De ABDO: Beveiligingseisen voor defensie opdrachten

Defensie bedrijven moeten aan hogere beveiligingseisen voldoen dan overige bedrijven, vaak zelfs aan hogere eisen dan bedrijven die werkzaam zijn in vitale sectoren.

Vaak werken defensie organisaties echter samen met het bedrijfsleven, bij voorbeeld bij de uitvoering van een contract tot het opleveren van bepaalde activa. In dergelijke situaties legt Defensie beveiligingseisen op aan haar partners. Deze beveiligingseisen zijn vastgelegd in de ABDO 2019, de Algemene Beveiligingseisen voor Defensie Opdrachten. Het normenkader van de ABDO loopt op cybergebied parallel aan (internationale) normenkaders zoals ISO27001 en de Nederlandse BIO.

De ABDO is bedoeld om de beveiligingseisen te beheersen tegen gevaren als criminaliteit, extremisme, sabotage, terrorisme en spionage. Er moeten maatregelen zijn geïmplementeerd die voldoende weerstand bieden tegen deze dreigingen. De zwaarte van de maatregelen hangt af van het specifieke dreigingsbeeld. Het Ministerie van Defensie hanteert daartoe een rubriceringssysteem bestaande uit vier niveaus van Te Beschermen Belangen:

Rubricering Categorie Dreiging bij ongeautoriseerde toegang
ZEER GEHEIM TBB1 Kan zeer ernstige schade toebrengen aan de Staat of zijn bondgenoten
GEHEIM TBB2 Kan ernstige schade toebrengen aan de Staat of zijn bondgenoten
CONFIDENTIEEL TBB3 Kan schade toebrengen aan de Staat of zijn bondgenoten
DEPARTEMENTAAL VERTROUWELIJK TBB4 Kan nadeel toebrengen aan één of meer ministeries

Om te waarborgen dat een opdrachtnemer conform de ABDO vereisten omgaat met een TBB en het juiste beveiligingsregime toepast sluit Defensie een Bijzondere opdracht (BO) af met de opdrachtnemer. In een BO wordt de opdrachtnemer contractueel verplicht tot implementatie van de vereiste beveiligingsmaatregelen. Het kan daarbij gaan om maatregelen op het gebied van informatiebeveiliging/cyber, maar ook op de gebieden bestuur en organisatie, personeel of fysieke beveiligingsmaatregelen, zoals toegangsrestricties.

Het MIVD is belast met het verstrekken van de vergunningen en de controle op de naleving van de ABDO. Voor internationale projecten kunnen ook de NAVO of EU-organen inspecties uitvoeren. Een autorisatie wordt steeds verleend per contract en heeft geen algemene of permanente werking.

Als U wilt inschrijven op defensie opdrachten is het belangrijk om aantoonbaar in compliance te zijn met deze regelgeving. Dit kan voor uw projectmanagement verstrekkende consequenties hebben. De aanvraag voor een autorisatie of Facility Security Clearance Certificate kost tijd. Dit traject kent 3 fasen die achtereenvolgens doorlopen moeten worden: de oriëntatie-, de offerte- en de gunningsfase. Vroegtijdige aandacht hiervoor voorkomt teleurstelling!

Oktober 2022