NIS 2 voor multinationals: waarom groepsstructuren ineens juridisch relevant zijn

NIS 2 raakt meer dan alleen klassieke vitale aanbieders

NIS 2 is bedoeld om de digitale weerbaarheid van organisaties te vergroten. Dat gebeurt met strengere beveiligingsverplichtingen, scherpere eisen rond incidentmelding, meer aandacht voor leveranciers en stevige gevolgen bij niet-naleving. Ook het bereik van de regels is breder geworden. Meer sectoren, meer entiteiten en meer activiteiten kunnen onder de regeling vallen.

Voor veel organisaties is de eerste reflex nog steeds: vallen wij wel of niet onder NIS 2? In de praktijk blijkt die vraag alleen zelden zo eenvoudig. Zeker bij internationaal opererende groepen ligt het antwoord niet op concernniveau voor het oprapen. Wie meerdere vennootschappen, verschillende activiteiten en een centrale IT-omgeving heeft, merkt al snel dat de juridische kaart er anders uitziet dan het organogram.

Bij Startup-Recht zien we dat dit precies het soort onderwerp is waar juridische theorie en operationele realiteit op elkaar botsen. Op papier lijkt het systeem overzichtelijk. In de praktijk roept het juist vragen op over afbakening, verantwoordelijkheid en interne coördinatie.

De echte puzzel begint bij het begrip entiteit

Een belangrijk vertrekpunt is dat NIS 2 niet uitgaat van de groep als geheel, maar van de entiteit. Dat klinkt technisch, maar het heeft grote gevolgen. Niet de onderneming in brede zin, maar de afzonderlijke entiteiten vormen het uitgangspunt om te beoordelen of de regels van toepassing zijn.

Dat leidt meteen tot spanning. Want terwijl de toepasselijkheid per entiteit wordt bekeken, wordt voor de omvangscriteria weer aangesloten bij een benadering waarin ook gegevens van verbonden of partnerondernemingen kunnen meetellen. Daardoor kan een relatief kleine vennootschap binnen een grotere groep toch in beeld komen, juist omdat zij deel uitmaakt van een groter geheel.

Voor startups en scale-ups is dit extra relevant zodra de onderneming groeit via dochters, buitenlandse vestigingen of functioneel afgescheiden business units. Een lokale entiteit kan operationeel klein en vrij zelfstandig zijn, maar juridisch toch worden meegezogen in een bredere beoordeling. Dat maakt een zuiver juridische scope-analyse lastig, zeker wanneer de IT-systemen binnen de groep niet volledig centraal zijn georganiseerd.

Waarom de omvangstoets niet altijd logisch voelt

De spanning wordt nog duidelijker wanneer een kleinere entiteit binnen een groep feitelijk autonoom opereert. Denk aan een buitenlandse dochter met een eigen team, eigen systemen en beperkte afhankelijkheid van de rest van de groep. Vanuit cyberrisico bekeken hoeft een incident daar niet automatisch gevolgen te hebben voor het hele concern.

Toch kan de groepsomvang in de beoordeling een grote rol spelen. Dat voelt in zulke gevallen niet altijd logisch. De gedachte achter NIS 2 is immers dat organisaties die een relevante rol spelen in kritieke processen aan zwaardere eisen worden onderworpen. Als een entiteit in de praktijk vrij los functioneert, wringt het wanneer de omvang van de groep alsnog bepalend is.

Voor jonge techbedrijven die internationaal opschalen is dit geen theoretische discussie. Juist scale-ups bouwen vaak in hoog tempo een structuur met aparte vennootschappen voor funding, IP, personeel, verkoop of regionale expansie. Dan ontstaat al snel de vraag of die juridische vormgeving later onverwacht doorwerkt in de NIS 2-beoordeling.

Ook interne IT-diensten kunnen de groep binnen bereik brengen

Een van de meest opvallende punten is dat niet alleen de kernactiviteit van een groep relevant is. Ook ondersteunende activiteiten kunnen ervoor zorgen dat een entiteit binnen scope valt. Dat geldt met name voor interne IT-dienstverlening.

Veel groepen werken met een shared services center of een interne IT-vennootschap die beveiligingsdiensten, cloudgerelateerde diensten of andere beheerde ICT-diensten levert aan groepsmaatschappijen. Voor NIS 2 is niet doorslaggevend dat zulke diensten commercieel aan derden worden aangeboden. Het kan al voldoende zijn dat zij binnen de EU worden verleend.

Daarmee kan een groep waarvan de hoofdactiviteit op zichzelf niet in een NIS 2-sector valt, toch met NIS 2 te maken krijgen via een interne dienstverlener. Denk aan een organisatie die primair actief is in hospitality, retail of een andere sector buiten de klassieke kritieke domeinen, maar intern sterk gecentraliseerde digitale dienstverlening heeft georganiseerd. Dan verschuift de juridische aandacht ineens naar het shared services center.

Voor techbedrijven is dit extra relevant. Binnen snelgroeiende groepen worden security, cloudbeheer, development support en centrale infrastructuur vaak bewust samengebracht in één entiteit. Dat is efficiënt, maar het kan ook betekenen dat juist die interne structuur een ingang vormt voor NIS 2-verplichtingen.

Eén entiteit kan meerdere petten tegelijk dragen

De situatie wordt nog complexer wanneer een entiteit meerdere activiteiten combineert. Een vennootschap kan bijvoorbeeld binnen verschillende sectoren of subsegmenten opereren. In zo’n geval is het mogelijk dat dezelfde entiteit vanuit meerdere invalshoeken onder het regime valt.

Dat heeft praktische gevolgen. Niet alleen moet dan worden vastgesteld dát de entiteit onder NIS 2 valt, maar ook welke sectorale verplichtingen zich opstapelen. Voor governance, documentatie en interne controles is dat een belangrijk punt. Een organisatie die denkt klaar te zijn met één kwalificatie, kan in werkelijkheid met een gelaagder pakket aan eisen te maken krijgen.

Voor founders en managementteams is dat vooral een waarschuwing tegen te grove analyses. Een snelle conclusie op groepsniveau, of een simpele labelvraag per business line, is meestal niet genoeg. Wie serieus werk wil maken van NIS 2-compliance, moet dieper kijken naar de concrete rol van elke entiteit en naar de feitelijke diensten die binnen de groep worden geleverd.

Geldt NIS 2 dan meteen voor de hele groep?

Die vraag ligt voor de hand, maar het antwoord is genuanceerd. Als één groepsvennootschap onder NIS 2 valt, betekent dat niet automatisch dat alle andere groepsmaatschappijen ook rechtstreeks onder hetzelfde regime vallen.

Wel kan er binnen één en dezelfde entiteit sprake zijn van een breed effect. Als een entiteit onder de regels valt, kunnen ook andere onderdelen binnen diezelfde entiteit door die verplichtingen worden geraakt. Maar een verder automatisch doorschuiven naar alle vennootschappen binnen de groep volgt daar niet zonder meer uit.

In de praktijk is het beeld minder scherp af te bakenen. Groepsmaatschappijen zijn vaak nauw verweven. Ze delen monitoring, security tooling, policies, identity management of een centraal Security Operations Centre. Daardoor kunnen andere entiteiten operationeel alsnog met NIS 2-verplichtingen te maken krijgen, ook als zij niet zelfstandig in scope lijken te vallen.

Voor scale-ups is dit herkenbaar. Veel organisaties groeien sneller dan hun governance meegroeit. Juridisch zijn er meerdere entiteiten, maar technisch en organisatorisch draait alles nog op één centrale stack. Dan wordt het onderscheid tussen directe toepasselijkheid en feitelijke impact ineens heel relevant.

Jurisdictie: in welk land gelden de regels?

Zodra een groep in meerdere EU-landen actief is, komt de volgende vraag op tafel: welk nationaal regime is van toepassing? En minstens zo belangrijk: kan dat er meer dan één zijn?

De hoofdregel is streng. Als een entiteit in Nederland is gevestigd en diensten verleent of activiteiten verricht in Nederland of een andere EU-lidstaat, dan valt zij onder het Nederlandse regime. Maar andere entiteiten binnen dezelfde groep kunnen tegelijk onder de implementatiewet van andere lidstaten vallen. Er is dus niet automatisch één loket voor de hele groep.

Dat maakt internationale compliance meteen een stuk zwaarder. Een moedermaatschappij met dochters in verschillende landen kan niet zonder meer volstaan met één centrale aanpak die juridisch overal hetzelfde uitpakt. Verschillen tussen nationale implementaties kunnen zorgen voor extra organisatorische en financiële druk.

Voor startups en scale-ups met Europese expansieplannen is dit een belangrijk aandachtspunt. Wie vandaag vooral kijkt naar commerciële groeikansen per land, doet er verstandig aan ook vroeg te beoordelen welke juridische en compliancegevolgen die landenstructuur later heeft. NIS 2 kan van een internationale rollout namelijk ook een multidisciplinaire governance-oefening maken.

Voor sommige digitale diensten geldt een ander regime

Voor bepaalde entiteiten met een grensoverschrijdend digitaal karakter geldt een apart jurisdictieregime. Daarbij wordt gekeken naar de hoofdvestiging. Dat speelt onder meer bij activiteiten op het terrein van digitale infrastructuur, beheer van ICT-diensten en digitale aanbieders, waaronder aanbieders van cloudcomputingdiensten en beheerde beveiligingsdiensten.

De plaats van die hoofdvestiging wordt trapsgewijs bepaald. Eerst wordt gekeken waar de beslissingen over cyberbeveiligingsrisicobeheer hoofdzakelijk worden genomen. Als dat geen duidelijk antwoord geeft, verschuift de aandacht naar waar de cyberbeveiligingsactiviteiten worden uitgevoerd en daarna naar de plek waar de entiteit het grootste aantal werknemers in de EU heeft.

Voor groepen met centrale security governance is dit bijzonder relevant. Op papier kan een interne IT-entiteit in Nederland zitten, terwijl de strategische beslissingen feitelijk elders in de groep worden genomen. Dan kan de vraag ontstaan of niet juist de vestiging van de controlerende onderneming bepalend wordt. Het gevolg kan zijn dat een Nederlandse operationele entiteit uiteindelijk onder een ander nationaal regime uitkomt dan aanvankelijk werd verwacht.

Voor techbedrijven die werken met centrale platformteams, buitenlandse holdingstructuren of pan-Europese security-aansturing is dit geen detail. Het raakt direct aan de vraag wie intern eigenaar is van compliance, welk land leidend is en hoe meldprocessen moeten worden ingericht.

Incidentmelding wordt snel een grensoverschrijdend probleem

Misschien wel het meest praktische knelpunt zit bij de meldplicht. Want wat gebeurt er als één incident meerdere entiteiten binnen dezelfde groep raakt?

Denk aan een intern shared services center dat beveiligingsdiensten levert aan verschillende groepsmaatschappijen. Als daar een incident ontstaat, is de kans groot dat ook andere entiteiten gevolgen ondervinden. Het uitgangspunt is dan dat getroffen entiteiten afzonderlijk moeten beoordelen of zij moeten melden. Dat kan ertoe leiden dat meldingen in meerdere landen nodig zijn.

Een centrale melding voor de hele groep ligt dan misschien operationeel voor de hand, maar juridisch is dat niet zonder meer hetzelfde als een one-stop-shop. Voor groepen met meerdere vestigingen in verschillende EU-lidstaten maakt dat een groot verschil. Incident response moet dan niet alleen technisch goed zijn ingericht, maar ook juridisch en organisatorisch.

Bij Startup-Recht zien we dat veel jonge technologiebedrijven hun incidentprocessen sterk centraal organiseren. Dat is logisch en vaak ook verstandig. Maar zodra een onderneming meerdere entiteiten en jurisdicties heeft, moet die centrale aanpak wel worden vertaald naar een structuur waarin duidelijk is wie waar meldt, op basis van welke kwalificatie en onder welk nationaal kader.

Wat betekent dit concreet voor startups en scale-ups?

De belangrijkste les is dat NIS 2 voor groeibedrijven niet alleen draait om security controls. De regeling dwingt ook tot een scherpere blik op corporate structure, interne dienstverlening en Europese expansie.

Voor startups die nog in een vroege fase zitten, kan dit een reden zijn om nu al beter na te denken over de inrichting van shared services, IP-vennootschappen en centrale IT-functies. Voor scale-ups met meerdere landen, dochtervennootschappen en een gecentraliseerd platform is het vooral een signaal dat scope, jurisdictie en meldplicht niet los van elkaar kunnen worden beoordeeld.

Een bruikbare eerste stap is het in kaart brengen van alle entiteiten, hun activiteiten en de manier waarop netwerk- en informatiesystemen binnen de groep zijn georganiseerd. Daarna volgt de vraag welke entiteiten mogelijk onder NIS 2 vallen, welke daarvan meerdere kwalificaties kunnen hebben en waar de relevante beslissingen over cyberbeveiliging feitelijk worden genomen.

Daarnaast is het verstandig om legal, compliance, security en IT niet naast elkaar, maar samen naar dit vraagstuk te laten kijken. Zeker in internationale groepen voorkomt dat dat de juridische analyse iets anders zegt dan de technische werkelijkheid. Juist daar ontstaan anders de meeste verrassingen.

Conclusie: NIS 2 vraagt om een kaart van je groep, niet alleen van je systemen

NIS 2 maakt duidelijk dat cyber compliance niet ophoudt bij firewalls, policies en monitoring. Voor internationaal opererende organisaties draait het net zo goed om de vraag hoe de groep juridisch is opgebouwd, waar diensten worden geleverd en hoe verantwoordelijkheden binnen de organisatie zijn verdeeld.

Voor startups en scale-ups in de techsector is dat een relevante wake-up call. Wie snel groeit, bouwt vaak automatisch aan complexiteit. En juist die complexiteit kan onder NIS 2 bepalen welke entiteit in scope valt, welk nationaal regime geldt en waar een incident moet worden gemeld.

De praktische boodschap is helder: wacht niet tot een incident of een toezichthouder de structuurtest afneemt. Begin op tijd met het inventariseren van entiteiten, activiteiten, centrale IT-functies en interne afhankelijkheden. Want onder NIS 2 is je groepsstructuur niet langer alleen een corporate vraagstuk, maar ook een cybersecurityvraagstuk.

‍