Levert u producten of diensten aan de Rijksoverheid of de politie? En zijn er bij uw opdracht mogelijke risico’s voor de nationale veiligheid (bijvoorbeeld cyberaanvallen, informatielekken, spionage of sabotage)? Dan gelden er extra beveiligingseisen.
Dit zijn de Algemene beveiligingseisen voor Rijksoverheidsopdrachten (ABRO). Pas als u aan de ABRO-eisen voldoet en een positieve ABRO-verklaring krijgt van Het Nationaal Bureau Industrieveiligheid (NBIV) mag u met de opdracht beginnen.
Wanneer gelden de beveiligingseisen?
De ABRO-eisen gelden als u een opdracht doet met risico’s voor de nationale veiligheid. Uw opdrachtgever (Rijksoverheid of politie) bepaalt eerst of er mogelijke risico’s zijn.
Voorbeelden van risico’s voor de nationale veiligheid:
- Uw opdrachtgever deelt gevoelige informatie met u, zoals staatsgeheimen, vertrouwelijke documenten, persoonsgegevens of reisgegevens van medewerkers.
- U werkt op een bijzondere locatie zoals een datacenter of een security operation center (dit geldt voor bijvoorbeeld ICT-leveranciers, schoonmakers of schilders).
- U werkt aan computersystemen waarop gevoelige informatie wordt verwerkt (u levert bijvoorbeeld software of ICT).
- U werkt in of aan bijzondere gebouwen, zoals een detentiecentrum, vliegveld of wapenopslag.
Voor welke ondernemers gelden de beveiligingseisen?
Ondernemers die te maken kunnen krijgen met de ABRO-eisen bij een overheidsopdracht zijn bijvoorbeeld:
- ICT-bedrijven (cloud-providers, software ontwikkelaars, leveranciers van ICT-middelen, telecom providers)
- dienstverleners (schoonmakers, schilders, beveiligingsbedrijven, auditbedrijven, consultancy bedrijven, transportbedrijven, reisbureaus, opleidingscentra, vertaalbureaus, cateringbedrijven)
- bouwondernemers (architectenbureaus, bouwbedrijven, technische installatie bureaus)
- bedrijven die werken met radar, crypto, wapensystemen, persoonsgegevens, datacenters en communicatiemiddelen
Wat zijn de beveiligingseisen bij een overheidsopdracht?
Als er risico is voor de nationale veiligheid, dan bepaalt uw opdrachtgever het beveiligingsniveau voor uw opdracht en welke beveiligingseisen gelden. Hoe hoger het beveiligingsniveau, hoe strenger de beveiligingseisen. De beveiligingseisen gaan over:
Bestuur en organisatie
Deze beveiligingseisen gelden altijd. U moet bijvoorbeeld inzicht geven in de bedrijfsstructuur en de personen met invloed binnen het bedrijf. De eisen voor bestuur en organisatie staan in hoofdstuk 1 van de ABRO.
Betrouwbaarheid van het personeel
Deze beveiligingseisen gelden altijd. Uw personeel heeft bijvoorbeeld een Verklaring van Geen Bezwaar (VGB) of een Verklaring Omtrent het Gedrag (VOG) nodig. Het personeel heeft een geheimhoudingsplicht of moet een training doen. De eisen voor personeel staan in hoofdstuk 2 van de ABRO.
Fysieke beveiliging
Deze beveiligingseisen zijn afhankelijk van de opdracht en de locatie en gaan bijvoorbeeld over toegang en beveiliging van gebouwen en transport. De eisen voor fysieke beveiliging staan in hoofdstuk 3 van de ABRO.
Cyber beveiliging (cybersecurity)
Deze beveiligingseisen zijn afhankelijk van de opdracht en de locatie en gaan over de beveiliging van ICT-bedrijfsmiddelen en de beveiliging van data. De eisen voor cyber beveiliging staan in hoofdstuk 4 van de ABRO.
Cloudoplossingen
Deze beveiligingseisen zijn afhankelijk van de opdracht en de locatie en gaan over het beveiligen van informatie (bijvoorbeeld sleutelbeheer en exitstrategie). De eisen voor cloudoplossingen staan in hoofdstuk 5 van de ABRO.
Het Nationaal Bureau Industrieveiligheid (NBIV) onderzoekt of uw bedrijf voldoet aan de ABRO-eisen. Als uw onderneming aan de ABRO-eisen voldoet, krijgt u een positieve ABRO-verklaring van het NBIV en kunt u met de overheidsopdracht starten. Ook tijdens uw opdracht wordt gecontroleerd of u zich aan de beveiligingseisen houdt.