ABRO 2026, Algemene Beveiligingseisen voor Rijksoverheidsopdrachten 2026, Ministerie van Binnenlandse Zaken en Koninkrijksrelaties

TBB 3

Staatsgeheim CONFIDENTIEEL

Kennisname door niet-gerechtigden kan schade toebrengen aan het belang van de Staat of zijn bondgenoten.

TBB 1

Staatsgeheim ZEER GEHEIM

Kennisname door niet-gerechtigden kan zeer ernstige schade toebrengen aan het belang van de Staat of zijn bondgenoten.

Fysieke opslag

Fysiek opslag en verwerking van Te Beschermen Belang op locatie van Opdrachtnemer

Clouddienst

Gebruik van publieke Cloudoplossingen

1.1.1

Opdrachtnemer beschikt over een door het Hoogste bestuursorgaan van de Opdrachtnemer bekrachtigd integraal beveiligingsbeleid dat organisatorische, personele, fysieke en cybersecurity-aspecten beschrijft. Dit beleid kent geen belemmeringen om te kunnen voldoen aan de vanuit ABRO 2026 vereiste maatregelen.

1.1.3

Opdrachtnemer heeft een risicomanagementproces vastgesteld en geïmplementeerd in relatie tot de Bijzondere Opdracht(en) en het Te Beschermen Belang.

1.1.5

Afhankelijk van de aard en omvang van de Bijzondere Opdracht(en), kan Opdrachtnemer een medewerker aandragen voor de rol van Cyber-Beveiligingsfunctionaris bij NBIV conform formulier 'Aanstelling Beveiligingsfunctionaris'. Na goedkeuring wordt de Cyber-Beveiligingsfunctionaris benoemd door NBIV. Zo nodig kunnen één of meerdere sub-Cyber-Beveiligingsfunctionarissen worden benoemd, zie ook bijlage 2.

1.1.7

Indien bij de Bijzondere Opdracht gebruik wordt gemaakt van Cryptografische beveiligingsoplossingen draagt Opdrachtnemer een medewerker aan voor de rol van Cryptobeheerder bij NBIV conform formulier 'Aanstelling Cryptobeheerder'. Na goedkeuring wordt de Cryptobeheerder benoemd door NBIV. Zo nodig kunnen meerdere Cryptobeheerders worden benoemd, zie ook bijlage 3.

1.1.9

Het Beveiligingsplan is alleen toegankelijk voor Geautoriseerde Medewerkers en bij het opstellen en behandelen van het Beveiligingsplan zijn maatregelen getroffen om de Integriteit en Vertrouwelijkheid te waarborgen, waaronder het toepassen van 'Need-to-Be' en 'Need-to-Know'.

1.1.11

Opdrachtnemer overlegt zo snel als mogelijk en uiterlijk binnen 48 uur na een daartoe strekkend verzoek van NBIV een actuele registratie van Bedrijfsmiddelen die worden gebruikt voor de Bijzondere Opdracht(en).

1.1.13

Opdrachtnemer heeft bij het inrichten van beveiligingsmaatregelen rekening gehouden met vigerende wetgeving om te zorgen dat het welzijn en de veiligheid van medewerkers niet in het geding komt. Indien vigerende wetgeving, zoals de Arbowet, maakt dat bepaalde beveiligingsmaatregelen niet volledig kunnen worden geïmplementeerd, heeft Opdrachtnemer in afstemming met NBIV passende mitigerende maatregelen genomen.

1.1.15

Toegang tot een Te Beschermen Belang of Systeem uit hoofde van controles of audits door anderen dan wettelijke toezichthouders of andere bij wet gemandateerde instanties, is vooraf goedgekeurd door NBIV.

1.1.17

Bij beëindiging van de Bijzondere Opdracht dient Opdrachtnemer alle door Opdrachtgever verstrekte of tijdens de Bijzondere Opdracht gegenereerde Te Beschermen Belangen te retourneren conform een met Opdrachtgever vastgesteld proces, tenzij Opdrachtgever in afstemming met NBIV, voorafgaand schriftelijk goedkeuring heeft verleend het Te Beschermen Belang te vernietigen middels goedgekeurde procedures en methodes.

1.2.1

De Beveiligingsfunctionaris is ten minste verantwoordelijk voor de taken zoals beschreven in bijlage 2.

1.2.3

De Beveiligingsfunctionaris toetst jaarlijks en bij wijzigingen het Beveiligingsplan en onderliggende beveiligingsmaatregelen aan de praktijk. Hierbij wordt ten minste gebruik gemaakt van de zelfinspectielijst. De resultaten hiervan zijn schriftelijk vastgelegd en gerapporteerd aan het Hoogste bestuursorgaan van Opdrachtnemer, met afschrift aan NBIV. Bij wijzigingen wordt het Beveiligingsplan geactualiseerd.

1.2.5

Wijzigingen in beveiligingsmaatregelen, bijvoorbeeld naar aanleiding van een gewijzigd dreigingsbeeld of een Beveiligingsincident, zijn vastgelegd in het Beveiligingsplan binnen de door NBIV gestelde termijn.

1.2.7

De Beveiligingsfunctionaris beschikt over een actueel overzicht van alle Te Beschermen Belangen die in beheer zijn van Opdrachtnemer.

1.2.9

De Beveiligingsfunctionaris houdt een actuele registratie bij van wie welke Bijzondere Informatie in zijn bezit heeft.

1.3.1

Opdrachtnemer heeft ten behoeve van de ABRO-Verklaring een verklaring van eigendom, Zeggenschap en bedrijfsstructuur opgesteld conform formulier 'Verklaring van eigendom, Zeggenschap en bedrijfsstructuur' en verstrekt aan NBIV.

1.3.3

Opdrachtnemer meldt elke voorgenomen samenwerking met buitenlandse bedrijven of overheden onmiddellijk schriftelijk aan NBIV.

1.3.5

Managementbeslissingen aangaande voorgenomen splitsing, strategische samenwerking, Uitbesteding, sourcing, fusie, veranderingen in Significante invloed en dreigende gedeeltelijke of volledige overname (inclusief binding en 'non-binding offers') worden onmiddellijk conform formulier 'Wijziging van eigendom, Zeggenschap en bedrijfsstructuur' schriftelijk ter goedkeuring voorgelegd aan NBIV, zodanig dat NBIV de voorgenomen wijziging tijdig kan beoordelen.

1.3.7

Het verplaatsen van een Te Beschermen Belang of werkzaamheden in het kader van een Bijzondere Opdracht anders dan opgenomen in het Beveiligingsplan, gebeurt alleen na schriftelijke goedkeuring van NBIV en in afstemming met Opdrachtgever.

1.3.9

Opdrachtgever kan op basis van een Risicoanalyse, in afstemming met NBIV vaststellen dat er additionele risico's zijn waarvoor aanvullende beveiligingsmaatregelen moeten worden getroffen door Opdrachtnemer. Voorbeelden van aanvullende beveiligingsmaatregelen zijn verplichte verwerking of behandeling op Nederlands grondgebied door een in Nederland gevestigde rechtspersoon.

1.4.1

Opdrachtnemer beschikt over een actueel, door Opdrachtgever ingevuld en geaccordeerd, opdrachtspecifiek overzicht van Te Beschermen Belangen, zie bijlage 4.

1.4.3

E-mailverkeer tussen Opdrachtgever en Opdrachtnemer is, ook wanneer het geen Bijzondere Informatie bevat, zodanig beveiligd (zoals middels Forced TLS) dat de Vertrouwelijkheid en Integriteit gewaarborgd is.

1.4.5

Voorafgaand aan het genereren van informatie in het kader van de Bijzondere Opdracht waarop redelijkerwijs een Rubricering van toepassing is, doet de Beveiligingsfunctionaris een verzoek tot Rubricering aan Opdrachtgever. Na vaststelling door Opdrachtgever wordt deze informatie als zodanig gegenereerd, geregistreerd en behandeld door Opdrachtnemer.

1.5

Onderaannemers en (toe)leveranciers

1.5.2

Opdrachtnemer heeft in afstemming met Opdrachtgever en NBIV een opdrachtspecifiek overzicht van Te Beschermen Belangen voor elke bij de Bijzondere Opdracht betrokken Onderaannemer en eventuele achterliggende Onderaannemers opgesteld, zodanig dat voor Opdrachtgever en NBIV inzichtelijk is welke Onderaannemer toegang heeft tot welke Te Beschermen Belangen, zie ook bijlage 4.

1.5.4

Na toestemming van NBIV op basis van een door een Buitenlandse partner verstrekte Facility Security Clearance, heeft Opdrachtnemer in het contract met de buitenlandse Onderaannemer(s) de in het betrokken land geldende beveiligingseisen bedongen. Een overzicht van Te Beschermen Belangen is hierbij verstrekt aan NBIV.

1.5.6

Opdrachtnemer draagt de verantwoordelijkheid voor het voldoen aan de eisen uit ABRO 2026 door Onderaannemer(s).

1.5.8

Wanneer binnen een samenwerkingsverband met andere bedrijven wordt gewerkt aan de Bijzondere Opdracht zijn de werkzaamheden aan een Te Beschermen Belang zoveel mogelijk gecentraliseerd.

1.5.10

Wanneer een Te Beschermen Belang wordt ondergebracht bij een door Opdrachtnemer gekozen Escrow Agent, is de vigerende ABRO contractueel bedongen en beschikt de Escrow Agent over een ABRO-Verklaring voor de Bijzondere Opdracht voordat een Te Beschermen Belang wordt overgedragen.

1.6.1

Opdrachtnemer maakt het bestaan van, of opgedane kennis tijdens, de Bijzondere Opdracht op geen enkele wijze bekend buiten de geautoriseerde personen of organisaties. Dit geldt voor alle informatie waarvan Opdrachtnemer het vertrouwelijk karakter kent of redelijkerwijs kan vermoeden. Enkel na voorafgaand, uitdrukkelijk en schriftelijke goedkeuring van Opdrachtgever of organisatie aan wie de informatie toebehoort, mag over de Bijzondere Opdracht buiten de geautoriseerde personen of organisaties worden gecommuniceerd.

1.6.3

Opdrachtnemer maakt contactgegevens van en afspraken met NBIV op geen enkele wijze (publiekelijk) bekend.

1.7.1

Opdrachtnemer heeft een Incident Response Procedure vastgesteld en geïmplementeerd voor het afhandelen en evalueren van Beveiligingsincidenten. Deze is bekend bij alle medewerkers die werken aan of toegang hebben tot een Te Beschermen Belang.

1.7.3

Beveiligingsincidenten worden na constatering geverifieerd en direct aan NBIV gemeld conform formulier ‘Melding Beveiligingsincident’.

1.7.5

Gegevens ten aanzien van toegang tot en inzicht in een Te Beschermen Belang zijn vastgelegd en worden 6 maanden bewaard om achteraf onderzoek naar vermoede Beveiligingsincidenten mogelijk te maken.

1.7.7

Er is een evaluatiemechanisme gedefinieerd waarmee men specifieke lessen identificeert, bijvoorbeeld naar aanleiding van een Beveiligingsincident, en waar nodig deze verwerkt in het beveiligingsbeleid en implementeert.

1.7.9

Opdrachtnemer heeft in haar beveiligingsbeleid vastgelegd hoe wordt omgegaan met medewerkers die bewust of onbewust een Beveiligingsincident veroorzaken, welke disciplinaire maatregelen mogelijk zijn en dat in het geval van strafbare feiten aangifte wordt gedaan.

2.1.1

Betrokken Medewerkers beschikken over een VOG op basis van het door Opdrachtgever vastgestelde screeningsprofiel voor het uitvoeren van de betreffende functie. Een VOG is niet ouder dan de door Opdrachtgever gestelde termijn.

2.1.3

Opdrachtnemer houdt een actuele registratie bij van de Bijzondere Opdracht(en) en de Betrokken Medewerker(s) met daarbij de VOG of VGB en afgiftedatum.

2.1.5

Opdrachtnemer heeft in afstemming met NBIV vastgesteld of er medewerkers zijn die voor de uitvoering van hun functie beschikken over Buitengewone bevoegdheden of toegangsrechten (bijvoorbeeld Beheerders) en daarmee een bovengemiddeld risico vormen voor een Te Beschermen Belang.

2.1.7

Indien Opdrachtgever periodieke vernieuwing van een VOG van Betrokken Medewerkers vereist, vraagt de Beveiligingsfunctionaris minimaal 1 maand voor het verstrijken van de afgesproken termijn een nieuw VOG aan.

2.2

Geheimhoudingsverklaring

2.2.2

De Cryptobeheerder is als Vertrouwensfunctionaris aangemerkt en heeft een Geheimhoudingsverklaring getekend conform formulier 'Geheimhoudingsverklaring Cryptobeheerder'. Deze verklaring wordt bewaard door de Beveiligingsfunctionaris en op verzoek worden specifieke verklaringen verstrekt aan NBIV.

2.3.1

Wanneer een medewerker door Opdrachtnemer ontheven wordt als Vertrouwensfunctionaris meldt de Beveiligingsfunctionaris dit aan NBIV. Dit gebeurt bijvoorbeeld bij of gelijktijdig met de volgende aanleidingen:

– functiewijziging van een Vertrouwensfunctionaris;

– ontslag van een Vertrouwensfunctionaris;

– intrekken van de VGB;

– overtreding van beveiligingsregels door een Vertrouwensfunctionaris.

2.3.3

Er is een procedure voor veranderingen op personeelsvlak (o.a. verandering of beëindiging van functie of dienstverband) of in de contractuele relatie tussen Opdrachtnemer en Opdrachtgever. Deze omvat minimaal:

– het intrekken van toegangsrechten;

– het innemen van ICT-bedrijfsmiddelen;

– de verantwoordelijkheden en taken met betrekking tot beveiliging van de Bijzondere Opdracht die ook na de beëindiging van het dienstverband van kracht blijven, zoals bijvoorbeeld de geheimhouding;

– hoe uitgevoerde handelingen naar aanleiding van de verandering of beëindiging worden vastgelegd.

2.4.1

Opdrachtnemer verleent medewerking bij het ontheffen van een (Cyber-)Beveiligingsfunctionaris of Cryptobeheerder op aangeven van NBIV. Dit gebeurt bijvoorbeeld bij of gelijktijdig met de volgende aanleidingen:

– overtreding van beveiligingsregels of -beleid;

– handelen in strijd met ABRO 2026;

– geen uitvoering geven aan instructies van NBIV;

– niet naleven van wetgeving aangaande de Bijzondere Opdracht.

2.4.3

Bij ontheffing van de Cryptobeheerder ontvangt NBIV een door de medewerker getekende ontheffingsverklaring conform formulier 'Ontheffing Cryptobeheerder'.

2.5.1

Betrokken Medewerkers doorlopen aantoonbaar, voorafgaand aan werkzaamheden aan een nieuwe Bijzondere Opdracht en daarna minimaal jaarlijks de relevante training(en). Hierin worden de beleidsregels en procedures uitgelegd voor het behandelen van een Te Beschermen Belang en worden relevante dreigingen besproken.

2.5.3

Minimaal jaarlijks worden Betrokken Medewerkers en intern Beveiligingspersoneel getraind in het uitvoeren van beveiligingsmaatregelen.

2.5.5

De Beveiligingsfunctionaris heeft iedere Vertrouwensfunctionaris gewezen op de verantwoordelijkheden die voortvloeien uit het bekleden van een Vertrouwensfunctie.

2.5.7

De Beveiligingsfunctionaris geeft individueel advies en begeleiding aan Betrokken Medewerkers die werken aan een Bijzondere Opdracht bijvoorbeeld over het hebben van buitenlandse contacten of zakelijke reizen naar een Risicoland.

2.6

Reizen naar het buitenland

2.6.2

Indien voor een zakelijke reis in het kader van de Bijzondere Opdracht een Request for Visit (RfV) benodigd is, dient de Vertrouwensfunctionaris tijdig via de Beveiligingsfunctionaris een RfV ter goedkeuring in bij NBIV. Zonder goedgekeurde RfV kan de reis niet plaatsvinden.

2.6.4

Bij een zakelijke reis van een Betrokken Medewerker naar een Risicoland wordt gebruik gemaakt van dedicated Mobiele apparatuur die alleen voor deze reis wordt ingezet en na terugkomst wordt gewist.

3.1.1

Opdrachtnemer neemt in zijn Risicoanalyse voor de Bijzondere Opdracht(en) mee welke methoden en hulpmiddelen potentiële daders tot hun beschikking hebben om het Te Beschermen Belang fysiek te compromitteren.

3.1.3

De maatregelen in relatie tot de Interventietijd waarborgen aantoonbaar (middels gecertificeerde componenten) dat Interventie maximaal 120 minuten na Compromittatie van een Te Beschermen Belang plaatsvindt.

3.1.5

Detecterende maatregelen zorgen ervoor dat Compromittatie van een Te Beschermen Belang of pogingen daartoe binnen de vereiste tijd worden gedetecteerd om het Beveiligingsrendement te realiseren, zie ook bijlage 5.

3.1.7

Toegang tot een Compartiment met een Te Beschermen Belang is geregistreerd om te waarborgen dat alleen Geautoriseerde Medewerkers toegang hebben. 

3.1.9

Toegang tot een Compartiment vereist Multi-factor authenticatie.

3.1.11

Medewerkers hebben uitsluitend toegang tot een Te Beschermen Belang na Autorisatie door de Beveiligingsfunctionaris. Geautoriseerde Medewerkers beschikken over een VOG of indien vereist een geldige VGB van het voorgeschreven niveau.

3.1.13

Toegangsregistratie tot een Compartiment wordt minimaal 6 maanden bewaard en op verzoek verstrekt aan NBIV.

3.1.15

De voorgenomen toegang tot een Compartiment door een Bezoeker is minimaal 5 werkdagen voor het bezoek ter goedkeuring aan NBIV voorgelegd middels formulier 'Autorisatie Bezoeker'.

3.1.17

Voor de uitgifte van Fysieke toegangsauthenticatiemiddelen voor een Compartiment geldt:

– bij de uitgifte van Fysieke toegangsauthenticatiemiddelen wordt gecontroleerd of de ontvangende medewerker over de juiste Autorisatie beschikt;

– de uitgifte van Fysieke toegangsauthenticatiemiddelen wordt geregistreerd;

– de registratie wordt minimaal jaarlijks geactualiseerd.

3.1.19

Bij het gebruik van Biometrische apparatuur zijn Cryptografische beveiligingsoplossingen toegepast om de authenticiteit, Integriteit en Vertrouwelijkheid van Biometrische informatie te waarborgen.

3.1.21

Fysieke toegangsauthenticatiemiddelen zijn conform relevante NEN-normeringen gecertificeerd, zie ook bijlage 6.1.

3.1.23

Fysieke toegangsauthenticatiemiddelen, cijfercombinaties en Certificaten worden beheerd door de Beveiligingsfunctionaris.

3.1.25

Cijfercombinaties van sloten van Opbergmiddelen worden minimaal iedere 6 maanden gewijzigd en onmiddellijk gewijzigd indien:

– een nieuw Opbergmiddel of slot in gebruik wordt genomen;

– de Autorisatie van een medewerker die de cijfercombinatie kent wordt ingetrokken of gewijzigd;

– er onderhoud heeft plaatsgevonden aan het slot;

– het vermoeden bestaat of vaststaat dat Compromittatie heeft plaatsgevonden.

Bij het herzien van de cijfercombinatie wordt geen eerder gebruikte combinatie gekozen.

3.1.27

Fysieke apparatuur, beveiligingscomponenten en Beveiligingssystemen worden beheerd en onderhouden om ze blijvend te laten functioneren.

3.1.29

Voor het beheer en onderhoud van fysieke apparatuur, beveiligingscomponenten of Beveiligingssystemen wordt geen gebruik gemaakt van Cloudoplossingen.

3.1.31

Bij het verlaten van een Compartiment door de laatste medewerker wordt een sluitronde gemaakt, waarbij ten minste gecontroleerd wordt of:

– het Opbergmiddel, het Compartiment en zo mogelijk de etage en/of het gebouw is afgesloten;

– ramen en deuren zijn afgesloten;

– er geen personen meer aanwezig zijn;

– de verzegeling van nooddeuren intact is;

– eventuele beveiligingsmaatregelen zijn geactiveerd (bijvoorbeeld een Indringer Detectie en Signalering Systeem, IDSS).

De sluitprocedure is opgenomen in het Beveiligingsplan.

3.1.33

De Beveiligingsfunctionaris onderhoudt contact met de gemeente en lokale politie om op de hoogte te zijn van relevante lokale ontwikkelingen en eventuele dreigingen die de beveiliging van een Te Beschermen Belang aangaan. Indien nodig treft de Beveiligingsfunctionaris additionele maatregelen.

3.2.1

Een Compact Te Beschermen Belang is opgeslagen in een afsluitbaar Opbergmiddel dat voldoet aan de normering gesteld in bijlage 6.1.

3.2.3

De specificaties van een Opbergmiddel en/of Compartiment dat gebruikt wordt voor de opslag van een (Compact) Te Beschermen Belang zijn afgestemd met NBIV. 

3.2.5

Toegangsdeuren tot een Compartiment zijn aan de binnenzijde voorzien van een deurdranger en een elektronisch en akoestisch alarm dat afgaat wanneer een deur langer openstaat dan noodzakelijk.

3.2.7

Opbergmiddelen tot 1000 kilogram zijn verankerd.

3.2.9

Bevestigingspunten van Opbergmiddelen die van buitenaf bereikbaar zijn, zijn fysiek beveiligd.

3.2.11

Er is Beveiligingsverlichting toegepast rondom het gebouw en/of terrein met een Te Beschermen Belang.

3.2.13

Een Compartiment is op alle vlakken voorzien van inkijkbeperkende maatregelen.

3.3

Elektronische maatregelen

3.3.2

Beveiligingssystemen zijn geïnstalleerd conform normeringen gesteld in bijlage 6.1. Onderhoud en controle vinden minimaal jaarlijks plaats door een gecertificeerd bedrijf (bijvoorbeeld BORG-certificaat).

3.3.4

Systeemklokken van Beveiligingssystemen maken gebruik van dezelfde tijdsynchronisatie en zijn zodanig beveiligd tegen wijzigingen dat deze niet onopgemerkt aangepast of gemanipuleerd kunnen worden.

3.3.6

Draadloze verbindingsmogelijkheden van Beveiligingssystemen zijn uitgeschakeld en alle componenten zijn beveiligd tegen digitale (Cyber) Compromittatie.

3.3.8

Bewegingsmelders zijn voorzien van anti-masking maatregelen.

3.3.10

Camerabeelden worden 28 dagen bewaard. Camerabeelden gerelateerd aan een (mogelijk) Beveiligingsincident worden zolang als nodig voor het onderzoek en de afhandeling van het Beveiligingsincident bewaard. In afstemming met NBIV en Opdrachtgever kan worden besloten om de camerabeelden langer te bewaren.

3.3.12

Waar een Elektronisch Toegangsbeheersysteem (ETS) wordt gebruikt, zijn maatregelen getroffen om situaties te detecteren waar toegang 'onder dwang' is verleend.

3.3.14

Een ETS is voorzien van Logging, waarbij geldt dat de logs minimaal 6 maanden worden bewaard. De logs worden maandelijks door de Beveiligingsfunctionaris gecontroleerd op opvallende afwijkingen.

3.3.16

Een Compartiment beschikt over een noodknopbediening of mechanische paniekontgrendeling voor calamiteiten. De procedure rondom het gebruik hiervan is beschreven in het Beveiligingsplan.

3.3.18

IDSS-onderdelen zijn zodanig geplaatst dat Compromittatie van een Te Beschermen Belang of pogingen daartoe worden ontdekt en een alarm genereren.

3.3.20

Het IDSS is altijd geactiveerd, tenzij Geautoriseerde Medewerkers aanwezig zijn in het Compartiment.

3.3.22

Het IDSS functioneert te allen tijde en onder alle (klimatologische) omstandigheden.

3.3.24

Doormelding van een IDSS alarm is in afstemming met NBIV vastgesteld.

3.3.26

Het IDSS signaleert en registreert uitval van de stroomvoorziening van een IDSS. Bij stroomuitval wordt gehandeld alsof het een alarmering betreft.

3.3.28

Er zijn (procedurele) maatregelen getroffen om elektronische apparatuur die niet strikt noodzakelijk is voor het uitvoeren van werkzaamheden buiten het Compartiment te houden.

3.3.30

In een Compartiment zijn geen camera's, smart devices, microfoons of andere apparatuur met een opname- of communicatiefunctionaliteit aanwezig.

3.3.32

Voorafgaand aan de ingebruikname van een Compartiment en bij toevoeging of wijziging van Middelen zijn, in afstemming met NBIV, TEMPEST-maatregelen getroffen. De instructies voor de benodigde maatregelen zijn bij NBIV op te vragen.

3.4

Reactieve maatregelen

3.4.2

Interventie vindt plaats door daartoe aangewezen en opgeleid Beveiligingspersoneel.

3.4.4

Alarmverificatie vindt initieel aan de buitenzijde van het Compartiment plaats. Hierbij zijn alle toegangen, gevelopeningen, daken e.d. gecontroleerd.

3.4.6

Een PAC beschikt over een justitiële erkenning en voldoet aan de normeringen gesteld in bijlage 6.1.

3.4.8

Na een alarm of Melding controleert de Beveiligingsfunctionaris het betreffende Te Beschermen Belang en neemt indien nodig maatregelen om het vereiste Beveiligingsrendement te herstellen.

3.5.1

Een Te Beschermen Belang wordt uitsluitend buiten het Compartiment gebracht als dit voor de voortgang van de werkzaamheden absoluut noodzakelijk is.

3.5.3

De Beveiligingsfunctionaris beschrijft in het Beveiligingsplan op welke wijze om wordt gegaan met het Transport en Verzenden van een Te Beschermen Belang in het kader van de Bijzondere Opdracht conform bijlage 7. Dit wordt in afstemming met NBIV ter goedkeuring voorgelegd aan Opdrachtgever.

3.6

Fysiek Verzenden

3.6.2

Verzenden van een Te Beschermen Belang is uitsluitend toegestaan wanneer dit aangetekend wordt verzonden met track en trace nummer en met onmiddellijke ontvangstbevestiging.

3.7

Fysiek Transport Te Beschermen Belangen

3.8

Fysiek Transport Bijzondere Informatie

3.8.2

Het transportplan voor Transport van Bijzondere Informatie buiten Nederland wordt tenminste 10 werkdagen voorafgaand aan Transport in afstemming met NBIV ter goedkeuring voorgelegd aan de Opdrachtgever.

3.8.4

Bijzondere Informatie wordt getransporteerd in een door de Opdrachtgever vooraf goedgekeurd Transportmiddel.

3.8.6

Transport van Bijzondere Informatie vindt op één van onderstaande manieren plaats:

– handcarried, al dan niet met eigen vervoer, door een Geautoriseerde Medewerker;

– door een koeriersbedrijf.

3.8.8

Transport van Bijzondere Informatie vindt op één van onderstaande manieren plaats:

– handcarried, al dan niet met eigen vervoer, door ten minste twee Geautoriseerde Medewerkers;

– door een Opdrachtgever goedgekeurd koeriersbedrijf;

– het koeriersbedrijf is aangemeld als Onderaannemer.

3.9

Fysieke opslag, verwerken, ontwikkelen en vernietigen

3.9.2

Gegevensdragers waarop Bijzondere Informatie wordt verwerkt of opgeslagen, zijn voorzien van een kenmerk (labeling) conform bijlage 8, waarbij verschillende Rubriceringsdomeinen en -niveaus duidelijk te onderscheiden zijn.

3.9.4

Er zijn niet meer reproducties gemaakt dan noodzakelijk voor de uitvoering van de Bijzondere Opdracht.

3.9.6

Bijzondere Informatie en daarvan gemaakte reproducties zijn geregistreerd en voorzien van een uniek exemplaarnummer.

3.9.8

Beveiligingsmaatregelen voor reproductiemiddelen worden in afstemming met NBIV vastgesteld.

3.9.10

Het vernietigen van Bijzondere Informatie geschiedt na toestemming van Opdrachtgever conform de in bijlage 8 gespecificeerde vernietigingsmethode door een Geautoriseerde Medewerker en onder toezicht van een tweede Geautoriseerde Medewerker.

3.9.12

De Opdrachtnemer stelt in overleg met Opdrachtgever een Noodvernietigingsplan op. Het Noodvernietigingsplan wordt opgenomen in het Beveiligingsplan en bevat procedures en instructies met betrekking tot de vernietiging van een Te Beschermen Belang in een noodsituatie.

4.1.1

Door de Opdrachtnemer in ontvangst of in beheer genomen digitale Bijzondere Informatie wordt opgenomen in een actuele registratie, met daarin de locatie, uitgifte, inname en herkomst van de Bijzondere Informatie. Deze registratie wordt beheerd door de (Cyber-)Beveiligingsfunctionaris en is te allen tijde direct opvraagbaar door NBIV.

4.1.3

Systeem- en netwerkcomponenten gerelateerd aan een Bijzondere Opdracht worden bijgehouden in een gedetailleerd netwerkdiagram.

4.1.5

Het gebruik van een KVM-switch om te schakelen tussen Systemen van verschillende Rubriceringsniveaus is alleen toegestaan wanneer dit binnen eenzelfde Rubriceringsdomein is en gebruik wordt gemaakt van Goedgekeurde Middelen.

4.1.7

Het hergebruik van ICT-bedrijfsmiddelen voor de uitvoering van een Bijzondere Opdracht is toegestaan onder de volgende voorwaarden:

– het ICT-bedrijfsmiddel is eerder gebruikt voor eenzelfde Rubriceringsdomein en -niveau;

– het ICT-bedrijfsmiddel is gewist voor het gebruik door middel van Goedgekeurde Middelen.

4.1.9

Voor het verwijderen van ICT-bedrijfsmiddelen zijn procedures opgesteld, welke door NBIV zijn goedgekeurd.

4.1.11

Na beëindigen van de Bijzondere Opdracht of bij het afvoeren van (defecte) hardware worden deze conform de in bijlage 8 gespecificeerde methoden vernietigd. Er wordt hierbij een bevestiging van vernietiging opgesteld conform formulier 'Bevestiging van vernietiging' en op verzoek verstrekt aan Opdrachtgever en/of NBIV.

4.2.1

Voorafgaand aan de overdracht of uitwisseling van Bijzondere Informatie is door de Beveiligingsfunctionaris vastgesteld dat de ontvangende partij de Bijzondere Informatie conform het vastgestelde beveiligingsniveau kan behandelen en geautoriseerd is om te beschikken over de Bijzondere Informatie.

4.2.3

Verwijderbare gegevensdragers zijn voorzien van een fysiek label conform bijlage 8 op basis van de hoogste Rubricering van hetgeen opgeslagen is op de betreffende Verwijderbare gegevensdrager.

4.2.5

Voor het wissen van (Verwijderbare) Gegevensdragers, waar Bijzondere Informatie op staat, wordt alleen gebruikgemaakt van Goedgekeurde Middelen.

4.2.7

Bijzondere Informatie van NAVO en EU wordt, indien vastgesteld door Opdrachtgever, verwerkt op een daartoe geaccrediteerd Systeem.

4.2.9

Bij het gebruik van AI systemen is data van verschillende Rubriceringsdomeinen, -niveaus of Opdrachtgevers te allen tijde gescheiden.

4.2.11

Bij het beëindigen van een Bijzondere Opdracht wordt alle (trainings)data, gegenereerde uitkomsten en ontwikkelde AI modellen die op basis van Bijzondere Informatie tot stand zijn gekomen of herleidbaar zijn tot Bijzondere Informatie, overhandigd of vernietigd in afstemming met NBIV, tenzij anders overeengekomen met Opdrachtgever.

4.3.1

Regels omtrent het gebruik van ICT-bedrijfsmiddelen (inclusief het gebruik van wachtwoorden) zijn vastgesteld, gedocumenteerd en ter kennis gesteld aan Gebruikers.

4.3.3

Authenticatiegegevens van Gebruikers worden bijgehouden in een actuele registratie, op basis waarvan de Gebruikers worden geïdentificeerd en geautoriseerd.

4.3.5

Een account bevat geen indicatie van het privilegeniveau van de Gebruiker.

4.3.7

Accounts worden voorzien van Rechten die noodzakelijk zijn voor de uitvoering van de taken van de Gebruiker ('Need-to-Know', 'Need-to-Use'). Bij het toekennen van Rechten wordt ten minste onderscheid gemaakt tussen lees- en schrijfrechten en de applicaties en commando's waar een Gebruiker toegang tot heeft.

4.3.9

Beheerdersrechten zijn beperkt tot Beheerdersaccounts. Beheeractiviteiten worden alleen uitgevoerd vanaf Beheerdersaccounts.

4.3.11

Rechten van Beheerders worden aan een beperkte groep toegekend middels een Privileged Access Management (PAM) oplossing. Hiervan wordt een registratie bijgehouden.

4.3.13

Toegekende Rechten van Beheerdersaccounts worden periodiek, minimaal maandelijks, geëvalueerd.

4.3.15

Alleen daartoe geautoriseerde Beheerders kunnen functies en software (de)installeren of (de)activeren.

4.3.17

Systeemprocessen worden uitgevoerd door unieke Serviceaccounts, die niet gekoppeld zijn aan een individu. IT-beheer houdt onder toezicht van de (Cyber-) Beveiligingsfunctionaris een actuele registratie bij van de Serviceaccounts en de bijbehorende Rechten.

4.3.19

Standaard of automatisch gecreëerde accounts en andere vooraf geconfigureerde accounts worden van een nieuw wachtwoord voorzien en uitgeschakeld door een Beheerder onder toezicht van de (Cyber-)Beveiligingsfunctionaris.

4.3.21

Rechten van Gebruikers worden periodiek, minimaal halfjaarlijks, geëvalueerd.

4.3.23

Rechten van Gebruikers worden periodiek, minimaal maandelijks, geëvalueerd.

4.3.25

Als een Gebruiker vijfmaal een verkeerd wachtwoord invoert, wordt het Gebruikersaccount geblokkeerd.

4.3.27

Als een Beheerder driemaal een verkeerd wachtwoord invoert wordt het Beheerdersaccount geblokkeerd. Het Beheerdersaccount wordt pas na goedkeuring van de (Cyber-)Beveiligingsfunctionaris vrijgegeven.

4.3.29

Een geblokkeerd account mag alleen worden gedeblokkeerd na goedkeuring van de (Cyber-)Beveiligingsfunctionaris.

4.3.31

Ten aanzien van het gebruik van wachtwoorden geldt:

– minimaal jaarlijks wordt een nieuw wachtwoord ingesteld;

– initiële wachtwoorden en wachtwoorden die zijn gereset hebben een maximale geldigheidsduur van 24 uur en dienen bij het eerste gebruik gewijzigd te worden;

– initiële wachtwoorden en wachtwoorden die zijn gereset zijn uniek en worden niet hergebruikt;

– initiële wachtwoorden voldoen aan alle reguliere vereisten voor wachtwoorden;

– wachtwoorden worden op een veilige manier uitgegeven, waarbij ten minste de identiteit van de Gebruiker en het recht van de Gebruiker op het authenticatiemiddel is gecontroleerd;

– wachtwoorden worden niet via hetzelfde kanaal als het Gebruikersaccount verstrekt.

4.3.33

Om in te loggen op een Gebruikersaccount wordt gebruikgemaakt van persoonsgebonden Multi-factor authenticatie, waarbij SMS niet als een factor geldt.

4.3.35

Om in te loggen op een Beheerdersaccount wordt gebruikgemaakt van persoonsgebonden Multi-factor authenticatie, waarvan één van de factoren een Hardware token is en waarbij SMS niet als een factor geldt.

4.3.37

Indien Hardware tokens, Biometrische toepassingen of Multi-factor authenticatie worden gebruikt, kunnen deze niet worden uitgeschakeld door Gebruikers. De (Cyber-)Beveiligingsfunctionaris houdt een actuele registratie bij van gebruikte Hardware tokens.

4.3.39

Een account kan maximaal drie actieve werkplekken (sessies) hebben.

4.3.41

Indien er een operationele noodzaak is voor het gebruik van een groepsaccount, dient deze uitzondering door NBIV vooraf goedgekeurd te zijn. Bij het gebruik van een groepsaccount gelden de volgende voorwaarden:

– de (Cyber-)Beveiligingsfunctionaris verleent toestemming voor het gebruik;

– het gebruik van een groepsaccount is te herleiden naar een individu;

– het is niet mogelijk om via externe toegang gebruik te maken van een groepsaccount;

– het is niet mogelijk om toegang te hebben tot externe Systemen (bijvoorbeeld het internet) met behulp van een groepsaccount;

– het is niet mogelijk om persoonlijke of niet-werkgerelateerde informatie te verwerken met behulp van een groepsaccount.

4.3.43

Het wachtwoord wordt niet getoond op het scherm tijdens het invoeren en er wordt geen informatie getoond die herleidbaar is tot de Authenticatiegegevens.

4.3.45

Wachtwoorden worden niet in originele vorm (plain text) opgeslagen of verstuurd, tenzij het wordt gebruikt ten behoeve van een 'enveloppenprocedure'.

4.4

Configuratiemanagement

4.4.2

Op basis van een Risicoanalyse kan wanneer strikt noodzakelijk voor de uitvoering van de Bijzondere Opdracht met goedkeuring van de (Cyber-)Beveiligingsfunctionaris een uitzondering worden gemaakt voor het inschakelen van functionaliteiten van hardware en software, zoals bijvoorbeeld Gegevensdragers. De (Cyber-)Beveiligingsfunctionaris houdt een actuele registratie bij van deze uitzonderingen.

4.4.4

Hardening is toegepast op hardware en software, inclusief authenticatieprotocollen en -mechanismen, in lijn met de door de fabrikant voorgeschreven en aanbevolen beveiligingsmaatregelen, aangevuld op basis van recente marktstandaarden.

4.4.6

Software, servers, gebruikers-, netwerk- en opslagapparatuur worden middels een vastgesteld proces voorzien van veilige configuraties. Deze configuraties zijn vastgelegd, worden minimaal jaarlijks beoordeeld en waar nodig aangepast en op verzoek gedeeld met NBIV.

4.4.8

De instellingen van logmechanismen zijn zodanig beschermd dat deze niet onopgemerkt aangepast of gemanipuleerd kunnen worden. Wijzigingen worden gecontroleerd middels het vier-ogen principe.

4.4.10

Er wordt alleen door de (Toe)leverancier actief onderhouden hardware en software gebruikt.

4.4.12

Ten behoeve van het uitvoeren van beheertaken zijn systeemconfiguraties, met inbegrip van hardware, software, diensten, Netwerken en beveiliging, gedocumenteerd.

4.5.1

Netwerken, Systemen en applicaties worden gemonitord en beheerd zodat aanvallen, storingen en/of fouten ontdekt en hersteld kunnen worden en de Beschikbaarheid niet onder het afgesproken minimum niveau komt. Dit minimum is opgenomen in het Beveiligingsplan.

4.5.3

Alle Draadloze communicatie wordt behandeld als Externe (netwerk) koppeling.

4.5.5

In geval van een Externe (netwerk) koppeling is een DMZ toegepast.

4.5.7

Alle beveiligingsmechanismes maken gebruik van actuele indicatoren, zoals virusdefinities en Signatures.

4.5.9

Minimaal jaarlijks worden de geïmplementeerde beveiligingsmaatregelen op een Koppelvlak getest op de werking. Bevindingen worden opgevolgd en gedocumenteerd.

4.5.11

Toegang op afstand tot een Te Beschermen Belang (via een remote inlogvoorziening) vindt alleen plaats middels Goedgekeurde Middelen en door NBIV goedgekeurde procedures. De gebruikte apparatuur voldoet aan de relevante beveiligingseisen voor het betreffende Rubriceringsniveau.

4.5.13

Systemen die voor hun functionaliteit gebruikmaken van een verbinding met een externe dienst (zoals licentieservers en Device Management oplossingen) zijn vooraf goedgekeurd door NBIV. Hierbij zijn mechanismes geïmplementeerd om:

– data-uitwisseling tot het strikt noodzakelijke te beperken;

– te voorkomen dat (informatie die herleidbaar is tot) Bijzondere Informatie, Vertrouwensfuncties en unieke kenmerken van de Technische infrastructuur het Vertrouwde Netwerk verlaat;

– alle interacties met een externe dienst te monitoren, te loggen en frequent te evalueren om verdachte activiteiten vroegtijdig te detecteren.

4.5.15

Er zijn technische maatregelen getroffen om te voorkomen dat interne netwerkadressen naar buiten toe routeren, zoals het toepassen van Outbound Traffic Filtering.

4.5.17

Technische en procedurele maatregelen zijn getroffen om te waarborgen dat alleen geïdentificeerde en geauthentiseerde apparatuur kan worden verbonden met het Netwerk. Wanneer onbekende apparatuur wordt aangesloten vindt er alarmering plaats.

4.5.19

Op verzoek van NBIV wordt door Opdrachtnemer medewerking verleend aan:

– het plaatsen van een detectiemiddel;

– het monitoren van netwerkverkeer en hosts door gebruik van een detectiemiddel;

– het uitvoeren en aanleveren van specifieke Logging verzoeken voor de lokale- en Cloud omgevingen (inclusief telemetrie);

– het installeren van host based detectie;

– het gebruik maken van een door de Rijksoverheid geleverde DNS-dienst.

4.5.21

Netwerken voor verschillende Rubriceringsdomeinen zijn gescheiden en toegang is beveiligd middels Goedgekeurde Middelen.

4.5.23

Internationale Netwerkkoppelingen maken gebruik van door NBIV goedgekeurde producten en procedures.

4.5.25

Netwerken van verschillende juridische entiteiten waarop een Te Beschermen Belang is opgeslagen zijn alleen gekoppeld na goedkeuring van Opdrachtgever. Alle entiteiten beschikken over de vereiste ABRO-Verklaring, de koppeling maakt gebruik van Goedgekeurde Middelen en door NBIV goedgekeurde procedures, en er is voldaan aan de aansluitvoorwaarden van de betreffende Netwerken.

4.5.27

Bij Koppelvlakken tussen Netwerken van verschillende Rubriceringsniveaus is informatie-uitwisseling van een Netwerk met een hoger Rubriceringsniveau naar een Netwerk met een lager Rubriceringsniveau niet mogelijk.

4.5.29

De Technische infrastructuur is ingedeeld in Segmenten. Opdrachtnemer draagt zorg dat binnen één Segment alleen Bijzondere Informatie wordt verwerkt van hetzelfde Rubriceringsdomein en -niveau. Opdrachtnemer evalueert dit minimaal jaarlijks en herziet Segmenten indien nodig.

4.5.31

Segmenten zijn alleen ingericht met voorzieningen die strikt noodzakelijk zijn voor de functionaliteit. Beheer en audit van Segmenten vindt plaats vanuit een logisch gescheiden Segment.

4.5.33

Segmentering is toegepast om groepen van Systemen, diensten en Gebruikers te scheiden in het Netwerk. Bijvoorbeeld door middel van een firewall of DMZ.

4.5.35

Het toepassen van VLAN's is alleen toegestaan in Netwerken met hetzelfde Rubriceringsdomein en -niveau. Het ontwerp en de implementatie zijn vooraf goedgekeurd door NBIV. Hierbij gelden ten minste de volgende voorwaarden:

– een firewall wordt gebruikt om ongewenst verkeer te filteren;

– marktstandaarden voor de configuratie van VLAN's zijn toegepast;

– netwerkpoorten worden statisch of op basis van een certificaat toegewezen aan een VLAN.

4.6.1

Voorzieningen voor Toegang op afstand zijn zo ingericht dat op het werkstation of Mobiel apparaat geen enkele informatie vanuit een Vertrouwde Netwerk wordt opgeslagen (Zero footprint). Het werkstation of Mobiel apparaat is versleuteld met een binnen het Systeem beschikbare harde schijf encryptie module, waarbij gebruikt wordt gemaakt van Firmware TPM, Secure boot en Pre-boot authentication.

4.6.3

Het is niet mogelijk ongeautoriseerde software of scripts te installeren of uit te voeren op een werkstation of Mobiele apparatuur. Dit wordt technisch afgedwongen, waarbij afwijkingen worden gedetecteerd en opgevolgd. Uitzonderingen worden schriftelijk goedgekeurd en geregistreerd door de (Cyber-)Beveiligingsfunctionaris.

4.6.5

Apparaten die toegang geven tot een Te Beschermen Belang zijn, voorafgaand aan de toegang, geautomatiseerd gecontroleerd op naleving van een vooraf gedefinieerd beveiligingsbeleid.

4.6.7

Een werkplek (sessie) wordt na 5 minuten inactiviteit automatisch vergrendeld (Clear Screen).

4.6.9

Voor het uitzetten/uitstellen van de automatische vergrendeling op een werkplek (sessie) gelden de volgende voorwaarden:

– automatische vergrendeling is alleen uitgezet of uitgesteld wanneer er een operationele noodzaak is;

– voordat automatische vergrendeling wordt uitgezet of uitgesteld, is hiervoor toestemming verleend door de (Cyber-)Beveiligingsfunctionaris;

– de (Cyber-)Beveiligingsfunctionaris onderhoudt een actuele registratie van de werkplek (sessie) waar dit het geval is en de noodzaak waarom toestemming is gegeven;

– iedere toestemming wordt jaarlijks geëvalueerd.

4.6.11

Anti-Malware software scant periodiek, minimaal dagelijks, Systemen en voert directe scans uit op bestanden en overige informatie wanneer deze worden geopend, opgeslagen of uitgevoerd. Gevonden Malware wordt in quarantaine geplaatst.

4.7

Beheer van mobiele apparatuur

4.7.2

Mobiele apparatuur buiten het Compartiment bevat geen kenmerken die direct herleidbaar zijn tot Opdrachtgever of Opdrachtnemer (zowel fysiek op de Mobiele apparatuur als weergegeven op het scherm van de Mobiele apparatuur).

4.7.4

Bij Toegang op afstand wordt al het verkeer van en naar de apparatuur gerouteerd over een versleutelde verbinding middels Goedgekeurde Middelen. Op basis van een Risicoanalyse kan met voorafgaande goedkeuring van NBIV een uitzondering worden gemaakt, bijvoorbeeld ten behoeve van Mobile Device Management, updates of het wissen van data.

4.7.6

Na verlies of diefstal van Mobiele apparatuur wordt de communicatiemogelijkheid met de centrale applicaties afgesloten, het authenticatiemechanisme gereset en bijbehorende Certificaten direct ingetrokken. De data wordt zo snel mogelijk op afstand gewist.

4.7.8

Inkijkbeperkende maatregelen (bijv. screenfilters) zijn toegepast voor Mobiele Apparatuur die zich buiten het Compartiment bevindt.

4.8

Cryptografie

4.8.2

Het proces, de rollen, functionarissen en hun verantwoordelijkheden ten aanzien van het beheer van Cryptografische beveiligingsoplossingen zijn vastgelegd in het cryptografiebeleid (RASCI), als onderdeel van het Beveiligingsplan.

4.8.4

De geldigheidsduur van cryptografische sleutels is bepaald door de leverancier of het inzetadvies en is vastgelegd in het cryptografiebeleid, als onderdeel van het Beveiligingsplan.

4.8.6

Voor het beheer van Cryptografische beveiligingsoplossingen zijn Beheerders opgeleid en zijn beheerdersinstructies aan Beheerders overhandigd.

4.8.8

Gebruikers van Cryptografische beveiligingsoplossingen zijn hiertoe opgeleid door Opdrachtnemer.

4.8.10

Er is vastgesteld aan welke overeenkomsten, wetten en voorschriften (zoals exportrestricties) Cryptografische beveiligingsoplossingen moeten voldoen. Dit is vastgelegd in het Beveiligingsplan. De Beveiligingsfunctionaris houdt hier toezicht op.

4.8.12

Cryptografische sleutels die zijn verlopen worden niet gebruikt en worden vernietigd of behandeld conform het inzetadvies. Verlopen sleutels waarvoor geen inzetadvies beschikbaar is, worden in afstemming met NBIV vernietigd of behandeld.

4.8.14

Voorafgaand aan het inladen van een nieuwe cryptografische sleutel worden Cryptografische beveiligingsoplossingen gecontroleerd op Compromittatie, zoals beschreven in de beheerdersinstructie. Denk hierbij aan het controleren van fysieke zegels, Logging en software validatie. Er is een registratie bijgehouden door de Cryptobeheerder of, indien deze niet is aangesteld, door de (Cyber-)Beveiligingsfunctionaris.

4.8.16

Beheer van Cryptografische beveiligingsoplossingen vindt plaats vanuit een beheersegment zonder toegang tot externe of onvertrouwde Netwerken met uitzondering van bestandsversleuteling middels Goedgekeurde Middelen.

4.8.18

Voor de gehele life cycle van digitale Certificaten die binnen de organisatie worden gebruikt voor IT-voorzieningen ten behoeve van een Bijzondere Opdracht is een procedure vastgesteld.

4.8.20

Een Root Certificate Authority-sleutel is opgeslagen in een standalone Hardware Security Module (HSM) die voldoet aan FIPS 140-3.

4.8.22

Een HSM waarop een Root Certificate Authority-sleutel is opgeslagen is fysiek minimaal beveiligd op het beveiligingsniveau van de Bijzondere Opdracht. Hierbij is Need-to-Know en Need-to-Be strikt toegepast.

4.9.1

Apparatuur en bekabeling is zo geplaatst en beschermd dat risico's van schade en storing van buitenaf zijn teruggebracht tot een aanvaardbaar niveau, op basis van een Risicoanalyse.

4.9.3

Printers maken standaard gebruik van een 'beveiligd afdrukken' functie (bijvoorbeeld door middel van pincodeverificatie).

4.10

Kwetsbaarheden- en patchmanagement

4.10.2

Een proces is ingericht om nieuwe updates en Patches tijdig te identificeren en door te voeren. Het doorvoeren van een update of Patch vindt plaats na controle.

4.10.4

Indien een kwetsbaarheid bekend is met een CVSS score van 4.0 of hoger voor een Systeem met een Externe koppeling, dan wordt de Externe koppeling met het Systeem in overleg met Opdrachtgever verbroken en het Systeem buiten gebruik gesteld tot de kwetsbaarheid gepatcht of aantoonbaar gemitigeerd is. Opdrachtnemer informeert NBIV hierover gedurende dit proces.

4.11.1

Wijzigingen aan een Te Beschermen Belang verlopen via een vastgesteld wijzigingsbeheerproces waarmee wijzigingen herleidbaar zijn en mogelijke negatieve effecten inzichtelijk gemaakt kunnen worden. Het doorvoeren van wijzigingen geschiedt enkel met voorafgaande goedkeuring van de (Cyber-)Beveiligingsfunctionaris.

4.12

Onderhoud

4.12.2

Procedures (inclusief rollen en verantwoordelijkheden) voor het beheer van de IT-voorzieningen waarin Bijzondere Informatie wordt verwerkt (o.a. ten aanzien van back-up en herstel, afhandelen van fouten en noodprocedures) zijn vastgesteld en beschikbaar gesteld aan Beheerders en worden minimaal jaarlijks geëvalueerd en waar nodig aangepast.

4.12.4

Voor Onderhoud en Beheer op afstand worden enkel Goedgekeurde Middelen gebruikt.

4.12.6

Onderhoud en beheer op afstand van Systemen is niet toegestaan.

4.12.8

Onderhoud aan apparatuur vindt uitsluitend plaats op locatie van Opdrachtnemer met toepassing van door NBIV goedgekeurde procedures. De procedures ten aanzien van onderhoud zijn als bijlage opgenomen in het Beveiligingsplan.

4.13.1

Systeem- en gebruikersactiviteiten worden minimaal gelogd conform de richtlijnen van de JSCU Logging-essentials. Op basis van een Risicoanalyse is vastgesteld welke aanvullende Logging noodzakelijk is. Deze logbestanden zijn minimaal 6 maanden beschikbaar.

4.13.3

Activiteiten van Gebruikers binnen Systemen zijn herleidbaar tot een individu.

4.13.5

Op basis van vastgestelde drempelwaardes of use cases voor (gelogde) systeemactiviteiten wordt automatisch gealarmeerd.

4.13.7

Logbestanden worden alleen geraadpleegd door een daartoe geautoriseerde Gebruiker. De toegang is beperkt tot leesrechten.

4.13.9

Loggegevens over een (vermoed) Beveiligingsincident worden zolang als nodig voor het onderzoek en de afhandeling van het Beveiligingsincident bewaard en op verzoek verstrekt aan NBIV.

4.14

Bedrijfscontinuïteit en herstel

4.14.2

Er zijn voorzieningen ingesteld om voortdurend de Beschikbaarheid van de componenten die betrokken zijn bij de verwerking en opslag van Bijzondere Informatie te monitoren. Op basis van voorspellende analyses van het gebruik worden tijdig maatregelen genomen om de capaciteit indien nodig uit te breiden.

4.14.4

Procedures voor back-up van Bijzondere Informatie en voor herinrichting en foutherstel van verwerkingen (recovery) zijn gedocumenteerd en worden minimaal elke 6 maanden getest. Deze procedures zijn gebaseerd op het soort gegevens (bestanden, databases, enz.), de maximaal toegestane periode waarover gegevens verloren mogen raken (RPO) en de maximaal toelaatbare hersteltijd (RTO).

4.14.6

Back-ups worden bewaard op een locatie die zodanig is gekozen dat een Beveiligingsincident op de oorspronkelijke locatie niet leidt tot schade aan de back-ups.

4.14.8

Back-ups worden behandeld conform hetzelfde beveiligingsniveau als het Systeem waarop de originele data staat.

4.15.1

Het (laten) ontwikkelen van software verloopt via een gedocumenteerde Secure Software Development Life Cycle (SSDLC) methodiek waarbij:

– gebruik wordt gemaakt van een gestandaardiseerd proces (zoals een code repository) op basis van best practices;

– ontwikkelaars bekend zijn met relevante secure coding practices;

– secure development een expliciet onderdeel is van alle stappen in de methodiek;

– zo veel mogelijk gebruik wordt gemaakt van software om fouten en kwetsbaarheden vroegtijdig te ondervangen.

4.15.3

Ontwikkel-, Test- en Acceptatieomgevingen zijn fysiek gescheiden van Productieomgevingen. De Systemen en applicaties in deze omgevingen beïnvloeden Systemen en applicaties in andere omgevingen niet.

4.15.5

Gebruikers hebben gescheiden Gebruiksaccounts voor Ontwikkel-, Test-, Acceptatie- en Productiesystemen om het risico van fouten te verminderen. Het moet duidelijk zichtbaar zijn in welk Systeem gewerkt wordt.

4.15.7

Overdracht tussen Ontwikkel-, Test-, Acceptatie- en Productieomgeving vindt plaats conform een vastgestelde procedure. Deze procedure is door NBIV goedgekeurd.

4.15.9

Van acceptatietesten wordt een log bijgehouden.

4.15.11

Binnenkomende software (zowel op fysieke media als gedownload) is gecontroleerd op ongeautoriseerde wijzigingen (integriteitscontrole) aan de hand van een door de (Toe)leverancier via een gescheiden kanaal geleverde checksum, Certificaat of Software Bill of Materials (SBOM).

4.15.13

De invoer van gegevens wordt minimaal gecontroleerd op grenswaarden, ongeldige tekens, onvolledigheid, format en inconsistentie.

4.15.15

Het Systeem bevat een geautomatiseerde controle op transactie- en verwerkingsfouten waarmee vastgesteld kan worden of gegevens juist en volledig verwerkt zijn.

4.15.17

De beveiliging van Systemen wordt getest aan de hand van tevoren vastgestelde acceptatiecriteria.

4.15.19

Acceptatie van Systemen of software vindt plaats nadat vastgesteld is dat de ABRO 2026 eisen zijn geïmplementeerd.

4.15.21

Er zijn maatregelen getroffen om de Broncode welke is ontwikkeld of wordt gebruikt in het kader van de Bijzondere Opdracht, tegen onbedoelde wijzigingen te beschermen.

4.15.23

Broncode ontwikkeld ten behoeve van de Bijzondere Opdracht wordt nooit opgeslagen door middel van een Cloudoplossing.

H2 - Personeel

√

√

√

√

H4 - Cyber (exclusief Cloud)

1

√

1