Er zijn organisaties die partner zijn van Defensie. Deze organisaties kunnen in het bezit komen van informatie die gevoelig is in het kader van de nationale veiligheid of spionage. Gevoelige informatie kan staatsgeheim zijn en het uitlekken van deze informatie kan de Nederlandse staat of haar bondgenoten schaden. Wanneer een organisatie aan de slag gaat voor Defensie doet de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) onderzoek naar de beveiliging van de organisatie en moet zij voldoen aan de Algemene Beveiligingseisen voor Defensieopdrachten (ABDO). De ABDO bevat eisen voor organisaties die in opdracht voor het Ministerie van Defensie een Te Beschermen Belang (TBB) onder brengen buiten de Rijksoverheid. Risico’s voor TBB moeten in kaart worden gebracht. Vervolgens moeten er beveiligingsmaatregelen worden getroffen om het risico weg te nemen of te reduceren tot een aanvaardbaar restrisico. De eisen van de ABDO worden gecategoriseerd in de domeinen bestuur en organisatie, personeel, fysiek en cyber.
Een Te Beschermen Belang (TBB) is een verzamelnaam voor informatie, materieel, goederen en objecten dat gevoelig is. Deze elementen kunnen worden voorzien van rubricering, ook wel Bijzondere Informatie (BI) genoemd. Daarbij wordt onderscheid gemaakt tussen staatsgeheime- en niet staatsgeheime informatie. Een BI is staatsgeheim als de staat of haar bondgenoten schade ondervinden bij kennisname door onbevoegden. Een BI is niet staatsgeheim als niet gerechtige kennisname zorgt voor schade bij een of meerder ministeries. De ABDO hanteert vier TBB categorieën: TBB1 is zeer geheim, TBB2 is geheim, TBB3 is confidentieel en TBB4 is departementaal vertrouwelijk.
Wist je dat een ABDO geaccrediteerde organisatie ook een beveiligingsfunctionaris in dienst moet hebben? Een beveiligingsfunctionaris is verantwoordelijk voor alle dagelijkse werkzaamheden rondom informatiebeveiliging voor defensieopdrachten, zoals het beveiligen van gerubriceerde informatie (Te Beschermen Belang). Gerubriceerde informatie is informatie dat als staatsgeheim of van vitaal belang is verklaard. De beveiligingsfunctionaris is vergelijkbaar met een Security Officer. Echter, een beveiligingsfunctionaris moet officieel benoemd worden door de MIVD. Daarnaast is hij/zij ook het vaste aanspreekpunt voor diverse instanties, waaronder de MIVD en AIVD. Het aanstellen van een beveiligingsfunctionaris is een verplichting vanuit de norm.
Hulp nodig bij het voldoen aan de Algemene Beveiligingseisen voor Defensieopdrachten? Onze consultants helpen graag! We kunnen bijvoorbeeld starten met het uitvoeren van een nulmeting om te bepalen waar jouw organisatie staat. Op basis van de resultaten stellen we een plan van aanpak op en gaan we samen aan de slag met de actiepunten. Daarnaast kunnen we ook de beveiligingsfunctionaris binnen jouw organisatie begeleiden. Neem vrijblijvend contact op en we vertellen je graag meer over de mogelijkheden.
We zetten de meest gestelde vragen over de ABDO voor je op een rijtje.
Organisaties die werkzaamheden uitvoeren voor Defensie moeten voldoen aan de eisen uit de ABDO 2019. De MIVD is verantwoordelijk voor de handhaving.
Het is niet mogelijk om te certificeren op de ABDO. De ABDO is op basis van accreditatie. Accreditatie is de erkenning door een gezaghebbende organisatie dat een organisatie of persoon competent is om een bepaalde taak uit te voeren. Om de ABDO-status te verkrijgen moet een organisatie een aantal formulieren invullen en indienen bij het Bureau Industrieveiligheid van de MIVD. Zij auditeren en autoriseren de organisaties.
De ABDO 2019 is onder andere gebaseerd op nationale- en internationale wetgeving, zoals voorschriften vanuit de NAVO en de EU. Daarnaast is de norm gebaseerd op ISO 27001 en heeft de ABDO bijna alle beheersmaatregelen uit deze norm opgenomen. In de ABDO zijn aanvullende maatregelen opgenomen, voornamelijk in het hoofdstuk ‘Fysiek’. Deze maatregelen zijn op basis van OBER. OBER staat voor beheersmaatregelen van Organisatorische, Bouwkundige, Elektromagnetische en Reactieve aard. Het is vooral belangrijk om te onthouden dat jouw organisatie niet automatisch voldoet aan de ABDO wanneer je een managementsysteem hebt conform ISO 27001.