Nu de Algemene Beveiligingseisen voor Rijksoverheidsopdrachten (ABRO) officieel zijn goedgekeurd door de ministerraad, willen organisaties die diensten leveren voor de overheid weten wat er per 1 januari 2026 verandert. Welke nieuwe veiligheidseisen gaan er gelden? Wat is het verdere tijdspad?
Als IT-dienstverlener in het securitydomein werkt Nsecure al ruim 30 jaar in een omgeving waar beveiliging, governance en nationale belangen samenkomen. René in het Veld, Business Unit Manager Government & Non-Profit, geeft uitleg. ‘ABRO vraagt om structurele, aantoonbare beveiliging, niet om een checklist.’
Wat is de ABRO?
ABRO staat voor Algemene Beveiligingseisen voor Rijksoverheidsopdrachten en is het nieuwe landelijke kader voor opdrachten van de overheid die de nationale veiligheid raken. Het gaat om opdrachten waarbij bedrijven te maken krijgen met gevoelige informatie, kritieke infrastructuur of digitale systemen die aantrekkelijk zijn voor spionage en cyberaanvallen. Om deze risico’s te beperken, gelden er per 1 januari 2026 strengere beveiligingseisen voor bedrijven die zulke opdrachten uitvoeren.
ABRO beidt bescherming en zorgt voor uniformiteit
Waar eerder alleen Defensie gebonden was aan de ABDO (Algemene Beveiligingseisen voor Defensieopdrachten), gaat ABRO gelden voor de hele overheid: ministeries, politie, gemeenten, provincies en andere publieke organisaties én voor alle bedrijven die voor hen werken.
De conclusie was helder: bestaande inkoop- en beveiligingskaders bieden onvoldoende bescherming voor opdrachten met nationale belangen. Daarom is de ABRO ontwikkeld, om publieke opdrachtgevers en marktpartijen een uniform, proportioneel en toekomstbestendig raamwerk te geven om die belangen zorgvuldig te bewaken. De ABRO is vastgelegd in het regeerakkoord van 2022 en heeft in grote lijn twee hoofddoelen:
- Het beschermen van overheden en bedrijven en de Nederlandse samenleving
- Uniformiteit aan regelgeving en duidelijkheid voor bedrijven
Voor wie geldt de ABRO?
De ABRO is voor organisaties die werken voor de overheid verplicht wanneer de opdracht de nationale veiligheid raakt. Dit noemen we het Te Beschermen Belang (TBB). Het gaat dan om gevoelige informatie, kritieke processen, toegang tot gebouwen of systemen of technologie die in verkeerde handen kan vallen. De ABRO geldt voor alle Rijksorganisaties en zelfstandige bestuursorganen met publieke taken die opdrachten uitzetten. Het is altijd de opdrachtgever die bepaalt of een opdracht onder de ABRO valt.
ABRO-verklaring per opdracht
Zodra de opdrachtgever besluit dat een ABRO-verklaring nodig is, komt het Nationaal Bureau Industrieveiligheid (NBIV) in beeld. Het NBIV, in maart 2025 opgezet, bestaat uit de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en Militaire Inlichtingen- en Veiligheidsdienst (MIVD). Zij onderzoeken of de maatregelen van de opdrachtnemer voldoende zijn om de opdracht veilig uit te voeren op het vastgestelde beveiligingsniveau. De uitkomst is een risicoadvies aan de opdrachtgever, die op basis daarvan besluit om een ABRO-verklaring af te geven. In het kort:
- ABRO is verplicht als de opdracht een TBB (Te Beschermen Belang) heeft;
- Opdrachtgever bepaalt of er een ABRO-verklaring nodig is;
- Er bestaat géén algemene ABRO-certificering. De ABRO-verklaring geldt per opdracht;
- NBIV toetst de beveiligingsmaatregelen van de opdrachtnemer.
Wat vraagt ABRO van de opdrachtgever?
De overheid is verantwoordelijk om te bepalen of een opdracht de nationale veiligheidsbelangen raakt. Dat begint met het scherp formuleren van het TBB en het uitvoeren van een gedegen risicoanalyse. De opdrachtgever moet onderbouwen welk ABRO-niveau passend is. Daarnaast moet de opdrachtgever:
- Het NBIV tijdig inschakelen
- Aanbestedingsdocumenten en contracten afstemmen op gekozen niveau
- Toezicht houden op naleving tijdens uitvoering
- Leveranciers en ketenpartijen meenemen in de eisen
- Bij veranderende risico’s opnieuw beoordelen
Wat vraagt ABRO van de opdrachtnemer?
Marktpartijen moeten aantoonbaar voldoen aan de maatregelen die horen bij het ABRO-niveau van de opdracht. Die verantwoordelijkheid raakt de hele organisatie: van bestuur tot werkvloer. ‘De ABRO vraagt om een andere mindset’, zegt In het Veld. “Van encryptie tot screening, van toegangsbeheer tot het verwijderen van sensoren uit voertuigen bij onderhoud. ABRO vraagt dus om structurele, aantoonbare beveiliging, niet om een checklist.
Een opdrachtnemer moet onder meer:
- Governance, processen en verantwoordelijkheden inrichten op het juiste niveau
- Personeel screenen en integriteit borgen
- Fysieke beveiliging, toegangsbeheer en procesmaatregelen aantoonbaar beheersen
- IT-, OT- en cloudomgevingen inrichten volgens eisen van het gekozen niveau
- Keten- en leveranciersrisico’s onder controle houden
- Incidenten direct melden
- Zolang de opdracht loopt, aantonen dat beveiliging werkt in de praktijk
Bewustwording: dé sleutel onder ABRO
De ABRO werkt met vier beveiligingsniveaus, van relatief beperkt vertrouwelijk tot uiterst gevoelig. Het kiezen van het juiste niveau vraagt om een goede risicoanalyse en vooral: een scherp TBB. Daar ligt straks de grootste uitdaging. Sommige organisaties kiezen direct het hoogste niveau ‘voor de zekerheid’. Het resultaat: hogere kosten, onnodige maatregelen en soms zelfs schijnveiligheid. ‘ABRO werkt niet als een standaardpakket’, benadrukt In het Veld. ‘Het draait om de vraag: wat staat hier precies op het spel? Welk risico moet je afdekken? Die proportionaliteit is essentieel.’
Hoe ziet het tijdspad eruit?
Vanaf 1 januari 2026 vallen departementen, agentschappen en de politie onder de ABRO. Zij krijgen maximaal twee jaar om de nieuwe eisen te implementeren. De tranches daarna, met daarin gemeenten en andere publieke organisaties, volgen richting 2027–2029.
Rene vervolgt: ‘Wachten is geen optie. De hoeveelheid werk die komt kijken bij volwassen beveiliging, ketenbeheer en governance is groot. Breng daarom nu al in kaart welke risico’s relevant zijn, waar afhankelijkheden zitten en welke maatregelen proportioneel zijn. Dat is geen luxe, maar noodzaak.”
De rol van Nsecure binnen ABRO
Nsecure bevindt zich al jaren in dit speelveld, precies op het snijvlak van fysieke beveiliging, IT-security, governance en operationele uitvoerbaarheid. Vanuit die expertise ondersteunen wij organisaties zowel beleidsmatig als operationeel.
Nsecure ondersteunt opdrachtgevers door:
- Het scherp definiëren van het TBB
- Meekijken bij risicoanalyses
- Adviseren bij het formuleren van eisen in aanbestedingen
- Inzicht bieden in realistische beveiligings- en ketenrisico’s
- Ondersteuning bieden bij toezicht en naleving tijdens de uitvoering
Nsecure ondersteunt opdrachtnemers door:
- Het uitvoeren van een nulmeting op alle ABRO-domeinen
- Het identificeren van kwetsbaarheden en het opstellen van een haalbaar verbeterplan
- Het helpen inrichten van technische, fysieke en organisatorische beveiligingsmaatregelen
- Begeleiding bij voorbereiding op NBIV-toetsing
- Het vormgeven van ketenbeveiliging richting onderaannemers
In het Veld benadrukt: ‘Bij ABRO draait het niet om het overnemen van verantwoordelijkheden, maar om het versterken van inzicht en uitvoerbaarheid. Met onze ervaring en kennis ondersteunen we organisaties om keuzes te maken die werken: relevant, effectief en realistisch. ABRO raakt de hele keten, van leverancier tot onderaannemer. Nsecure zorgt dat alle partijen aangehaakt zijn én blijven. Zodat beleid, techniek en uitvoering écht samenkomen.’
Rene in het Veld, Expert Publieke Sector
Bron: Nsecure
Volg Security Management op LinkedIn
