ABRO implementatie: onze aanpak voor leveranciers aan de Rijksoverheid

1. Scope & Quickscan nationale veiligheid

We beginnen bij de kern: de opdracht zelf.

• Welke processen en diensten horen hierbij?
• Welke systemen en ketenpartners spelen een rol?
• Waar komt Te Beschermen Belang (TBB) in beeld?

Op basis daarvan voeren we de Quickscan nationale veiligheid uit, volgens de methodiek van de overheid.

Uitkomst:

• Geen risico’s → vaak geen uitgebreid vervolg nodig
• Wel risico’s → vervolg met een risicoanalyse

Doel: een scherpe afbakening. Je weet precies waar ABRO wél en niet geldt.

2. TBB-toepassing concreet maken

Vervolgens vertalen we de TBB-matrix naar jouw praktijk. We onderscheiden vier toepassingen:

1. Access to site – fysieke toegang tot locaties
2. Fysieke opslag – archieven, onderdelen, dragers
3. Digitale opslag – systemen in eigen beheer
4. Clouddiensten – publieke cloudomgevingen

Per toepassing bepalen we:

• Welke ABRO-hoofdstukken van toepassing zijn (H1 t/m H5: Bestuur en organisatie, Personeel, Fysiek, Cyber, Cloud)
• Wat dit betekent voor de omvang en impact van maatregelen

Bron: ABRO 2026

Bron: CertificeringsAdvies Nederland

Belangrijk inzicht: minder eisen betekent niet automatisch minder complexiteit.
Bijvoorbeeld:

• Cloud is vanaf TBB 3 verboden
• Bij TBB 4 mag cloud wél, maar alleen onder strikte voorwaarden

Dat betekent extra eisen zoals risicoanalyses, dataopslaglocaties en assurance (bijv. SOC 2). Bovendien werken eisen uit andere hoofdstukken door. Cloud raakt dus altijd meerdere lagen van je organisatie.

3. Gapanalyse: van theorie naar praktijk

Daarna leggen we de ABRO-eisen naast jouw huidige inrichting. Niet op papier, maar op hoe het écht werkt.

We kijken naar:

• Bestuur en (securityo)rganisatie
• Personeel: functionarissen, HR- en screeningprocessen
• Fysieke beveiliging en compartimentering
• Cybersecurity, bijvoorbeeld segmentatie en logging
• Cloudgebruik en beleid

Daarnaast zoomen we in op 1–2 kritieke schakels, zoals:

• een primair IT-platform
• een OT-omgeving
• een belangrijke leverancier of applicatie

Resultaat:

• Wat is al aantoonbaar op orde
• Waar zitten de gaps
• Welke acties prioriteit hebben (op basis van TBB en risico’s)

Uitkomst Fase 1:
Een helder fundament met scope, TBB-toepassing en een concrete verbeterlijst per ABRO-hoofdstuk.

Blijkt uit de Quickscan dat er risico’s zijn? Dan voeren we een formele risicoanalyse uit, in lijn met de rijksaanpak en ISO 27001-denkwijze.

We brengen onder andere in kaart:

• Dreigingen (zoals statelijke actoren)
• Ketenafhankelijkheden (leveranciers, cloud, onderaannemers)
• De rol van TBB’s: personen, informatie, systemen, materieel, imago en objecten
• Relevante beheersmaatregelen uit ABDO 2026

Aanpak: workshops met de mensen die het werk doen. Praktisch, gericht en zonder theoretische ballast.

Resultaat: een behandelplan met:

• Prioriteiten
• Concrete maatregelen
• Volgorde en afhankelijkheden
• Verdeling: wat doe je zelf, waar heb je ondersteuning nodig

Dit vormt jouw roadmap richting aantoonbaar ABRO-conform werken.

Met het behandelplan ga je implementeren. Op een manier die past bij jouw organisatie.

Optie 1 – Coachend

• Jullie voeren uit
• Wij sturen bij, toetsen en borgen kwaliteit
• Geschikt bij een volwassen informatiebeveiligingsorganisatie

Optie 2 – Uitvoerend

Wij nemen werk uit handen, zoals:

• Opstellen of aanscherpen van beleid en procedures
• Inrichten van processen (screening, onboarding, toegang)
• Uitwerken van segmentatie en toegangsmodellen
• Afspraken met leveranciers op ABRO-niveau brengen
• Projectmanagement en afstemming met opdrachtgever/NBIV

Altijd hetzelfde uitgangspunt:
Niet voldoen op papier, maar aantoonbaar in de praktijk.

• Documenten die aansluiten op hoe je werkt
• Maatregelen die uitvoerbaar zijn
• Dossiervorming die standhoudt richting NBIV

Lees ook het artikel: AQAP implementeren: zo krijg je grip op Defensie-eisen

ABRO kent geen certificaat, maar toetsing door NBIV is wel realiteit. Met een interne audit zorg je voor zekerheid vooraf.

We toetsen onder andere:

• Volledigheid van maatregelen
• Werking in de praktijk
• Onderbouwing in documentatie en registraties
• Openstaande aandachtspunten richting NBIV

Dit helpt om invulling te geven aan relevante ABRO-eisen en voorkomt verrassingen.

Lees ook het artikel: Leverancier worden van Defensie: kansen, eisen en aandachtspunten

1. Heldere scope – je weet exact waar ABRO op van toepassing is
2. Realistische TBB-inschatting – onderbouwd richting opdrachtgever en NBIV
3. Concreet gap-overzicht – per hoofdstuk inzichtelijk wat nodig is
4. Risico- en maatregelenplan – praktisch en gekoppeld aan jouw organisatie
5. Ondersteuning in uitvoering – coachend of uitvoerend
6. Grip richting NBIV – voorbereid, aantoonbaar en in control

Deze aanpak sluit aan bij hoe wij compliance zien: niet als verplichting, maar als fundament voor continuïteit en vertrouwen.

Werk je voor Defensie, wil je leveren aan Defensie? Of wil je juist direct aan de slag met ABRO? Wij helpen je om dit alles werkbaar en aantoonbaar in te richten. Meer weten of sparren over jouw situatie? Maak eens kennis!