Neem contact op

 
Home · Information Security · ABDO
 

ABDO: Algemene Beveiligingseisen voor Defensieopdrachten

Ga je een opdracht uitvoeren voor Defensie waarbij sprake is van verhoogde veiligheidsrisico’s of toegang tot vertrouwelijke of gerubriceerde informatie? Dan kun je te maken krijgen met de Algemene Beveiligingseisen voor Defensieopdrachten (ABDO).

ABDO is een streng beveiligingskader dat het Ministerie van Defensie toepast bij opdrachten waarbij gevoelige informatie of nationale veiligheidsbelangen een rol spelen. Organisaties moeten aantoonbaar passende beveiligingsmaatregelen treffen om gevoelige informatie, locaties, objecten en informatiesystemen te beschermen.

Cuccibu ondersteunt organisaties bij het implementeren en borgen van de ABDO-eisen, zodat jouw organisatie veilig én aantoonbaar kan samenwerken met Defensie.

Let op! Defensie stapt voor nieuwe opdrachten over op de Algemene Beveiligingseisen voor Rijksoverheidsopdrachten (ABRO). Voor lopende defensiecontracten blijft de ABDO van toepassing.

Neem vrijblijvend contact op over ABDO

ABDO

Wat is de ABDO?

De Algemene Beveiligingseisen voor Defensieopdrachten (ABDO) bevat beveiligingseisen voor organisaties die in opdracht van het Ministerie van Defensie werkzaamheden uitvoeren waarbij sprake is van een Te Beschermen Belang (TBB). Organisaties moeten risico’s in kaart brengen en passende beveiligingsmaatregelen treffen om deze risico’s weg te nemen of terug te brengen tot een aanvaardbaar niveau. Net als bij ISO 27001 staat ook binnen de ABDO de beschikbaarheid, integriteit en vertrouwelijkheid van informatie centraal.

De ABDO is opgebouwd rondom vier beveiligingsdomeinen:

  • Bestuur en organisatie. Beveiliging begint bij goed bestuur. Rollen en verantwoordelijkheden moeten duidelijk zijn vastgelegd, risico’s moeten aantoonbaar worden beoordeeld en beheerst en beveiligingsbeleid moet breed gedragen zijn binnen de organisatie. Ook incidentmanagement en continue verbetering maken hier onderdeel van uit.
  • Personele beveiliging. Medewerkers die werken met gevoelige informatie moeten betrouwbaar zijn en zich bewust zijn van hun verantwoordelijkheden. Afhankelijk van de opdracht kunnen veiligheidsonderzoeken of screenings verplicht zijn. Daarnaast is structurele aandacht voor security awareness essentieel.
  • Fysieke beveiliging. Gebouwen, ruimtes, documenten en bedrijfsmiddelen moeten passend worden beschermd tegen onbevoegde toegang. Hierbij wordt gebruikgemaakt van organisatorische, bouwkundige, elektronische en reactieve beveiligingsmaatregelen (OBER), afgestemd op het risico van de opdracht.
  • Informatie- en cyberbeveiliging. IT-systemen, netwerken en gegevensuitwisseling moeten aantoonbaar veilig zijn ingericht. De ABDO stelt eisen aan onder andere informatiebeveiliging, toegangsbeveiliging, cryptografie, logging, monitoring en incidentmanagement. Ook de beveiliging binnen de keten speelt een belangrijke rol.

 

De rol van de Cyber-Beveiligingsfunctionaris

Organisaties die aan de ABDO moeten voldoen, zijn verplicht een Cyber-Beveiligingsfunctionaris aan te wijzen. Deze functionaris is verantwoordelijk voor de dagelijkse coördinatie van alle beveiligingsactiviteiten rondom defensieopdrachten en vormt het vaste aanspreekpunt voor onder andere de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) en de Algemene Inlichtingen- en Veiligheidsdienst (AIVD).

De Cyber-Beveiligingsfunctionaris ziet toe op de naleving van de ABDO, bewaakt de beveiligingsmaatregelen en draagt bij aan de bewustwording rondom informatiebeveiliging binnen de organisatie.

ABDO vs. ABRO 

De Algemene Beveiligingseisen voor Rijksoverheidsopdrachten (ABRO) is het nieuwe beveiligingskader voor organisaties die werkzaamheden uitvoeren voor de Rijksoverheid waarbij sprake is van risico’s voor de nationale veiligheid. Met de ABRO wil de overheid de nationale veiligheid beter beschermen én een uniform beveiligingskader bieden voor organisaties die opdrachten uitvoeren voor de Rijksoverheid.

Zowel de ABDO als de ABRO zijn opgesteld om vertrouwelijke informatie en nationale belangen te beschermen. Beide kaders hanteren een risicogebaseerde aanpak en leggen nadruk op continuïteit, betrouwbaarheid, personele integriteit en security awareness.

De Rijksoverheid voert de ABRO sinds 1 januari 2026 in en treedt gefaseerd in werking. Defensie gebruikt voor nieuwe contracten de ABRO. Voor lopende contracten van Defensie blijven de Algemene Beveiligingseisen voor Defensieopdrachten (ABDO) gelden.

ABDO vs. ABRO

Hoe kan Cuccibu ondersteunen?

De ABDO vraagt om een combinatie van organisatorische, technische, mensgerichte en fysieke beveiligingsmaatregelen. Dankzij onze ervaring op het gebied van informatiebeveiliging ondersteunen wij organisaties bij het realiseren én borgen van de ABDO-eisen. Daarbij kijken we niet alleen naar de norm, maar vooral naar een werkbare inrichting die aansluit bij de praktijk van jouw organisatie.

Neem vrijblijvend contact op over ABDO

GAP-analyse
Wil je weten waar jouw organisatie staat? Met een GAP-analyse brengen we in kaart in hoeverre jouw organisatie voldoet aan de eisen uit de ABDO en welke acties nodig zijn.

Implementatie
Wij ondersteunen bij beleid, risicoanalyses en het implementeren van de benodigde maatregelen op het gebied van bestuur, personeel, fysiek en cyber. Zo voldoe je aantoonbaar aan de ABDO-eisen.

Training & begeleiding
Een veilige organisatie begint bij mensen. Wij verzorgen bewustwordingssessies voor medewerkers en begeleiden de Cyber-Beveiligingsfunctionaris bij het uitvoeren van zijn of haar rol binnen de organisatie.

 

Veelgestelde vragen ABDO

Hieronder beantwoorden we de veelgestelde vragen over de Algemene Beveiligingseisen voor Defensieopdrachten (ABDO).

De ABDO is van toepassing op organisaties die werkzaamheden uitvoeren voor het Ministerie van Defensie waarbij sprake is van verhoogde veiligheidsrisico’s of een Te Beschermen Belang (TBB). Niet iedere defensieopdracht valt onder de ABDO. Of de beveiligingseisen van toepassing zijn, wordt bepaald door Defensie en vastgelegd in de opdracht of overeenkomst. De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) ziet toe op de naleving van de ABDO.

Nee. Voor de ABDO bestaat geen certificering, zoals bijvoorbeeld bij ISO 27001. Organisaties verkrijgen een ABDO-accreditatie. Hiervoor beoordeelt het Bureau Industrieveiligheid van de MIVD of een organisatie voldoet aan de gestelde beveiligingseisen. Na een positieve beoordeling kan een organisatie worden geautoriseerd om opdrachten onder de ABDO uit te voeren.

Ja, wanneer dit is opgenomen in de opdracht of overeenkomst met Defensie. Zodra een opdracht betrekking heeft op vertrouwelijke of gerubriceerde informatie of risico’s met zich meebrengt voor de nationale veiligheid, kunnen de ABDO-eisen verplicht worden gesteld.

Een Te Beschermen Belang (TBB) is een verzamelnaam voor gevoelige informatie, goederen, materieel, systemen of objecten die bescherming vereisen. Deze kunnen worden voorzien van een rubricering, ook wel Bijzondere Informatie (BI) genoemd.

Er wordt onderscheid gemaakt tussen staatsgeheime- en niet staatsgeheime informatie. Een BI is staatsgeheim als de staat of haar bondgenoten schade ondervinden bij kennisname door onbevoegden. Een BI is niet staatsgeheim als niet gerechtige kennisname zorgt voor schade bij een of meerder ministeries.

Binnen de ABDO worden vier rubriceringsniveaus onderscheiden:

  • TBB1 – Zeer Geheim
  • TBB2 – Geheim
  • TBB3 – Confidentieel
  • TBB4 – Departementaal Vertrouwelijk

Hoe hoger de rubricering, hoe zwaarder de beveiligingsmaatregelen die van toepassing zijn.

Gerubriceerde informatie is informatie waarvan Defensie heeft vastgesteld dat onbevoegde kennisname schade kan toebrengen aan de nationale veiligheid of andere vitale belangen. Daarom mag deze informatie alleen worden verwerkt, opgeslagen of gedeeld door personen die hiervoor bevoegd zijn en binnen een passend beveiligingsniveau werken.

De ABDO geldt voor opdrachten van het Ministerie van Defensie waarbij sprake is van verhoogde veiligheidsrisico’s of gerubriceerde informatie. De ABRO is het nieuwe beveiligingskader voor opdrachten van de Rijksoverheid waarbij nationale veiligheidsbelangen een rol spelen. Voor nieuwe opdrachten wordt ABRO de opvolger van ABDO, terwijl bestaande defensieopdrachten voorlopig onder de ABDO blijven vallen.

ABDO en ISO 27001 hebben veel raakvlakken. Beiden zijn gebaseerd op risicomanagement en bevatten maatregelen voor het beschermen van informatie en informatiesystemen. Wanneer jouw organisatie ISO 27001 goed heeft ingericht, beschik je daarom al over een sterke basis voor een belangrijk deel van de ABDO-eisen.

Toch betekent een ISO 27001-certificaat niet automatisch dat je voldoet aan de ABDO. De ABDO bevat aanvullende, defensiespecifieke eisen op het gebied van onder andere fysieke beveiliging, personele screening, omgang met gerubriceerde informatie en ketenbeveiliging. Ook worden aanvullende OBER-maatregelen (Organisatorisch, Bouwkundig, Elektronisch en Reactief) voorgeschreven.

ISO 27001 vormt daarmee een stevig fundament, terwijl de ABDO aanvullende beveiligingsmaatregelen vraagt die specifiek zijn afgestemd op opdrachten voor Defensie.

De BIO2 is het normenkader voor informatiebeveiliging binnen de Nederlandse overheid en is gebaseerd op de internationale ISO 27001-standaard. De norm helpt overheidsorganisaties om informatiebeveiliging risicogestuurd in te richten.

De ABDO heeft een ander doel. Deze is specifiek bedoeld voor organisaties die werkzaamheden uitvoeren voor Defensie waarbij sprake is van verhoogde veiligheidsrisico’s of vertrouwelijke informatie.

Ondersteuning bij ABDO

Wil je weten wat de ABDO betekent voor jouw organisatie of heb je ondersteuning nodig bij de implementatie? Onze specialisten denken graag met je mee.

Neem vrijblijvend contact met ons op en ontdek hoe wij jouw organisatie kunnen ondersteunen bij een veilige en aantoonbare samenwerking met Defensie.

"*" geeft vereiste velden aan

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
Ik kom graag in contact over:
Onze privacy- en cookieverklaring is van toepassing op de verwerking van de gegevens die je hier verstrekt.
Informatiebeveiliging aantoonbaar in control

Andere relevante Information Security diensten