ABRO in de praktijk: wat betekent dit voor leveranciers aan de Rijksoverheid?

Wil je leveren aan de Nederlandse Rijksoverheid (inclusief Politie en Defensie)? Dan kan ABRO (Algemene Beveiligingseisen voor Rijksopdrachten) relevant worden. Niet voor elke opdracht, maar wel zodra jouw organisatie in een Bijzondere Opdracht te maken krijgt met een Te Beschermen Belang (TBB) en er nationale veiligheidsrisico’s spelen.

Op dat moment kom je in een apart beveiligingstraject terecht rondom die specifieke opdracht. De opdrachtgever legt contractueel eisen op en NBIV (Nationaal Bureau Industrieveiligheid) toetst of je eraan voldoet. Zonder de vereiste ABRO-Verklaring mag je niet aan de opdracht beginnen. Wat betekent dat concreet?

ABRO is niet alleen een zaak van IT. Bestuur en organisatie, personeel, fysieke beveiliging, cyber en eventueel Cloud spelen allemaal een rol. Bovendien moet je als opdrachtnemer een Beveiligingsfunctionaris aandragen bij NBIV. Afhankelijk van de aard en omvang van de opdracht kan ook een Cyber-Beveiligingsfunctionaris nodig zijn.

Zorg daarom dat je vanaf het begin de juiste mensen aan tafel hebt:

In de praktijk heb je bij ABRO te maken met twee belangrijke partijen: je opdrachtgever en NBIV.

De opdrachtgever blijft verantwoordelijk voor het Te Beschermen Belang en de bijbehorende risico’s. Ook is dit de enige partij die formeel bepaalde goedkeuringen en restrisico’s kan accepteren.

Tegelijkertijd loopt communicatie richting de opdrachtgever binnen het ABRO-proces formeel via NBIV. NBIV is het aanspreekpunt voor de ABRO-Verklaring, geeft advies en kan controles uitvoeren.

Hoe eerder je duidelijkheid hebt, hoe beter. Vraag daarom zo vroeg mogelijk, voor zover de gevoeligheid van de opdracht dat toelaat, om inzicht in:

Op basis van ABRO moet je als leverancier onder andere een beveiligingsplan opstellen, periodiek zelfinspecties uitvoeren en je beveiligingsorganisatie aantoonbaar inrichten.

Zonder duidelijke input van de opdrachtgever loop je het risico dat je te veel doet of juist cruciale maatregelen mist.

Krijg je die duidelijkheid onvoldoende (niet vreemd, gezien het werkveld) of wil je je alvast voorbereiden? Werk dan vanuit een realistische inschatting van het type opdrachten dat je wilt uitvoeren.

Ben je al sterk in (informatie)beveiliging, bijvoorbeeld omdat je ISO 27001 gecertificeerd bent? Dan zit de winst niet in nóg een managementsysteem, maar in het scherp krijgen van de juiste scope.

Welke mensen, locaties, systemen, cloudcomponenten, leveranciers en processen raken écht aan deze opdracht?

Dit is ook het moment om praktisch te denken. Kun je het project zo inrichten dat gevoelige informatie bijvoorbeeld op één versleutelde datadrager blijft die je in een kluis opslaat? Dan voorkom je dat je een compleet IT-landschap moet beveiligen.

ABRO gaat niet alleen over documenten en beleid. Het draait juist om hoe je de opdracht daadwerkelijk inricht en uitvoert. Dat maakt ABRO-opdrachten vaak concreter en operationeler dan je misschien verwacht. Denk aan specifieke eisen rondom processen, werkwijzen en zelfs het gebruik van goedgekeurde technologie.

Een goed ingericht ISO 27001-managementsysteem helpt absoluut. Ook binnen ABRO wordt erkend dat certificeringen en assurance-verklaringen het proces efficiënter kunnen maken.

Maar let op: NBIV beoordeelt uiteindelijk of de maatregelen voor jouw specifieke opdracht toereikend zijn. Een certificaat is dus geen automatisch toegangsticket.

In de praktijk kan ABRO, in de volledige variant, qua impact aanzienlijk zwaarder zijn dan ISO 27001.

Bij ABRO stopt je verantwoordelijkheid niet bij je eigen organisatie.

Werk je met onderaannemers of toeleveranciers die een rol spelen binnen de Bijzondere Opdracht? Dan moet je de eisen contractueel doorleggen. Jij blijft als opdrachtnemer verantwoordelijk voor de naleving binnen de hele keten.

Wil je weten wat ABRO precies inhoudt en hoe je jouw organisatie hierop voorbereidt? Neem dan gerust contact met ons op. Wij helpen je graag op weg. Ook als je wilt werken voor Defensie ben je bij ons aan het juiste adres. Wij zijn thuis in de eisen die worden gesteld aan leveranciers van Defensie en kunnen jouw organisatie daarbij helpen.