Algemene Beveiligingseisen voor Defensiecontracten (ABDO) - Compliance en kansen voor bedrijven

De Nederlandse Algemene Beveiligingseisen voor Defensiecontracten, bekend als ABDO, is een uitgebreid beveiligingskader dat is opgesteld door het Nederlandse Ministerie van Defensie (MvD) om gevoelige informatie, activa en operaties met betrekking tot defensiecontracten in Nederland te beschermen.

Dit raamwerk is ontworpen om gevoelige informatie, activa en operaties met betrekking tot defensiecontracten binnen Nederland te beschermen. Gevoelige informatie omvat overdraagbare kennis die, indien blootgesteld, de nationale veiligheid in gevaar kan brengen of spionage kan vergemakkelijken. Naleving van ABDO is verplicht voor bedrijven die zich bezighouden met defensiecontracten met geheime informatie, met name bedrijven die actief zijn in kritieke sectoren zoals technologie, cyberbeveiliging en logistiek. Het primaire doel van ABDO is ervoor te zorgen dat alle organisaties die zich bezighouden met defensiecontracten strikte beveiligingsmaatregelen handhaven om risico's te beperken en nationale veiligheidsbelangen te beschermen.

Dit artikel gaat in op de verschillende facetten van ABDO-compliance, van personeels- en fysieke beveiliging tot cyberbeveiligingsprotocollen. Het benadrukt ook de strategische voordelen van naleving, waaronder een groter concurrentievermogen, een betere beveiliging van de toeleveringsketen en de mogelijkheid om investeringen van de overheid en de particuliere sector aan te trekken. Daarnaast gaat het artikel in op de aanstaande overgang naar ABRO, die de reikwijdte van de beveiligingsvereisten zal verbreden tot alle overheidscontracten.   

Nalevingsvereisten 

Onder ABDO moeten organisaties personeel, informatie, materiaal, goederen en infrastructuur beschermen tegen bedreigingen zoals misdaad, extremisme, sabotage, terrorisme en spionage. Kritieke sectoren, waaronder energie en telecommunicatie, zijn bijzonder kwetsbaar voor cyber- en fysieke aanvallen. Beveiligingsmaatregelen variëren afhankelijk van het dreigingsniveau en het type activa. Het Ministerie van Defensie classificeert beschermde entiteiten in vier beveiligingscategorieën onder het Interest to be Protected (IBP) framework. IBP verwijst naar alle informatie, materialen, goederen en gebouwen die een bepaalde mate van bescherming vereisen en zijn onderverdeeld in vier categorieën (IBP 1 tot 4), waarbij 1 het hoogste beschermingsniveau vereist om de nationale veiligheid en veerkracht te waarborgen. Speciale informatie (SI) wordt geclassificeerd in staatsgeheim en niet-staatsgeheim, op basis van mogelijke schade door ongeoorloofde toegang. Hogere classificaties (TOP SECRET, SECRET) duiden op ernstige schaderisico's, terwijl lagere classificaties (VERTROUWELIJK, BEPERKT) duiden op kleinere gevolgen voor de belangen van de Nederlandse Staat of het Ministerie van Defensie. Als het bedrijf bijvoorbeeld tijdens de contractperiode met strenger geclassificeerde informatie moet omgaan, zal er een aanvullende beveiligingsbeoordeling op een hoger niveau worden uitgevoerd voordat toegang wordt verleend.  

Het Bureau Industriële Veiligheid (BIV), dat ressorteert onder de Militaire Inlichtingen- en Veiligheidsdienst (MIVD), is verantwoordelijk voor het toezicht op de uitvoering van ABDO. Zodra een bedrijf ABDO-compliance bereikt, blijft zijn status geldig voor de duur van de opdracht.  

ABDO-compliance omvat een uitgebreid proces dat meerdere beveiligingsdomeinen bestrijkt om de bescherming van gevoelige verdedigingsinformatie te waarborgen. Het raamwerk is opgebouwd rond vier belangrijke beveiligingsdomeinen: 

1.  Bestuur en Organisatie  

Het Bestuur en de Organisatie richt zich op het borgen van het Te Beschermen Belang (IBP) door middel van een beveiligingsbeleid dat wordt onderschreven door het hoogste bestuur. Een bottom-up benadering is nodig om een bedrijfscultuur te bevorderen waarin alle medewerkers effectief omgaan met IBP. In dit hoofdstuk wordt de rol van de bedrijfsstructuur, eigendom en zeggenschap belicht, aangezien dit een negatieve invloed kan hebben op de onderneming en dus op de manier waarop een IBP wordt beheerd. Er kan bijvoorbeeld een veiligheidsrisico ontstaan als gevoelige informatie (SI) alleen toegankelijk is voor niet-Nederlandse personen. Daarnaast transparantie in logistieke ketens inclusief leveranciers, met name als het gaat om Speciale Contracten (SC). Beveiligingseisen variëren op basis van risicoanalyse, waarbij BIV/MIVD de toepassing ervan bepaalt. Voorbeelden van vereisten zijn onder meer het aanstellen van een Security Officer (SO) en het definiëren van hun verantwoordelijkheden, evenals het implementeren van een gestructureerd bedrijfscontrole- en beveiligingsbewustzijnsprogramma.  

2. Beveiliging van het personeel  

Personele Veiligheid betreft maatregelen die gericht zijn op het verkrijgen van een zekere mate van zekerheid dat een persoon de belangen van het Ministerie van Defensie niet zal schaden. Deze maatregelen hebben geen betrekking op fysieke beveiliging, maar richten zich op betrouwbaarheidseisen voor personeel van het ministerie en personeel in dienst van bedrijven die SC's uitvoeren. Veiligheidsscreening, voornamelijk voor een IBP, omvat het verkrijgen van een Verklaring van Geen Bezwaar of een Verklaring Omtrent het Gedrag van Justis. De nadruk wordt gelegd op veiligheidsbewustzijn, met name voor personeel dat naar het buitenland reist. Een van de belangrijkste vereisten omvat bijvoorbeeld onder meer: Ervoor zorgen dat het personeel een geheimhoudingsverklaring ondertekent met betrekking tot vertrouwelijkheidsverplichtingen.     
De beveiligingsvereisten, uiteengezet in ABDO 2019, variëren op basis van risicoanalyse en BIV/MIVD-discretie.  

3. Fysieke beveiliging  

Als een IBP wordt opgeslagen, verwerkt of vervoerd op de locatie van een opdrachtnemer, moet deze fysiek worden beveiligd, inclusief aangewezen compartimenten voor geclassificeerde besprekingen. Beveiligingsmaatregelen vallen in de categorieën Organisatorisch (O), Constructief (C), Elektronisch (E) en Responsief (R) (OCER) om ongeoorloofde toegang te voorkomen, te detecteren en uit te stellen tot interventie. Enkele van de belangrijkste vereisten zijn onder meer het opstellen van protocollen voor de fysieke opslag, verwerking en ontwikkeling van geclassificeerde informatie.

4. Cybercrimineel  

Cyberbeveiligingsvereisten zijn cruciaal voor het beschermen van digitale activa en geclassificeerde informatie te midden van steeds geavanceerdere cyberdreigingen. Het ABDO-raamwerk schetst de belangrijkste maatregelen, waaronder de bescherming van de IT-infrastructuur, operationele beveiliging en respons op incidenten. Het verplicht de aanstelling van een Cyber Security Officer (Cyber SO) om toezicht te houden op cyberbeveiligingsactiviteiten, de implementatie van cryptografische waarborgen voor gegevensbescherming en strikte beveiligingsnormen voor leveranciers die gevoelige informatie verwerken. Daarnaast gaat het in op cloud computing, bring/choose your own device (BYOD/CYOD) policies en virtualisatie. Logging, monitoring en snelle reactie op incidenten worden benadrukt om de beperking van bedreigingen te verbeteren en te zorgen voor een veerkrachtige cyberbeveiligingshouding binnen organisaties.  

Kansen voor bedrijven 

ABDO-compliance biedt verschillende strategische voordelen voor bedrijven die een contract hebben met het Ministerie van Defensie. Het zorgt voor naleving van strenge beveiligingsnormen en waarborgt de continuïteit van het contract. Daarnaast versterkt compliance de internationale reputatie van Nederlandse defensiebedrijven en verbetert het hun concurrentiepositie op zowel de binnenlandse als de internationale markt.  Organisaties die willen samenwerken met het Nederlandse ministerie van Defensie of bestaande contracten willen behouden, moeten prioriteit geven aan ABDO-naleving en op de hoogte blijven van aanstaande wijzigingen in de regelgeving, met name de overgang naar ABRO.

Bovendien opent het nieuwe groeimogelijkheden in kritieke sectoren zoals technologie, logistiek en energie, en zorgt het ervoor dat bedrijven kunnen bijdragen aan de nationale veiligheidsinspanningen en tegelijkertijd kunnen profiteren van stabiele, langetermijncontracten. Het versterkt ook de beveiliging van de toeleveringsketen en zorgt ervoor dat gevoelige materialen en informatie veilig worden behandeld tijdens de inkoop- en operationele processen. Het bereiken van naleving trekt investeringen aan van zowel overheids- als particuliere sectorentiteiten, waardoor de positie van een bedrijf als betrouwbare partner bij het waarborgen van de nationale veiligheid wordt versterkt.   

Forward Thinking 

Vanaf januari 2025 is de overgang van ABDO naar ABRO (Algemene Beveiligingseisen voor Rijksopdrachten) aan de gang, waarbij de scope wordt verbreed naar alle overheidscontracten. Alvorens een aanbestedingsopdracht uit te vaardigen, zal een veiligheidsbeoordeling de potentiële risico's voor de nationale veiligheid bepalen. Als er risico's worden gesignaleerd, zal een ABRO-onderzoek worden uitgevoerd door het nieuw opgerichte Nationaal Bureau voor Industriële Veiligheid (NBIV), een gezamenlijk initiatief van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD).  

In dit onderzoek worden meerdere beveiligingsdimensies geëvalueerd, waaronder:

• Het beheer en de organisatorische beveiliging van de leverancier.
• Beveiliging van personeel dat zich bezighoudt met gevoelige contracten.
• Bescherming van gevoelige gegevens die zijn opgeslagen in cloudomgevingen.
• Beveiliging van elektronische netwerken en systemen.

Bedrijven die momenteel voldoen aan ABDO moeten deze overgang nauwlettend in de gaten houden en zich proactief afstemmen op de veranderende nalevingsvereisten om in aanmerking te blijven komen voor overheidscontracten. ABRO bevat verder een nieuw hoofdstuk over cloudbeveiliging, naast de vier hoofdstukken die in ABDO zijn opgenomen. De handhaving van  de ABRO-naleving  zal gefaseerd worden doorgevoerd op ministeries, waarbij instanties zoals de Immigratie- en Naturalisatiedienst (IND) en de politie tussen 2025 en 2027 beginnen met de uitvoering. Vervolgens kunnen zelfstandige bestuursorganen (ZBO's), waaronder de Sociale Verzekeringsbank (SVB), beginnen met nalevingsinspanningen. Gemeenten, provincies en andere organisaties die actief zijn in kritieke sectoren zullen naar verwachting op termijn volgen.

RSM is een thought leader op het gebied van advies op het gebied van strategie en internationale handel. We bieden frequente inzichten door middel van training en het delen van thought leadership op basis van een gedetailleerde kennis van ontwikkelingen in de sector en praktische toepassingen in het werken met onze klanten. Wilt u meer weten, neem dan contact op met onze partner, Mario van den Broek via  [email protected].