De 3 meest urgente vragen uit de ABRO Q&A

Officiële uitleg
De ABRO is een set beveiligingseisen voor bedrijven die zakendoen met de Rijksoverheid, Defensie, en de politie. De eisen moeten risico’s voor de nationale veiligheid beperken, bijvoorbeeld rond spionage, cyberaanvallen, datalekken of sabotage van vitale infrastructuur.¹

Onze duiding
Dit gaat dus niet alleen over defensiebedrijven. Ook leveranciers in de bouw, techniek, ICT of consultancy die aan opdrachten werken die de nationale veiligheid kunnen raken, krijgen hiermee te maken. Zonder aantoonbare ABRO-conformiteit wordt meedoen lastiger of onmogelijk.

Officiële uitleg
De ABRO treedt niet voor 1 december 2025 in werking.² Invoering gebeurt gefaseerd (in zogenaamde “tranches”): eerst bij ministeries, hun agentschappen en de politie, met maximaal twee jaar om volledig over te gaan.³ Lopende contracten blijven onder bestaande afspraken(zoals ABDO), nieuwe opdrachten die de nationale veiligheid raken worden vanaf de inwerkingtreding aan ABRO getoetst.⁴

Onze duiding
De “twee jaar” voelt ruim, maar screenings, procesaanpassingen en audits kosten veel tijd. Wachten tot de eerste aanbesteding zich aandient is risicovol: de kans op uitsluiting door te late voorbereiding is reëel.

‍

Officiële uitleg
De ABRO bevat eisen in vijf categorieën: bestuur & organisatie, personeel, fysiek, cyber en cloud.⁵ Toetsing gebeurt door het Nationaal Bureau Industrieveiligheid (NBIV),opgericht in maart 2025 door AIVD en MIVD.⁶ NBIV-onderzoeken zijn kosteloos; de investeringen om aan ABRO te voldoen zijn voor rekening van de onderneming.⁷Voor vertrouwensfuncties is een Verklaring van Geen Bezwaar (VGB) nodig, eveneens voor rekening van de onderneming.⁸

Onze duiding
De impact zit niet in éénextra certificaat, maar in het inrichten van governance, HR-processen ,ketenafspraken en aantoonbare beveiliging over alle vijf domeinen. Organisaties die vroeg starten met een gap-analyse en dossier opbouw komen soepeler door toetsingen staan sterker in aanbestedingen.

De ABRO-FAQ noemt een aantal logische eerste acties. In onze trajecten zien we dat dit vaakde cruciale startpunten zijn:

●      Scope & risico bepalen
Gebruik de Quickscan Nationale Veiligheid (van de NCTV) om te bepalen welke opdrachten geraakt worden. Wij verdiepen dit doorgaans met een context- en dreigingsassessment, waarbij we de ‘Te Beschermen Belangen’ (TBB’s) en relevante dreigingen in kaart brengen.⁹

●      Eigenaarschap & HR
Wijs een interne ABRO-eigenaar aan (juridisch/inkoop + security) en inventariseer welke functies een VGB nodig hebben. In onze aanpak borgen we dit via het Security RiskFramework (SRF), waarin rollen, verantwoordelijkheden en screeningsprocessen structureel worden vastgelegd.⁸

●      Gap-analyse op 5 domeinen
Toets beleid, processen, fysieke maatregelen, IT-/cloud-controls en bewijsvoering tegen de ABRO-eisen.Wij doen dit met een baseline security-audit: geen vinklijstjes, maar een realistisch vertrekpunt dat effectief is in de praktijk.⁵

ABRO 2025 is niet zomaar een nieuwe regel. Het is een harde randvoorwaarde om zaken te doen met de overheid, defensie en de politie. De drie kernvragen uit de Q&A laten zien dat het om méér gaat dan vinkjes zetten: het raakt je hele organisatie, kost tijd en geld, maar levert ook duurzame weerbaarheid en een sterker marktprofiel op.