Wat betekent TBB-4 binnen ABRO? En hoe voldoe je eraan? En hoe ga je om met strengere TBB-3, TBB-2, TBB-1?

Het is verleidelijk om ABRO te zien als een lijst met beveiligingseisen waar je simpelweg aan moet voldoen. Maar zo werkt het in de praktijk niet. ABRO 2026 is niet alleen geen checklist. Het is een manier van sturen. Het dwingt je om vooraf scherp te krijgen wat er binnen jouw opdracht écht beschermd moet worden en hoe je dat aantoonbaar beheerst.

Werk je voor Defensie of de rijksoverheid? Dan komt dat vaak samen in één concreet uitgangspunt: TBB-4. Niet omdat elke opdracht exact dit niveau heeft, maar omdat het een logisch en realistisch startpunt is om je organisatie op in te richten.

Binnen ABRO draait alles om de Te Beschermen Belangen (TBB). Dit zijn alle onderdelen van een opdracht die je moet beveiligen: informatie, systemen, mensen, locaties en processen.

Het TBB-niveau bepaalt hoe zwaar de maatregelen zijn. Hoe hoger het niveau, hoe strakker de eisen en hoe minder ruimte er is voor pragmatische keuzes. TBB-4 zit precies in het midden, is het laagste niveau, maar zeker al zwaar genoeg om serieuze maatregelen te vragen op organisatorisch, personeels-, fysiek en digitaal vlak. Maar ook praktisch genoeg om werkbaar te blijven. Juist daarom is dit voor veel organisaties een logisch vertrekpunt.

Veel organisaties denken dat ABRO vooral draait om techniek of IT-beveiliging. In werkelijkheid zit de uitdaging ergens anders. ABRO vraagt om een werkend geheel, geen losse maatregelen.

Je begint bij de basis:

Van daaruit breidt het zich uit naar de hele keten. Je personeel moet niet alleen gescreend zijn, maar ook weten wat er van hen verwacht wordt. Onderaannemers beoordeel je vooraf en leg je contractueel vast. En processen rondom wijzigingen, incidenten, onderhoud en transport moeten niet alleen bestaan, maar ook gevolgd worden.

Bij TBB-4, zeker de eerste keer dat je er mee te maken krijgt, zit de grootste uitdaging zelden in de zwaarste technische maatregel. Het zit in de samenhang. Niet of je iets geregeld hebt, maar of je kunt laten zien dat het werkt, precies zoals je het hebt vastgelegd in je Beveiligingsplan.

De focus van ABRO ligt niet enkel bij de eigen (interne) organisatie. Je bent afhankelijk van meerdere partijen.

Denk aan:

In de praktijk zit de complexiteit vaak niet binnen je eigen organisatie, maar in de keten eromheen. Hoe meer schakels, hoe meer afstemming en afhankelijkheid.

Organisaties lopen zelden vast op één eis. Ze lopen vast op het totaal. Je ziet vaak dezelfde spanningen:

Bij TBB-4 zien we terugkerende knelpunten:

Het gevolg: organisaties lopen al vast voordat ze echt begonnen zijn.

Het verschil zit niet in harder werken, maar in slimmer inrichten. ABRO biedt namelijk ruimte voor praktische keuzes en afstemming vooraf en juist daar ligt je kans! Ook je opdrachtgever is gebaat bij eenvoudige werkwijzen met een klein dreigingsoppervlak.

Voorkom dat Te Beschermen Belangen in je eigen omgeving terechtkomen. Werk je direct in de omgeving van de opdrachtgever, zonder lokale opslag of kopieën? Dan vervalt een groot deel van de maatregelen aan jouw kant. Dat vraagt discipline, maar scheelt direct in complexiteit.

Laat medewerkers werken op locatie of in gecontroleerde omgevingen van de opdrachtgever, in plaats van alles zelf te beheren. Je verkleint daarmee de scope. Simpel gezegd: je hoeft minder te beveiligen, omdat je minder “bezit”.

Elke extra leverancier, cloudpartij of supportorganisatie vergroot de ABRO-last. Niet alleen qua risico, maar vooral qua beheersing en aantoonbaarheid. Minder schakels betekent:

Dat maakt je traject overzichtelijker en beter beheersbaar.

ABRO vraagt aantoonbaarheid. Niet achteraf, maar continu. Organisaties die succesvol zijn, richten hun processen zo in dat bewijs automatisch ontstaat:

Ga je als ‘controle aan het einde van het proces’ of erger nog, pas bij een audit organiseren? Dan ben je te laat.

Cloud kan binnen TBB-4, maar brengt extra eisen met zich mee. Denk aan governance, sleutelbeheer, datalocatie en juridische controle.

Vaak is het dus slimmer om niet vanuit cloud te starten, maar eerst te kijken of een eenvoudiger model beter past. Zoals dus bijvoorbeeld werken in de omgeving van de opdrachtgever.

Veel organisaties beginnen met: “Waar moeten we aan voldoen?” Organisaties die echt grip krijgen, stellen een andere vraag: Hoe richten we onze opdracht zo in dat alleen de noodzakelijke eisen op ons van toepassing zijn en dat we die aantoonbaar goed beheersen?

Zoals besproken is dit het startniveau. Je moet een beveiligingsplan, risicoanalyse en beveiligingsfunctionaris hebben, medewerkers vooraf trainen, incidenten direct melden en kunnen laten zien wie aan de opdracht werkt. Fysiek betekent dit bijvoorbeeld dat gevoelige spullen in een compartiment liggen, dat er detectie en tijdige interventie is, en dat verzenden alleen aangetekend en traceerbaar mag.

Digitaal mag nog best veel, maar alleen onder strikte voorwaarden:

Ook cloud is op TBB4 nog niet uitgesloten, maar dan moet data in Nederland of de EER blijven, beheer in de EER plaatsvinden, de cloudleverancier een zware assuranceverklaring hebben, de architectuur aan NBIV zijn verstrekt en het sleutelbeheer niet simpelweg bij de cloudprovider liggen.

TBB3 voelt in de praktijk als de stap van “goed beveiligd” naar “strikt afgeschermd”. Medewerkers hebben hier niet alleen een VOG maar een VGB nodig. Bezoekers aan een compartiment moeten vijf werkdagen vooraf bij NBIV worden aangemeld, en de fysieke omgeving wordt merkbaar zwaarder ingericht: compartimenten krijgen gecertificeerde toegangsbeveiliging, nooddeuren zijn verzegeld en gealarmeerd, sleutels en toegangsmiddelen worden centraal beheerd, en camera- en alarmvoorzieningen moeten aan specifieke normen voldoen. In de werkruimte zelf zijn geen camera’s, smart devices of microfoons toegestaan als die niet strikt nodig zijn.

Digitaal zie je dezelfde verzwaring terug:

Een belangrijk praktisch verschil is ook dat public cloud hier in beginsel verboden is: TBB3 heeft dus minder cloudeisen dan TBB4, maar dat komt omdat die oplossingsrichting grotendeels dichtgaat.

TBB2 bouwt voort op TBB3, maar verhoogt de beveiliging op de punten waar je extra zekerheid wilt dat misbruik, sabotage of weglekken snel wordt gezien en moeilijker wordt gemaakt. Voorbeelden:

TBB1 is het zwaarste regime en laat in de praktijk bijna geen informele of generieke oplossing meer over. Alles wat op TBB2 al streng was, wordt hier nog directer onder voorafgaande afstemming en goedkeuring gebracht.

Samengevat: TBB1 betekent dat je gevoelige informatie, systemen, locaties en mensen zo strak moet scheiden en controleren dat werken via standaardnetwerken, standaardbeheer en standaardlogistiek eigenlijk niet meer past. Dit niveau vraagt dus om een zeer gesloten, lokaal ingerichte en vooraf goedgekeurde werkwijze, met zo min mogelijk uitzonderingen.

Start je met ABRO en TBB-4? Dan doe je meer dan een checklist doorlopen. Je ontwerpt een manier van werken. De keuzes die je aan de voorkant maakt, bepalen hoe complex, of juist beheersbaar, je traject wordt.

Wil je werken voor Defensie en je organisatie goed voorbereiden op een ABRO-traject? Of sparren hoe je slim voldoet aan TBB-4 zonder onnodige complexiteit? Neem contact met ons op. We denken, als partner in certificeren, graag met je mee!