NIS2 is Europese wetgeving voor cybersecurity. Organisaties vallen eronder wanneer zij actief zijn in kritieke of belangrijke sectoren (zoals energie, zorg, digitale diensten) en meestal meer dan 50 werknemers of €10 miljoen omzet hebben. Kleinere organisaties vallen meestal buiten de verplichting.

NIS2-zelfevaluatie

1. Waarom de scope-vraag zo lastig is

De vraag of een organisatie onder NIS2 valt, lijkt op het eerste gezicht eenvoudig te beantwoorden. In de praktijk blijkt NIS2-toepasselijkheid in de zorgsector echter zelden zwart-wit. De Europese richtlijn werkt met een combinatie van criteria die elkaar kunnen versterken, uitsluiten of juist doorbreken. Voor bestuurders en directieleden ontstaat daardoor een lastige situatie: zij dragen verantwoordelijkheid voor informatiebeveiliging en compliance, maar kunnen niet altijd met zekerheid vaststellen of hun organisatie überhaupt onder de wet valt.

Die onzekerheid is geen teken van onkunde. De NIS2-toepasselijkheid hangt af van meerdere factoren tegelijk. Sectorindeling speelt een rol, maar ook de omvang van de organisatie, de juridische structuur, de aard van de dienstverlening en soms zelfs de vraag of een organisatie de enige aanbieder is in een bepaalde regio. Geen van deze factoren staat op zichzelf. Ze werken samen en kunnen in combinatie tot verrassende uitkomsten leiden.

Sectorindeling als startpunt

NIS2 werkt met twee bijlagen waarin sectoren en typen entiteiten zijn opgesomd. Bijlage I bevat de meest kritieke sectoren, waaronder gezondheidszorg. Bijlage II bevat sectoren die als belangrijk worden aangemerkt, zoals digitale aanbieders en bepaalde vormen van productie. De indeling bepaalt mede of een organisatie als essentiële of belangrijke entiteit wordt geclassificeerd.

Voor zorggerelateerde organisaties is de sectorindeling niet altijd eenduidig. Een ziekenhuis valt duidelijk onder gezondheidszorg. Maar wat geldt voor:

• Een softwarebedrijf dat medische apps ontwikkelt zonder zelf zorg te verlenen
• Een laboratorium dat als aparte rechtspersoon diagnostiek uitvoert
• Een platform voor telemonitoring dat patiëntdata verwerkt maar geen behandelrelatie heeft
• Een IT-dienstverlener die systemen beheert voor meerdere zorginstellingen

In deze gevallen is de vraag niet alleen óf de organisatie in een bijlage voorkomt, maar ook onder welke categorie. Een organisatie kan buiten de definitie van zorginstelling vallen, maar wel kwalificeren als managed service provider of cloudaanbieder. Daarmee verschuift de grondslag voor NIS2-toepasselijkheid, maar verdwijnt de verplichting niet.

Omvang volgens de Europese MKB-definitie

NIS2 hanteert een zogeheten size-cap. De richtlijn is in beginsel van toepassing op organisaties die minimaal als middelgroot kwalificeren volgens de Europese MKB-definitie uit Aanbeveling 2003/361/EG. Die definitie werkt met drie criteria:

• Personeelsomvang (minimaal 50 medewerkers)
• Jaaromzet (meer dan 10 miljoen euro)
• Balanstotaal (meer dan 10 miljoen euro)

Een organisatie is middelgroot als zij de personeelsdrempel haalt én ten minste één van de financiële drempels overschrijdt. Kleine en micro-ondernemingen vallen in principe buiten de scope.

Maar hier begint de complexiteit. De MKB-definitie kijkt niet alleen naar de individuele rechtspersoon. Bij partner- of verbonden ondernemingen worden personeel en financiële gegevens opgeteld. Een kleine zorg-BV die onderdeel is van een groter concern kan daardoor alsnog als middelgroot gelden. De rekenregels voor deze consolidatie zijn technisch en vereisen inzicht in aandeelhoudersstructuren, zeggenschapsverhoudingen en feitelijke controle.

Voor zorggerelateerde organisaties is dit relevant omdat veel van hen opereren binnen groepsstructuren. Ziekenhuizen met aparte diagnostische centra, regionale samenwerkingsverbanden met shared services, of zorginstellingen met een IT-dochter: in al deze gevallen moet worden vastgesteld welke entiteiten meetellen en hoe de omvang wordt berekend.

Uitzonderingen die de basisregel doorbreken

De size-cap is geen absoluut criterium. NIS2 bevat expliciete uitzonderingen waardoor ook kleinere organisaties onder de richtlijn kunnen vallen. Dit geldt onder meer voor:

• Aanbieders van openbare elektronische communicatienetwerken of -diensten
• Trustdienstverleners
• Aanbieders van DNS-diensten of topleveldomeinregisters
• Entiteiten die als enige aanbieder een essentiële dienst leveren in een lidstaat
• Organisaties waarvan uitval aanzienlijke gevolgen zou hebben voor openbare veiligheid of volksgezondheid

Die laatste twee categorieën zijn bijzonder relevant voor de zorgsector. Een klein laboratorium dat als enige in een regio bepaalde diagnostiek levert, kan onder NIS2 vallen ondanks beperkte omvang. Hetzelfde geldt voor een nichespeler die kritieke infrastructuur beheert voor meerdere zorginstellingen.

Lidstaten hebben bovendien de bevoegdheid om zelf aanvullende entiteiten aan te wijzen op basis van risico-overwegingen. De Nederlandse implementatie via de Cyberbeveiligingswet (Rijksoverheid) kan daardoor tot andere uitkomsten leiden dan de Europese richtlijn op het eerste gezicht suggereert.

Essentieel of belangrijk maakt verschil voor toezicht

NIS2 onderscheidt twee categorieën entiteiten: essentieel en belangrijk. Het verschil zit niet primair in de verplichtingen rond risicobeheer of incidentmelding, maar in het toezichtregime.

Essentiële entiteiten vallen onder actief toezicht. Toezichthouders kunnen proactief audits uitvoeren, informatie opvragen en handhavend optreden. Belangrijke entiteiten vallen onder reactief toezicht: handhaving volgt doorgaans pas na incidenten of signalen.

De classificatie hangt samen met de sectorindeling en de omvang:

• Grote organisaties in bijlage I-sectoren zijn doorgaans essentieel
• Middelgrote organisaties in bijlage I-sectoren kunnen essentieel of belangrijk zijn
• Organisaties in bijlage II-sectoren zijn doorgaans belangrijk, tenzij specifieke criteria anders bepalen

Voor bestuurders is dit onderscheid relevant omdat het bepaalt hoe intensief toezicht zal zijn en welke escalatiemogelijkheden toezichthouders hebben. Bij essentiële entiteiten kunnen boetes en bestuurlijke maatregelen sneller volgen.

Invloed van sectorspecifieke regelgeving

NIS2 is niet de enige Europese wet die eisen stelt aan cyberbeveiliging. Voor bepaalde sectoren gelden aanvullende of vervangende regels. De richtlijn bepaalt dat waar sectorspecifieke Uniewetgeving ten minste gelijkwaardige eisen stelt, de betreffende NIS2-bepalingen niet van toepassing zijn.

Voor de zorgsector is dit vooralsnog beperkt relevant. Anders dan bij financiële instellingen, waar DORA (European Insurance and Occupational Pensions Authority) een eigen cyberbeveiligingskader biedt, ontbreekt vergelijkbare sectorwetgeving voor zorg. Wel kunnen organisaties die zowel zorgactiviteiten als financiële diensten combineren te maken krijgen met samenloop.

De praktische implicatie is dat zorggerelateerde organisaties niet kunnen rekenen op verdringing van NIS2 door andere wetgeving. De richtlijn is voor deze sector leidend, tenzij toekomstige Europese regelgeving daar verandering in brengt.

Waarom interpretatie nodig blijft

De combinatie van sectorindeling, omvangscriteria, uitzonderingen en nationale implementatie maakt dat de scope-vraag zelden met een simpele ja of nee te beantwoorden is. Organisaties moeten hun eigen situatie analyseren aan de hand van:

• De juridische entiteit die wordt beoordeeld
• De feitelijke activiteiten en dienstverlening
• De positie binnen een eventuele groepsstructuur
• De aanwezigheid van uitzonderingscriteria
• De keuzes die Nederland maakt in de implementatie

Die analyse vereist geen diepgaande juridische kennis, maar wel zorgvuldigheid en bereidheid om verder te kijken dan voor de hand liggende antwoorden. Bestuurders die uitgaan van het label van hun organisatie zonder de onderliggende criteria te toetsen, lopen het risico op verkeerde conclusies.

De volgende hoofdstukken gaan dieper in op specifieke situaties: wanneer een organisatie als zorgaanbieder of juist als digitale dienstverlener kwalificeert, hoe groepsstructuren de omvangsberekening beïnvloeden, en welke rol leveranciers spelen in de ketenverantwoordelijkheid.

2. Zorgaanbieder of digitale dienstverlener

De zorgsector kent een groeiend aantal organisaties dat zich op het snijvlak bevindt van zorgverlening en digitale dienstverlening. Voor de vraag of NIS2 van toepassing is, maakt dit onderscheid verschil. NIS2 zorginstellingen zoals ziekenhuizen en klinieken vallen onder bijlage I van de richtlijn, maar lang niet elke organisatie die actief is in de zorgketen kwalificeert als zorginstelling. Softwarebedrijven, platformaanbieders en IT-dienstverleners kunnen buiten de zorgdefinitie vallen en toch onder NIS2 vallen via een andere categorie.

Dit leidt tot situaties waarin organisaties zichzelf niet herkennen in de term zorginstelling, maar wel degelijk verplichtingen hebben. De NIS2-toepasselijkheid hangt dan niet af van het label dat een organisatie zichzelf geeft, maar van de feitelijke dienstverlening en de categorie waarin die dienstverlening past volgens de bijlagen van de richtlijn.

Ziekenhuizen en klinieken in de bijlagen

Bijlage I van NIS2 noemt de gezondheidszorgsector expliciet. Daaronder vallen zorgaanbieders zoals gedefinieerd in Europese regelgeving rond patiëntenrechten bij grensoverschrijdende zorg. Dit omvat in ieder geval:

• Ziekenhuizen
• Klinieken
• Revalidatiecentra
• Instellingen voor geestelijke gezondheidszorg
• Verpleeg- en verzorgingshuizen die medische zorg leveren

Voor deze organisaties is de sectorindeling helder, mits zij de omvangsdrempels halen. De complexiteit zit elders: in de vraag hoe om te gaan met onderdelen van een zorginstelling die als aparte rechtspersoon opereren, of met activiteiten die niet direct onder zorgverlening vallen maar wel binnen dezelfde organisatie plaatsvinden.

Een academisch ziekenhuis dat ook onderzoek uitvoert via een aparte stichting, een ziekenhuis met een eigen facilitair bedrijf, of een zorggroep met een centrale IT-organisatie: in al deze gevallen moet per entiteit worden beoordeeld of en op welke grondslag NIS2 van toepassing is.

Laboratoria als aparte rechtspersoon

Diagnostische laboratoria opereren vaak als zelfstandige rechtspersoon, ook wanneer zij nauw samenwerken met ziekenhuizen of huisartsenposten. De vraag is dan of zo’n laboratorium kwalificeert als zorgaanbieder in de zin van NIS2.

De Europese definitie van zorgaanbieder richt zich op natuurlijke of rechtspersonen die gezondheidszorg verlenen aan patiënten. Een laboratorium dat diagnostiek uitvoert in opdracht van een arts of ziekenhuis, zonder zelf een behandelrelatie te hebben met de patiënt, valt mogelijk buiten deze definitie.

Dat betekent niet automatisch dat het laboratorium buiten NIS2 valt. Afhankelijk van de dienstverlening kan het kwalificeren als:

• Onderzoeksorganisatie indien toegepast onderzoek met commerciële exploitatie de kernactiviteit is
• Managed service provider indien het IT-diensten levert aan zorginstellingen
• Cloudaanbieder indien het platforms exploiteert waarop zorgdata wordt verwerkt

De feitelijke activiteiten bepalen de indeling, niet de historische positie binnen de zorgketen.

Telemonitoring en medische apps

De opkomst van e-health heeft geleid tot een nieuwe categorie spelers in de zorg. Aanbieders van telemonitoringplatforms, medische apps en digitale zorgtoepassingen verwerken vaak gezondheidsgegevens zonder zelf zorgverlener te zijn. Zij faciliteren het zorgproces, maar de behandelrelatie ligt bij de zorginstelling die hun diensten afneemt.

Voor NIS2 is de vraag relevant onder welke categorie deze aanbieders vallen:

• Niet via gezondheidszorg: zij verlenen zelf geen zorg aan patiënten
• Mogelijk via cloudcomputing: indien hun platform voldoet aan de kenmerken van een clouddienst (schaalbaarheid, self-service provisioning, brede netwerktoegang)
• Mogelijk via managed services: indien zij actief beheer uitvoeren op systemen van zorginstellingen
• Mogelijk via digitale aanbieders: indien hun platform kenmerken heeft van een online marktplaats of zoekmachine

De definities in NIS2 zijn functioneel. Een telemonitoringplatform dat patiënten koppelt aan zorgverleners en daarbij zoekfunctionaliteit biedt, kan onder omstandigheden als digitale aanbieder kwalificeren. Een platform dat primair data opslaat en verwerkt in een schaalbare omgeving kan als clouddienst gelden.

Voor bestuurders van dergelijke organisaties is het daarom onvoldoende om vast te stellen dat zij geen zorginstelling zijn. De vervolgvraag is of hun dienstverlening past binnen een van de andere categorieën in bijlage I of II.

Softwareleveranciers buiten de zorgdefinitie

Leveranciers van medische software bevinden zich in een vergelijkbare positie. Een bedrijf dat elektronische patiëntendossiers ontwikkelt en onderhoudt, of dat software levert voor medicatieveiligheid, verwerkt gevoelige gegevens zonder zelf zorg te verlenen.

De vraag of zulke leveranciers onder NIS2 vallen hangt af van hun dienstverleningsmodel:

• Licentieverkoop zonder beheer: de afnemer installeert en beheert de software zelf. De leverancier levert updates en support, maar heeft geen actieve rol in de operatie. Dit model valt doorgaans buiten de definities van cloud of managed services.
• Software as a Service: de leverancier host de applicatie en biedt deze aan via het netwerk. Afnemers krijgen toegang zonder lokale installatie. Dit model kan als clouddienst kwalificeren.
• Managed software met actief beheer: de leverancier beheert de applicatie op locatie of remote, inclusief updates, monitoring en incidentafhandeling. Dit model kan als managed service kwalificeren.

Het onderscheid is relevant omdat de categorieën cloud en managed services in bijlage I staan, terwijl pure softwareleveranciers zonder operationele rol daar niet expliciet in voorkomen. De juridische constructie van de dienstverlening bepaalt dus mede de NIS2-status.

Managed service providers in de zorgketen

Managed service providers vormen een aparte categorie in bijlage I van NIS2. De definitie richt zich op dienstverleners die:

• ICT-diensten leveren aan zakelijke klanten
• Actief beheer uitvoeren op netwerken, infrastructuur, applicaties of beveiliging
• Dit doen op locatie bij de klant of op afstand

Voor de zorgsector is deze categorie relevant omdat veel zorginstellingen hun IT geheel of gedeeltelijk uitbesteden. De managed service provider die het netwerk van een ziekenhuis beheert, de firewalls configureert en de servers monitort, valt onder NIS2 indien de omvangsdrempels worden gehaald.

Daarbij is niet relevant of de klanten van de MSP zelf onder NIS2 vallen. Een MSP die uitsluitend levert aan kleine huisartsenpraktijken valt evengoed onder de richtlijn als een MSP die grote ziekenhuizen bedient. De kwalificatie volgt uit de eigen activiteiten en omvang, niet uit het klantenbestand.

Dit heeft consequenties voor de positionering van IT-dienstverleners in de zorgketen:

• Zij kunnen niet langer volstaan met de aanname dat NIS2 alleen voor hun klanten geldt
• Zij moeten hun eigen NIS2-status bepalen op basis van dienstverleningsmodel en omvang
• Zij krijgen te maken met eigen verplichtingen rond risicobeheer en incidentmelding

Voor zorginstellingen betekent dit dat hun leveranciers mogelijk zelfstandig onder toezicht komen te staan. Dat kan de kwaliteit van de dienstverlening ten goede komen, maar vereist ook afstemming over verantwoordelijkheden en communicatielijnen bij incidenten.

Grensgevallen en combinaties

In de praktijk zijn veel organisaties niet eenduidig in te delen. Een zorggroep kan tegelijkertijd:

• Zorginstelling zijn via haar ziekenhuizen en klinieken
• Cloudaanbieder zijn via een intern platform dat ook aan derden wordt aangeboden
• Managed service provider zijn via een shared service center dat IT levert aan groepsmaatschappijen

In zulke gevallen kunnen meerdere grondslagen voor NIS2-toepasselijkheid naast elkaar bestaan. De organisatie moet dan per activiteit en per entiteit beoordelen welke categorie van toepassing is en welke verplichtingen daaruit volgen.

De RDI (Rijksinspectie Digitale Infrastructuur) zal naar verwachting toezicht houden op digitale dienstverleners en infrastructuur, terwijl de IGJ (Inspectie Gezondheidszorg en Jeugd) verantwoordelijk blijft voor zorginstellingen. Bij organisaties die onder meerdere categorieën vallen, kan dit leiden tot samenloop van toezichthouders.

Voor bestuurders is de les dat de vraag “zijn wij een zorginstelling” niet volstaat. De vervolgvraag is steeds: welke andere activiteiten ontplooien wij, en passen die binnen de categorieën die NIS2 hanteert. Alleen door de feitelijke dienstverlening te analyseren ontstaat een compleet beeld van de NIS2-status.

3. Omvang bepalen bij groepsstructuren

De omvang van een organisatie is een van de centrale criteria voor NIS2-toepasselijkheid. Alleen middelgrote en grote organisaties vallen in beginsel onder de richtlijn. Maar de berekening van die omvang is minder eenvoudig dan het tellen van medewerkers en optellen van omzet. NIS2 groepscriteria zorgen ervoor dat organisaties die op zichzelf klein lijken, toch als middelgroot kunnen kwalificeren wanneer zij onderdeel zijn van een grotere structuur.

Voor zorggerelateerde organisaties is dit bijzonder relevant. Ziekenhuizen opereren vaak met aparte rechtspersonen voor diagnostiek, vastgoed of IT. Regionale samenwerkingsverbanden bundelen diensten in shared service centers. Zorginnovatie vindt plaats in dochterondernemingen of joint ventures. In al deze gevallen moet worden vastgesteld hoe de omvang wordt berekend en welke entiteiten meetellen.

Wanneer personeel van een moederorganisatie meetelt

De Europese MKB-definitie onderscheidt drie typen ondernemingen: autonoom, partner en verbonden. Het type bepaalt of en hoe gegevens van andere ondernemingen moeten worden meegeteld bij de omvangsberekening.

Autonome ondernemingen worden zelfstandig beoordeeld. Alleen het eigen personeel en de eigen financiële gegevens tellen mee. Een onderneming is autonoom als geen andere onderneming 25% of meer van het kapitaal of de stemrechten bezit, en als de onderneming zelf ook geen dergelijk belang houdt in andere ondernemingen.

Partnerondernemingen ontstaan wanneer een onderneming tussen 25% en 50% van het kapitaal of de stemrechten van een andere onderneming bezit, of vice versa. In dat geval wordt een evenredig deel van de gegevens van de partneronderneming opgeteld bij de eigen gegevens.

Verbonden ondernemingen zijn ondernemingen waarbij sprake is van zeggenschap. Dit kan via meerderheidsbelang in kapitaal of stemrechten, maar ook via:

• Het recht om de meerderheid van bestuurders te benoemen of ontslaan
• Overheersende invloed op basis van overeenkomst of statutaire bepaling
• Feitelijke controle over de meerderheid van stemrechten

Bij verbonden ondernemingen worden de gegevens volledig opgeteld. Een zorg-BV met 30 medewerkers die onderdeel is van een concern met 500 medewerkers, wordt beoordeeld op basis van de concernomvang.

Dit heeft directe gevolgen voor de NIS2-status. Een laboratorium dat als zelfstandige entiteit onder de drempels blijft, kan door verbondenheid met een ziekenhuisgroep alsnog als middelgroot gelden. Bestuurders moeten daarom niet alleen de eigen organisatie beoordelen, maar ook de positie binnen een eventuele groep.

Financiële drempels bij kapitaalintensieve organisaties

De MKB-definitie werkt met twee financiële drempels: jaaromzet en balanstotaal. Een organisatie hoeft slechts één van beide te overschrijden om in combinatie met de personeelsdrempel als middelgroot te kwalificeren.

Voor bepaalde zorggerelateerde organisaties kan dit tot verrassende uitkomsten leiden:

• Vastgoedholdings die zorgvastgoed beheren hebben vaak een hoog balanstotaal maar weinig personeel
• Investeringsmaatschappijen in zorgtechnologie kunnen substantiële omzet genereren met een klein team
• Datacenters voor zorgdata zijn kapitaalintensief maar personeelsarm

In deze gevallen kan een organisatie de financiële drempels ruim overschrijden terwijl het personeelsbestand beperkt blijft. De combinatie van minder dan 50 medewerkers met meer dan 10 miljoen euro omzet of balanstotaal leidt niet automatisch tot de status middelgroot. Daarvoor moet de personeelsdrempel óók worden gehaald.

Omgekeerd geldt dat een organisatie met veel personeel maar beperkte financiële omvang wel als middelgroot kan kwalificeren. De personeelsdrempel is in de MKB-definitie leidend; de financiële drempels zijn aanvullend.

Voor zorggerelateerde organisaties betekent dit:

• Organisaties met veel vrijwilligers of stagiairs moeten beoordelen of deze meetellen als personeel volgens de definitie
• Organisaties met seizoensgebonden personeelsbezetting moeten werken met jaargemiddelden
• Organisaties die recent zijn gegroeid moeten bepalen welk peilmoment geldt

Feitelijke onafhankelijkheid als nuance

NIS2 biedt lidstaten de mogelijkheid om bij de toepassing van de omvangscriteria rekening te houden met de feitelijke onafhankelijkheid van een entiteit ten opzichte van partner- of verbonden ondernemingen. Dit is bedoeld om disproportionele uitkomsten te voorkomen.

De achtergrond is dat de MKB-rekenregels zijn ontworpen voor staatssteun en subsidieregelingen, niet voor cyberbeveiligingsverplichtingen. Een kleine IT-dochter van een groot zorgconcern kan op papier verbonden zijn, maar in de praktijk volledig zelfstandig opereren met:

• Eigen netwerken en informatiesystemen
• Eigen IT-beheer en beveiligingsorganisatie
• Geen gedeelde infrastructuur met de moederorganisatie
• Zelfstandige besluitvorming over informatiebeveiliging

In zulke gevallen kan worden betoogd dat consolidatie van omvang niet passend is, omdat de cyberbeveiligingsrisico’s van de dochter los staan van die van het concern.

De ruimte die NIS2 hiervoor biedt is echter beperkt en wordt ingevuld door lidstaten. De Nederlandse implementatie zal moeten verduidelijken onder welke voorwaarden een beroep op feitelijke onafhankelijkheid mogelijk is. Tot die tijd moeten organisaties ervan uitgaan dat de standaard rekenregels gelden.

Wel is het verstandig om de feitelijke situatie te documenteren. Organisaties die kunnen aantonen dat zij onafhankelijk opereren op het gebied van IT en informatiebeveiliging, staan sterker indien de regelgeving ruimte biedt voor nuancering.

Shared service centers en regionale samenwerkingsverbanden

De zorgsector kent vele vormen van samenwerking waarbij diensten worden gebundeld in aparte organisaties:

• Shared service centers die IT, HR of financiële administratie verzorgen voor meerdere zorginstellingen
• Regionale samenwerkingsverbanden waarin ziekenhuizen en andere zorgaanbieders gezamenlijke infrastructuur exploiteren
• Coöperaties van huisartsen of apothekers met gedeelde ICT-voorzieningen
• Inkooporganisaties die namens meerdere leden contracten afsluiten en systemen beheren

Voor de NIS2-status van deze samenwerkingsverbanden gelden dezelfde vragen als voor andere organisaties: wat is de juridische entiteit, welke activiteiten worden uitgevoerd, en wat is de omvang?

De complexiteit zit in de relatie met de deelnemende zorginstellingen:

• Indien de deelnemers aandeelhouder zijn van het samenwerkingsverband, kunnen partner- of verbondenheidscriteria spelen
• Indien het samenwerkingsverband diensten levert aan de deelnemers, kan het als managed service provider kwalificeren
• Indien de dienstverlening exclusief intern is, rijst de vraag of dit als marktactiviteit geldt

Een shared service center dat IT-beheer levert aan ziekenhuizen binnen een groep, kan onder omstandigheden als managed service provider kwalificeren. De definitie van MSP in NIS2 sluit intragroep-dienstverlening niet expliciet uit. Het gaat om de feitelijke activiteit: actief beheer van ICT-diensten voor zakelijke klanten.

Voor bestuurders van samenwerkingsverbanden is het daarom relevant om te beoordelen:

• Of het samenwerkingsverband zelfstandig onder NIS2 valt op basis van eigen activiteiten en omvang
• Hoe de relatie met deelnemende instellingen de omvangsberekening beïnvloedt
• Of de dienstverlening kenmerken heeft van managed services of cloudcomputing

Spin-offs en carve-outs

Zorginnovatie leidt regelmatig tot afsplitsing van activiteiten naar aparte rechtspersonen. Een ziekenhuis dat een digitaal platform ontwikkelt, kan dit onderbrengen in een dochteronderneming. Een zorggroep die haar IT wil professionaliseren, kan een carve-out doen naar een zelfstandige IT-entiteit.

Bij dergelijke transities ontstaan specifieke vragen rond NIS2:

Tijdens de transitie kunnen personeel en omzet tijdelijk gedeeld worden. Transitieovereenkomsten voorzien vaak in shared services gedurende een of twee jaar. In die periode is onduidelijk hoe de omvang moet worden berekend. Worden de gedeelde medewerkers aan beide entiteiten toegerekend? Telt de omzet uit transitiediensten mee bij de afsplitsende entiteit?

Na de transitie moet worden beoordeeld of de nieuwe entiteit verbonden blijft met de oorspronkelijke organisatie. Een spin-off waarin het ziekenhuis meerderheidsaandeelhouder is, blijft verbonden. De omvang van het ziekenhuis telt dan mee bij de beoordeling van de spin-off.

Bij externe investeerders kan de situatie veranderen. Een venture capital-partij die 26% verwerft in de spin-off, creëert een partnerrelatie. Afhankelijk van de governance kan zelfs sprake zijn van verbondenheid indien de investeerder feitelijke zeggenschap uitoefent.

Voor bestuurders die betrokken zijn bij dergelijke transacties is het raadzaam om de NIS2-consequenties vooraf in kaart te brengen. De structuur van een spin-off of carve-out bepaalt mede welke entiteiten onder de richtlijn vallen en welke verplichtingen daaruit volgen.

Documentatie van groepsrelaties

Ongeacht de uitkomst van de omvangsberekening is het verstandig om de analyse te documenteren. Toezichthouders kunnen vragen om onderbouwing van de conclusie dat een organisatie wel of niet onder NIS2 valt. Die onderbouwing is sterker wanneer zij gebaseerd is op:

• Een actueel organogram met juridische entiteiten en zeggenschapsverhoudingen
• Specificatie van personeel per entiteit volgens de MKB-definitie
• Financiële gegevens per entiteit uit de meest recente jaarrekening
• Analyse van partner- en verbondenheidscriteria
• Indien relevant: onderbouwing van feitelijke onafhankelijkheid

Deze documentatie dient niet alleen de compliance, maar helpt ook bij het bepalen van de juiste governance. Organisaties die weten waar zij staan in de groepsstructuur, kunnen gerichter werken aan informatiebeveiliging en verantwoordelijkheden helder beleggen.

4. Leveranciers en ketenverantwoordelijkheid

Organisaties die zelf onder NIS2 vallen, krijgen te maken met verplichtingen rond hun toeleveringsketen. De richtlijn vereist dat entiteiten risico’s in de keten identificeren en beheersen. Maar daarnaast kunnen leveranciers zelfstandig onder NIS2 vallen op basis van hun eigen activiteiten en omvang. De NIS2 leveranciersketen in de zorg is daarmee tweezijdig relevant: zorginstellingen moeten eisen stellen aan hun leveranciers, en leveranciers moeten hun eigen NIS2-status bepalen.

Dit leidt tot een verschuiving in de verhoudingen. Waar informatiebeveiliging voorheen vooral een zaak was tussen opdrachtgever en opdrachtnemer, ontstaat nu een situatie waarin beide partijen onder toezicht kunnen staan. Voor bestuurders aan beide kanten van de relatie heeft dit consequenties voor contractering, verantwoordelijkheidsverdeling en incidentafhandeling.

IT-dienstverleners met actief beheer

De categorie managed service provider in bijlage I van NIS2 omvat dienstverleners die actief beheer uitvoeren op ICT-systemen van klanten. De definitie richt zich op:

• Installatie, beheer en operatie van netwerken en infrastructuur
• Beheer en operatie van applicaties
• Ondersteuning en actieve administratie op locatie of op afstand

Voor de zorgsector is deze categorie breed relevant. Veel zorginstellingen besteden IT-taken uit aan externe partijen die onder deze definitie kunnen vallen:

• Dienstverleners die het datacenter van een ziekenhuis beheren
• Partijen die firewalls en netwerkapparatuur configureren en monitoren
• Leveranciers die applicatiebeheer uitvoeren op EPD-systemen
• Helpdesks die remote toegang hebben tot werkplekken en servers

De grens tussen wel en niet kwalificeren als MSP ligt bij de mate van actief beheer. Een leverancier die uitsluitend advies geeft of eenmalig een systeem installeert zonder doorlopend beheer, valt waarschijnlijk buiten de definitie. Een leverancier die structureel toegang heeft tot systemen en daar beheertaken uitvoert, valt er waarschijnlijk binnen.

Voor kleine IT-bedrijven die diensten leveren aan zorginstellingen is dit relevant. Zij kunnen niet langer uitgaan van de aanname dat NIS2 alleen hun klanten raakt. Indien zij de omvangsdrempels halen en actief beheer uitvoeren, vallen zij zelfstandig onder de richtlijn met eigen verplichtingen rond risicobeheer en incidentmelding.

Cloudplatforms en datacenters

Cloudcomputing en datacenterdiensten vormen aparte categorieën in bijlage I. De definities overlappen deels maar zijn niet identiek.

Cloudcomputing wordt gedefinieerd als een dienst die brede netwerktoegang biedt tot een schaalbare en elastische pool van deelbare computercapaciteit. Kenmerken zijn:

• On-demand zelfbediening door de afnemer
• Brede toegang via het netwerk
• Resource pooling waarbij capaciteit wordt gedeeld
• Snelle elasticiteit om op te schalen
• Meetbare dienstverlening

Voor zorggerelateerde cloudaanbieders is relevant dat de definitie functioneel is. Een platform voor medische beelduitwisseling dat aan deze kenmerken voldoet, kan als clouddienst kwalificeren ook al noemt de aanbieder het geen cloud. Omgekeerd valt een hostingdienst zonder self-service provisioning of elasticiteit mogelijk buiten de definitie.

Datacenterdiensten omvatten het aanbieden van faciliteiten voor centrale accommodatie, interconnectie en operatie van IT- en netwerkapparatuur. De dienst omvat stroomvoorziening, klimaatbeheersing en fysieke beveiliging. Belangrijk is dat de preambule van NIS2 interne datacenters uitsluit: faciliteiten die een organisatie exploiteert voor eigen gebruik vallen niet onder de definitie.

De grens is echter niet altijd scherp. Een zorggroep die een datacenter exploiteert via een aparte BV en daaruit diensten levert aan groepsmaatschappijen, kan discussie krijgen over de vraag of dit een interne faciliteit is of een dienstverlener. De juridische structuur en de aard van de dienstverlening bepalen de uitkomst.

Voor bestuurders van zorginstellingen die cloudplatforms of datacenters afnemen, is relevant:

• Of hun leverancier zelfstandig onder NIS2 valt en dus aan eigen verplichtingen moet voldoen
• Welke verantwoordelijkheden bij de leverancier liggen en welke bij de afnemer
• Hoe incidentmelding is geregeld wanneer een incident bij de leverancier gevolgen heeft voor de zorginstelling

Incident response als aparte dienst

Managed security service providers vormen een subcategorie van MSP in NIS2. De definitie omvat dienstverleners die ondersteuning bieden bij activiteiten gericht op cyberbeveiligingsrisicobeheer. Dit kan onder meer omvatten:

• Security operations center diensten
• Vulnerability management
• Incident response en forensisch onderzoek
• Penetratietesten
• Security audits en assessments

De vraag is waar de grens ligt tussen MSSP en incidentele consultancy. Een beveiligingsbedrijf dat uitsluitend op afroep forensisch onderzoek doet na een incident, zonder doorlopende relatie of toegang tot systemen, opereert mogelijk als consultant. Een partij die een retainer heeft en structureel beschikbaar is voor incident response met toegang tot systemen van de klant, opereert eerder als MSSP.

Voor de zorgsector is dit relevant omdat veel zorginstellingen incident response hebben uitbesteed aan gespecialiseerde partijen. Die partijen moeten beoordelen of hun dienstverleningsmodel hen tot MSSP maakt. Factoren die daarbij meewegen:

• Is er sprake van doorlopende dienstverlening of alleen op afroep
• Heeft de dienstverlener structurele toegang tot systemen van de klant
• Omvat de dienst monitoring of alleen reactieve inzet
• Hoe is de contractuele relatie vormgegeven

Domeinnaam- en infrastructuurdiensten

NIS2 bevat specifieke bepalingen voor aanbieders van domeinnaamregistratiediensten. Deze categorie valt onder de richtlijn ongeacht omvang. Zelfs kleine partijen die domeinen registreren of daarbij als tussenpersoon optreden, kunnen verplichtingen hebben.

De definitie omvat:

• Registrars die domeinnamen registreren bij een registry
• Agenten of resellers die namens registrars diensten aanbieden
• Privacy- of proxydiensten voor domeinnaamregistratie

Voor zorggerelateerde organisaties is dit relevant wanneer zij domeindiensten aanbieden aan derden. Een IT-dienstverlener die voor zorgklanten domeinen registreert en beheert, kan onder deze categorie vallen ook al is dat niet de kernactiviteit.

Daarnaast noemt NIS2 DNS-dienstverleners en aanbieders van topleveldomeinregisters. Deze categorieën zijn voor de meeste zorggerelateerde organisaties minder relevant, maar kunnen spelen bij grotere infrastructuuraanbieders die DNS-diensten leveren aan de zorgsector.

Contractuele doorwerking van NIS2-eisen

Naast de vraag of leveranciers zelfstandig onder NIS2 vallen, speelt de vraag hoe zorginstellingen hun ketenverantwoordelijkheid moeten invullen. De richtlijn vereist dat entiteiten rekening houden met:

• Kwetsbaarheden specifiek voor elke rechtstreekse leverancier en dienstverlener
• De algehele kwaliteit van producten en cyberbeveiligingspraktijken van leveranciers
• Beveiligingsprocedures voor ontwikkeling van producten en diensten

Dit vertaalt zich naar contractuele eisen en leveranciersbeoordeling. Zorginstellingen zullen in hun inkoopproces en contractbeheer aandacht moeten besteden aan:

• Beveiligingseisen in programma’s van eisen en offerteaanvragen
• Contractuele bepalingen over risicobeheer en incidentmelding
• Periodieke beoordeling van leveranciersprestaties op beveiligingsgebied
• Afspraken over medewerking bij audits en toezicht

Voor leveranciers betekent dit dat zij vaker geconfronteerd worden met beveiligingseisen van hun klanten, ook wanneer zij zelf niet direct onder NIS2 vallen. Een klein softwarebedrijf dat onder de omvangsdrempels blijft, kan via contractuele doorwerking toch te maken krijgen met NIS2-achtige eisen.

Subcontracting en ketendoorwerking

De praktijk kent situaties waarin dienstverleners zelf weer diensten afnemen van onderaannemers. Een MSP die systemen beheert voor zorginstellingen kan daarbij gebruik maken van:

• Cloudplatforms voor hosting en opslag
• Gespecialiseerde partijen voor specifieke beveiligingsdiensten
• Externe medewerkers of detacheringsbureaus
• Softwareleveranciers voor beheertools

De vraag is hoe ver de ketenverantwoordelijkheid reikt. NIS2 verplicht entiteiten om risico’s in hun keten te identificeren, maar specificeert niet tot hoeveel schakels diep. De praktische benadering is om te focussen op:

• Directe leveranciers met toegang tot systemen of data
• Leveranciers wier uitval directe gevolgen heeft voor de dienstverlening
• Leveranciers die zelf gevoelige gegevens verwerken

Voor zorginstellingen betekent dit dat zij niet alleen hun directe IT-leverancier moeten beoordelen, maar ook moeten weten welke onderaannemers die leverancier inzet voor kritieke onderdelen van de dienstverlening.

Samenloop van verplichtingen

Wanneer zowel een zorginstelling als haar leverancier onder NIS2 vallen, ontstaat een situatie van parallelle verplichtingen. Beide partijen moeten:

• Risicobeheermaatregelen treffen
• Significante incidenten melden aan de toezichthouder
• Medewerking verlenen aan toezicht

Dit vereist afstemming. Bij een incident dat zich voordoet bij de leverancier maar gevolgen heeft voor de zorginstelling, moeten beide partijen melden. De vraag is dan wie wat meldt, op welk moment, en hoe de communicatie verloopt.

Contractuele afspraken kunnen hierin voorzien:

• Wie informeert wie bij een incident en binnen welke termijn
• Wie is primair verantwoordelijk voor melding aan de toezichthouder
• Hoe wordt voorkomen dat dubbele of tegenstrijdige meldingen ontstaan
• Welke informatie deelt de leverancier met de afnemer over incidenten

Voor bestuurders is relevant dat de eigen meldplicht niet verdwijnt doordat de leverancier ook moet melden. De zorginstelling blijft verantwoordelijk voor haar eigen verplichtingen en moet dus tijdig geïnformeerd worden over incidenten die haar raken.

De NCSC (Nationaal Cyber Security Centrum) fungeert in Nederland als centraal punt voor cyberbeveiligingsinformatie en zal naar verwachting een rol spelen bij de coördinatie van incidentmeldingen. Hoe de meldstructuur precies wordt ingericht onder de Cyberbeveiligingswet zal blijken uit de verdere uitwerking van de Nederlandse implementatie.

5. Praktische aanpak bij twijfel

De voorgaande hoofdstukken maken duidelijk dat de vraag of NIS2 van toepassing is zelden met een eenvoudig ja of nee te beantwoorden is. Sectorindeling, omvangscriteria, groepsstructuren en leveranciersrelaties grijpen in elkaar en kunnen tot verschillende uitkomsten leiden afhankelijk van de specifieke situatie. Voor bestuurders die met deze onzekerheid worden geconfronteerd, is een gestructureerde aanpak nodig om tot een onderbouwde conclusie te komen. NIS2 scope bepalen vereist meer dan het aflopen van een checklist.

De praktijk leert dat organisaties die te snel concluderen dat NIS2 niet op hen van toepassing is, risico lopen op onaangename verrassingen wanneer toezichthouders anders oordelen. Omgekeerd kunnen organisaties die zonder analyse aannemen dat zij wel onder de richtlijn vallen, onnodige inspanningen leveren. Een zorgvuldige NIS2 compliance analyse voorkomt beide scenario’s.

Juridische entiteit als vertrekpunt

De eerste stap in elke scope-beoordeling is het vaststellen welke juridische entiteit wordt beoordeeld. NIS2 werkt primair op het niveau van rechtspersonen. Een zorggroep met meerdere BV’s moet per BV bepalen of en op welke grondslag NIS2 van toepassing is.

Dit klinkt vanzelfsprekend, maar in de praktijk ontstaat regelmatig verwarring doordat:

• Organisaties denken in operationele eenheden die niet samenvallen met juridische entiteiten
• Handelsnamen en merken worden verward met rechtspersonen
• Samenwerkingsverbanden zonder rechtspersoonlijkheid worden behandeld alsof zij zelfstandig onder NIS2 kunnen vallen

De analyse begint daarom met een actueel overzicht van:

• Alle rechtspersonen binnen de organisatie of groep
• De zeggenschapsverhoudingen tussen die rechtspersonen
• De activiteiten die per rechtspersoon worden uitgevoerd
• De personele en financiële gegevens per rechtspersoon

Dit overzicht vormt de basis voor de verdere beoordeling. Zonder helder zicht op de juridische structuur is het onmogelijk om de omvangscriteria correct toe te passen of te bepalen welke activiteiten aan welke entiteit moeten worden toegerekend.

Feitelijke activiteiten zwaarder dan labels

De sectorindeling in NIS2 werkt met functionele definities. De vraag is niet hoe een organisatie zichzelf noemt, maar welke activiteiten zij feitelijk uitvoert. Een organisatie die zichzelf positioneert als softwarebedrijf kan onder de definitie van clouddienstverlener vallen indien haar dienstverleningsmodel daaraan voldoet. Een organisatie die zich zorginstelling noemt maar geen directe patiëntenzorg levert, kan buiten de zorgdefinitie vallen maar via een andere categorie alsnog onder NIS2 komen.

De analyse van feitelijke activiteiten vereist:

• Inventarisatie van alle diensten die de organisatie levert
• Beoordeling per dienst of deze past binnen een van de categorieën in bijlage I of II
• Analyse van het dienstverleningsmodel: is er sprake van actief beheer, cloudkenmerken, platformfuncties
• Identificatie van klantgroepen: worden diensten geleverd aan zakelijke afnemers, consumenten of beide

Bij deze analyse is het raadzaam om de definities in NIS2 letterlijk te nemen. De definitie van managed service provider spreekt van actief beheer op systemen van klanten. De definitie van cloudcomputing noemt specifieke kenmerken als elasticiteit en self-service provisioning. De definitie van datacenterdienst omvat interconnectie en operatie van IT-apparatuur.

Organisaties die twijfelen of een bepaalde activiteit binnen een definitie valt, doen er goed aan om:

• De relevante definitie uit de richtlijn te raadplegen
• Te toetsen of de feitelijke dienstverlening aan de definitie-elementen voldoet
• Bij grensgevallen beide scenario’s uit te werken en de consequenties in kaart te brengen

Groepsrelaties vroeg in kaart brengen

Zoals eerder besproken kunnen groepsrelaties de omvangsberekening beïnvloeden. Een entiteit die op zichzelf klein is, kan door verbondenheid met een grotere organisatie alsnog als middelgroot gelden. Dit effect treedt pas op als de relatie als partnerschap of verbondenheid kwalificeert volgens de MKB-definitie.

De analyse van groepsrelaties omvat:

• Identificatie van alle entiteiten die kapitaal of stemrechten houden in de te beoordelen entiteit
• Identificatie van alle entiteiten waarin de te beoordelen entiteit zelf kapitaal of stemrechten houdt
• Beoordeling per relatie of deze de drempel van 25% overschrijdt
• Bij overschrijding: vaststelling of sprake is van partnerschap of verbondenheid
• Bij verbondenheid: volledige consolidatie van personeel en financiële gegevens

Deze analyse moet worden uitgevoerd op het moment van beoordeling, maar ook worden herhaald bij wijzigingen in de groepsstructuur. Een overname, fusie of herstructurering kan de NIS2-status veranderen.

Voor organisaties die onderdeel zijn van een groep is het bovendien relevant om te weten hoe de groep als geheel met NIS2 omgaat. Indien de moederorganisatie beleid heeft vastgesteld voor NIS2-compliance, kan dat gevolgen hebben voor de dochterondernemingen. Afstemming voorkomt dat entiteiten binnen dezelfde groep tot tegenstrijdige conclusies komen.

Welke documentatie de conclusie onderbouwt

Een scope-beoordeling is alleen bruikbaar wanneer zij is gedocumenteerd en onderbouwd. Toezichthouders kunnen vragen om toelichting op de conclusie dat een organisatie wel of niet onder NIS2 valt. Die toelichting is sterker wanneer zij is gebaseerd op concrete documentatie.

Relevante documenten voor de onderbouwing zijn:

Voor de juridische structuur:

• Uittreksel Kamer van Koophandel per entiteit
• Organogram met zeggenschapsverhoudingen
• Aandeelhoudersovereenkomsten indien relevant voor zeggenschap

Voor de activiteiten:

• Servicecatalogus of dienstenbeschrijving
• Standaard contracten of SLA’s die de dienstverlening specificeren
• Interne documentatie over het dienstverleningsmodel

Voor de omvang:

• Meest recente jaarrekening per entiteit
• Personeelsoverzicht met specificatie van dienstverbanden
• Bij groepsrelaties: consolidatieberekening volgens MKB-methodiek

Voor uitzonderingen:

• Analyse of de organisatie enige aanbieder is van een bepaalde dienst
• Beoordeling of uitval significante gevolgen zou hebben voor volksgezondheid of openbare veiligheid
• Eventuele aanwijzingsbesluiten van toezichthouders

De documentatie hoeft niet uitputtend te zijn, maar moet de redenering ondersteunen. Een organisatie die concludeert dat zij buiten NIS2 valt omdat zij de omvangsdrempels niet haalt, moet kunnen aantonen wat de personeelsomvang en financiële gegevens zijn en hoe groepsrelaties zijn meegewogen.

Periodieke herbeoordeling

De NIS2-status is geen statisch gegeven. Organisaties groeien, krimpen, wijzigen hun dienstverlening of herstructureren. Elk van deze ontwikkelingen kan gevolgen hebben voor de vraag of NIS2 van toepassing is.

Een organisatie die nu onder de omvangsdrempels blijft, kan volgend jaar de drempels overschrijden. Een organisatie die nu uitsluitend software verkoopt, kan door uitbreiding naar managed services in een andere categorie terechtkomen. Een organisatie die nu autonoom opereert, kan door een overname verbonden raken met een groter concern.

Het is daarom verstandig om de scope-beoordeling periodiek te herhalen:

• Bij significante wijzigingen in omvang, activiteiten of structuur
• Bij wijzigingen in de groepsstructuur door overnames, fusies of afsplitsingen
• Bij de jaarlijkse planning- en controlcyclus als vast onderdeel van de governance

Deze herbeoordeling hoeft niet telkens volledig opnieuw te worden uitgevoerd. Wanneer de oorspronkelijke analyse goed is gedocumenteerd, volstaat een toetsing of de aannames nog kloppen en of er relevante wijzigingen zijn opgetreden.

Onzekerheid is geen vrijbrief

Ondanks zorgvuldige analyse kan onzekerheid blijven bestaan. De definities in NIS2 laten interpretatieruimte, de Nederlandse implementatie is nog in ontwikkeling, en toezichthouders hebben nog geen uitgebreide praktijk opgebouwd waaruit blijkt hoe zij grensgevallen beoordelen.

Die onzekerheid is echter geen reden om af te wachten of te concluderen dat NIS2 waarschijnlijk niet van toepassing is. De richtlijn legt de bewijslast niet bij de toezichthouder maar bij de organisatie. Entiteiten moeten zelf bepalen of zij onder NIS2 vallen en moeten zich registreren bij de relevante autoriteiten.

Voor bestuurders betekent dit:

• Bij twijfel eerder aannemen dat NIS2 van toepassing is dan het tegendeel
• De analyse en conclusie documenteren zodat achteraf aantoonbaar is dat zorgvuldig is gehandeld
• De ontwikkelingen rond de Nederlandse implementatie volgen en de analyse bijstellen wanneer nieuwe informatie beschikbaar komt
• Contact zoeken met de relevante toezichthouder indien fundamentele onduidelijkheid blijft bestaan

De RDI (Rijksinspectie Digitale Infrastructuur) zal naar verwachting een rol spelen bij de registratie en het toezicht op digitale dienstverleners. Voor zorginstellingen blijft de IGJ (Inspectie Gezondheidszorg en Jeugd) de primaire toezichthouder, maar samenwerking tussen toezichthouders ligt in de lijn der verwachting bij organisaties die onder meerdere categorieën vallen.

Informatiebeveiliging als doorlopende verantwoordelijkheid

Los van de vraag of NIS2 formeel van toepassing is, blijft informatiebeveiliging een verantwoordelijkheid van elke organisatie die met gevoelige gegevens werkt. Zorggerelateerde organisaties verwerken vrijwel altijd persoonsgegevens en vaak bijzondere persoonsgegevens zoals gezondheidsgegevens. De AVG (Algemene Verordening Gegevensbescherming) vereist passende technische en organisatorische maatregelen, ongeacht of NIS2 van toepassing is.

Bestuurders die concluderen dat hun organisatie buiten NIS2 valt, kunnen daarom niet achterover leunen. De verplichtingen uit de AVG, de eisen van zorgverzekeraars, de verwachtingen van samenwerkingspartners en de eigen verantwoordelijkheid jegens patiënten en cliënten blijven bestaan.

De NIS2-scope-analyse is daarmee geen doel op zich, maar onderdeel van een bredere governance-vraag: hoe zorgt de organisatie ervoor dat informatiebeveiliging structureel is geborgd, dat risico’s worden beheerst en dat bij incidenten adequaat wordt gehandeld. Organisaties die die vraag serieus nemen, zijn beter voorbereid op NIS2 indien de richtlijn alsnog van toepassing blijkt, en zijn weerbaarder tegen cyberdreigingen ongeacht de juridische status.