Пишува: Дестан ЈОНУЗИ
Кога Собранието го изгласа новиот Закон за безбедност на мрежни и информациски системи, властите го претставија како „историски чекор“ кон заштита од сајбер-напади и усогласување со европската NIS2 директива. Но нашето истражување покажува дека, иако законот носи современа терминологија, реалниот ефект е речиси никаков. Системот што треба да ја штити државата остана со исти слабости, истите институционални празнини и со уште поголема конфузија отколку претходно.
Премногу органи, премалку координација – систем што сам себеси си пречи
Со законот се создава лавиринт од институции: „надлежен орган“, MKD-CIRT, повеќе CSIRT тимови, министерство, точки за контакт, па дури и орган за критична инфраструктура. Наместо централизирана и јасна структура – системот е раздробен, преклопен и нефункционален.
Неофицијално, повеќе институции признаа дека не знаат кој кого известува, кому се поднесуваат извештаи и каде завршуваат алармите. Тоа значи дека во услови на реален напад, државата би се соочила со парализа, а не со координиран одговор.
Законот бара од јавните и приватните субјекти: да пријават сериозен сајбер-инцидент во рок од 24 часа, а детално известување во 72 часа, веднаш да ги известат корисниците за закана, да вработат офицер за сајбер-безбедност.
Тоа би било возможно во богата земја со огромен технички кадар. Во Македонија, каде што и големи институции имаат по еден ИТ-администратор, ова е нереално и неприменливо.
Резултатот?
Законот важи на хартија – но никој не може реално да го спроведе. CSIRT тимовите добија право да вршат проактивно, дури и ненаметливо скенирање на мрежите на суштинските и важните субјекти. Во регионот, вакви овластувања се дозволуваат само со согласност или по судска наредба. Кај нас – без јасна контрола, без надзор, без гаранции дека нема да има злоупотреби.
Експерти предупредуваат дека ова може да стане алатка за: политички притисоци, следење без наредба, несакано нарушување на приватноста, технички грешки што може да предизвикаат прекин на услуги.
Санкции какви што не постојат во ниту една соседна земја
Законот предвидува финансиски казни, но и многу потешки мерки: привремена забрана за работа на правниот субјект; забрана за професија за одговорното лице.
Со вакви санкции, секоја административна грешка може да стане основа за сериозен удар врз компанија или институција.
Европски изглед, но без европски стандарди
Законот често се повикува на „меѓународни технички стандарди“, но не наведува ниеден – како ISO 27001, NIST CSF или CIS Controls. Во пракса, тоа значи дека секој субјект може да постави свои интерпретации, а надлежните органи – свои казни.
Таквата правна нејасност е совршен рецепт за непредвидливост, додаток од 40% на плата – магнет за партиски вработувања.
Клучните луѓе во сајбер-структурите добиваат додаток од 40% на плата. Наместо ова да создаде елитен стручeн кадар, реалноста е поинаква: не постојат јавни конкурси со независна селекција, нема критериуми за искуство, доволна е диплома – компетенциите никој не ги проверува, ризикот од политички пополнувања е огромен.
Регистарот на домени – директен удар врз приватноста
Законот бара јавно објавување на „целосни и точни“ податоци за сопствениците на домени. Тоа е спротивно на GDPR и спротивно на европските препораки за WHOIS-заштита. Ризикот од злоупотреби е огромен: од кражба на идентитет, до малтретирање на граѓаните.
ШТО ПРОМЕНИ ЗАКОНОТ ПО НЕГОВОТО УСВОЈУВАЊЕ?
И покрај тоа што законот беше претставен како европски, модерен и неопходен: нема подобрување на сајбер-отпорноста, нема подобрена реакција при инциденти, нема зголемена заштита на институциите, нема нови оперативни капацитети, нема функционални тимови со реални ресурси.
Институциите продолжуваат: да работат со застарена опрема, без развиена методологија за управување со ризик, без внатрешни процедури, без обуки, без системски мониторинг. Законот е декоративен, а не функционален.
Зошто законот нема ефект?
Премногу сложен; e нереален за пазарот на труд; создава бирократија, а не капацитети; дел од одредбите се нефункционални во практика; нема политичка волја за вистински реформи; системите во институциите се застарени и недоволно финансирани.
Законот постои – сајбер-безбедноста не
Македонија ја има најсовремената законска реторика во регионот, но најслабата реална примена. Наместо вистински штит, државата доби хартиен документ што повеќе служи како политичка фасада отколку како функционална заштита.
Додека регионот гради капацитети, Македонија гради сложени структури без луѓе, без ресурси и без резултати.
Законот е усвоен – но ефектот е невидлив. А сајбер-опасностите растат секој ден.
