Offerte

Algemene Beveiligingseisen voor Rijksopdrachten

ABRO eisen

Wil je werken voor Defensie of een andere rijksorganisatie? Dan krijg je vroeg of laat te maken met beveiligingseisen. In veel gevallen betekent dat: voldoen aan de ABRO (Algemene Beveiligingseisen voor Rijksopdrachten).

ABRO is geen losse IT-maatregel en ook geen standaard certificaat dat je “even” haalt. Het is een beveiligingskader dat impact heeft op je organisatie, je mensen, je IT-omgeving én je leveranciers.

Op deze ABRO-pagina leggen we uit:

  • Wat ABRO precies is

  • Wanneer het geldt

  • Wat het concreet van je vraagt

  • Hoe het zich verhoudt tot ABDO, ISO 27001, BIO2, NIS2 en AS 9100

  • En hoe je dit praktisch en zonder compliance-ballast organiseert

Contact
ABRO 2

Binnen een werkdag contact

Snel een ABRO offerte op maat

ABRO wordt bij rijksopdrachten met verhoogde veiligheidsrisico’s een steeds belangrijkere voorwaarde. Zonder aantoonbare beveiligingsmaatregelen kom je mogelijk niet in aanmerking.

Zorg dat jouw organisatie voorbereid is op rijksbrede beveiligingseisen. Vraag nu een offerte aan en heb binnen 1 werkdag contact met een expert.

  • Loop geen risico
  • Voldoe aan de defensie-eisen
  • Al 1000+ organisaties gingen je voor

Vraag direct een offerte aan

"*" indicates required fields

Cover voor

Inhoud

Inhoudsopgave

Inhoudsopgave
Wat is ABRO?
Wanneer geldt ABRO?
ABRO en NBIV
Welke eisen bevat ABRO in de praktijk?
ABRO en ketenverantwoordelijkheid
ABRO versus ABDO
Hoe verhoudt ABRO zich tot ISO 27001?
ABRO versus BIO?
ABRO versus NIS2
ABRO versus AQAP
ABRO versus AS 9100
Wat betekent ABRO concreet voor jouw organisatie?
Veelgestelde vragen ABRO
ABRO 11

De norm uitgelegd

Wat is ABRO?

ABRO staat voor Algemene Beveiligingseisen voor Rijksopdrachten. Dit kader geldt bij opdrachten waarbij de overheid extra zekerheid nodig heeft dat gevoelige informatie, systemen en processen goed beschermd zijn.

Het gaat hierbij om opdrachten waarbij risico’s voor de nationale veiligheid een rol spelen. Denk aan situaties waarin sabotage, spionage, datalekken of cyberaanvallen grote gevolgen kunnen hebben.

Soms gaat het om informatie die als vertrouwelijk of gevoelig wordt aangemerkt. Dat betekent simpelweg dat deze alleen gedeeld mag worden met mensen die daarvoor toestemming hebben.

Belangrijk: ABRO draait niet alleen om cybersecurity. Het gaat ook om bredere veiligheid, zoals:

  • fysieke beveiliging van gebouwen en ruimtes
  • betrouwbaarheid en bewustwording van personeel
  • veilige omgang met informatie en systemen
  • beveiliging binnen de keten van leveranciers
  • controle over cloud- en IT-diensten

ABRO vraagt dus om aantoonbare grip op veiligheid binnen de hele organisatie.

Toeleverancier aan Defensie?

Wie wil leveren aan Defensie moet aantoonbaar grip hebben op processen, informatie en leveranciers. Dat vraagt om integrale compliance in een markt die versnelt.

Wij kunnen toeleveranciers aan Defensie ondersteunen met voldoen aan compliance eisen.
Meer informatie

De context

Wanneer geldt ABRO?

ABRO wordt contractueel opgelegd door de Rijksoverheid wanneer een opdracht nationale veiligheidsrisico’s bevat.

Dat kan bijvoorbeeld het geval zijn wanneer:

  • je toegang krijgt tot gevoelige overheidsinformatie
  • je werkt binnen een strategische of vitale keten
  • je IT-systemen onderdeel zijn van een rijksproject
  • je betrokken bent bij projecten met vertrouwelijke gegevens

Belangrijk om te weten:
ABRO geldt vaak per opdracht. Het is dus geen algemene verplichting voor iedere leverancier, maar wordt gekoppeld aan specifieke contracten.

Sinds 2026 wordt ABRO stapsgewijs ingevoerd bij nieuwe opdrachten binnen ministeries, agentschappen en politie.

BIO2 overheid

De beoordeling

ABRO en NBIV

Binnen ABRO speelt het NBIV (Nationaal Bureau Industrieveiligheid) een belangrijke rol.

Het NBIV is de instantie die namens de overheid beoordeelt of organisaties voldoende beveiligingsmaatregelen hebben getroffen bij opdrachten met risico’s voor de nationale veiligheid.

Wanneer ABRO van toepassing is, kan het NBIV onderzoek doen naar onder andere:

  • bestuur en verantwoordelijkheden
  • personeelsbetrouwbaarheid
  • fysieke beveiliging van locaties
  • cyber- en informatiebeveiliging
  • leveranciers en uitbesteding

Als een organisatie aantoonbaar voldoet aan de eisen, kan het NBIV een ABRO-verklaring afgeven voor die opdracht.

Belangrijk: een ABRO-verklaring is geen certificaat, maar een opdrachtgebonden beoordeling binnen het ABRO-kader.

ABRO 4
ABRO 7

Welkse eisen bevat ABRO in de praktijk?

ABRO kijkt naar veiligheid in de volle breedte van je organisatie.

Dat begint bij bestuur en organisatie. Verantwoordelijkheden moeten duidelijk zijn vastgelegd en risico’s moeten aantoonbaar worden beoordeeld en beheerst. Beveiliging is daarmee een managementonderwerp, geen puur technisch vraagstuk.

Daarnaast speelt personeel een belangrijke rol. Medewerkers die met gevoelige informatie werken, moeten zich bewust zijn van hun verantwoordelijkheid. In sommige gevallen kunnen aanvullende betrouwbaarheidseisen of screenings gelden.

Ook fysieke beveiliging is van belang. Vertrouwelijke documenten, systemen en ruimtes moeten passend beschermd zijn tegen onbevoegde toegang.

Tot slot stelt ABRO eisen aan informatie- en cyberbeveiliging én aan het gebruik van cloudomgevingen. Organisaties moeten kunnen aantonen dat hun digitale omgeving veilig is ingericht en dat risico’s binnen IT- en cloudketens beheerst worden.

Samengevat heeft ABRO betrekking op:

  • Bestuur en organisatie
  • Personeel en betrouwbaarheid
  • Fysieke beveiliging
  • Informatie- en cyberbeveiliging
  • Cloud en digitale ketens

De hele keten is betrokken

ABRO en ketenverantwoordelijkheid?

Een belangrijk punt binnen rijksopdrachten is ketenverantwoordelijkheid.

De overheid stelt niet alleen eisen aan de hoofdaannemer, maar verwacht dat beveiliging ook in de hele keten op orde is. Dat betekent dat eisen kunnen worden doorgelegd naar:

  • onderaannemers
  • leveranciers
  • IT-dienstverleners
  • cloudproviders

Als jij hoofdaannemer bent, moet je kunnen aantonen dat jouw leveranciers passende maatregelen treffen. Eén zwakke schakel kan gevolgen hebben voor het hele project.

In de praktijk zien we dat dit voor veel organisaties het meest complexe onderdeel is. Het vraagt om professioneel leveranciersmanagement en duidelijke afspraken over beveiliging.

AQAP pagina 6
ABRO 10

De verschillen

ABRO versus ABDO

ABDO (Algemene Beveiligingseisen Defensieopdrachten) is jarenlang het kader geweest voor defensiecontracten.

ABRO is de rijksbrede opvolger voor nieuwe opdrachten waarbij nationale veiligheid een rol speelt.

Het verschil in hoofdlijnen:

  • ABDO geldt voor bestaande defensiecontracten.
  • ABRO wordt toegepast bij nieuwe rijksopdrachten.
  • ABRO heeft een bredere reikwijdte en wordt rijksbreed ingezet.
  • De beoordeling verloopt via het NBIV (Nationaal Bureau Industrieveiligheid).

Voor organisaties betekent dit dat nieuwe opdrachten onder een uniformer en aangescherpt kader kunnen vallen.

ISO 27001

Hoe verhoudt ABRO zich tot ISO 27001?

ISO 27001 is een internationale norm voor informatiebeveiliging. De norm helpt organisaties om risico’s rondom informatie structureel te identificeren, beheersen en continu te verbeteren via een Information Security Management System (ISMS).

Wanneer ISO 27001 goed is ingericht, beschik je over een sterke basis voor een belangrijk deel van de ABRO-eisen. Denk aan risicobeoordeling, toegangsbeheer, logging en incidentmanagement.

Toch betekent een ISO 27001-certificaat niet automatisch dat je voldoet aan ABRO. ABRO bevat aanvullende eisen op het gebied van fysieke beveiliging, personeelsbetrouwbaarheid, cloudgebruik en ketenverantwoordelijkheid.

ISO 27001 vormt dus vaak een fundament, maar ABRO vraagt om een bredere en integrale invulling.

ABRO 9
Cover voor

BIO2

ABRO versus BIO2

De BIO2 is het beveiligingskader dat overheidsorganisaties zelf gebruiken om hun informatie en systemen te beschermen.

Werk je samen met de overheid, dan krijg je vaak indirect met de BIO2 te maken. ABRO sluit inhoudelijk aan bij de BIO2, maar richt zich specifiek op opdrachtnemers.

Waar de BIO2 bedoeld is voor overheidsorganisaties, geldt ABRO voor bedrijven die opdrachten uitvoeren binnen een context van nationale veiligheid.

Door BIO2, ISO 27001 en ABRO goed op elkaar af te stemmen, voorkom je dubbel werk en houd je grip op je beveiligingsaanpak.

NIS2

ABRO versus NIS2

ABRO en NIS2 hebben beide betrekking op veiligheid, maar verschillen in oorsprong en toepassing.

NIS2 is Europese wetgeving die organisaties in vitale en belangrijke sectoren verplicht om hun digitale weerbaarheid structureel op orde te brengen. De nadruk ligt op risicobeheersing, incidentmeldingen en managementverantwoordelijkheid.

ABRO is een beveiligingskader dat specifiek wordt toegepast bij rijksopdrachten met nationale veiligheidsrisico’s.

Waar NIS2 zich vooral richt op digitale veiligheid, kijkt ABRO breder. Het omvat naast IT-beveiliging ook fysieke beveiliging, personeelsbetrouwbaarheid en beveiliging in de keten.

Beide kaders kunnen naast elkaar gelden en vragen om samenhang in je beveiligingsaanpak.

ABRO 8
ABRO 3

AQAP

ABRO versus AQAP

ABRO en AQAP worden vaak in één adem genoemd binnen defensieopdrachten, maar ze richten zich op verschillende onderdelen. AQAP (Allied Quality Assurance Publication) gaat over kwaliteitsborging: het beheersen van processen, documentatie, configuratiebeheer en aantoonbare leverbetrouwbaarheid binnen defensieprojecten.

ABRO richt zich juist op beveiliging. Het kader stelt eisen aan hoe organisaties omgaan met gevoelige informatie, personeel, locaties, IT-systemen en leveranciers wanneer nationale veiligheid een rol speelt.

Kort gezegd: AQAP draait om kwaliteit en procesbeheersing, terwijl ABRO draait om beveiliging en bescherming. Bij veel opdrachten kunnen beide kaders tegelijk van toepassing zijn, waardoor een geïntegreerde aanpak nodig is waarin kwaliteit en veiligheid samen worden geborgd.

AQAP pagina 3

AS 9100

ABRO versus AS 9100

ABRO en AS 9100 worden soms naast elkaar gevraagd binnen defensieopdrachten, maar ze raken verschillende domeinen. AS 9100 richt zich op kwaliteitsmanagement in de lucht- en ruimtevaart, met extra eisen voor productveiligheid, risicobeheersing, configuratiemanagement en ketencontrole binnen ontwerp en productie.

ABRO legt juist de nadruk op beveiligingsmaatregelen rondom gevoelige opdrachten, zoals personeelsbetrouwbaarheid, fysieke beveiliging en veilige samenwerking in de keten.

Kort gezegd: AS 9100 gaat over aantoonbare kwaliteit en leverbetrouwbaarheid, terwijl ABRO draait om beveiliging en bescherming binnen opdrachten met nationale veiligheidsrisico’s.

Implicaties

Wat betekent ABRO concreet voor jouw organisatie?

ABRO raakt meer dan alleen je IT-afdeling. Het heeft impact op:

  • je directie en governance
  • HR en personeelsbeleid
  • IT en security
  • fysieke beveiliging
  • leveranciersmanagement
  • dagelijkse werkprocessen

Voor directie betekent het investeren in structurele borging.
Voor sales betekent het alleen kunnen inschrijven wanneer je aantoonbaar voldoet.
Voor QHSE betekent het het inrichten van een samenhangend systeem dat toetsing kan doorstaan.

De grootste valkuil is versnippering. Losse trajecten voor IT, losse maatregelen voor screening en losse procedures voor leveranciers leiden vaak tot onnodige complexiteit.

Een integrale aanpak voorkomt compliance-ballast.

ABRO 5

Veelgestelde vragen ABRO

Kom in contact met de partner in certificeren!

Meer informatie over het ABRO-kader?

Starten met ABRO of je voorbereiden op toekomstige rijksopdrachten? CertificeringsAdvies Nederland helpt je met een praktische en samenhangende aanpak. Informeer gerust naar de mogelijkheden of vraag vrijblijvend een offerte aan!

Contact
Offerte aanvragen