Van ABDO naar ABRO: Waarom januari 2026 een keerpunt wordt voor leveranciers aan de overheid

Op 21 november 2025 stemde de ministerraad in met een maatregel die de komende jaren vele Nederlandse bedrijven zal raken: de invoering van ABRO 2026.¹ Voor leveranciers die werken met gevoelige overheidsinformatie verandert er fundamenteel iets. Vanaf 1 januari 2026 gelden uniforme eisen voor iedere opdracht die de nationale veiligheid raakt, ongeacht of deze afkomstig is van een ministerie, agentschap of de politie.²

De timing is geen toeval. Spionage door statelijke actoren, sabotageacties in Europa en cyberaanvallen op kritieke infrastructuur maken dat het kabinet niet langer kan wachten.³ Maar hier zit het echte risico: bedrijven die straks niet ABRO-compliant zijn, worden simpelweg niet uitgenodigd voor aanbestedingen. Oftewel: geen verklaring, geen gesprek, geen kans om je te bewijzen. Voor organisaties die (deels) afhankelijk zijn van overheidscontracten is dat een strategisch probleem.

De verschuiving van ABDO naar ABRO weerspiegelt een bredere erkenning: nationale veiligheid stopt niet bij de poorten van Defensie. Ook andere overheidsorganisaties werken dagelijks met informatie, systemen en infrastructuur die van strategisch belang zijn.

ABRO 2026 is een doorontwikkeling van ABDO 2019, maar met cruciale aanpassingen.⁴ Het toepassingsgebied is verbreed naar de gehele Rijksoverheid en politie. De beveiligingseisen zijn vastgesteld op basis van actuele wetgeving, technologische ontwikkelingen en het huidige dreigingslandschap. Er is een uitgebreid hoofdstuk toegevoegd specifiek voor cloudbeveiliging. Bovendien is er nu één centrale toezichthouder: het Nationaal Bureau Industrieveiligheid (NBIV), een samenwerkingsverband tussen AIVD en MIVD.⁵

De invoering verloopt in tranches. In 2026 en 2027 starten de kerndepartementen, hun diensten, agentschappen en de politie. Voor bestaande Defensiecontracten onder ABDO blijven de oude eisen gelden gedurende de looptijd.⁶ Het kabinet heeft aangekondigd dat zbo's, provincies, gemeenten, waterschappen en vitale sectoren in latere fasen zullen volgen.⁷

In onze praktijk begeleiden we regelmatig scale-ups en technologiebedrijven die voor het eerst de defensie- of overheidsmarkt betreden. Het patroon is herkenbaar: enthousiasme over een kansrijke aanbesteding, gevolgd door de ontdekking dat compliance-trajecten maanden duren en tienduizenden euro's kosten. Kosten die vrijwel nooit zijn meegenomen in de oorspronkelijke businesscase.

Eén concreet voorbeeld: een technologiebedrijf dat een projectvoorstel van ruim een miljoen euro indiende, zonder de compliance-investeringen mee te rekenen. Had niemand hen gewaarschuwd, dan was dit project verliesgevend geworden nog vóór de eerste deliverable. Dit is geen uitzondering. Het is wat er gebeurt wanneer organisaties de overheidsmarkt benaderen alsof het een reguliere B2B klant is.

Met ABRO wordt dit risico alleen maar groter. De eisen zijn strenger, de scope breder, en het NBIV zal kritischer toetsen dan menig bedrijf gewend is. Wie denkt dat compliance iets is voor de procurement-afdeling, onderschat wat er op het spel staat.

Voor bedrijven die al onder ABDO-wetgeving werken, biedt ABRO zowel continuïteit als nieuwe verplichtingen. De bekende indeling in vier categorieën Te Beschermen Belangen (TBB 1 t/m 4) blijft bestaan, maar de concrete eisen per niveau zijn aangescherpt.⁸ Organisaties krijgen twee jaar om volledig te voldoen aan de nieuwe standaard.⁹ Dat klinkt comfortabel, maar de realiteit is dat een gedegen ABRO-traject, inclusief dreigingsanalyse, security framework en implementatie, al snel zes tot twaalf maanden kost. Wie in Q3 2026 wil meedingen naar een ABRO-aanbesteding, moet nu beginnen.

Voor bedrijven die nog niet onder ABDO vallen maar wel ambities hebben richting overheidscontracten, is de boodschap nog een stukje urgenter: zonder voorbereiding sta je straks buitenspel. Het NBIV beoordeelt of een opdrachtnemer voldoet aan de eisen voordat een ABRO-Verklaring wordt afgegeven. Zonder die verklaring geen opdracht.¹⁰

De impact reikt verder dan directe leveranciers. Ook toeleveranciers en onderaannemers in de keten kunnen te maken krijgen met ABRO-eisen. Transparantie met betrekking tot de supplychain wordt daarmee niet langer een nice-to-have, maar een harde voorwaarde. Eén zwakke schakel in de keten kan een ABRO-verklaring in gevaar brengen.

Het verschil tussen bedrijven die soepel door de transitie komen en bedrijven die kansen missen, zit in de voorbereiding. Drie stappen zijn cruciaal.

Ten eerste: breng in kaart welke Te Beschermen Belangen binnen de organisatie relevant zijn. Deze inventarisatie bepaalt welke beveiligingsmaatregelen proportioneel zijn en voorkomt dat je investeert in maatregelen die niet nodig zijn of juist tekortschieten waar het ertoe doet.

Ten tweede: voer een dreigingsanalyse uit die specifiek kijkt naar de risico's die de organisatie loopt vanwege betrokkenheid bij de overheidsketen. Statelijke actoren richten zich steeds vaker op toeleveranciers als toegangspoort tot gevoelige informatie. Dit is geen theoretisch risico: wij zien in de praktijk dat bedrijven doelwit worden zodra hun naam opduikt in een defensie gerelateerde context.

Ten derde: ontwikkel een Security Risk Framework dat de vertaalslag maakt van geïdentificeerde risico's naar concrete ABRO-conforme maatregelen.

Het probleem met zelf uitzoeken: de ABRO-documentatie is omvangrijk, de interpretatie vraagt ervaring, en het NBIV is streng. Wie halverwege het traject ontdekt dat de gekozen aanpak niet aansluit bij wat het NBIV verwacht, begint opnieuw met alle vertraging en kosten die daarbij komen kijken.

Proximities begeleidt organisaties door dit volledige traject, van de eerste inventarisatie tot aan het verkrijgen van een ABRO-Verklaring. We hebben veel ervaring in ABDO-trajecten en directe kennis van de werkwijze van de MIVD en AIVD. Daarom weten wij niet alleen welke stappen nodig zijn, maar ook welke valkuilen organisaties consistent over het hoofd zien. Die regierol, van "wij willen zakendoen met de overheid" tot "wij zijn compliant", is precies waar wij het verschil maken.

Januari 2026 nadert. Bedrijven die nu beginnen met voorbereiden kunnen de transitie gebruiken als concurrentievoordeel: zij staan klaar wanneer concurrenten nog worstelen met hun eerste NBIV-gesprek. Bedrijven die wachten, riskeren niet alleen gemiste aanbestedingen, maar ook reputatieschade wanneer blijkt dat zij niet aan de eisen kunnen voldoen.

Bronnen

¹ Rijksoverheid.nl, ‘Nieuwe beveiligingseisen voor overheidsopdrachten met risico's voor de nationale veiligheid’, 28 november 2025.

² Staatscourant 2025, nr. 39538, Kaderbesluit ABRO Rijksdienst, 3 december 2025.

³ AIVD.nl, ‘Nieuwe vereisten voor nationale veiligheid bij overheidsopdrachten’, 28 november 2025.

⁴ Staatscourant 2025, nr. 42214, ABRO-voorschrift.

⁵ Rijksoverheid.nl/ABRO.

⁶ Staatscourant 2025, nr. 42214.

⁷ Rijksoverheid.nl, ‘Beveiligingseisen bij overheidsopdrachten (ABRO)’.

⁸ ABRO 2026 voorschrift, artikel Te Beschermen Belangen.

⁹ Kaderbesluit ABRO Rijksdienst, artikel 12.

¹⁰ Rijksoverheid.nl/ABRO, Q&A ABRO.