Subtaak- en ondermandaatbesluit National Security Authority 2025

31 oktober 2025

Nr. D2025-004270/ MINDEF20250032470

De Secretaris-Generaal,

gelet op de NATO Security Policy (Security Within the North Atlantic Treaty Organization, CM(2002)49-REV1),

gelet op de Agreement between the Member States of the European Union, meeting within the Council, regarding the protection of classified information exchanged in the interest of the European Union (2011/C 202/05),

gelet op de Council Decision on the security rules for protecting EU classified information (2013/488/EU),

gelet op de Commission Decision on the security rules for protecting EU classified information (2015/444),

gelet op de Regulations of the European Space Agency, Security Regulations (ESA/REG/004, rev.2),

gelet op het Besluit Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie 2013 (VIRBI),

gelet op het Besluit BVA-stelsel Rijksdienst 2021,

gelet op de door het Koninkrijk of het Ministerie van Defensie afgesloten General Security Agreements en Memoranda of Understanding inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde informatie,

gelet op artikel 27, eerste lid, onder f, van het Algemeen organisatiebesluit defensie 2025,

gelet op het Algemeen mandaat-, volmacht- en machtigingsbesluit Defensie 2022,

Besluit:

Artikel 1. Begrippen

In dit besluit wordt verstaan onder:

DCSA:

Delegated Competent Security Authority;

DSA:

Designated Security Authority;

GSA:

General Security Agreement;

Koninkrijk:

grondgebied van Nederland, Aruba, Curaçao en Sint Maarten;

machtiging:

de bevoegdheid om in naam van de bewindspersoon handelingen te verrichten die noch een besluit noch een privaatrechtelijke rechtshandeling zijn;

mandaat of ondermandaat:

de bevoegdheid om in naam van de bewindspersoon besluiten te nemen;

MoU:

Memorandum of Understanding;

NSA:

National Security Authority;

Security Clearance:

FSC en/of PSC;

Volmacht of ondervolmacht:

de bevoegdheid om in naam van de bewindspersoon privaatrechtelijke rechtshandelingen te verrichten.

Artikel 2. NSA militaire domein

  • 1. Binnen het Ministerie van Defensie heeft de Directeur Bedrijfsvoering en Evaluatie de rol van Beveiligingsautoriteit. De Beveiligingsautoriteit is belast met de taak tot optreden als de National Security Authority binnen het militaire domein. Waar hieronder gesproken wordt over Beveiligingsautoriteit wordt mede bedoeld zijn taak als NSA, tenzij anders verwoord.

  • 2. De Beveiligingsautoriteit stelt namens de Secretaris-Generaal het Defensie Beveiligingsbeleid op en voert toezicht uit op de uitvoering.

  • 3. De Beveiligingsautoriteit heeft in zijn taak tot optreden als de NSA rechtstreeks toegang tot de Secretaris-Generaal.

  • 4. Op basis van het Algemeen organisatiebesluit Defensie 2025 kan de Beveiligingsautoriteit subtaakbesluiten vaststellen ten aanzien van de eenheden waaraan hij leiding geeft. Deze subtaakbesluiten worden vastgesteld na goedkeuring door de Secretaris-Generaal, of – indien de Secretaris-Generaal het subtaakbesluit vaststelt – na goedkeuring door de Minister van Defensie.

Artikel 3. Algemene taken en verantwoordelijkheden NSA

De taak tot optreden als de NSA omvat:

  • a. de taken, bevoegdheden en verantwoordelijkheden op het gebied van beveiliging en toezicht op gerubriceerde informatie binnen het militaire domein, die voor het Koninkrijk zijn beschreven in verdragen en bijbehorende regelgeving van de Noord-Atlantische Verdragsorganisatie, Europese Unie, European Space Agency en andere multilaterale samenwerkingsverbanden waartoe het Koninkrijk is toegetreden;

  • b. de taken, bevoegdheden en verantwoordelijkheden op het gebied van de beveiliging en het toezicht op gerubriceerde informatie binnen het militaire domein, voor zover die voor het Koninkrijk zijn beschreven in bilaterale verdragen en MoU’s die het Koninkrijk met bevriende landen respectievelijk de Ministers van Defensie met elkaar hebben afgesloten inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde informatie;

  • c. de taken, bevoegdheden en verantwoordelijkheden behorend bij het toezicht op het anderszins binnen of buiten de grenzen van het Koninkrijk brengen van gerubriceerde informatie.

Artikel 4. Mandatering taken DSA

  • 1. De Beveiligingsautoriteit is bevoegd aan functionarissen werkzaam voor de diensten, bedoeld in artikel 1 van de Wet op de inlichtingen- en veiligheidsdiensten 2017 ondermandaat, ondervolmacht en machtiging te verlenen, respectievelijk tot het beperken of intrekken daarvan, voor het optreden als DSA binnen het militaire domein, met bevoegdheden op het gebied van het beveiligen van en toezicht houden op gerubriceerde gegevens.

  • 2. Ter invulling van het optreden als DSA binnen het militaire domein met de hierboven genoemde bevoegdheden, zal een dienstverleningskader worden opgesteld door de Directeur Bedrijfsvoering en Evaluatie. Dit dienstverleningskader wordt tenminste eenmaal per twee jaar geëvalueerd en – indien nodig – aangepast.

  • 3. Het in het eerste lid genoemde optreden als DSA ziet uitsluitend op de Nederlandse defensie- en veiligheid gerelateerde technologisch industriële basis en kennisinstellingen binnen het Koninkrijk.

  • 4. De Directeur Bedrijfsvoering en Evaluatie verleent ondermandaat, ondervolmacht en machtiging bedoeld in het eerste lid, bij schriftelijk besluit in overeenstemming met de Secretaris-Generaal.

Artikel 5. Mandatering taken gespecialiseerde autoriteiten

  • 1. De Beveiligingsautoriteit is bevoegd aan functionarissen werkzaam voor de diensten, bedoeld in artikel 1 van de Wet op de inlichtingen- en veiligheidsdiensten 2017 ondermandaat, ondervolmacht en machtiging te verlenen, respectievelijk tot het beperken of intrekken daarvan, voor het optreden binnen het militaire domein als Security Accreditation Authority (SAA), National CIS Security Authority (NCSA), National Tempest Authority (NTA), National Distribution Authority (NDA), en Program Security Officer (PSO).

  • 2. De in lid 1 van dit artikel genoemde bevoegdheden hebben mede betrekking op internationale aspecten van de beveiliging van gerubriceerde informatie en het toezicht daarop en zijn daarmee onderdeel van de NSA-taak.

  • 3. Ter invulling van het optreden als gespecialiseerde autoriteit binnen het militaire domein met de hierboven genoemde bevoegdheden, zal een dienstverleningskader worden opgesteld door de Beveiligingsautoriteit. Dit dienstverleningskader wordt tenminste eenmaal per twee jaar geëvalueerd en – indien nodig – aangepast.

Artikel 6. Ondertekening krachtens mandaat, volmacht of machtiging

Een document dat krachtens mandaat, volmacht of machtiging wordt ondertekend bevat aan het slot de volgende formule:

DE << BEWINDSPERSOON>> VAN DEFENSIE

voor deze,

<< functie, handtekening en naam van de ondertekenaar >>

Artikel 7. Citeertitel en inwerkingtreding

  • 1. Dit besluit treedt in werking met ingang van [datum].

  • 2. Dit besluit wordt aangehaald als: Subtaak- en ondermandaatbesluit NSA.

Dit besluit zal met toelichting in de Staatscourant worden geplaatst.

De Secretaris-Generaal, M.R Schurink

ALGEMENE TOELICHTING

Verplichting tot instellen National Security Authority

Gelet op de regelgeving als genoemd in de aanhef van dit mandaatbesluit is iedere lidstaat van de Europese Unie (EU), Noord-Atlantische Verdragsorganisatie (NAVO) en de Europese Ruimtevaartorganisatie (ESA), via genoemde internationale afspraken gehouden een National Security Authority (NSA) in te stellen met bevoegdheden op het gebied van de beveiliging van en het toezicht op gerubriceerde informatie. Ter illustratie:

EU-, NAVO- en ESA-regelgeving

In Decision 2013/488/EU staat: ‘(...) Member states should: designate an NSA, as listed in Appendix C, responsible for security arrangements for protecting EUCI (...)’ (artikel 16 lid 3).

C-M(2002)49-REV1 omschrijft deze verplichting als: ‘Each NATO Nation shall establish a National Security Authority (NSA) responsible for the security of NATO Classified Information’ (Enclosure B, artikel 3).

Tenslotte luidt ESA/REG/004, rev 2: ‘Each ESA Member State shall implement the ESA security standards as contained in these Regulations so as to ensure a common degree of protection for Classified Information; accordingly, it shall be responsible for: (a) designating a National Security Authority (NSA)/Designated Security Authority (DSA) responsible for the security of ESA Classified Information; (...)’ (Section II, artikel 2).

De NSA in Nederland

Nederland heeft in 1950 een NSA opgericht. In 2001 is de NSA gesplitst in een NSA voor het civiele- en een NSA voor het militaire domein. De NSA voor het civiele domein is ondergebracht binnen de Algemene Inlichtingen- en Veiligheidsdienst, onder het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Hiervoor geldt een separaat mandaatbesluit.1 De taak tot optreden als NSA binnen het militaire domein is belegd bij de Directeur Bedrijfsvoering en Evaluatie (DBE) in zijn/haar rol als Beveiligingsautoriteit binnen het Directoraat-generaal Beleid (DGB) van het Ministerie van Defensie. Dit is vastgelegd in het Algemeen Organisatiebesluit Defensie. Het onderhavig mandaatbesluit heeft alleen betrekking op de NSA voor het militaire domein.

Andere multilaterale samenwerkingsverbanden

Als het Koninkrijk toetreedt tot andere multilaterale samenwerkingsverbanden met regelgeving over de uitwisseling en beveiliging van gerubriceerde informatie, dan geldt dit mandaatbesluit tevens voor die samenwerkingsverbanden. Gedacht kan worden aan het voornemen om toe te treden tot de Organisation Conjointe de Coopération en matière d'Armement (OCCAR), zoals bedoeld in artikel 3 onder a van dit mandaatbesluit.

Beveiligingsverdragen en Memorandums of Understanding

Ook in bilaterale verdragen die het Koninkrijk afsluit met bevriende landen en Ministers van Defensie inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde informatie bevatten in de regel een verplichting om een ‘security authority’ aan te wijzen met bepaalde bevoegdheden. Daarvoor wordt in bepaalde gevallen de term Competent Security Authority en Delegated Competent Security Authority gehanteerd, waarmee dezelfde autoriteit wordt bedoeld, die in de multilaterale verdragen als NSA wordt aangeduid. Als voorbeeld wordt hier genoemd het “Beveiligingsverdrag tussen het Koninkrijk der Nederlanden en het Koninkrijk Noorwegen inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens (met Bijlage)”.2 Ook deze autoriteiten worden gelet op artikel 3 onder b van dit besluit tot de taak van de NSA gerekend.

Hetzelfde geldt mutatis mutandis voor Memorandums of Understanding die door de Minister van Defensie wordt afgesloten over de uitwisseling en beveiliging van gerubriceerde informatie.

Nadere informatie en de tekst van deze beveiligingsverdragen en MoU’s zijn – voor daartoe bevoegde defensiemedewerkers – terug te vinden op de intranetpagina van de BA/NSA.

ARTIKELSGEWIJZE TOELICHTING

Artikel 1

Memorandum of Understanding (MoU)

Een MoU is een internationale (beleids)afspraak/overeenkomst (bi- of multilateraal) die getekend wordt door of namens de Minister (of Staatssecretaris) van Defensie. Vaak zijn MoU's een afspraak of overeenkomst over één bepaald onderwerp.

Het essentiële verschil tussen een General Security Agreement (GSA) en MoU is dat een GSA juridisch bindende verplichtingen schept voor staten of internationale organisaties, terwijl een MoU een internationale beleidsafspraak is die met name politiek en moreel verbindend is voor regeringen, Ministers, andere overheden of onderdelen van internationale organisaties.

General Security Agreement (GSA)

  • Een GSA is een verdrag en heeft ten doel de beveiliging te waarborgen van gerubriceerde gegevens die worden uitgewisseld tussen de partijen of tussen rechtspersonen of natuurlijke personen onder hun rechtsmacht, of die worden gegenereerd in het kader van een bilateraal programma uit hoofde van dit Verdrag. In het Verdrag worden de veiligheidsprocedures en regelingen voor deze beveiliging vastgelegd.

  • Binnen het Ministerie van Defensie is de Directeur Bedrijfsvoering en Evaluatie naast Beveiligingsautoriteit (BA) ook NSA voor het militaire domein en de coördinator van GSA's. De NSA voor het militaire domein stemt niet alleen binnen het departement de concept GSA's af maar zorgt ook voor interdepartementale afstemming met het Ministerie van Buitenlandse Zaken en het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.

Security Clearance:

  • Facility Security Clearance (FSC)

    Voor bedrijven die werkzaamheden gaan uitvoeren voor o.a. de NAVO, bevriende landen, bondgenoten, EU of ESA waarvoor fysieke toegang nodig is tot deze organisaties en/of toegang nodig is tot gerubriceerde informatie, eisen de internationale organisaties en buitenlandse overheden in veel gevallen een Facility Security Clearance (FSC).

    Een FSC is een autorisatie waaruit blijkt dat het bedrijf voldoet aan de gestelde eisen van integrale beveiliging op een bepaald rubriceringsniveau.

    Voor het aanvragen van een FSC is een 'bewijs van noodzaak' nodig. Hierin moet de reden van de aanvraag en de beveiligingseisen staan met daarin het vereiste niveau van de clearance.

    Vaak is in een tender de eis opgenomen dat inschrijving voor bedrijven alleen mogelijk is met een geldig FSC voor een zeker rubriceringsniveau met een bepaalde geldigheidsduur.

  • Personnel Security Clearance (PSC)

    Medewerkers van het bedrijf die in aanraking (kunnen) komen met gerubriceerde van NAVO, bevriende landen, bondgenoten, EU, of ESA informatie en/of toegang moeten krijgen tot deze organisaties moeten beschikken over een Personnel Security Clearance (PSC). Een PSC is iets anders dan een verklaring van geen bezwaar (VGB).

    Waar een VGB nodig is voor een door een minister aangewezen vertrouwensfunctie (die zowel bij de overheid als in het bedrijfsleven bestaan), is een PSC nodig voor medewerkers die vanuit hun functie in aanraking (kunnen) komen met gerubriceerde NAVO, EU of ESA informatie en/of toegang tot deze organisaties moeten krijgen.

Voor zowel een PSC als een VGB wordt een veiligheidsonderzoek uitgevoerd, waarvan de omvang en diepgang in lijn is met de functie of de werkzaamheden.

Over het algemeen geven de AIVD en MIVD namens de NSA’s alleen PSC's af aan personen met de Nederlandse nationaliteit.

Artikel 2

NSA-taken voor het militaire domein

Met het militaire domein wordt niet alleen het Ministerie van Defensie bedoeld, maar ook alle activiteiten voor defensiedoeleinden binnen het Koninkrijk van entiteiten als de industrie en kennisinstellingen die in Nederland werkzaamheden verrichten binnen of voor het militaire domein. Een voorbeeld hiervan zijn onderzoeks- en ontwikkelingsprojecten op het gebied van militaire technologie waar Nederlandse defensiebedrijven of kennisinstellingen samenwerken met buitenlandse partners. Kort gezegd, indien een onderwerp raakvlakken heeft met het Militair industrieel complex (MIC) ofwel de ‘Nederlandse defensie- en veiligheid gerelateerde technologisch industriële basis (NLDTIB)’, dan valt dit onder de verantwoordelijkheid van de NSA binnen het militaire domein. Indien dit niet geval is, valt het onder de bevoegdheid van NSA binnen het civiele domein.

Waar internationale regelgeving ontbreekt is het net zo belangrijk om gerubriceerde informatie te beveiligen en op die beveiliging toezicht te houden als deze wordt uitgewisseld met partijen buiten het Koninkrijk der Nederlanden. Ook die bevoegdheden worden in het kader van dit besluit onder de NSA-taken geschaard.

Verantwoordelijkheid NSA

Zoals blijkt uit voorgaande bronnen is de NSA binnen zijn (lid)staten verantwoordelijk voor de juiste beveiliging van respectievelijk EU-, NAVO-, ESA-regelgeving. Daarnaast is de NSA verantwoordelijk voor de door bevriende landen gerubriceerde gedeelde informatie ten behoeve van partijen in Nederland en voor informatie die vanuit Nederland met partijen in andere landen wordt gedeeld. Hierbij behorende handelingen zijn bijvoorbeeld:

  • het (doen) uitvoeren van veiligheidsonderzoeken naar personen die toegang vergen tot EU-, NAVO-, ESA of door bevriende landen gerubriceerde informatie en hen daartoe vervolgens, wanneer opportuun, een Personnel Security Clearance (PSC) verstrekken of het intrekken daarvan;

  • wanneer opportuun en gelet op de eisen die daaromtrent worden gesteld, het doen afgeven of intrekken van een Facility Security Clearance (FSC) aan bedrijven of kennisinstituten die, op basis van enige overeenkomst, toegang nodig hebben tot EU- NAVO-, ESA- of door bevriende landen gerubriceerde informatie, dan wel zulks zullen genereren en het houden van toezicht op bedrijven of kennisinstellingen met een FSC.

  • dat betrokken bedrijven en kennisinstellingen over een facility security clearance (FSC) beschikken;

  • dat natuurlijke personen die toegang tot die informatie krijgen of hebben over een personnel security clearance (PSC) beschikken;

  • dat Nederland wordt vertegenwoordigd in internationale overlegorganen op het gebied van security;

  • dat er waar nodig raamwerk- of maatwerkafspraken worden gemaakt over de wijze van uitwisseling met NSA’s uit andere landen;

  • etc.

Artikel 3

Gerubriceerde informatie

Gerubriceerde informatie: alle informatie of materiaal, in enigerlei vorm, waarvan de openbaarmaking zonder machtiging de belangen van de Staat, zijn bondgenoten, de NATO, de Europese Unie of van een of meer van haar lidstaten in meerdere of mindere mate zou kunnen schaden en die een passend niveau van rubricering, draagt.

De belangrijkste rubriceringen zijn:

Nederland

NAVO

EU

Dep. Vertrouwelijk

NATO RESTRICTED /

OTAN DIFFUSION RESTREINTE

EU RESTRICTED /

RESTREINT UE

Stg. CONFIDENTIEEL

NATO CONFIDENTIAL /

OTAN CONFIDENTIEL

EU CONFIDENTIAL /

CONFIDENTIEL UE

Stg. GEHEIM

NATO SECRET /

OTAN SECRET

EU SECRET /

SECRET UE

Stg. ZEER GEHEIM

COSMIC TOP SECRET /

COSMIC TRES SECRET

EU TOP SECRET /

TRES SECRET UE

Welke type uitwisseling van gerubriceerde informatie in elk geval tot het militaire domein van de NSA wordt gerekend zijn de volgende:

  • de uitwisseling tussen ons Ministerie van Defensie en een Ministerie van Defensie uit een ander land, inclusief de krijgsmachten;

  • de uitwisseling tussen ons Ministerie van Defensie en een (buitenlands) bedrijf, bijvoorbeeld in het kader van een defensieopdracht, inclusief de uitwisseling tussen dat bedrijf en een onderaannemer of onderaannemers onderling of met het Ministerie van Defensie;

  • de uitwisseling tussen het Ministerie van Defensie en/of krijgsmacht uit een ander land en een Nederlandse bedrijf of kennisinstelling, bijvoorbeeld in het kader van een defensieopdracht, inclusief de uitwisseling tussen dat bedrijf en een onderaannemer of onderaannemers onderling;

  • de uitwisseling tussen een Nederland bedrijf of kennisinstelling en de Europese Commissie of een ander orgaan van een multilateraal samenwerkingsverband in het kader van een ontwikkel- of onderzoeksprogramma op het gebied van militaire technologie, bijvoorbeeld het EDF-programma van de EU, DIANA van de NATO of projecten van OCCAR. In het kader van dit soort projecten kan zo’n bedrijf of instelling ook informatie uitwisselen met een andere bedrijf dat in het kader van het programma tot hetzelfde consortium behoort of als onderaannemer betrokken is of een Ministerie van Defensie. Ook ons Ministerie van Defensie kan in dat kader informatie uitwisselen met een van de in dit punt genoemde partijen, bijvoorbeeld als cofinancier van zo’n project.

  • de uitwisseling in het kader van andere militaire activiteiten van de NATO, de EU etc.

Artikel 4

Het is gebruikelijk dat de NSA voor de uitvoering van een of meer onderdelen van de NSA-taak die zien op de (defensie)industrie en kennisinstituten een zogenaamde Designated Security Authority (DSA) aanwijst. De DSA werkt onder toezicht van de NSA.

Artikel 5

Voor deze bijbehorende specialistische autoriteitsrollen kan door de NSA (onder)volmacht zijn verleend aan functionarissen van de Militaire Inlichtingen- en Veiligheidsdienst en de Algemene Inlichtingen- en Veiligheidsdienst voor de uitvoering, zoals ook volgt uit artikel 4 van dit besluit.

Bij de NSA-taken hoort ook de taak om een aantal specialistische autoriteitsrollen te coördineren, waaronder die van Security Accreditation Authority (SAA), National CIS Security Authority (NCSA), National Tempest Authority (NTA), National Distribution Authority (NDA), en Program Security Officer (PSO). Deze autoriteitsrollen hebben ook betrekking op een internationaal aspect van de beveiliging van gerubriceerde informatie en het toezicht daarop, bijvoorbeeld door het accrediteren van systemen waarop gerubriceerde informatie wordt verwerkt. Deze specialistische autoriteitsrollen worden in het kader van dit besluit gerekend tot onderdeel van de NSA-taak.

Artikel 7

Inwerkingtreding

Dit besluit zal op de eerstvolgende dag na ondertekening in werking treden.

De Secretaris-Generaal, M.R. Schurink

X Noot
1

Besluit van de Minister van Binnenlandse Zaken en Koninkrijksrelaties houdende mandaatverlening aan de directeur-generaal van de Algemene Inlichtingen- en Veiligheidsdienst voor het optreden als National Security Authority (Mandaatbesluit National Security Authority), Stcrt. 2023, 5557.

X Noot
2

Trb. 2023, 132.

Naar boven