Van ABDO naar ABRO: strengere beveiligingseisen voor overheidsopdrachten

De overheid werkt met tal van bedrijven samen voor het uitvoeren van opdrachten. Maar sommige opdrachten raken direct aan de nationale veiligheid. Denk aan gevoelige informatie, kritieke infrastructuur of digitale systemen die een doelwit kunnen zijn van spionage en cyberaanvallen. Om deze risico’s te verkleinen, wil het kabinet vanaf 2025 strengere beveiligingseisen invoeren voor bedrijven die dergelijke opdrachten uitvoeren. Deze eisen vallen onder de nieuwe Algemene Beveiligingseisen voor Rijksoverheidsopdrachten (ABRO). Waar voorheen alleen Defensie verplicht was om te voldoen aan de Algemene Beveiligingseisen voor Defensieopdrachten (ABDO), zal ABRO gelden voor ministeries, politie, gemeenten, provincies en andere overheidsinstanties.

Strengere regels, grotere impact op veiligheid met ABRO

De Rijksoverheid zet met ABRO een grote stap in de beveiliging van gevoelige informatie en kritieke infrastructuur. Waar eerder alleen Defensie gebonden was aan de Algemene Beveiligingseisen voor Defensieopdrachten (ABDO), zal ABRO veel breder gaan gelden. Dat betekent dat ministeries, politie, gemeenten en andere overheidsinstanties zich moeten voorbereiden op striktere beveiligingsnormen.

Gefaseerde invoering ABRO en toetsing door NBIV

Verwacht wordt dat de ABRO gefaseerd wordt ingevoerd vanaf Q2 2025, te beginnen bij ministeries, agentschappen en de politie. Andere overheidsinstanties en vitale sectoren volgen mogelijk in latere tranches. De ABRO-voorschriften omvatten beveiligingseisen op vijf hoofdgebieden: 1. Bestuur & Organisatie, 2. Personeel, 3. Fysieke beveiliging, 4. Cybersecurity en 5. Cloudbeveiliging

Het Nationaal Bureau Industrieveiligheid (NBIV), een samenwerking van de AIVD en MIVD, voert de ABRO-onderzoeken uit. Voor iedere relevante overheidsopdracht beoordeelt het NBIV of de leverancier voldoet aan de ABRO-eisen. Organisaties die al beschikken over certificeringen of assurance verklaringen kunnen mogelijk versneld door het ABRO-onderzoek heen komen. Toch blijft de verantwoordelijkheid bij de leverancier om te voldoen aan de volledige ABRO-voorschriften.

Veiligheid als harde eis bij inkoop en aanbestedingen met ABRO

Eén van de belangrijkste veranderingen die ABRO met zich meebrengt, is de aanscherping van beveiligingseisen bij inkoopprocessen. Overheidsinstanties zullen in de toekomst dus niet alleen op kwaliteit en kosten beoordelen, maar ook toetsen of een leverancier voldoet aan strikte beveiligingsnormen.

Leveranciers moeten vooraf gescreend worden op beveiligingsnormen om te bepalen of zij voldoen aan de gestelde eisen. Daarnaast zullen bepaalde opdrachten alleen nog worden gegund aan gecertificeerde partijen die aantoonbaar voldoen aan de ABRO-voorschriften. Dit leidt tot een fundamentele verandering in de manier waarop overheidsinstanties contracten beheren en risico’s afwegen binnen hun inkoopprocessen.

Nsecure volgt de ABRO ontwikkelingen

Bij Nsecure volgen we de ontwikkelingen rondom ABRO. Nsecure is trots te vermelden dat we beschikken over internationaal erkende ISO27001 en ISO27701 certificaten en in het bezit zijn van de SOC2 Type II assurantieverklaring. Dit benadrukt onze toewijding aan een solide en effectieve aanpak als het gaat om security volgens de hoogste maatstaven. Dat zijn we aan onze klanten die opereren binnen overheden en in (vitale) branches verplicht.