Если вы используете лицензионное ПО скачанное с официальных сайтов, а не repack-и, вы не устанавливаете софт разработанный правительством другой страны, в целом используете распространенно ПО разработчик которого его постоянно обновляет, ПО вам разрабатываемое сторонними компаниями разрабатывается по договору с nda, вы выполняете тестирование такого ПО, вы не представляете интерес другим государствам, то пишите что не актуальны для вас угрозы 2го типа.
Если вы используете и обновляете системное ПО (ОС, BIOS, микрокод микроконтроллеров), не используйте ноунейм сетевое оборудование (используете проверенное оборудование Cisco), ну и т.п., или наоборт используете только ПО в оторое продается условно ограниченному набору ЮЛ, то пишите что вам не актуальны угрозы 1го типа
Получается вам актуальны угрозы 3го типа.