН ОПСЕГ*
20.2Пестициди и агрохемиски производиСуштинскиВОН ОПСЕГ*
20.3Бои, лакови и слични премазиСуштинскиВОН ОПСЕГ*
20.4Сапуни и перачки средстваСуштинскиВОН ОПСЕГ*
20.5Други хемиски производиСуштинскиВОН ОПСЕГ*
20.6Вештачки влакнаСуштинскиВОН ОПСЕГ*

8.2.4 Храна (НКД: 10, 11, 46.x)

НКДОписГолеми субјектиСредни субјекти
10Производство на прехранбени производиСуштинскиВОН ОПСЕГ*
11Производство на пијалоциСуштинскиВОН ОПСЕГ*
46Трговија на големоСуштинскиВОН ОПСЕГ*

8.2.5 Производство - Медицински средства (НКД: 26.6, 32.5)

НКДОписГолеми субјектиСредни субјекти
26.6Медицински средстваСуштинскиВОН ОПСЕГ*
32.5Медицински инструментиСуштинскиВОН ОПСЕГ*

8.2.6 Производство - Компјутери/Електроника (НКД: 26.x, 27.x)

НКДОписГолеми субјектиСредни субјекти
26Производство на компјутери и електроникаСуштинскиВОН ОПСЕГ*
27Производство на електрична опремаСуштинскиВОН ОПСЕГ*

8.2.7 Производство - Машини (НКД: 28.x)

НКДОписГолеми субјектиСредни субјекти
28Производство на машиниСуштинскиВОН ОПСЕГ*

8.2.8 Производство - Возила (НКД: 29.x, 30.x)

НКДОписГолеми субјектиСредни субјекти
29Производство на моторни возилаСуштинскиВОН ОПСЕГ*
30Производство на други транспортни средстваСуштинскиВОН ОПСЕГ*

8.2.9 Дигитални провајдери (НКД: 47.91, 58.2, 63.1x)

НКДОписГолеми субјектиСредни субјекти
47.91Малопродажба преку интернетСуштинскиВОН ОПСЕГ*
58.2Издавање на софтверСуштинскиВОН ОПСЕГ*

8.2.10 Истражување (НКД: 72.x)

НКДОписГолеми субјектиСредни субјекти
72Научно истражување и развојСуштинскиВОН ОПСЕГ*

*Средните субјекти од Член 7(1)2) сектори можат да бидат прогласени за ВАЖНИ преку посебна проценка на ризик (Член 8(2)2))

8. NKD Code Mapping

8.1 High Criticality Sectors (Article 7(1)(1))

CLASSIFICATION RULES per Article 8 of LNIS:
  • LARGE entities in Article 7(1)(1) sectors → ESSENTIAL (Article 8(1)(1))
  • MEDIUM entities in Article 7(1)(1) sectors → IMPORTANT (Article 8(2)(1))
  • Entities marked "(all)" are ESSENTIAL regardless of size

8.1.1 Energy (НКД: 05, 06, 19, 35.x)

NKDDescriptionSubsectorLargeMedium
05Coal miningProductionEssentialImportant
06Crude oil and natural gas extractionProductionEssentialImportant
19Manufacture of coke and refined petroleumRefiningEssentialImportant
35Electricity, gas, steam supplySupplyEssentialImportant
35.1Electricity production, transmission and distributionElectricityEssentialImportant
35.11Electricity productionProductionEssentialImportant
35.12Electricity transmissionTransmissionEssential (all)Essential (all)
35.13Electricity distributionDistributionEssentialImportant
35.14Electricity tradeTradeEssentialImportant
35.2Gas production; gaseous fuel distributionGasEssentialImportant
35.3Steam and air conditioning supplyThermal energyEssentialImportant

8.1.2 Transport (НКД: 49.x, 50, 51, 52)

NKDDescriptionSubsectorLargeMedium
49Land transport and transport via pipelinesLandEssentialImportant
49.1Intercity railway passenger transportRailEssential (all)Essential (all)
49.2Rail freight transportRailEssential (all)Essential (all)
49.3Other passenger land transportLandEssentialImportant
49.4Road freight transportLandEssentialImportant
49.5Transport via pipelinesPipelinesEssential (all)Essential (all)
50Water transportWaterEssentialImportant
51Air transportAirEssentialImportant
52Warehousing and transport supportInfrastructureEssentialImportant

8.1.3 Banking (НКД: 64.1x)

NKDDescriptionSubsectorLargeMedium
64.1Monetary intermediationBankingEssential (all)Essential (all)
64.11Central bank activitiesCentral bankEssential (all)Essential (all)
64.19Other monetary intermediationCommercial banksEssential (all)Essential (all)

8.1.4 Financial Market (НКД: 66.x)

NKDDescriptionSubsectorLargeMedium
66.11Financial market administrationStock exchangeEssential (all)Essential (all)
66.12Securities and commodity brokerageBrokersEssentialImportant
66.19Auxiliary activities in financial servicesAuxiliaryEssentialImportant
66.3Fund management activitiesManagementEssentialImportant

8.1.5 Healthcare (НКД: 86.x, 87, 88)

NKDDescriptionSubsectorLargeMedium
86Human health activitiesHealthcareEssentialImportant
86.1Hospital activitiesHospitalsEssentialImportant
86.2Medical and dental practicePrimary careEssentialImportant
86.9Other human health activitiesSpecializedEssentialImportant
87Residential care activitiesSocial careEssentialImportant
88Social work without accommodationSocial careEssentialImportant

8.1.6 Water Supply (НКД: 36, 37)

NKDDescriptionSubsectorLargeMedium
36Water collection, treatment and distributionDrinking waterEssentialImportant
37SewerageWastewaterEssentialImportant

8.1.7 Digital Infrastructure (НКД: 61.x, 63.x)

NKDDescriptionSubsectorLargeMedium
61TelecommunicationsTelecomEssentialImportant
61.1Wired telecom activitiesFixed networkEssentialImportant
61.2Wireless telecom activitiesMobile networkEssentialImportant
61.3Satellite telecom activitiesSatelliteEssential (all)Essential (all)
61.9Other telecom activitiesOthersEssentialImportant
63.11Data processing, hostingData centersEssentialImportant
63.12Web portalsDigital servicesEssentialImportant
63.9Other information service activitiesIT servicesEssentialImportant

8.1.8 ICT Services B2B (НКД: 62.x)

NKDDescriptionSubsectorLargeMedium
62.01Computer programmingDevelopmentEssentialImportant
62.02Computer consultancyConsultingEssentialImportant
62.03Computer facilities managementManagementEssentialImportant
62.09Other IT activitiesOthersEssentialImportant

8.1.9 Public Administration (НКД: 84.x)

NKDDescriptionSubsectorLargeMedium
84.1Central and local government activitiesCentral governmentEssential (all)Essential (all)

8.2 Other Critical Sectors (Article 7(1)(2))

IMPORTANT NOTE per Article 8 of LNIS:
  • LARGE entities in Article 7(1)(2) sectors → ESSENTIAL (Article 8(1)(1))
  • MEDIUM entities in Article 7(1)(2) sectors → OUT OF SCOPE (except by special risk assessment - Article 8(2)(2))
  • This is stricter than NIS2 where large entities from Article 7(1)(2) are only IMPORTANT

8.2.1 Postal Services (НКД: 53.x)

NKDDescriptionLarge EntitiesMedium Entities
53Postal and courier activitiesEssentialOUT OF SCOPE*
53.1Postal activities under universal service obligationEssentialBy assessment
53.2Other postal and courier activitiesEssentialOUT OF SCOPE*

8.2.2 Waste Management (НКД: 38.x)

NKDDescriptionLarge EntitiesMedium Entities
38Waste collection, treatment and disposalEssentialOUT OF SCOPE*
38.1Waste collectionEssentialOUT OF SCOPE*
38.2Waste treatment and disposalEssentialOUT OF SCOPE*
38.3RecyclingEssentialOUT OF SCOPE*

8.2.3 Chemicals (НКД: 20.x)

NKDDescriptionLarge EntitiesMedium Entities
20Chemical manufacturingEssentialOUT OF SCOPE*
20.1Basic chemicals, fertilizersEssentialOUT OF SCOPE*
20.2Pesticides and agrochemicalsEssentialOUT OF SCOPE*
20.3Paints, varnishes and coatingsEssentialOUT OF SCOPE*
20.4Soaps and detergentsEssentialOUT OF SCOPE*
20.5Other chemical productsEssentialOUT OF SCOPE*
20.6Synthetic fibersEssentialOUT OF SCOPE*

8.2.4 Food (НКД: 10, 11, 46.x)

NKDDescriptionLarge EntitiesMedium Entities
10Food manufacturingEssentialOUT OF SCOPE*
11Beverage manufacturingEssentialOUT OF SCOPE*
46Wholesale tradeEssentialOUT OF SCOPE*

8.2.5 Manufacturing - Medical Devices (НКД: 26.6, 32.5)

NKDDescriptionLarge EntitiesMedium Entities
26.6Medical devicesEssentialOUT OF SCOPE*
32.5Medical instrumentsEssentialOUT OF SCOPE*

8.2.6 Manufacturing - Computers/Electronics (НКД: 26.x, 27.x)

NKDDescriptionLarge EntitiesMedium Entities
26Computer and electronics manufacturingEssentialOUT OF SCOPE*
27Electrical equipment manufacturingEssentialOUT OF SCOPE*

8.2.7 Manufacturing - Machinery (НКД: 28.x)

NKDDescriptionLarge EntitiesMedium Entities
28Machinery manufacturingEssentialOUT OF SCOPE*

8.2.8 Manufacturing - Vehicles (НКД: 29.x, 30.x)

NKDDescriptionLarge EntitiesMedium Entities
29Motor vehicle manufacturingEssentialOUT OF SCOPE*
30Other transport equipment manufacturingEssentialOUT OF SCOPE*

8.2.9 Digital Providers (НКД: 47.91, 58.2, 63.1x)

NKDDescriptionLarge EntitiesMedium Entities
47.91Online retailEssentialOUT OF SCOPE*
58.2Software publishingEssentialOUT OF SCOPE*

8.2.10 Research (НКД: 72.x)

NKDDescriptionLarge EntitiesMedium Entities
72Scientific research and developmentEssentialOUT OF SCOPE*

*Medium entities from Article 7(1)(2) sectors may be designated as IMPORTANT through a special risk assessment (Article 8(2)(2))

8. Hartëzimi i Kodeve NKD

8.1 Sektorët me Kritikë të Lartë (Neni 7(1)(1))

RREGULLAT E KLASIFIKIMIT sipas Nenit 8 të LSRSI:
  • Subjektet E MËDHA në sektorët e Nenit 7(1)(1) → THELBËSORE (Neni 8(1)(1))
  • Subjektet E MESME në sektorët e Nenit 7(1)(1) → TË RËNDËSISHME (Neni 8(2)(1))
  • Subjektet e shënuara "(të gjithë)" janë THELBËSORE pavarësisht nga madhësia

8.1.1 Energjia (НКД: 05, 06, 19, 35.x)

NKDPërshkrimiNënsektoriTë mëdhenjTë mesëm
05Minierat e qymyritProdhimiThelbësorTë rëndësishëm
06Nxjerrja e naftës dhe gazit natyrorProdhimiThelbësorTë rëndësishëm
19Prodhimi i koksit dhe produkteve të rafinuaraRafinimiThelbësorTë rëndësishëm
35Furnizimi me energji elektrike, gaz, avullFurnizimiThelbësorTë rëndësishëm
35.1Prodhimi, transmetimi dhe shpërndarja e energjisë elektrikeEnergjia elektrikeThelbësorTë rëndësishëm
35.11Prodhimi i energjisë elektrikeProdhimiThelbësorTë rëndësishëm
35.12Transmetimi i energjisë elektrikeTransmetimiThelbësor (të gjithë)Thelbësor (të gjithë)
35.13Shpërndarja e energjisë elektrikeShpërndarjaThelbësorTë rëndësishëm
35.14Tregtia e energjisë elektrikeTregtiaThelbësorTë rëndësishëm
35.2Prodhimi i gazit; shpërndarja e karburanteve gazozeGaziThelbësorTë rëndësishëm
35.3Furnizimi me avull dhe kondicionim ajriEnergjia termikeThelbësorTë rëndësishëm

8.1.2 Transporti (НКД: 49.x, 50, 51, 52)

NKDPërshkrimiNënsektoriTë mëdhenjTë mesëm
49Transporti tokësor dhe transport përmes tubacioneveTokësorThelbësorTë rëndësishëm
49.1Transporti ndërqytetës hekurudhor i pasagjerëveHekurudhaThelbësor (të gjithë)Thelbësor (të gjithë)
49.2Transporti hekurudhor i mallraveHekurudhaThelbësor (të gjithë)Thelbësor (të gjithë)
49.3Transport tjetër tokësor i pasagjerëveTokësorThelbësorTë rëndësishëm
49.4Transporti rrugor i mallraveTokësorThelbësorTë rëndësishëm
49.5Transport përmes tubacioneveTubacionetThelbësor (të gjithë)Thelbësor (të gjithë)
50Transporti ujorUjorThelbësorTë rëndësishëm
51Transporti ajrorAjrorThelbësorTë rëndësishëm
52Magazinimi dhe shërbimet mbështetëse të transportitInfrastrukturaThelbësorTë rëndësishëm

8.1.3 Bankimi (НКД: 64.1x)

NKDPërshkrimiNënsektoriTë mëdhenjTë mesëm
64.1Ndërmjetësimi monetarBankimiThelbësor (të gjithë)Thelbësor (të gjithë)
64.11Aktivitetet e bankës qendroreBanka qendroreThelbësor (të gjithë)Thelbësor (të gjithë)
64.19Ndërmjetësime të tjera monetareBankat tregtareThelbësor (të gjithë)Thelbësor (të gjithë)

8.1.4 Tregu Financiar (НКД: 66.x)

NKDPërshkrimiNënsektoriTë mëdhenjTë mesëm
66.11Administrimi i tregjeve financiareBursaThelbësor (të gjithë)Thelbësor (të gjithë)
66.12Ndërmjetësimi i letrave me vlerë dhe mallraveNdërmjetësitThelbësorTë rëndësishëm
66.19Aktivitete ndihmëse në shërbimet financiareNdihmëseThelbësorTë rëndësishëm
66.3Aktivitetet e menaxhimit të fondeveMenaxhimiThelbësorTë rëndësishëm

8.1.5 Shëndetësia (НКД: 86.x, 87, 88)

NKDPërshkrimiNënsektoriTë mëdhenjTë mesëm
86Aktivitetet e shëndetit njerëzorShëndetësiaThelbësorTë rëndësishëm
86.1Aktivitetet spitaloreSpitaletThelbësorTë rëndësishëm
86.2Praktika mjekësore dhe dentareKujdesi parësorThelbësorTë rëndësishëm
86.9Aktivitete të tjera shëndetësoreTë specializuaraThelbësorTë rëndësishëm
87Aktivitetet e kujdesit rezidencialKujdesi socialThelbësorTë rëndësishëm
88Puna sociale pa akomodimKujdesi socialThelbësorTë rëndësishëm

8.1.6 Furnizimi me Ujë (НКД: 36, 37)

NKDPërshkrimiNënsektoriTë mëdhenjTë mesëm
36Grumbullimi, trajtimi dhe shpërndarja e ujitUji i pijshëmThelbësorTë rëndësishëm
37KanalizimetUjërat e ndoturaThelbësorTë rëndësishëm

8.1.7 Infrastruktura Digjitale (НКД: 61.x, 63.x)

NKDPërshkrimiNënsektoriTë mëdhenjTë mesëm
61TelekomunikacionetTelekomiThelbësorTë rëndësishëm
61.1Aktivitetet e telekomunikacionit me kablloRrjeti fiksThelbësorTë rëndësishëm
61.2Aktivitetet e telekomunikacionit pa kablloRrjeti mobilThelbësorTë rëndësishëm
61.3Aktivitetet e telekomunikacionit satelitorSatelitiThelbësor (të gjithë)Thelbësor (të gjithë)
61.9Aktivitete të tjera telekomunikacioniTë tjeraThelbësorTë rëndësishëm
63.11Përpunimi i të dhënave, hostingQendrat e të dhënaveThelbësorTë rëndësishëm
63.12Portalet uebShërbimet digjitaleThelbësorTë rëndësishëm
63.9Aktivitete të tjera shërbimesh informacioniShërbimet ITThelbësorTë rëndësishëm

8.1.8 Shërbimet TIK B2B (НКД: 62.x)

NKDPërshkrimiNënsektoriTë mëdhenjTë mesëm
62.01Programimi kompjuterikZhvillimiThelbësorTë rëndësishëm
62.02Konsulenca kompjuterikeKonsulencaThelbësorTë rëndësishëm
62.03Menaxhimi i kapaciteteve kompjuterikeMenaxhimiThelbësorTë rëndësishëm
62.09Aktivitete të tjera ITTë tjeraThelbësorTë rëndësishëm

8.1.9 Administrata Publike (НКД: 84.x)

NKDPërshkrimiNënsektoriTë mëdhenjTë mesëm
84.1Aktivitetet e qeverisjes qendrore dhe lokaleQeverisja qendroreThelbësor (të gjithë)Thelbësor (të gjithë)

8.2 Sektorë të Tjerë Kritikë (Neni 7(1)(2))

SHËNIM I RËNDËSISHËM sipas Nenit 8 të LSRSI:
  • Subjektet E MËDHA në sektorët e Nenit 7(1)(2) → THELBËSORE (Neni 8(1)(1))
  • Subjektet E MESME në sektorët e Nenit 7(1)(2) → JASHTË FUSHËVEPRIMIT (përveç me vlerësim special - Neni 8(2)(2))
  • Kjo është më e rreptë se NIS2 ku subjektet e mëdha nga Neni 7(1)(2) janë vetëm TË RËNDËSISHME

8.2.1 Shërbimet Postare (НКД: 53.x)

NKDPërshkrimiSubjektet e MëdhaSubjektet e Mesme
53Aktivitetet postare dhe korrierThelbësorJASHTË FUSHËVEPRIMIT*
53.1Aktivitetet postare nën detyrimin e shërbimit universalThelbësorMe vlerësim
53.2Aktivitete të tjera postare dhe korrierThelbësorJASHTË FUSHËVEPRIMIT*

8.2.2 Menaxhimi i Mbetjeve (НКД: 38.x)

NKDPërshkrimiSubjektet e MëdhaSubjektet e Mesme
38Grumbullimi, trajtimi dhe asgjësimi i mbetjeveThelbësorJASHTË FUSHËVEPRIMIT*
38.1Grumbullimi i mbetjeveThelbësorJASHTË FUSHËVEPRIMIT*
38.2Trajtimi dhe asgjësimi i mbetjeveThelbësorJASHTË FUSHËVEPRIMIT*
38.3RiciklimiThelbësorJASHTË FUSHËVEPRIMIT*

8.2.3 Kimikatet (НКД: 20.x)

NKDPërshkrimiSubjektet e MëdhaSubjektet e Mesme
20Prodhimi i kimikateveThelbësorJASHTË FUSHËVEPRIMIT*
20.1Kimikate bazë, plehraThelbësorJASHTË FUSHËVEPRIMIT*
20.2Pesticidet dhe agrokimikatetThelbësorJASHTË FUSHËVEPRIMIT*
20.3Bojërat, llaqet dhe veshjetThelbësorJASHTË FUSHËVEPRIMIT*
20.4Sapunët dhe detergjentëtThelbësorJASHTË FUSHËVEPRIMIT*
20.5Produkte të tjera kimikeThelbësorJASHTË FUSHËVEPRIMIT*
20.6Fibra sintetikeThelbësorJASHTË FUSHËVEPRIMIT*

8.2.4 Ushqimi (НКД: 10, 11, 46.x)

NKDPërshkrimiSubjektet e MëdhaSubjektet e Mesme
10Prodhimi i ushqimitThelbësorJASHTË FUSHËVEPRIMIT*
11Prodhimi i pijeveThelbësorJASHTË FUSHËVEPRIMIT*
46Tregtia me shumicëThelbësorJASHTË FUSHËVEPRIMIT*

8.2.5 Prodhimi - Pajisje Mjekësore (НКД: 26.6, 32.5)

NKDPërshkrimiSubjektet e MëdhaSubjektet e Mesme
26.6Pajisje mjekësoreThelbësorJASHTË FUSHËVEPRIMIT*
32.5Instrumente mjekësoreThelbësorJASHTË FUSHËVEPRIMIT*

8.2.6 Prodhimi - Kompjuterë/Elektronikë (НКД: 26.x, 27.x)

NKDPërshkrimiSubjektet e MëdhaSubjektet e Mesme
26Prodhimi i kompjuterëve dhe elektronikësThelbësorJASHTË FUSHËVEPRIMIT*
27Prodhimi i pajisjeve elektrikeThelbësorJASHTË FUSHËVEPRIMIT*

8.2.7 Prodhimi - Makineri (НКД: 28.x)

NKDPërshkrimiSubjektet e MëdhaSubjektet e Mesme
28Prodhimi i makineriveThelbësorJASHTË FUSHËVEPRIMIT*

8.2.8 Prodhimi - Automjete (НКД: 29.x, 30.x)

NKDPërshkrimiSubjektet e MëdhaSubjektet e Mesme
29Prodhimi i automjeteve me motorThelbësorJASHTË FUSHËVEPRIMIT*
30Prodhimi i pajisjeve të tjera të transportitThelbësorJASHTË FUSHËVEPRIMIT*

8.2.9 Ofruesit Digjitalë (НКД: 47.91, 58.2, 63.1x)

NKDPërshkrimiSubjektet e MëdhaSubjektet e Mesme
47.91Shitja me pakicë përmes internetitThelbësorJASHTË FUSHËVEPRIMIT*
58.2Publikimi i softueritThelbësorJASHTË FUSHËVEPRIMIT*

8.2.10 Kërkimi (НКД: 72.x)

NKDPërshkrimiSubjektet e MëdhaSubjektet e Mesme
72Kërkimi dhe zhvillimi shkencorThelbësorJASHTË FUSHËVEPRIMIT*

*Subjektet e mesme nga sektorët e Nenit 7(1)(2) mund të caktohen si TË RËNDËSISHME përmes vlerësimit special të rrezikut (Neni 8(2)(2))

9. Упатство за корисници

9.1 Започнување со самооценување

9.1.1 Пристап до апликацијата

Преку веб интерфејс:

  1. Отворете го веб прелистувачот
  2. Внесете ја адресата: https://sajberbezbednost.mk
  3. Апликацијата се вчитува директно

Преку вгнезден интерфејс:

  • Апликацијата може да биде вградена во други веб страни
  • Автоматска адаптација на димензиите

9.1.2 Избор на јазик

Апликацијата поддржува три јазици:

ЈазикКодИзбор
МакедонскиMKСтандарден
EnglishENПреку мени
ShqipSQПреку мени

Како да го промените јазикот:

  1. Кликнете на јазичното мени (горе десно)
  2. Изберете го посакуваниот јазик
  3. Интерфејсот се ажурира веднаш

9.1.3 Избор на тип на проценка

На почетниот екран изберете:

BMIS проценка:

  • За средни и големи организации
  • 12 домени, 52 контроли
  • Детална анализа
  • Compliance baselines

MSME проценка:

  • За мали претпријатија
  • 6 домени, 25 контроли
  • Поедноставена анализа
  • ENISA референтна рамка

9.2 Користење на интерфејсот

9.2.1 Навигација низ фазите

Апликацијата се состои од 4 фази:

┌─────────────────────────────────────────────────────────────────┐ │ Фаза 1 Фаза 2 Фаза 3 Фаза 4 │ │ ──────── ──────── ──────── ──────── │ │ Класифика- Проценка на Резултати Извештај │ │ ција усогласеност и анализа │ │ │ │ [●]────────[○]────────────[○]──────────[○] │ │ │ │ Завршена Во тек Заклучена Достапен │ └─────────────────────────────────────────────────────────────────┘

Контроли за навигација:

  • Назад - Враќање на претходната фаза
  • Напред - Преминување на следната фаза
  • Прескокни - За опционални делови

9.2.2 Зачувување на напредокот

Апликацијата автоматски го зачувува напредокот:

Автоматско зачувување:

  • При секоја промена на одговор
  • Индикатор "Зачувано" се прикажува
  • Податоците се чуваат во базата

Рачен извоз:

  1. Кликнете на "Зачувај прогрес"
  2. Се генерира JSON датотека
  3. Зачувајте ја датотеката локално

9.2.3 Враќање на претходна проценка

Автоматско враќање:

  • При повторно отворање, апликацијата нуди да продолжите
  • Кликнете "Продолжи" за да продолжите
  • Или "Нова проценка" за почеток од нула

Рачно враќање:

  1. Кликнете на "Вчитај проценка"
  2. Изберете ја зачуваната JSON датотека
  3. Проценката се вчитува

9.3 Толкување на резултатите

9.3.1 Читање на резултатот на усогласеност

Вкупен резултат:

ОпсегЗначењеАкција
90-100%Одлична усогласеностОдржување
75-89%Добра усогласеностПодобрување
50-74%Средна усогласеностПриоритетна акција
25-49%Слаба усогласеностИтна акција
0-24%Критична состојбаИнтервенција

9.3.2 Разбирање на нивоата на зрелост

BMIS нивоа (L1-L4):

НивоПроцентОпис
L125%Почетно/Ад-хок
L250%Дефинирано/Повторливо
L375%Управувано/Измерено
L4100%Оптимизирано/Проактивно

MSME нивоа:

НивоПроцентОпис
Foundation33%Основно
Advanced66%Напредно
Expert100%Експертско

9.3.3 Приоретизирање на подобрувања

Критериуми за приоритет:

  1. Критично - Контроли со резултат под 25%
  2. Високо - Контроли со резултат 25-50%
  3. Средно - Контроли со резултат 50-75%
  4. Ниско - Контроли со резултат над 75%

Дополнителни фактори:

  • Правна обврска (ЗБМИС членови)
  • Ризик од инциденти
  • Достапни ресурси

9.4 Често поставувани прашања

9.4.1 Класификација и опсег

П: Зошто сум класифициран како СУШТИНСКИ субјект?

О: Класификацијата се базира на:

  • Секторот (Член 7(1)1) или II)
  • Големината (вработени, промет, средства)
  • Специјални услови

П: Можам ли да ја променам класификацијата?

О: Класификацијата е автоматска според законските критериуми. Можете да ги промените влезните податоци.

П: Што ако сум ВОН ОПСЕГ?

О: Можете доброволно да ја користите MSME проценката за подобрување.

9.4.2 Оценување на контроли

П: Што ако не сум сигурен за нивото?

О: Изберете го пониското ниво. Подобро е да бидете конзервативни.

П: Дали можам да прескокнам контроли?

О: Контролите може да се означат како N/A само ако навистина не се применливи.

П: Како да собирам докази за нивоата?

О: За секое ниво се очекуваат:

  • L1: Основна пракса
  • L2: Документирани политики
  • L3: KPI и мерења
  • L4: Автоматизација и оптимизација

9.4.3 Извештаи и усогласеност

П: Како да го искористам извештајот за регулаторот?

О: Извештајот може да се користи како:

  • Доказ за спроведена проценка
  • Основа за план за усогласување
  • Документација за ревизија

П: Колку често треба да правам проценка?

О: Препорачано:

  • Годишно за редовен преглед
  • После значителни промени
  • После безбедносни инциденти

9. User Guide

9.1 Getting Started with Self-Assessment

9.1.1 Accessing the Application

Via web interface:

  1. Open your web browser
  2. Enter the address: https://sajberbezbednost.mk
  3. The application loads directly

Via embedded interface:

  • The application can be embedded in other web pages
  • Automatic dimension adaptation

9.1.2 Language Selection

The application supports three languages:

LanguageCodeSelection
MacedonianMKDefault
EnglishENVia menu
AlbanianSQVia menu

How to change the language:

  1. Click on the language menu (top right)
  2. Select the desired language
  3. The interface updates immediately

9.1.3 Choosing the Assessment Type

On the start screen, select:

BMIS Assessment:

  • For medium and large organizations
  • 12 domains, 52 controls
  • Detailed analysis
  • Compliance baselines

MSME Assessment:

  • For small enterprises
  • 6 domains, 25 controls
  • Simplified analysis
  • ENISA reference framework

9.2 Using the Interface

9.2.1 Navigating Through Phases

The application consists of 4 phases:

┌─────────────────────────────────────────────────────────────────┐ │ Phase 1 Phase 2 Phase 3 Phase 4 │ │ ──────── ──────── ──────── ──────── │ │ Classifi- Compliance Results Report │ │ cation Assessment & Analysis │ │ │ │ [●]────────[○]────────────[○]──────────[○] │ │ │ │ Completed In Progress Locked Available │ └─────────────────────────────────────────────────────────────────┘

Navigation controls:

  • Back - Return to the previous phase
  • Next - Proceed to the next phase
  • Skip - For optional sections

9.2.2 Saving Progress

The application automatically saves progress:

Automatic saving:

  • On each answer change
  • "Saved" indicator is displayed
  • Data is stored in the database

Manual export:

  1. Click on "Save Progress"
  2. A JSON file is generated
  3. Save the file locally

9.2.3 Restoring a Previous Assessment

Automatic restoration:

  • Upon reopening, the application offers to continue
  • Click "Continue" to resume
  • Or "New Assessment" to start from scratch

Manual restoration:

  1. Click on "Load Assessment"
  2. Select the saved JSON file
  3. The assessment loads

9.3 Interpreting Results

9.3.1 Reading the Compliance Score

Overall score:

RangeMeaningAction
90-100%Excellent complianceMaintenance
75-89%Good complianceImprovement
50-74%Average compliancePriority action
25-49%Weak complianceUrgent action
0-24%Critical conditionIntervention

9.3.2 Understanding Maturity Levels

BMIS levels (L1-L4):

LevelPercentageDescription
L125%Initial/Ad-hoc
L250%Defined/Repeatable
L375%Managed/Measured
L4100%Optimized/Proactive

MSME levels:

LevelPercentageDescription
Foundation33%Basic
Advanced66%Advanced
Expert100%Expert

9.3.3 Prioritizing Improvements

Priority criteria:

  1. Critical - Controls with score below 25%
  2. High - Controls with score 25-50%
  3. Medium - Controls with score 50-75%
  4. Low - Controls with score above 75%

Additional factors:

  • Legal obligation (LNIS articles)
  • Incident risk
  • Available resources

9.4 Frequently Asked Questions

9.4.1 Classification and Scope

Q: Why am I classified as an ESSENTIAL entity?

A: The classification is based on:

  • The sector (Article 7(1)1) or II)
  • Size (employees, turnover, assets)
  • Special conditions

Q: Can I change the classification?

A: The classification is automatic based on legal criteria. You can change the input data.

Q: What if I am OUT OF SCOPE?

A: You can voluntarily use the MSME assessment for improvement.

9.4.2 Control Assessment

Q: What if I am not sure about the level?

A: Select the lower level. It is better to be conservative.

Q: Can I skip controls?

A: Controls can be marked as N/A only if they truly do not apply.

Q: How do I gather evidence for levels?

A: For each level, the following is expected:

  • L1: Basic practice
  • L2: Documented policies
  • L3: KPIs and measurements
  • L4: Automation and optimization

9.4.3 Reports and Compliance

Q: How can I use the report for the regulator?

A: The report can be used as:

  • Evidence of a conducted assessment
  • Basis for a compliance plan
  • Documentation for audit

Q: How often should I conduct an assessment?

A: Recommended:

  • Annually for regular review
  • After significant changes
  • After security incidents

9. Udhezuesi per perdoruesit

9.1 Fillimi i vetevleresimit

9.1.1 Qasja ne aplikacion

Permes nderfaqes se uebit:

  1. Hapni shfletuesin e uebit
  2. Vendosni adresen: https://sajberbezbednost.mk
  3. Aplikacioni ngarkohet drejtperdrejt

Permes nderfaqes se integruar:

  • Aplikacioni mund te integrohet ne faqe te tjera te uebit
  • Pershtitje automatike e dimensioneve

9.1.2 Zgjedhja e gjuhes

Aplikacioni mbeshtete tri gjuhe:

GjuhaKodiZgjedhja
MaqedonishtMKE parazgjedhur
AnglishtENPermes menuse
ShqipSQPermes menuse

Si te ndryshoni gjuhen:

  1. Klikoni ne menune e gjuhes (lart djathtas)
  2. Zgjidhni gjuhen e deshiruar
  3. Nderfaqja perditësohet menjehere

9.1.3 Zgjedhja e llojit te vleresimit

Ne ekranin fillestar zgjidhni:

Vleresimi BMIS:

  • Per organizata te mesme dhe te medha
  • 12 fusha, 52 kontrolle
  • Analize e detajuar
  • Baza perputhshmerie (Compliance baselines)

Vleresimi MSME:

  • Per ndermarrje te vogla
  • 6 fusha, 25 kontrolle
  • Analize e thjeshtuar
  • Korniza referuese ENISA

9.2 Perdorimi i nderfaqes

9.2.1 Navigimi neper faza

Aplikacioni perbehet nga 4 faza:

┌─────────────────────────────────────────────────────────────────┐ │ Faza 1 Faza 2 Faza 3 Faza 4 │ │ ──────── ──────── ──────── ──────── │ │ Klasifi- Vleresimi i Rezultatet Raporti │ │ kimi perputhshmerise dhe Analiza │ │ │ │ [●]────────[○]────────────[○]──────────[○] │ │ │ │ Perfunduar Ne progres E kyqur I disponueshem │ └─────────────────────────────────────────────────────────────────┘

Kontrollet e navigimit:

  • Prapa - Kthimi ne fazen e meparshme
  • Para - Kalimi ne fazen e ardhshme
  • Kalo - Per seksionet opsionale

9.2.2 Ruajtja e progresit

Aplikacioni automatikisht e ruan progresin:

Ruajtja automatike:

  • Me cdo ndryshim te pergjigjes
  • Treguesi "E ruajtur" shfaqet
  • Te dhenat ruhen ne baze te te dhenave

Eksportimi manual:

  1. Klikoni ne "Ruaj progresin"
  2. Gjenerohet nje skedar JSON
  3. Ruajeni skedarin ne menyre lokale

9.2.3 Rikthimi i nje vleresimi te meparshem

Rikthimi automatik:

  • Kur rihapet, aplikacioni ofron te vazhdoni
  • Klikoni "Vazhdo" per te vazhduar
  • Ose "Vleresim i ri" per te filluar nga fillimi

Rikthimi manual:

  1. Klikoni ne "Ngarko vleresimin"
  2. Zgjidhni skedarin JSON te ruajtur
  3. Vleresimi ngarkohet

9.3 Interpretimi i rezultateve

9.3.1 Leximi i rezultatit te perputhshmerise

Rezultati i pergjithshem:

DiapazoniKuptimiVeprimi
90-100%Perputhshmeri e shkelqyerMirembajtje
75-89%Perputhshmeri e mirePermiresim
50-74%Perputhshmeri mesatareVeprim prioritar
25-49%Perputhshmeri e dobetVeprim urgjent
0-24%Gjendje kritikeNderhyrje

9.3.2 Kuptimi i niveleve te pjekurise

Nivelet BMIS (L1-L4):

NiveliPerqindjaPershkrimi
L125%Fillestar/Ad-hoc
L250%I percaktuar/I perseritshem
L375%I menaxhuar/I matur
L4100%I optimizuar/Proaktiv

Nivelet MSME:

NiveliPerqindjaPershkrimi
Foundation33%Baze
Advanced66%I avancuar
Expert100%Ekspert

9.3.3 Prioritizimi i permiresimeve

Kriteret e prioritetit:

  1. Kritike - Kontrolle me rezultat nen 25%
  2. E larte - Kontrolle me rezultat 25-50%
  3. Mesatare - Kontrolle me rezultat 50-75%
  4. E ulet - Kontrolle me rezultat mbi 75%

Faktore shtese:

  • Detyrimi ligjor (nenet e LSMI-se)
  • Rreziku nga incidentet
  • Burimet e disponueshme

9.4 Pyetjet e bera shpesh

9.4.1 Klasifikimi dhe fusha

P: Perse jam i klasifikuar si subjekt THELBESOR?

P: Klasifikimi bazohet ne:

  • Sektorin (Neni 7(1)1) ose II)
  • Madhesia (punonjes, qarkullim, pasuri)
  • Kushte te vecanta

P: A mund ta ndryshoj klasifikimin?

P: Klasifikimi eshte automatik sipas kritereve ligjore. Mund t'i ndryshoni te dhenat hyrese.

P: Cfare nese jam JASHTE FUSHES?

P: Mund te perdorni vullnetarisht vleresimin MSME per permiresim.

9.4.2 Vleresimi i kontrolleve

P: Cfare nese nuk jam i sigurt per nivelin?

P: Zgjidhni nivelin me te ulet. Eshte me mire te jeni konservativ.

P: A mund t'i kaloj kontrollet?

P: Kontrollet mund te shenohen si N/A vetem nese vertete nuk jane te zbatueshme.

P: Si te mbledh deshmi per nivelet?

P: Per cdo nivel priten:

  • L1: Praktike baze
  • L2: Politika te dokumentuara
  • L3: KPI dhe matje
  • L4: Automatizim dhe optimizim

9.4.3 Raportet dhe perputhshmeria

P: Si ta perdor raportin per rregullatorin?

P: Raporti mund te perdoret si:

  • Deshmi per vleresimin e kryer
  • Baze per planin e perputhshmerise
  • Dokumentacion per auditim

P: Sa shpesh duhet te bej vleresim?

P: Rekomandohet:

  • Cdo vit per rishikim te rregullt
  • Pas ndryshimeve te rendesishme
  • Pas incidenteve te sigurise

10. Техничка документација

10.1 Архитектура на апликацијата

10.1.1 Технолошки стек

КомпонентаТехнологијаВерзија
FrontendNext.js14.2.28
ReactReact18.2.0
State ManagementReact Context-
StylingTailwind CSS3.3.3
ChartsRecharts/Plotly2.15.3/2.35.3
DatabasePostgreSQL/Prisma6.7.0
AuthenticationNextAuth.js4.24.11
UI ComponentsRadix UIVarious

10.1.2 Структура на проектот

react_msme_assessment/
├── app/                        # Next.js App Router
│   ├── api/                    # API Routes
│   │   ├── assessments/        # Assessment CRUD
│   │   ├── auth/               # Authentication
│   │   ├── progress/           # Save/Load progress
│   │   ├── report/             # Report generation
│   │   └── stats/              # Analytics
│   ├── dashboard/              # Dashboard page
│   └── page.tsx                # Main assessment page
│
├── components/                 # React Components
│   ├── phase1.tsx              # Classification phase
│   ├── phase2.tsx              # BMIS Assessment
│   ├── msme-phase2.tsx         # MSME Assessment
│   ├── phase3.tsx              # Results phase
│   ├── phase4.tsx              # Report phase
│   ├── ui/                     # UI components
│   └── charts/                 # Chart components
│
├── contexts/                   # React Contexts
│   ├── AuthContext.tsx          # Authentication
│   └── LanguageContext.tsx      # i18n
│
├── lib/                        # Utilities
│   ├── assessment-domains.ts   # Domain definitions
│   ├── data.ts                 # NKD/Sector mappings
│   ├── i18n.ts                 # Translations
│   └── types.ts                # TypeScript types
│
├── public/
│   └── locales/                # Translation files
│       ├── mk/                 # Macedonian
│       ├── en/                 # English
│       └── sq/                 # Albanian
│
└── prisma/
    └── schema.prisma           # Database schema

└── opt/hostedapp/              # Deployment configuration

10.1.3 Дијаграм на компоненти

┌─────────────────────────────────────────────────────────────────┐ │ FRONTEND │ ├─────────────────────────────────────────────────────────────────┤ │ │ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │ │ Phase 1 │──│ Phase 2 │──│ Phase 3 │ │ │ │ Classifica- │ │ Assessment │ │ Results │ │ │ │ tion │ │ │ │ │ │ │ └─────────────┘ └─────────────┘ └─────────────┘ │ │ └──────────────┴──────────────┘ │ │ │ │ │ ┌──────┴──────┐ │ │ │ Assessment │ │ │ │ App │ │ │ └─────────────┘ │ │ │ │ ├─────────────────────────────┼───────────────────────────────────┤ │ API │ ├─────────────────────────────┼───────────────────────────────────┤ │ │ │ │ ┌──────────┐ ┌──────┴──────┐ ┌──────────┐ │ │ │ Auth │──│ NextJS │──│ Report │ │ │ │ API │ │ API Routes │ │ API │ │ │ └──────────┘ └─────────────┘ └──────────┘ │ │ │ │ ├─────────────────────────────┼───────────────────────────────────┤ │ DATABASE │ ├─────────────────────────────┼───────────────────────────────────┤ │ │ │ │ ┌──────┴──────┐ │ │ │ PostgreSQL │ │ │ │ (Prisma) │ │ │ └─────────────┘ │ │ │ └─────────────────────────────────────────────────────────────────┘

10.2 Податочен модел

10.2.1 Prisma Schema

// Основна шема за Assessment
model Assessment {
  id              String    @id @default(uuid())
  userId          String?
  type            String    // "BMIS" or "MSME"
  classification  String?   // "ESSENTIAL", "IMPORTANT", "OUT_OF_SCOPE"
  nkdCode         String?
  employees       Int?
  turnover        Float?
  assets          Float?

  // Responses stored as JSON
  phase1Data      Json?
  phase2Data      Json?

  // Results
  overallScore    Float?
  domainScores    Json?

  // Metadata
  status          String    @default("in_progress")
  createdAt       DateTime  @default(now())
  updatedAt       DateTime  @updatedAt
  completedAt     DateTime?

  // Relations
  user            User?     @relation(fields: [userId], references: [id])
}

model User {
  id              String       @id @default(uuid())
  email           String       @unique
  password        String
  name            String?
  organization    String?
  role            String       @default("user")
  createdAt       DateTime     @default(now())
  updatedAt       DateTime     @updatedAt
  assessments     Assessment[]
}

10.2.2 Структура на JSON податоците

Phase 1 Data:

{
  "nkdCode": "35.11",
  "nkdDescription": "Производство на електрична енергија",
  "employees": 300,
  "turnover": 55000000,
  "assets": 45000000,
  "sector": "Енергетика",
  "sectorCriticality": "HIGH",
  "designation": "ESSENTIAL"
}

Phase 2 Data (BMIS):

{
  "answers": {
    "GOV-01": { "level": 3, "notes": "Политика одобрена 2025" },
    "GOV-02": { "level": 2, "notes": "" },
    // ... останати контроли
  },
  "lastUpdated": "2026-02-14T12:00:00Z"
}

Phase 2 Data (MSME):

{
  "answers": {
    "1.1": { "level": "advanced", "notes": "" },
    "1.2": { "level": "foundation", "notes": "" },
    // ... останати контроли
  },
  "lastUpdated": "2026-02-14T12:00:00Z"
}

10.3 API референца

10.3.1 Assessment API

Креирање нова проценка:

POST /api/assessments
Content-Type: application/json

{
  "type": "BMIS",
  "phase1Data": { ... }
}

Response: 201 Created
{
  "id": "uuid-1234",
  "type": "BMIS",
  "status": "in_progress",
  "createdAt": "2026-02-14T12:00:00Z"
}

Ажурирање на проценка:

PUT /api/assessments/{id}
Content-Type: application/json

{
  "phase2Data": { ... },
  "status": "completed"
}

Response: 200 OK

Преземање на проценка:

GET /api/assessments/{id}

Response: 200 OK
{
  "id": "uuid-1234",
  "type": "BMIS",
  "classification": "ESSENTIAL",
  "phase1Data": { ... },
  "phase2Data": { ... },
  "overallScore": 68.5,
  "domainScores": { ... }
}

10.3.2 Progress API

Зачувување на напредок:

POST /api/progress/save
Content-Type: application/json

{
  "assessmentId": "uuid-1234",
  "currentPhase": 2,
  "data": { ... }
}

Response: 200 OK

Вчитување на напредок:

GET /api/progress/{assessmentId}

Response: 200 OK
{
  "currentPhase": 2,
  "lastSaved": "2026-02-14T12:00:00Z",
  "data": { ... }
}

10.3.3 Report API

Генерирање PDF извештај:

POST /api/report/generate
Content-Type: application/json

{
  "assessmentId": "uuid-1234",
  "format": "pdf",
  "language": "mk"
}

Response: 200 OK
Content-Type: application/pdf

10.4 Преводи и локализација

10.4.1 Структура на преводи

public/locales/
├── mk/
│   ├── common.json       # Општи преводи
│   ├── domains.json      # Домени и контроли
│   └── assessment.json   # Проценка
├── en/
│   ├── common.json
│   ├── domains.json
│   └── assessment.json
└── sq/
    ├── common.json
    ├── domains.json
    └── assessment.json

10.4.2 Примери на преводи

common.json (Македонски):

{
  "app": {
    "title": "Алатка за самооценување на сајбер безбедност",
    "description": "Проценка на усогласеноста со ЗБМИС"
  },
  "navigation": {
    "next": "Напред",
    "back": "Назад",
    "save": "Зачувај",
    "export": "Извези"
  },
  "phases": {
    "phase1": "Класификација",
    "phase2": "Проценка",
    "phase3": "Резултати",
    "phase4": "Извештај"
  }
}

domains.json (Македонски):

{
  "bmis_domains": {
    "domain_1": {
      "title": "1. Управување, Лидерство и Одговорност",
      "description": "Воспоставување на управување со сајбер безбедност",
      "controls": {
        "GOV-01": {
          "question": "Дали постои формална политика за сајбер безбедност?",
          "why": "Политиката е основа за сите безбедносни активности...",
          "how": "Развијте политика која ги дефинира целите..."
        }
      }
    }
  }
}

10. Technical Documentation

10.1 Application Architecture

10.1.1 Technology Stack

ComponentTechnologyVersion
FrontendNext.js14.2.28
ReactReact18.2.0
State ManagementReact Context-
StylingTailwind CSS3.3.3
ChartsRecharts/Plotly2.15.3/2.35.3
DatabasePostgreSQL/Prisma6.7.0
AuthenticationNextAuth.js4.24.11
UI ComponentsRadix UIVarious

10.1.2 Project Structure

react_msme_assessment/
├── app/                        # Next.js App Router
│   ├── api/                    # API Routes
│   │   ├── assessments/        # Assessment CRUD
│   │   ├── auth/               # Authentication
│   │   ├── progress/           # Save/Load progress
│   │   ├── report/             # Report generation
│   │   └── stats/              # Analytics
│   ├── dashboard/              # Dashboard page
│   └── page.tsx                # Main assessment page
│
├── components/                 # React Components
│   ├── phase1.tsx              # Classification phase
│   ├── phase2.tsx              # BMIS Assessment
│   ├── msme-phase2.tsx         # MSME Assessment
│   ├── phase3.tsx              # Results phase
│   ├── phase4.tsx              # Report phase
│   ├── ui/                     # UI components
│   └── charts/                 # Chart components
│
├── contexts/                   # React Contexts
│   ├── AuthContext.tsx          # Authentication
│   └── LanguageContext.tsx      # i18n
│
├── lib/                        # Utilities
│   ├── assessment-domains.ts   # Domain definitions
│   ├── data.ts                 # NKD/Sector mappings
│   ├── i18n.ts                 # Translations
│   └── types.ts                # TypeScript types
│
├── public/
│   └── locales/                # Translation files
│       ├── mk/                 # Macedonian
│       ├── en/                 # English
│       └── sq/                 # Albanian
│
└── prisma/
    └── schema.prisma           # Database schema

└── opt/hostedapp/              # Deployment configuration

10.1.3 Component Diagram

┌─────────────────────────────────────────────────────────────────┐ │ FRONTEND │ ├─────────────────────────────────────────────────────────────────┤ │ │ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │ │ Phase 1 │──│ Phase 2 │──│ Phase 3 │ │ │ │ Classifica- │ │ Assessment │ │ Results │ │ │ │ tion │ │ │ │ │ │ │ └─────────────┘ └─────────────┘ └─────────────┘ │ │ └──────────────┴──────────────┘ │ │ │ │ │ ┌──────┴──────┐ │ │ │ Assessment │ │ │ │ App │ │ │ └─────────────┘ │ │ │ │ ├─────────────────────────────┼───────────────────────────────────┤ │ API │ ├─────────────────────────────┼───────────────────────────────────┤ │ │ │ │ ┌──────────┐ ┌──────┴──────┐ ┌──────────┐ │ │ │ Auth │──│ NextJS │──│ Report │ │ │ │ API │ │ API Routes │ │ API │ │ │ └──────────┘ └─────────────┘ └──────────┘ │ │ │ │ ├─────────────────────────────┼───────────────────────────────────┤ │ DATABASE │ ├─────────────────────────────┼───────────────────────────────────┤ │ │ │ │ ┌──────┴──────┐ │ │ │ PostgreSQL │ │ │ │ (Prisma) │ │ │ └─────────────┘ │ │ │ └─────────────────────────────────────────────────────────────────┘

10.2 Data Model

10.2.1 Prisma Schema

// Core Assessment schema
model Assessment {
  id              String    @id @default(uuid())
  userId          String?
  type            String    // "BMIS" or "MSME"
  classification  String?   // "ESSENTIAL", "IMPORTANT", "OUT_OF_SCOPE"
  nkdCode         String?
  employees       Int?
  turnover        Float?
  assets          Float?

  // Responses stored as JSON
  phase1Data      Json?
  phase2Data      Json?

  // Results
  overallScore    Float?
  domainScores    Json?

  // Metadata
  status          String    @default("in_progress")
  createdAt       DateTime  @default(now())
  updatedAt       DateTime  @updatedAt
  completedAt     DateTime?

  // Relations
  user            User?     @relation(fields: [userId], references: [id])
}

model User {
  id              String       @id @default(uuid())
  email           String       @unique
  password        String
  name            String?
  organization    String?
  role            String       @default("user")
  createdAt       DateTime     @default(now())
  updatedAt       DateTime     @updatedAt
  assessments     Assessment[]
}

10.2.2 JSON Data Structure

Phase 1 Data:

{
  "nkdCode": "35.11",
  "nkdDescription": "Electricity generation",
  "employees": 300,
  "turnover": 55000000,
  "assets": 45000000,
  "sector": "Energy",
  "sectorCriticality": "HIGH",
  "designation": "ESSENTIAL"
}

Phase 2 Data (BMIS):

{
  "answers": {
    "GOV-01": { "level": 3, "notes": "Policy approved 2025" },
    "GOV-02": { "level": 2, "notes": "" },
    // ... remaining controls
  },
  "lastUpdated": "2026-02-14T12:00:00Z"
}

Phase 2 Data (MSME):

{
  "answers": {
    "1.1": { "level": "advanced", "notes": "" },
    "1.2": { "level": "foundation", "notes": "" },
    // ... remaining controls
  },
  "lastUpdated": "2026-02-14T12:00:00Z"
}

10.3 API Reference

10.3.1 Assessment API

Create new assessment:

POST /api/assessments
Content-Type: application/json

{
  "type": "BMIS",
  "phase1Data": { ... }
}

Response: 201 Created
{
  "id": "uuid-1234",
  "type": "BMIS",
  "status": "in_progress",
  "createdAt": "2026-02-14T12:00:00Z"
}

Update assessment:

PUT /api/assessments/{id}
Content-Type: application/json

{
  "phase2Data": { ... },
  "status": "completed"
}

Response: 200 OK

Retrieve assessment:

GET /api/assessments/{id}

Response: 200 OK
{
  "id": "uuid-1234",
  "type": "BMIS",
  "classification": "ESSENTIAL",
  "phase1Data": { ... },
  "phase2Data": { ... },
  "overallScore": 68.5,
  "domainScores": { ... }
}

10.3.2 Progress API

Save progress:

POST /api/progress/save
Content-Type: application/json

{
  "assessmentId": "uuid-1234",
  "currentPhase": 2,
  "data": { ... }
}

Response: 200 OK

Load progress:

GET /api/progress/{assessmentId}

Response: 200 OK
{
  "currentPhase": 2,
  "lastSaved": "2026-02-14T12:00:00Z",
  "data": { ... }
}

10.3.3 Report API

Generate PDF report:

POST /api/report/generate
Content-Type: application/json

{
  "assessmentId": "uuid-1234",
  "format": "pdf",
  "language": "mk"
}

Response: 200 OK
Content-Type: application/pdf

10.4 Translations and Localization

10.4.1 Translation Structure

public/locales/
├── mk/
│   ├── common.json       # General translations
│   ├── domains.json      # Domains and controls
│   └── assessment.json   # Assessment
├── en/
│   ├── common.json
│   ├── domains.json
│   └── assessment.json
└── sq/
    ├── common.json
    ├── domains.json
    └── assessment.json

10.4.2 Translation Examples

common.json (Macedonian):

{
  "app": {
    "title": "Cybersecurity Self-Assessment Tool",
    "description": "LNIS Compliance Assessment"
  },
  "navigation": {
    "next": "Next",
    "back": "Back",
    "save": "Save",
    "export": "Export"
  },
  "phases": {
    "phase1": "Classification",
    "phase2": "Assessment",
    "phase3": "Results",
    "phase4": "Report"
  }
}

domains.json (Macedonian):

{
  "bmis_domains": {
    "domain_1": {
      "title": "1. Governance, Leadership and Accountability",
      "description": "Establishing cybersecurity governance",
      "controls": {
        "GOV-01": {
          "question": "Is there a formal cybersecurity policy?",
          "why": "The policy is the basis for all security activities...",
          "how": "Develop a policy that defines the objectives..."
        }
      }
    }
  }
}

10. Dokumentacioni teknik

10.1 Arkitektura e aplikacionit

10.1.1 Rafte teknologjike

KomponentiTeknologjiaVersioni
FrontendNext.js14.2.28
ReactReact18.2.0
Menaxhimi i gjendjesReact Context-
StilizimiTailwind CSS3.3.3
GrafiketRecharts/Plotly2.15.3/2.35.3
Baza e te dhenavePostgreSQL/Prisma6.7.0
AutentifikimiNextAuth.js4.24.11
Komponentet UIRadix UITe ndryshme

10.1.2 Struktura e projektit

react_msme_assessment/
├── app/                        # Next.js App Router
│   ├── api/                    # Rruget API
│   │   ├── assessments/        # CRUD i vleresimeve
│   │   ├── auth/               # Autentifikimi
│   │   ├── progress/           # Ruajtja/Ngarkimi i progresit
│   │   ├── report/             # Gjenerimi i raporteve
│   │   └── stats/              # Analitika
│   ├── dashboard/              # Faqja e panelit
│   └── page.tsx                # Faqja kryesore e vleresimit
│
├── components/                 # Komponentet React
│   ├── phase1.tsx              # Faza e klasifikimit
│   ├── phase2.tsx              # Vleresimi BMIS
│   ├── msme-phase2.tsx         # Vleresimi MSME
│   ├── phase3.tsx              # Faza e rezultateve
│   ├── phase4.tsx              # Faza e raportit
│   ├── ui/                     # Komponentet UI
│   └── charts/                 # Komponentet e grafikeve
│
├── contexts/                   # Kontekstet React
│   ├── AuthContext.tsx          # Autentifikimi
│   └── LanguageContext.tsx      # i18n
│
├── lib/                        # Sherbimet
│   ├── assessment-domains.ts   # Percaktimet e fushave
│   ├── data.ts                 # Hartezimet NKD/Sektor
│   ├── i18n.ts                 # Perkthimet
│   └── types.ts                # Llojet TypeScript
│
├── public/
│   └── locales/                # Skedaret e perkthimeve
│       ├── mk/                 # Maqedonisht
│       ├── en/                 # Anglisht
│       └── sq/                 # Shqip
│
└── prisma/
    └── schema.prisma           # Skema e bazes se te dhenave

└── opt/hostedapp/              # Konfigurimi i vendosjes

10.1.3 Diagrami i komponenteve

┌─────────────────────────────────────────────────────────────────┐ │ FRONTEND │ ├─────────────────────────────────────────────────────────────────┤ │ │ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │ │ Faza 1 │──│ Faza 2 │──│ Faza 3 │ │ │ │ Klasifi- │ │ Vleresimi │ │ Rezultatet │ │ │ │ kimi │ │ │ │ │ │ │ └─────────────┘ └─────────────┘ └─────────────┘ │ │ └──────────────┴──────────────┘ │ │ │ │ │ ┌──────┴──────┐ │ │ │ Aplikacioni │ │ │ │ Vleresimit │ │ │ └─────────────┘ │ │ │ │ ├─────────────────────────────┼───────────────────────────────────┤ │ API │ ├─────────────────────────────┼───────────────────────────────────┤ │ │ │ │ ┌──────────┐ ┌──────┴──────┐ ┌──────────┐ │ │ │ Auth │──│ NextJS │──│ Raporti │ │ │ │ API │ │ Rruget API │ │ API │ │ │ └──────────┘ └─────────────┘ └──────────┘ │ │ │ │ ├─────────────────────────────┼───────────────────────────────────┤ │ BAZA E TE DHENAVE │ ├─────────────────────────────┼───────────────────────────────────┤ │ │ │ │ ┌──────┴──────┐ │ │ │ PostgreSQL │ │ │ │ (Prisma) │ │ │ └─────────────┘ │ │ │ └─────────────────────────────────────────────────────────────────┘

10.2 Modeli i te dhenave

10.2.1 Skema Prisma

// Skema baze per Vleresimin
model Assessment {
  id              String    @id @default(uuid())
  userId          String?
  type            String    // "BMIS" ose "MSME"
  classification  String?   // "ESSENTIAL", "IMPORTANT", "OUT_OF_SCOPE"
  nkdCode         String?
  employees       Int?
  turnover        Float?
  assets          Float?

  // Pergjigjet ruhen si JSON
  phase1Data      Json?
  phase2Data      Json?

  // Rezultatet
  overallScore    Float?
  domainScores    Json?

  // Metadata
  status          String    @default("in_progress")
  createdAt       DateTime  @default(now())
  updatedAt       DateTime  @updatedAt
  completedAt     DateTime?

  // Relacionet
  user            User?     @relation(fields: [userId], references: [id])
}

model User {
  id              String       @id @default(uuid())
  email           String       @unique
  password        String
  name            String?
  organization    String?
  role            String       @default("user")
  createdAt       DateTime     @default(now())
  updatedAt       DateTime     @updatedAt
  assessments     Assessment[]
}

10.2.2 Struktura e te dhenave JSON

Te dhenat e Fazes 1:

{
  "nkdCode": "35.11",
  "nkdDescription": "Prodhimi i energjise elektrike",
  "employees": 300,
  "turnover": 55000000,
  "assets": 45000000,
  "sector": "Energjia",
  "sectorCriticality": "HIGH",
  "designation": "ESSENTIAL"
}

Te dhenat e Fazes 2 (BMIS):

{
  "answers": {
    "GOV-01": { "level": 3, "notes": "Politika e miratuar 2025" },
    "GOV-02": { "level": 2, "notes": "" },
    // ... kontrollet e mbetura
  },
  "lastUpdated": "2026-02-14T12:00:00Z"
}

Te dhenat e Fazes 2 (MSME):

{
  "answers": {
    "1.1": { "level": "advanced", "notes": "" },
    "1.2": { "level": "foundation", "notes": "" },
    // ... kontrollet e mbetura
  },
  "lastUpdated": "2026-02-14T12:00:00Z"
}

10.3 Referenca API

10.3.1 API i Vleresimeve

Krijimi i nje vleresimi te ri:

POST /api/assessments
Content-Type: application/json

{
  "type": "BMIS",
  "phase1Data": { ... }
}

Response: 201 Created
{
  "id": "uuid-1234",
  "type": "BMIS",
  "status": "in_progress",
  "createdAt": "2026-02-14T12:00:00Z"
}

Perditesimi i vleresimit:

PUT /api/assessments/{id}
Content-Type: application/json

{
  "phase2Data": { ... },
  "status": "completed"
}

Response: 200 OK

Marrja e vleresimit:

GET /api/assessments/{id}

Response: 200 OK
{
  "id": "uuid-1234",
  "type": "BMIS",
  "classification": "ESSENTIAL",
  "phase1Data": { ... },
  "phase2Data": { ... },
  "overallScore": 68.5,
  "domainScores": { ... }
}

10.3.2 API i Progresit

Ruajtja e progresit:

POST /api/progress/save
Content-Type: application/json

{
  "assessmentId": "uuid-1234",
  "currentPhase": 2,
  "data": { ... }
}

Response: 200 OK

Ngarkimi i progresit:

GET /api/progress/{assessmentId}

Response: 200 OK
{
  "currentPhase": 2,
  "lastSaved": "2026-02-14T12:00:00Z",
  "data": { ... }
}

10.3.3 API i Raporteve

Gjenerimi i raportit PDF:

POST /api/report/generate
Content-Type: application/json

{
  "assessmentId": "uuid-1234",
  "format": "pdf",
  "language": "mk"
}

Response: 200 OK
Content-Type: application/pdf

10.4 Perkthimet dhe lokalizimi

10.4.1 Struktura e perkthimeve

public/locales/
├── mk/
│   ├── common.json       # Perkthime te pergjithshme
│   ├── domains.json      # Fushat dhe kontrollet
│   └── assessment.json   # Vleresimi
├── en/
│   ├── common.json
│   ├── domains.json
│   └── assessment.json
└── sq/
    ├── common.json
    ├── domains.json
    └── assessment.json

10.4.2 Shembuj te perkthimeve

common.json (Maqedonisht):

{
  "app": {
    "title": "Mjeti per vetevleresimin e sigurise kibernetike",
    "description": "Vleresimi i perputhshmerise me LSMI"
  },
  "navigation": {
    "next": "Para",
    "back": "Prapa",
    "save": "Ruaj",
    "export": "Eksporto"
  },
  "phases": {
    "phase1": "Klasifikimi",
    "phase2": "Vleresimi",
    "phase3": "Rezultatet",
    "phase4": "Raporti"
  }
}

domains.json (Maqedonisht):

{
  "bmis_domains": {
    "domain_1": {
      "title": "1. Qeverisja, Udheheqja dhe Pergjegjesia",
      "description": "Vendosja e qeverisjes se sigurise kibernetike",
      "controls": {
        "GOV-01": {
          "question": "A ekziston nje politike formale per sigurine kibernetike?",
          "why": "Politika eshte baza per te gjitha aktivitetet e sigurise...",
          "how": "Zhvilloni nje politike qe percakton objektivat..."
        }
      }
    }
  }
}

Анекси

Анекс А: Контролна листа за подготовка

А.1 Документација потребна за проценка

Организациска документација:

  • ☐ Организациска шема
  • ☐ Регистрација на дејност (НКД код)
  • ☐ Финансиски извештаи (за големина)
  • ☐ Листа на вработени

Безбедносна документација:

  • ☐ Политика за информациска безбедност
  • ☐ Процена на ризик
  • ☐ План за континуитет
  • ☐ Процедури за инциденти

Технички документи:

  • ☐ Мрежна архитектура
  • ☐ Инвентар на средства
  • ☐ Конфигурациски стандарди
  • ☐ Резултати од скенирања

А.2 Контакти за проценка

Интерни:

  • Службеник за информациска безбедност
  • ИТ администратор
  • Претставник на раководството
  • Правник

Надворешни:

  • Национален CSIRT
  • Регулаторно тело
  • Надворешни консултанти

Анекс Б: Речник на термини

ТерминДефиниција
BMISBezbednost na Mrezhni i Informaciski Sistemi - Безбедност на мрежни и информациски системи
CSIRTComputer Security Incident Response Team - Тим за одговор на компјутерски безбедносни инциденти
ENISAEuropean Union Agency for Cybersecurity - Агенција на ЕУ за сајбер безбедност
ISMSInformation Security Management System - Систем за управување со информациска безбедност
MSMEMicro, Small and Medium Enterprises - Микро, мали и средни претпријатија
NIS2Network and Information Security Directive 2 - Директива за мрежна и информациска безбедност 2
НКДНационална класификација на дејности
ЗБМИСЗакон за безбедност на мрежни и информациски системи

Анекс В: Корисни линкови

В.1 Законски извори

ИзворЛинк
ЗБМИС (Сл. весник 135/2025)https://dejure.mk/zakon/zakon-za-bezbednost-na-mrezhni-i-informaciski-sistemi
NIS2 Директиваhttps://eur-lex.europa.eu/eli/dir/2022/2555
Регулатива 2024/2690https://eur-lex.europa.eu/eli/reg_impl/2024/2690

В.2 Референтни рамки

РамкаЛинк
ENISA SME Guidehttps://www.enisa.europa.eu/publications/cybersecurity-guide-for-smes
ISO 27001https://www.iso.org/standard/27001
NIST CSFhttps://www.nist.gov/cyberframework

В.3 Национални ресурси

РесурсЛинк
МКД-ЦИРТhttps://mkd-cirt.mk
Агенција за електронски комуникацииhttps://aek.mk

Анекс Г: Верзии и промени

Г.1 Историја на верзии на документацијата

ВерзијаДатумПромени
12.7.414.02.2026Консолидирана документација
12.7.312.02.2026Prisma output fix
5.9Ноември 2025MSME Phase 3 fixes
5.5Ноември 2025Translation fixes
5.0Ноември 2025NIS Law Gap Analysis

Г.2 Контакт информации

Издавач: Certius Consulting

Апликација: BMIS Assessment Tool

Верзија: 12.7.4

Датум: 14 февруари 2026

Annexes

Annex A: Preparation Checklist

A.1 Documentation Required for Assessment

Organizational documentation:

  • ☐ Organizational chart
  • ☐ Activity registration (NKD code)
  • ☐ Financial reports (for size determination)
  • ☐ Employee list

Security documentation:

  • ☐ Information security policy
  • ☐ Risk assessment
  • ☐ Business continuity plan
  • ☐ Incident procedures

Technical documents:

  • ☐ Network architecture
  • ☐ Asset inventory
  • ☐ Configuration standards
  • ☐ Scan results

A.2 Assessment Contacts

Internal:

  • Information Security Officer
  • IT Administrator
  • Management Representative
  • Legal Counsel

External:

  • National CSIRT
  • Regulatory body
  • External consultants

Annex B: Glossary of Terms

TermDefinition
BMISBezbednost na Mrezhni i Informaciski Sistemi - Network and Information Systems Security
CSIRTComputer Security Incident Response Team - A team for responding to computer security incidents
ENISAEuropean Union Agency for Cybersecurity - EU agency for cybersecurity
ISMSInformation Security Management System - A system for managing information security
MSMEMicro, Small and Medium Enterprises - Small-scale business entities
NIS2Network and Information Security Directive 2 - EU directive for network and information security
NKDNational Classification of Activities (Macedonian standard industry classification)
LNISLaw on Security of Network and Information Systems (Macedonian national law)

Annex C: Useful Links

C.1 Legal Sources

SourceLink
LNIS (Official Gazette 135/2025)https://dejure.mk/zakon/zakon-za-bezbednost-na-mrezhni-i-informaciski-sistemi
NIS2 Directivehttps://eur-lex.europa.eu/eli/dir/2022/2555
Implementing Regulation 2024/2690https://eur-lex.europa.eu/eli/reg_impl/2024/2690

C.2 Reference Frameworks

FrameworkLink
ENISA SME Guidehttps://www.enisa.europa.eu/publications/cybersecurity-guide-for-smes
ISO 27001https://www.iso.org/standard/27001
NIST CSFhttps://www.nist.gov/cyberframework

C.3 National Resources

ResourceLink
MKD-CIRThttps://mkd-cirt.mk
Agency for Electronic Communicationshttps://aek.mk

Annex D: Versions and Changes

D.1 Documentation Version History

VersionDateChanges
12.7.414.02.2026Consolidated documentation
12.7.312.02.2026Prisma output fix
5.9November 2025MSME Phase 3 fixes
5.5November 2025Translation fixes
5.0November 2025NIS Law Gap Analysis

D.2 Contact Information

Publisher: Certius Consulting

Application: BMIS Assessment Tool

Version: 12.7.4

Date: February 14, 2026

Anekset

Aneksi A: Lista kontrolluese e pergatitjes

A.1 Dokumentacioni i nevojshem per vleresim

Dokumentacioni organizativ:

  • ☐ Organogrami
  • ☐ Regjistrimi i veprimtarise (kodi NKD)
  • ☐ Raportet financiare (per percaktimin e madhesise)
  • ☐ Lista e punonjesve

Dokumentacioni i sigurise:

  • ☐ Politika e sigurise se informacionit
  • ☐ Vleresimi i rrezikut
  • ☐ Plani i vazhdimesise se biznesit
  • ☐ Procedurat per incidentet

Dokumentet teknike:

  • ☐ Arkitektura e rrjetit
  • ☐ Inventari i aseteve
  • ☐ Standardet e konfigurimit
  • ☐ Rezultatet e skanimit

A.2 Kontaktet per vleresim

Te brendshme:

  • Zyrtari i sigurise se informacionit
  • Administratori i TI-se
  • Perfaqesuesi i menaxhmentit
  • Keshilltari ligjor

Te jashtme:

  • CSIRT kombetar
  • Organi rregullator
  • Konsulentete te jashtem

Aneksi B: Fjalori i termave

TermiPercaktimi
BMISBezbednost na Mrezhni i Informaciski Sistemi - Siguria e sistemeve te rrjetit dhe informacionit
CSIRTComputer Security Incident Response Team - Ekipi i reagimit ndaj incidenteve te sigurise kompjuterike
ENISAEuropean Union Agency for Cybersecurity - Agjencia e BE-se per sigurine kibernetike
ISMSInformation Security Management System - Sistemi i menaxhimit te sigurise se informacionit
MSMEMicro, Small and Medium Enterprises - Ndermarrjet mikro, te vogla dhe te mesme
NIS2Network and Information Security Directive 2 - Direktiva per sigurine e rrjetit dhe informacionit 2
NKDKlasifikimi Kombetar i Veprimtarive (klasifikimi standard maqedonas i industrise)
LSMILigji per sigurine e sistemeve te rrjetit dhe informacionit (ligji kombetar maqedonas)

Aneksi C: Lidhje te dobishme

C.1 Burime ligjore

BurimiLidhja
LSMI (Gazeta Zyrtare 135/2025)https://dejure.mk/zakon/zakon-za-bezbednost-na-mrezhni-i-informaciski-sistemi
Direktiva NIS2https://eur-lex.europa.eu/eli/dir/2022/2555
Rregullorja Zbatuese 2024/2690https://eur-lex.europa.eu/eli/reg_impl/2024/2690

C.2 Kornizat referuese

KornizaLidhja
ENISA SME Guidehttps://www.enisa.europa.eu/publications/cybersecurity-guide-for-smes
ISO 27001https://www.iso.org/standard/27001
NIST CSFhttps://www.nist.gov/cyberframework

C.3 Burime kombetare

BurimiLidhja
MKD-CIRThttps://mkd-cirt.mk
Agjencia per komunikime elektronikehttps://aek.mk

Aneksi D: Versionet dhe ndryshimet

D.1 Historia e versioneve te dokumentacionit

VersioniDataNdryshimet
12.7.414.02.2026Dokumentacioni i konsoliduar
12.7.312.02.2026Rregullimi i daljes Prisma
5.9Nentor 2025Rregullimet e Fazes 3 MSME
5.5Nentor 2025Rregullimet e perkthimeve
5.0Nentor 2025Analiza e boshllekut te Ligjit NIS

D.2 Informacioni i kontaktit

Botuesi: Certius Consulting

Aplikacioni: BMIS Assessment Tool

Versioni: 12.7.4

Data: 14 shkurt 2026