Vanaf 1 januari 2026 verandert er veel voor organisaties die werken voor de Rijksoverheid en de politie aan opdrachten waarbij de nationale veiligheid in het spel is. Met de Algemene Beveiligingseisen voor Rijksoverheidsopdrachten (ABRO) komt er één uniforme set beveiligingseisen voor alle opdrachten met een risico voor de nationale veiligheid.
Die stap is urgent, zeggen Jeroen Konijn, Lead Information Security Officer bij Sentyron en Willemijn Rodenburg, Government Relations bij Sentyron. Maar ze zien er ook een grote kans in: voor Nederland, voor ministeries én voor leveranciers. Jeroen geeft aan: “De vrijblijvendheid is er nu echt af. Met ABRO 2026 wordt veilig samenwerken met de overheid een harde randvoorwaarde, net zo vanzelfsprekend als een contract of een NDA.”
Van losse regels naar één landelijk kader
Waarom ABRO er nu komt, is volgens Jeroen en Willemijn goed te verklaren. Jeroen: “Staatsgeheimen zijn niet nieuw. Er waren al jarenlang regels, maar elk ministerie gaf daar op z’n eigen manier invulling aan. Defensie was streng en gestructureerd; andere departementen hielden er ieder een eigen werkwijze op na”
Willemijn vult aan: “Je ziet een paar dingen samenkomen: meer spionage, meer cybercrime, meer aandacht voor ketenrisico’s, en internationale druk vanuit NAVO en EU om dit beter te regelen. Dan kun je niet volhouden dat iedere overheidsorganisatie het op z’n eigen manier doet.” Daarom is nu gekozen voor één gezamenlijk normenkader: ABRO.
Belangrijk om te weten: ABRO is geen wet, maar wordt vastgelegd in contracten tussen ministeries/politie en marktpartijen. “In de Nederlandse Grondwet (artikel 42, lid2) mag een minister zelf bepalen hoe het eigen ministerie wordt ingericht,” legt Jeroen uit. “Dat maakt het tegelijk ingewikkeld: ABRO is een afspraak die je met álle ministeries moet maken. De ministerraad heeft unaniem gezegd: wij gaan dit doen. Dat is echt uniek.”
ABDO, ABRO… wat verandert er nu echt?
Veel partijen in de defensiewereld kennen ABDO 2019 al: het beveiligingsnormenkader voor Defensie-opdrachten. ABRO is daar géén simpele kopie van, maar een doorontwikkeling en verbreding:
- ABDO → vooral Defensie, pre-AI, beperkte aandacht voor cloud en moderne softwareontwikkeling.
- ABRO → alle ministeries, agentschappen en de politie (voor opdrachten met nationale veiligheidsrisico’s), nieuwe technologieën en aanpakken expliciet meegenomen (AI, zero trust, data loss prevention, secure softwareontwikkeling, cloud, transport, versleuteling, enz.)
Een belangrijk inhoudelijk verschil is de manier van kijken naar beveiliging. Jeroen legt uit: “ABDO dacht heel sterk in schillen. Slagbomen, deuren, gangen, rode ruimtes. ABRO stuurt veel meer op bewakingsrendement en risico. Je redeneert terug vanaf bijvoorbeeld een harde schijf in een kluis: wat moet je allemaal passeren om buiten te staan? Hoe je dat precies oplost, is maatwerk, als je maar kunt aantonen dat je het risico goed beheerst.”
Ook op het gebied van cryptomiddelen wordt het kader flexibeler: voorheen mocht je alleen middelen gebruiken van een relatief korte Nederlandse lijst, in ABRO kun je onder voorwaarden ook middelen gebruiken die bijvoorbeeld al zijn goedgekeurd door NAVO of andere EU-landen; mits NBIV akkoord is.
“Dat klinkt technisch, maar in de praktijk scheelt het enorme doorlooptijden,” zegt Jeroen. “Iets wat veilig is bevonden in Duitsland of Frankrijk, hoeft niet meer per se helemaal van nul af aan opnieuw beoordeeld te worden.”
Een ander punt dat in de praktijk vaak verkeerd wordt begrepen: je wordt als bedrijf nooit ‘ABRO-gecertificeerd’. Willemijn: “ABRO geldt altijd per opdracht. Een ministerie verklaart ABRO van toepassing op een specifieke opdracht, het is een autorisatie. Dan toetst NBIV of jij als opdrachtnemer aan de eisen kunt voldoen. Dat is iets heel anders dan een organisatiebreed certificaat op de muur.”
Eerst de overheid zelf
Voordat marktpartijen überhaupt iets merken van ABRO, moeten de ministeries zelf aan de bak.
1. Aansluittest per ministerie/agentschap
NBIV toetst of een ministerie klaar is om ABRO toe te passen:
- begrijpen ze de rubricering van hun informatie?
- weten ze welke opdrachten onder nationale veiligheid vallen?
- hebben ze processen om ABRO-eisen goed in aanbestedingen op te nemen?
2. Gefaseerde aansluiting (tranches)
- per 1 januari gaat o.a. het Ministerie van Algemene Zaken en de politie in de eerste tranche mee;
- Defensie volgt later dat jaar;
- andere ministeries hebben twee jaar om aan te sluiten.
Jeroen geeft aan: “Er zijn echt al honderden inkopers en contractmanagers getraind. NBIV doet er veel aan om te zorgen dat de markt straks niet te maken krijgt met een ministerie dat het zelf niet snapt.”
Streng waar het moet, werkbaar waar het kan
Is ABRO vooral ‘strenger’? Ja en nee.
- Ja, omdat het normenkader voor veel organisaties zwaarder is dan wat ze in het verleden gewend waren.
- Nee, omdat ABRO juist ook méér ruimte geeft voor maatwerk, risicoafwegingen en moderne technologie (denk aan cloud op departementaal vertrouwelijk niveau).
Jeroen vat het zo samen: “ABRO is streng waar de nationale veiligheid daarom vraagt, en werkbaar waar het kan. Die getraptheid en het risicodenken, dat hebben veel andere landen nog helemaal niet op dit niveau geregeld.”
Wat kun je nu al doen als organisatie?
Hoewel ministeries formeel nog twee jaar hebben om ABRO volledig in te voeren, is wachten voor bedrijven geen optie. Een paar concrete eerste stappen:
1. Lees de eerste hoofdstukken van ABRO: snap waar jij als organisatie voor in aanmerking komt. Zo krijg je een goed beeld van de scope en de verhoudingen tussen opdrachtgever, NBIV en opdrachtnemer.
2. Breng in kaart of je in de ‘risicozone’ zit: werk je (direct of indirect) met ministeries of politie en verwerk je mogelijk gevoelige informatie? Dan is de kans groot dat je in de toekomst met ABRO te maken krijgt.
3. Leg ABRO naast wat je al hebt:
- ISO 27001 / ISMS
- eventuele ABDO-ervaring
- bestaande fysieke en digitale maatregelen → waar zitten de grote gaten?
4. Begin bij bewustwording en personeel: vertel intern wat ABRO is, welke impact screenings kunnen hebben en waarom dit wordt gevraagd. Dat scheelt veel frictie later.
5. Kijk naar je keten: breng leveranciers en onderaannemers in kaart. Uiteindelijk moet je ook díe keten kunnen verantwoorden richting NBIV.
Met ABRO 2026 kiest Nederland voor een landelijke standaard voor beveiliging bij opdrachten met risico’s voor de nationale veiligheid. Nog niet eerder was er één raamwerk dat tegelijk geldt voor alle departementen én de politie, mét een centrale toezichthouder in de vorm van het NBIV. Dat maakt ABRO niet alleen een stevige nieuwe norm, maar ook een kans om te professionaliseren.
Jeroen en Willemijn vatten het samen: “Dit is een zeldzaam moment: we zetten in Nederland een landelijke standaard neer die overheid én bedrijfsleven dwingt om veiligheid structureel serieuzer te nemen. Dat is spannend, maar vooral heel positief.” Lees meer over ABRO in dit artikel: ABRO in de praktijk: van rubriceringsniveau naar maatregelen in jouw organisatie.