Ondernemers die samenwerken met Defensie of andere overheidsdiensten krijgen te maken met steeds strengere beveiligingseisen. ABDO bepaalde jarenlang de richtlijnen voor defensiegerelateerde opdrachten, maar sinds 2024 is ABRO de nieuwe standaard voor elke ondernemer die werkt aan overheidsprojecten met gevoelige informatie. Deze overgang heeft vergaande gevolgen voor je bedrijfsvoering, IT-infrastructuur en personeelsbeleid. Wat betekent deze verandering concreet en welke impact heeft dit op je organisatie?
ABDO, de Algemene Beveiligingseisen Defensieopdrachten, vormde sinds 2013 de leidraad voor het veilig omgaan met vertrouwelijke militaire informatie. Nu heeft ABRO, de Algemene Beveiligingseisen Rijks Overheid, per 1 januari 2024 ABDO officieel vervangen voor alle nieuwe contracten. Bestaande ABDO-contracten blijven geldig tot afloop, maar verlengingen vallen onder ABRO. Deze verandering komt niet uit de lucht vallen: digitale dreigingen evolueren razendsnel, cyberaanvallen op overheidssystemen nemen toe en ABRO moet zorgen voor bredere toepasbaarheid buiten het defensiedomein. In dit artikel lees je waar ABDO voor stond, hoe ABRO de rol overneemt en waarom ISO 27001 hierin een cruciale basis vormt.
ABDO voor veilige omgang met Defensiegegevens
ABDO is sinds 2013 speciaal ontwikkeld om Defensieopdrachten te beschermen tegen ongeautoriseerde toegang, spionage en datalekken. Wanneer je als bedrijf een contract aangaat waarbij Defensiegegevens met classificatie ‘Departementaal Vertrouwelijk’ of hoger gedeeld worden — of wanneer je in de keten werkt met andere partijen die deze gegevens verwerken — moet je voldoen aan de ABDO-eisen. Het framework kent drie niveaus (ABDO1, ABDO2, ABDO3) die corresponderen met het classificatieniveau van de informatie.
Deze eisen richten zich op meerdere beveiligingslagen. Ten eerste de technische aspecten: netwerkbeveiliging met firewalls en intrusion detection systems, verplichte encryptie van data in rust en tijdens transport (minimaal AES-256), strikte toegangscontroles met multi-factor authenticatie, en regelmatige penetratietesten. Ten tweede de fysieke beveiliging: beveiligde ruimtes met toegangscontrole, camera’s en alarmering, gescheiden netwerken voor geclassificeerde informatie, en protocollen voor vernietiging van documenten. Ten derde het personeelsbeleid: veiligheidsonderzoeken (VGB of VGB-B) voor medewerkers die met staatsgeheime informatie werken, geheimhoudingsverklaringen en awareness-trainingen.
Voor veel organisaties is dit een flinke stap. Gemiddeld investeren bedrijven tussen de €50.000 en €250.000 om volledig ABDO-compliant te worden, afhankelijk van hun omvang en de huidige staat van beveiliging. Je moet allereerst goed in kaart brengen welke informatie of diensten onder de Defensiecategorie vallen. Soms ontdek je dat slechts een onderdeel van je bedrijfsprocessen ABDO-plichtig is, maar dat heeft nog steeds vergaande gevolgen voor hoe je dit deel inricht. Vaak is fysieke scheiding nodig: een apart netwerksegment, aparte werkplekken of zelfs een aparte locatie voor ABDO-werkzaamheden.
Een bekend struikelblok is de personeelskant. Het veiligheidsonderzoek (VGB) voor medewerkers duurt gemiddeld 8 tot 12 weken en kost circa €1.000 per persoon. Niet elke medewerker krijgt een VGB: de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) toetst op integriteit, betrouwbaarheid en mogelijke kwetsbaarheden. Dit kan leiden tot weigeringen, wat voor personeelsplanningsproblemen zorgt. Daarnaast moet je een strikt protocol hebben voor bezoekersregistratie, toegangspasjes en het escorteren van niet-gescreend personeel in beveiligde zones.
ABRO is voor alle veiligheidskritieke overheidsprojecten
ABRO, wat staat voor Algemene Beveiligingseisen Rijks Overheid, gaat sinds 1 januari 2024 hetzelfde concept breder toepassen over alle rijksoverheidsorganisaties. Dit betekent dat niet alleen Defensiegevoelige opdrachten onder streng toezicht vallen, maar ook projecten voor ministeries zoals Justitie en Veiligheid, Binnenlandse Zaken, de AIVD, MIVD en andere diensten die werken met geclassificeerde of staatsgeheime informatie. Het gaat bijvoorbeeld om IT-projecten voor politiesystemen, ontwikkeling van software voor de Belastingdienst of werkzaamheden aan kritieke infrastructuur zoals energienetwerken en telecommunicatie.
De komst van ABRO maakt de vraag urgent hoe je jouw beveiligingsbeleid toekomstbestendig maakt. Heb je bijvoorbeeld net alles afgestemd op ABDO, dan hoef je gelukkig vaak geen volledige herziening door te voeren: ABRO is grotendeels gebaseerd op ABDO maar met aanvullingen. De kerneisen — het beschermen van gevoelige data, het beheersen van risico’s en het opleiden van personeel — blijven grotendeels gelijk. ABRO introduceert echter strengere eisen op bepaalde punten.
Belangrijke uitbreidingen in ABRO zijn onder meer de verplichte toepassing van de Baseline Informatiebeveiliging Rijksoverheid (BIR), aanvullende eisen voor clouddiensten (alleen overheids-geaccrediteerde cloudproviders mogen gebruikt worden voor geclassificeerde data), striktere logging en monitoring van systeemactiviteiten, en verplichting tot deelname aan het Nationaal Detection Netwerk voor vroegtijdige detectie van cyberaanvallen. Voor bedrijven betekent dit aanvullende investeringen in monitoring-tools (gemiddeld €10.000 tot €50.000 per jaar) en mogelijk migratie van bestaande cloudoplossingen naar erkende partijen.
De rol van ISO 27001
Een grote gemene deler in zowel ABDO als ABRO is ISO/IEC 27001:2022, de wereldwijd erkende norm voor informatiebeveiliging. Deze norm helpt organisaties een systematische aanpak te ontwikkelen rond data- en informatiestromen via een Information Security Management System (ISMS). Als je bedrijf al ISO 27001-gecertificeerd is, dan zijn veel van de technische en organisatorische maatregelen die ABDO of ABRO vereisen waarschijnlijk al goeddeels ingevuld. Je hebt bijvoorbeeld een risicoanalyse volgens de ISMS-methodiek, een incidentresponsplan met gedocumenteerde procedures, geformuleerde beleidsregels over toegang tot systemen en een cyclus van plan-do-check-act voor continue verbetering.
ISO 27001-certificering kost gemiddeld tussen €15.000 en €40.000 voor MKB-bedrijven (afhankelijk van omvang en complexiteit), plus jaarlijkse hercertificeringsaudits van circa €5.000 tot €10.000. De voorbereidingstijd is 6 tot 12 maanden, waarin je het ISMS opzet, documenteert en implementeert. Voor bedrijven zonder bestaand ISMS is dit een substantiële investering, maar het levert wel toegang op tot een breed scala aan overheids- en zakelijke opdrachten waar informatiebeveiliging een eis is.
Toch is het niet zo dat ISO 27001 één-op-één garandeert dat je aan ABDO of ABRO voldoet. Deze frameworks gaan vaak nog dieper in op specifieke eisen. In het geval van Defensie kun je bijvoorbeeld te maken krijgen met aparte protocollen voor opslag of transport van geclassificeerde documenten volgens de Wet veiligheidsonderzoeken (Wvo). Denk aan verplichting tot fysieke kluizen (minimaal VdS klasse 3 of gelijkwaardig) voor opslag van papieren documenten, escorteverplichtingen bij transport, en vernietingsprotocollen volgens DIN 66399 beveiligingsniveau P-5 of hoger.
ABRO gaat daarnaast verder op het gebied van cloudbeveiliging. Terwijl ISO 27001 algemene eisen stelt aan clouddiensten, vereist ABRO dat je alleen gebruikmaakt van door het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) geaccrediteerde cloudproviders. Dit beperkt de keuze aanzienlijk: slechts een handvol partijen hebben deze accreditatie, waaronder enkele grote internationale spelers en een paar Nederlandse partijen. Dit kan betekenen dat je bestaande cloudinfrastructuur moet migreren, met bijbehorende kosten en risico’s.
Wanneer moet je ABDO of ABRO-compliant zijn?
Zodra je een opdracht krijgt of al uitvoert voor Defensie of een andere rijksoverheidsorganisatie waarin geclassificeerde gegevens een rol spelen, is compliance feitelijk verplicht. Dit staat typisch in de contractvoorwaarden, de Aanvullende Voorwaarden Defensie Opdrachten (AVDO) bij ABDO, of de rijksbrede inkoopvoorwaarden bij ABRO. Ook als je maar een klein onderdeel van de totale opdracht uitvoert, denk bijvoorbeeld aan ICT-dienstverlening, logistieke oplossingen, onderhoud van installaties op militaire terreinen of het ontwikkelen van software, kun je aan deze eisen moeten voldoen.
De classificatieniveaus bepalen welke maatregelen je moet treffen. Bij staatsgeheim (GEHEIM of hoger) zijn de eisen het strengst: VGB-B screening voor al het personeel, fysiek gescheiden netwerken (air-gapped), continue monitoring en strikte toegangscontroles. Bij Departementaal Vertrouwelijk volstaat vaak VGB-screening, logische netwerkscheiding en encryptie. Voor veel opdrachten wordt al in de aanbestedingsfase duidelijk welk classificatieniveau van toepassing is en welke beveiligingsmaatregelen je moet kunnen aantonen.
Belangrijke aandachtspunten hierbij zijn:
Contractuele clausules: In de aanbestedingsdocumenten staat specifiek vermeld of ABDO/ABRO-compliance vereist is. Soms moet je al bij de offerte aantonen dat je compliant bent of binnen een bepaalde termijn (vaak 3 tot 6 maanden) compliant kunt worden. Zonder deze toezegging word je uitgesloten van deelname.
Samenwerking met ketenpartners: Werkt jouw organisatie samen met derden of onderaannemers? Dan ben je als hoofdaannemer verantwoordelijk voor de beveiliging in de gehele keten. Je moet contractueel vastleggen dat ook zij voldoen aan ABDO/ABRO, en dit regelmatig auditen. De opdrachtgever kan eisen dat je aantoont hoe je dit borgt, bijvoorbeeld via leveranciersaudits of certificeringen.
Continuïteit en audits: ABDO en ABRO zijn niet iets dat je eenmalig ‘afvinkt’. Het vraagt om doorlopende aandacht, monitoring en audits om de veiligheid te borgen. De opdrachtgever kan onverwachte audits uitvoeren, en je moet periodiek (vaak jaarlijks) rapporteren over incidenten, bijna-incidenten en genomen maatregelen. Ook tijdens de contractperiode kunnen eisen worden aangescherpt als de dreigingsanalyse daartoe aanleiding geeft.
Wat verandert er concreet bij ABRO?
ABRO is sinds 1 januari 2024 de geldende norm voor alle nieuwe contracten met rijksoverheidsorganisaties waarbij geclassificeerde of staatsgeheime informatie een rol speelt. Voor jou als ondernemer betekent dit dat je nauwkeurig moet volgen welke aanvullende eisen gelden. De belangrijkste verschillen met ABDO zijn:
Striktere meldplicht voor incidenten: Onder ABRO moet je beveiligingsincidenten binnen 24 uur melden bij de opdrachtgever en bij het Nationaal Cyber Security Centrum (NCSC) via het Digital Trust Center. Dit geldt niet alleen voor daadwerkelijke inbreuken, maar ook voor pogingen tot inbraak of aanvallen. Bij ABDO was de meldplicht minder stringent geformuleerd. Niet tijdig melden kan leiden tot contractuele boetes of zelfs beëindiging van het contract.
Uitbreiding van scope naar alle ministeries: Waar ABDO puur op Defensie was gericht, geldt ABRO voor alle 12 ministeries plus uitvoeringsorganisaties zoals de AIVD, MIVD, politie en Belastingdienst. Dit betekent een veel grotere potentiële markt voor bedrijven die compliant zijn, maar ook dat meer sectoren geconfronteerd worden met deze eisen. Bedrijven die voorheen alleen commerciële opdrachten deden, kunnen nu bij overheidsaanbestedingen tegen ABRO-eisen aanlopen.
Aanscherping van personele screenings: ABRO hanteert striktere eisen voor het Veiligheidsonderzoek Bedrijven (VGB). Medewerkers die toegang hebben tot geclassificeerde systemen moeten niet alleen een VGB hebben, maar dit moet ook actueel zijn (niet ouder dan 5 jaar voor VGB, niet ouder dan 10 jaar voor VGB-B). Daarnaast zijn de integriteitseisen aangescherpt: financial background checks worden standaard uitgevoerd om kwetsbaarheid voor omkoping of afpersing uit te sluiten.
Verplichting tot gebruik van erkende clouddiensten: ABRO staat alleen cloudopslag toe bij providers die een overheidsaccreditatie hebben van het CIP. Dit beperkt de keuze tot ongeveer 5 tot 8 partijen in Nederland en enkele internationale providers met specifieke overheidsaccreditatie. Migratie van bestaande cloudinfrastructuur kan kosten met zich meebrengen van €25.000 tot €100.000 of meer, afhankelijk van de hoeveelheid data en applicaties.
Strengere logging en monitoring: ABRO vereist minimaal 12 maanden retention van logs (bij ABDO was dit vaak 6 maanden), real-time monitoring van verdachte activiteiten en verplichting tot deelname aan het Nationaal Detection Netwerk. Dit netwerk deelt dreigingsinformatie tussen overheidsorganisaties en hun leveranciers, wat betekent dat je systemen continu gemonitord worden op bekende aanvalsmethoden. De kosten voor deze uitgebreide logging en monitoring liggen tussen €5.000 en €30.000 per jaar, afhankelijk van je infrastructuur.
Voor bedrijven die al volgens ABDO werkten, is de overgang beheersbaar maar niet kostenloos. Gemiddeld moeten bestaande ABDO-bedrijven €15.000 tot €50.000 investeren om volledig ABRO-compliant te worden. Dit omvat updates aan monitoring-tools, aanvullende screenings, aanpassingen aan incident response procedures en mogelijk cloudmigratie.
Praktische stappen voor ondernemers
Het is verstandig om je niet pas te verdiepen in ABDO of ABRO zodra je een contract binnenhaalt. Een goede voorbereiding zorgt ervoor dat je snel kunt reageren op nieuwe kansen en geen opdrachten misloopt omdat je beveiliging niet op orde is. Gemiddeld duurt het 6 tot 12 maanden om volledig compliant te worden als je vanaf nul begint.
Inventariseer de risico’s en maak een gap-analyse
Maak een systematische inventarisatie van alle bedrijfsprocessen die in aanraking komen met vertrouwelijke gegevens. Denk aan netwerktoegang, klantportalen, fysieke documenten, e-mailverkeer en samenwerking met derden. Vergelijk je huidige situatie met de ABRO-eisen en identificeer waar de grootste hiaten zitten. Een professionele gap-analyse door een beveiligingsadviseur kost circa €5.000 tot €15.000 maar bespaart je later veel tijd en geld doordat je prioriteiten helder hebt.
Koppel aan ISO 27001 of start met ISMS-implementatie
Heb je al een ISMS opgezet volgens ISO 27001? Dan kun je ABRO-eisen vaak integreren in dat bestaande raamwerk door aanvullende controls toe te voegen. Heb je nog geen ISMS, dan is dit het moment om te starten. ISO 27001 vormt een solide basis waarop je ABRO-specifieke maatregelen kunt bouwen. Overweeg om een gecertificeerde adviseur in te schakelen die ervaring heeft met zowel ISO 27001 als overheidsstandaarden.
Start tijdig met VGB-aanvragen voor personeel
Wacht niet tot je een contract hebt om VGB-aanvragen in te dienen. De doorlooptijd is gemiddeld 8 tot 12 weken, maar kan oplopen tot 6 maanden bij complexe onderzoeken. Vraag eerst schriftelijke toestemming van je medewerkers (AVG-verplicht) en dien dan de aanvraag in bij de Dienst Justis. Houd rekening met kosten van circa €1.000 per persoon. Niet iedereen krijgt een VGB: bij afwijzing moet je een alternatieve medewerker hebben, wat je personeelsplanning beïnvloedt.
Spreek verwachtingen af met ketenpartners en leg dit contractueel vast
Soms ligt een deel van de verantwoordelijkheid bij onderaannemers of hostingpartijen. Leg contractueel vast dat ook zij aan de vereiste normen voldoen. Neem clausules op over meldplicht bij incidenten, auditrechten en beëindigingsclausules bij niet-naleving. Stel procedures in voor het verstrekken van toegang, het delen van geclassificeerde documenten (bijvoorbeeld via beveiligde portalen of encrypted email) en het direct melden van incidenten via een 24/7 bereikbaar contactpunt.
Train en informeer je personeel structureel
Organiseer minimaal jaarlijks awareness-sessies waarin je uitlegt wat ABRO inhoudt en wat dit betekent voor het dagelijkse werk. Benadruk dat informatiebeveiliging geen papieren exercitie is, maar in het dagelijkse werk toegepast moet worden: van clean-deskbeleid (geen vertrouwelijke documenten onbeheerd achterlaten) tot het correct gebruik van versleutelde e-mail en het herkennen van phishing-pogingen. Documenteer deze trainingen: bij audits moet je kunnen aantonen dat personeel getraind is.
Investeer in technische maatregelen en monitoring
ABRO vereist concrete technische maatregelen zoals multi-factor authenticatie (MFA) voor toegang tot geclassificeerde systemen, full-disk encryption op alle laptops en mobiele apparaten, network segmentation tussen geclassificeerde en niet-geclassificeerde netwerken, en Security Information and Event Management (SIEM) systemen voor real-time monitoring. Budget minimaal €30.000 tot €100.000 voor deze investeringen, afhankelijk van je omvang.
Monitor updates vanuit Defensie, het CIP en het NCSC
Houd websites zoals ncsc.nl, cip-overheid.nl en defensie.nl in de gaten voor updates over ABRO-eisen. Schrijf je in voor nieuwsbrieven en overweeg lidmaatschap van brancheverenigingen die specifiek over overheidsopdrachten communiceren. De eisen kunnen aangescherpt worden op basis van nieuwe dreigingsanalyses of internationale ontwikkelingen. Bedrijven die hier niet alert op zijn, kunnen achter de feiten aanlopen.
Certificering en toetsing
In tegenstelling tot ISO 27001 bestaat er geen formele ABRO-certificering die je kunt halen via een onafhankelijke certificerende instelling. ABRO-compliance wordt per contract getoetst door de opdrachtgever of door het CIP via een security audit. Deze audit beoordeelt of je maatregelen voldoen aan de gestelde eisen voor het specifieke classificatieniveau van de opdracht.
Een security audit duurt gemiddeld 2 tot 5 dagen, afhankelijk van de complexiteit van je organisatie. De auditor beoordeelt documentatie (beleid, procedures, risicoanalyses), voert interviews met personeel, inspecteert fysieke beveiligingsmaatregelen en test technische controls. De kosten voor een audit worden meestal gedragen door de opdrachtgever, maar jij moet wel de tijd en middelen investeren om de audit te faciliteren en eventuele bevindingen op te lossen.
Bij geconstateerde tekortkomingen krijg je een herstelperiode (vaak 30 tot 90 dagen) om maatregelen te nemen. Blijven tekortkomingen bestaan, dan kan dit leiden tot uitsluiting van de opdracht of zelfs tot beëindiging van lopende contracten. Het is daarom essentieel om vooraf grondig te zijn en niet te vertrouwen op ‘voldoende’ beveiliging zonder professionele toetsing.
Kosten en investeringen: een realistisch beeld
Voor bedrijven die vanaf nul beginnen met ABRO-compliance zijn de investeringen aanzienlijk. Een realistische kostenbegroting omvat:
Totale initiële investering: €90.000 tot €300.000, afhankelijk van omvang en huidige staat van beveiliging. Jaarlijkse terugkerende kosten: €15.000 tot €50.000 voor audits, monitoring, training en hercertificering.
Deze investeringen lijken hoog, maar overheidscontracten zijn vaak lucratief en langlopend. Een gemiddeld defensiecontract heeft een waarde van €500.000 tot €5 miljoen en loopt over meerdere jaren. De investering in compliance verdient zich daarmee vaak binnen één tot twee grote opdrachten terug. Daarnaast positioneer je je organisatie als betrouwbare partij voor toekomstige overheidsopdrachten, wat de concurrentiepositie versterkt.
Sectoren die geraakt worden door ABRO
ABRO heeft impact op vrijwel alle sectoren die met de overheid samenwerken. De belangrijkste betreffen:
IT en softwareontwikkeling: Bedrijven die applicaties, databases of infrastructuur bouwen voor overheidsorganisaties. Denk aan ontwikkelaars van politiesystemen, belastingsoftware of militaire communicatieplatforms.
Bouw en installatietechniek: Aannemers die werken op defensieterreinen, AIVD-gebouwen of andere gevoelige locaties. Ze krijgen toegang tot plattegronden, beveiligingssystemen en infrastructuur die geheim moeten blijven.
Consultancy en advies: Adviesbureaus die strategisch advies geven aan ministeries of defensie over gevoelige onderwerpen zoals dreigingsanalyses, reorganisaties of veiligheidsbeleid.
Logistiek en transport: Bedrijven die geclassificeerd materieel vervoeren of opslaan, bijvoorbeeld munitie, wapensystemen of cryptografische apparatuur.
Facilitaire dienstverlening: Schoonmaakbedrijven, beveiligingsdiensten en cateraars die actief zijn op locaties waar staatsgeheime informatie aanwezig is. Ook zij moeten aan bepaalde ABRO-eisen voldoen, zoals screening van personeel.
Voor elk van deze sectoren gelden specifieke aanvullende maatregelen bovenop de algemene ABRO-eisen, afhankelijk van de aard van de werkzaamheden en het classificatieniveau.
Anticiperen, niet alleen reageren
ABDO heeft zich tussen 2013 en 2024 bewezen als een belangrijke pijler voor Defensiebeveiliging, maar de dreigingen en ontwikkelingen in de wereld staan niet stil. Cyberaanvallen worden steeds geavanceerder, statelijke actoren zoals Rusland en China investeren miljarden in digitale spionage, en kritieke infrastructuur staat onder toenemende druk. Daarom is ABRO sinds januari 2024 de nieuwe standaard: een logische evolutie van deze beveiligingsrichtlijnen, met een ruimer toepassingsgebied en striktere eisen.
Voor bedrijven die regelmatig met Defensie of andere overheidsdiensten samenwerken, is het essentieel om proactief te investeren in compliance. Door tijdig te investeren in een solide securitybeleid—bij voorkeur gebaseerd op ISO 27001—vergroot je de kans op succesvolle aanbestedingen en voldoe je aan de nieuwe eisen vanaf dag één. Dit geeft je een concurrentievoordeel: veel bedrijven lopen achter en kunnen niet snel reageren op aanbestedingen waarbij ABRO-compliance vereist is.
Daarmee zet je niet alleen in op het veiligstellen van vertrouwelijke militaire en overheidsinformatie, maar ook op het opbouwen van vertrouwen: zowel bij overheidsinstanties als bij andere ketenpartners die waarde hechten aan robuuste informatiebeveiliging. Met ABDO als referentiepunt uit het verleden en ABRO als huidige standaard ben je goed voorbereid op de toekomst van overheidsgerelateerde projecten, en kun je meebewegen met de continu veranderende uitdagingen in de wereld van cybersecurity en nationale veiligheid.
Veelgestelde vragen over ABDO en ABRO
Wat is het verschil tussen ABDO en ABRO?
ABDO (Algemene Beveiligingseisen Defensieopdrachten) was specifiek voor Defensie-opdrachten en gold van 2013 tot 2024. ABRO (Algemene Beveiligingseisen Rijks Overheid) is sinds 1 januari 2024 de nieuwe standaard voor alle rijksoverheidsorganisaties. ABRO heeft een bredere scope, strengere meldplicht voor incidenten, aangescherpte personele screenings en verplicht gebruik van erkende clouddiensten. Bestaande ABDO-contracten blijven geldig tot afloop, maar verlengingen en nieuwe contracten vallen onder ABRO.
Hoeveel kost het om ABRO-compliant te worden?
Voor een MKB-bedrijf dat vanaf nul start liggen de totale initiële kosten tussen €90.000 en €300.000. Dit omvat ISO 27001 certificering (€15.000-€40.000), technische maatregelen zoals firewalls en monitoring (€30.000-€100.000), VGB-screenings voor personeel (€5.000-€10.000), fysieke beveiliging (€10.000-€50.000) en consultancy (€5.000-€20.000). Jaarlijkse terugkerende kosten zijn €15.000 tot €50.000 voor audits, monitoring en hercertificering. Deze investering verdient zich vaak terug binnen één tot twee grote overheidscontracten.
Hoe lang duurt het om ABRO-compliant te worden?
Gemiddeld duurt het 6 tot 12 maanden om volledig ABRO-compliant te worden als je vanaf nul begint. Dit omvat het opzetten van een ISMS, het implementeren van technische maatregelen, het aanvragen van VGB-screenings (8-12 weken doorlooptijd), het trainen van personeel en het doorlopen van een security audit. Bedrijven die al ISO 27001-gecertificeerd zijn kunnen vaak binnen 3 tot 6 maanden compliant worden door aanvullende ABRO-specifieke maatregelen te implementeren.
Is ISO 27001 voldoende voor ABRO-compliance?
Nee, ISO 27001 is een belangrijke basis maar niet voldoende. ABRO stelt aanvullende eisen op het gebied van personele screening (VGB-verklaringen), gebruik van erkende clouddiensten, strengere logging en monitoring (12 maanden retention), deelname aan het Nationaal Detection Netwerk en specifieke fysieke beveiligingsmaatregelen. Je hebt ISO 27001 nodig als fundament, maar moet daarbovenop ABRO-specifieke controls implementeren.
Welke classificatieniveaus kent ABRO?
ABRO werkt met dezelfde classificatieniveaus als de Wet bescherming staatsgeheimen: Zeer Geheim (hoogste niveau), Geheim, Confidentieel, Departementaal Vertrouwelijk en Bedrijfsvertrouwelijk (laagste niveau met specifieke eisen). Hoe hoger de classificatie, hoe strenger de beveiligingsmaatregelen. Bij Zeer Geheim en Geheim zijn bijvoorbeeld fysiek gescheiden netwerken (air-gapped) verplicht en moet al het personeel een VGB-B hebben. Bij Departementaal Vertrouwelijk volstaat vaak logische netwerkscheiding en VGB-screening.
Wat gebeurt er als ik niet compliant ben bij een overheidscontract?
Als je tijdens een aanbesteding niet kunt aantonen dat je ABRO-compliant bent (of binnen de gestelde termijn compliant kunt worden), word je uitgesloten van deelname. Heb je al een contract en worden bij een audit tekortkomingen geconstateerd, dan krijg je een herstelperiode van 30 tot 90 dagen. Blijven tekortkomingen bestaan, dan kan dit leiden tot contractuele boetes of zelfs beëindiging van het contract. Bij ernstige inbreuken (zoals niet melden van een security incident) kunnen ook strafrechtelijke consequenties volgen op basis van de Wet op de inlichtingen- en veiligheidsdiensten.
Moet ik voor elk contract opnieuw een audit ondergaan?
Niet per se. Als je eenmaal een succesvolle ABRO security audit hebt doorlopen, kun je dit resultaat vaak gebruiken voor meerdere contracten binnen hetzelfde classificatieniveau. Wel kunnen opdrachtgevers aanvullende eisen stellen of specifieke controles willen laten uitvoeren. Ook is het verstandig om periodiek (jaarlijks) een interne audit te doen om te borgen dat je compliant blijft. Bij contractverlenging of nieuwe opdrachten met een hoger classificatieniveau moet je vaak opnieuw getoetst worden.
Eigenaar Bloeise. Neemt altijd de zakelijke insteek. Schrijft over organisatie, IT infrastructuur en innovatie. Voor digitale bureaus, IT-bedrijven en mkb-bedrijven. Link met mij op LinkedIn.
We gebruiken cookies, plugins en pixels om ervoor te zorgen dat onze website soepel draait. Als je doorgaat met het gebruiken van de website, gaan we er vanuit dat je hiermee instemt. Je kunt de browserinstellingen wijzigen om geen cookies te accepteren.
Reacties