ABRO: Nieuwe beveiligingseisen voor leveranciers aan Rijksoverheid en Politie
De Rijksoverheid bereidt zich voor op de invoering van ABRO (Algemeen Beveiligingsvoorschrift voor Rijksoverheid en Opdrachten), een doorontwikkeling van het huidige ABDO-voorschrift. Met ABRO krijgt Nederland vanaf 2026 voor het eerst één uniform stelsel van beveiligingseisen voor opdrachten die de nationale veiligheid raken. De aanleiding is de toenemende dreiging door statelijke actoren, die zich richt op spionage, kennisdiefstal en sabotage van infrastructuur. Voor leveranciers aan de overheid betekent dit een ingrijpende verandering in hoe beveiligingseisen worden gesteld en gecontroleerd.
N.b. Hieronder volgt een samenvatting op hoofdlijnen van de informatie die de overheid met ons gedeeld heeft, het is belangrijk hierbij in gedachten te houden dat deze nog puur indicatief is en nog niet vastgesteld is.
Implementatie en scope
Na verwachte goedkeuring door de ministerraad in november 2025 gaat ABRO gefaseerd in vanaf begin 2026, met een implementatietermijn van twee jaar. In de eerste tranche zijn circa 50 organisaties betrokken: alle ministeries, rijksagentschappen en de Politie. Het Nationaal Bureau Industrieveiligheid (NBIV) wordt het centrale aanspreekpunt dat controleert of leveranciers voldoen aan de eisen. Deze nieuwe organisatie voegt de industrieveiligheidsexpertise van AIVD en MIVD samen en beheert nu al een portefeuille van meer dan 2.000 bedrijven. Belangrijk voor leveranciers: ABRO geldt alleen voor nieuwe opdrachten na invoering, bestaande contracten vallen er niet automatisch onder.
Vijf hoofdstukken met proportionele eisen
ABRO is opgebouwd uit vijf hoofdstukken die verschillende aspecten van beveiliging dekken: bestuur & organisatie, personeel, fysiek, cyber en cloud. De eisen worden proportioneel toegepast op basis van het classificatieniveau van de informatie. Deze worden benoemd als “Te Beschermen belangen”, of TBB, verdeeld over 4 niveaus. Alleen op het laagste niveau (TBB4 – Departementaal Vertrouwelijk) wordt public cloud wel toegestaan, maar bij hogere classificatieniveaus niet. De wijzigingen ten opzichte van ABDO zijn substantieel: er komt meer nadruk op ketenrisico’s, er is geen generieke nationaliteitseis meer voor personeel, en de cyberbeveiliging wordt geactualiseerd met nieuwe standaarden. Hierbij wordt onder andere de koppeling met de ISO27001 vervangen door met metaframework Secure Controls Framework. Ook nieuw is het aparte hoofdstuk voor cloud services, waarin specifieke eisen staan zoals een verplichte SOC2 Type 2-certificering die alle vijf Trust Service Criteria omvat en bovendien exitstrategieën en locatierestricties vereist.
Moderne beveiliging met ruimte voor maatwerk
Bij de herziening is nadrukkelijk gekeken naar technologische ontwikkelingen en praktische toepasbaarheid. Zo krijgen moderne technieken als AI, Zero Trust en Data Loss Prevention expliciet aandacht, en is er meer ruimte voor maatwerk bij fysieke beveiligingsmaatregelen, mits het beveiligingsrendement geborgd blijft. Voor cloud serviceproviders gelden aangepaste eisen: zij hoeven niet te voldoen aan alle fysieke en cybermaatregelen, maar moeten wel cloud-specifieke risico’s afdekken.
Voorbereiding voor leveranciers
Voor leveranciers die willen meedingen naar overheidsopdrachten onder ABRO is nu het moment om zich voor te bereiden. De gedetailleerde ABRO-eisen worden zo snel mogelijk na goedkeuring door de ministerraad gepubliceerd. Belangrijk om te weten: de ABRO is op zichzelf geen wet zoals de NIS2/Cyberbeveiligingswet of de Cyber Resilience Act. De ABRO is een set beveiligingseisen om de nationale veiligheid te waarborgen bij het zakendoen tussen overheid en bedrijfsleven die van toepassing zullen zijn op aanbestedingen en opdrachten.
Het laatste nieuws
Beveiliging, hacks en verzekeringen: lessen uit de praktijk
NLdigital stuurt inbreng digitale sector aan informateurs
NLdigital en overheid starten dialoog over soevereine cloud voor Nederland
Wat betekent de verkiezingsuitslag voor de digitale sector?
