Bij bepaalde inkoopopdrachten van de Rijksoverheid en politie spelen er risico's voor de nationale veiligheid. Sinds 1 januari geldt daarvoor één uniforme set beveiligingseisen: de Algemene Beveiligingseisen voor Rijksoverheidsopdrachten (ABRO). Bedrijven uit verschillende sectoren kunnen met de ABRO te maken krijgen. Van bouwbedrijven en ict-leveranciers tot schoonmaakdiensten en transportbedrijven.
De ABRO geldt voor bedrijven die bijzondere opdrachten uitvoeren voor de Rijksoverheid en politie. Dit zijn opdrachten met risico’s voor de nationale veiligheid. Denk aan werkzaamheden met gevoelige informatie of vitale infrastructuur. De ABRO is één geheel aan beveiligingseisen, met maatregelen voor bestuur en organisatie, personeel en voor zowel fysieke als digitale beveiliging van bedrijven.
Rubricering te beschermen belangen
De opdrachtgever bekijkt eerst of het mogelijk is zelf maatregelen te nemen om de risico’s te verkleinen. Is dat niet mogelijk, dan past de opdrachtgever de ABRO toe op de inkoop en moet de opdrachtnemer beveiligingsmaatregelen nemen. Het gaat om opdrachten met gerubriceerde informatie en zaken of locaties die speciale bescherming nodig hebben.
De ABRO werkt met 4 niveaus van te beschermen belangen (TBB’s):
De ABRO beschrijft alle eisen per beveiligingsniveau. Op de meeste opdrachten is TBB 4 van toepassing, met minder zware eisen dan voor TBB 1, 2 en 3. Vaak zijn de TBB 4-eisen gebaseerd op marktstandaarden die voor veel bedrijven al bekend zullen zijn.
Onderzoek voor ABRO-verklaring
Het Nationaal Bureau Industrieveiligheid (NBIV) controleert of een bedrijf aan de ABRO voldoet. Zo moet elke opdrachtnemer een beveiligingsplan hebben. Voor personeel dat betrokken is bij de opdracht is een Verklaring van Geen Bezwaar (VGB) bij staatsgeheimen of een Verklaring Omtrent het Gedrag (VOG) nodig. Ook kan er bijvoorbeeld worden gekeken naar de beveiliging van gebouwen, computers en ict-systemen.
Het onderzoek door het NBIV duurt gemiddeld 3 tot 9 maanden. De doorlooptijd is onder meer afhankelijk van welke beveiligingsmaatregelen nodig zijn. Het NBIV kijkt altijd naar de hoofdstukken ‘Bestuur en organisatie’ en ‘Personeel’ in de ABRO. Afhankelijk van de opdracht komen daar fysieke beveiliging, cyberbeveiliging en cloudbeveiliging bij.
Is alles in orde, dan krijgt de opdrachtgever een ABRO-verklaring en kan de opdracht definitief worden gegund. Een ABRO-verklaring onder voorwaarden is ook mogelijk. Een bedrijf krijgt dan de tijd om aanpassingen door te voeren.
Beveiligingseisen onderaannemers
Ook onderaannemers moeten rekening houden met de ABRO, als ze te maken krijgen met TBB’s. De opdrachtnemer moet aan het NBIV doorgeven welke onderaannemers bij de opdracht worden ingezet. Pas na een ABRO-verklaring mogen ze aan de slag.
Tijdens de gehele looptijd van een opdracht moet de opdrachtnemer aan de ABRO-eisen blijven voldoen. Het NBIV controleert dat. Blijkt een opdrachtnemer niet meer aan de beveiligingseisen te voldoen, dan kan het NBIV de ABRO-verklaring intrekken. In zo’n geval stopt het contract.
Invoering ABRO in stappen
De Rijksoverheid voert de ABRO in sinds januari 2026. Organisaties krijgen daarvoor 2 jaar de tijd. De ingangsdatum verschilt daardoor per organisatie. In 2026 en 2027 wordt de ABRO ingevoerd bij de politie, ministeries, hun diensten en agentschappen. Wanneer Defensie start met de ABRO, wordt deze gebruikt voor nieuwe contracten. Voor lopende contracten van Defensie blijven de Algemene Beveiligingseisen voor Defensieopdrachten (ABDO) gelden.
Kosten en voorbereiding
Ondernemingen betalen niet voor het NBIV-onderzoek voor een ABRO-verklaring. Maar de investeringen om aan de ABRO te voldoen, zijn wel voor rekening van de opdrachtnemer. Net als de kosten van een VGB of VOG. Het bedrag hangt af van het soort opdracht en welke beveiligingsmaatregelen al aanwezig zijn.
Bedrijven met bestaande certificeringen zoals ISO 27001 (informatiebeveiliging) of ervaring met de ABDO kunnen mogelijk sneller voldoen aan de ABRO-eisen. De voorbereidingstijd varieert daarom sterk. Van enkele maanden voor bedrijven met een goede basisbeveiliging, of langer voor complexe opdrachten op hoog beveiligingsniveau.
Kansen voor bedrijven
Hoewel de ABRO nieuwe eisen stelt, biedt dit ook kansen. Door de uniforme set beveiligingseisen ontstaat er duidelijkheid voor de markt. Bedrijven die investeren in goede beveiliging, kunnen deze investering sneller terugverdienen bij verschillende opdrachten voor diverse overheidsorganisaties.
Voor actuele informatie kijk op Rijksoverheid.nl/ABRO.
