De overheid stelt steeds hogere eisen aan partijen die werken met gevoelige informatie, kritieke systemen of locaties waar nationale veiligheid in het spel is. Vanaf 1 januari 2026 geldt daarvoor een nieuw uniform kader: de Algemene Beveiligingseisen voor Rijksoverheidsopdrachten, kortweg ABRO. Deze ABRO beveiligingseisen zijn voor ondernemers geen puur juridische formaliteit, maar een concrete set verplichtingen die direct invloed kan hebben op aanbestedingen, contractvorming, interne beveiliging en de manier waarop medewerkers omgaan met informatie.
ABRO is ontwikkeld om de risico’s van bijvoorbeeld cyberaanvallen, kennislekken, sabotage en ongewenste toegang beter te beheersen. Het systeem vervangt een versnipperde aanpak en brengt voor de Rijksoverheid en politie meer uniformiteit in de beveiligingseisen die zij aan opdrachtnemers stellen. Voor bedrijven betekent dat enerzijds meer duidelijkheid, maar anderzijds ook dat beveiliging niet langer alleen een IT-onderwerp is: het raakt de hele organisatie.
Waarom ABRO beveiligingseisen relevant zijn
Veel ondernemers denken bij beveiliging vooral aan firewalls, antivirussoftware en sterke wachtwoorden. ABRO gaat verder dan dat. De regeling kan namelijk ook zien op personeelsmaatregelen, toegang tot locaties, omgang met vertrouwelijke documenten, fysieke beveiliging en de inrichting van bedrijfsprocessen. Dat maakt de regeling vooral relevant voor organisaties die werken voor ministeries, agentschappen, de politie of andere overheidsorganisaties met gevoelige opdrachten.
Voor de praktijk is vooral belangrijk dat ABRO van toepassing kan zijn zodra een opdracht risico’s oplevert voor de nationale veiligheid. Dat kan dus al snel spelen bij toegang tot vertrouwelijke informatie, een datacenter, bijzondere gebouwen of systemen waarin de overheid afhankelijk is van een leverancier. De vraag is daarom niet alleen of een bedrijf “technisch veilig” werkt, maar of het als geheel voldoende beheersmaatregelen heeft ingericht.
Wat verandert er met de ABRO beveiligingseisen
Onder ABRO wordt per opdracht gekeken welke beveiligingseisen echt nodig zijn. De overheid beoordeelt eerst of risico’s met eigen maatregelen genoeg kunnen worden beperkt; als dat niet volstaat, moet de opdrachtnemer aan ABRO voldoen. Vervolgens kan het Nationaal Bureau Industrieveiligheid onderzoek doen naar de leverancier en volgt een advies of de opdracht kan worden gegund. Ook tijdens de looptijd van de opdracht blijft toezicht mogelijk.
Dat heeft een paar directe gevolgen voor bedrijven. Denk aan extra documentatie, screening van personeel, strengere toegangscontrole, scherpere afspraken met onderaannemers en mogelijk aanvullende audit- of meldplichten. Voor grotere partijen is dat vaak in te passen in bestaande compliance-processen, maar voor mkb-bedrijven kan het een merkbare organisatorische en financiële belasting zijn.
Juridische aandachtspunten
Juridisch gezien draait ABRO om meer dan “voldoen aan regels”. Het gaat ook om contractuele risicoverdeling. Wie verantwoordelijk is voor beveiligingsmaatregelen, wie controleert, wat er gebeurt bij een incident en welke gevolgen een schending heeft voor de opdracht, moet expliciet worden vastgelegd. Een onduidelijke contracttekst kan later leiden tot discussies over aansprakelijkheid, opschorting of zelfs beëindiging van de overeenkomst.
Daarnaast is het belangrijk dat bedrijven hun interne governance op orde hebben. Wie mag informatie zien, hoe worden laptops en cloudomgevingen beveiligd, hoe wordt gewerkt met tijdelijke medewerkers en hoe worden incidenten gemeld? In ABRO-context is het antwoord op die vragen niet alleen operationeel relevant, maar ook juridisch, omdat falende interne beheersing gevolgen kan hebben voor gunning, continuïteit en reputatie.
Voor wie geldt het vooral
De grootste impact ligt waarschijnlijk bij bedrijven die software bouwen voor de overheid, managed services leveren, cybersecuritydiensten aanbieden, aan kritieke infrastructuur werken of op enige manier toegang krijgen tot gevoelige data of locaties. Maar ook adviesbureaus, facilitaire partijen, logistieke dienstverleners en technische aannemers kunnen ermee te maken krijgen zodra de opdracht risico’s voor nationale veiligheid bevat. ABRO is dus niet alleen een onderwerp voor “securitybedrijven”; het is relevant voor een veel bredere groep leveranciers.
Voor die doelgroep is de kernboodschap eenvoudig: wacht niet tot de aanbesteding op tafel ligt. Bedrijven doen er verstandig aan om nu al te inventariseren welke beveiligingsmaatregelen aanwezig zijn, waar kwetsbaarheden zitten en hoe zij bewijsbaar kunnen aantonen dat zij in control zijn. Dat voorkomt last-minute stress bij offertes, contractonderhandelingen en due diligence.
Praktische stappen
- Breng in kaart welke opdrachten mogelijk onder ABRO vallen.
- Check of je organisatie al werkt met formele beveiligingsbeleid, toegangsbeheer en incidentprocedures.
- Maak contractueel duidelijk wie verantwoordelijk is voor welke beveiligingsmaatregelen.
- Train medewerkers en tijdelijke krachten op vertrouwelijkheid en veilige omgang met informatie.
- Controleer of onderaannemers en leveranciers dezelfde basismaatregelen respecteren.
Slot
ABRO is geen abstracte overheidsregel, maar een praktische standaard die direct invloed heeft op hoe bedrijven met gevoelige opdrachten omgaan. Voor ondernemers die willen leveren aan de overheid betekent het: beveiliging, compliance en contractmanagement moeten vanaf nu samen worden bekeken. Juist wie de juridische en technische kant goed combineert, vergroot de kans om veilig, geloofwaardig en zonder vertraging zaken te doen met de overheid.
Talha Yilmaz
Advocaat – Compliance Expert
Meer weten?
Klaar om cyber security en compliance eenvoudig en toegankelijk te maken?