Evaluatie van defensiesoftwareleveranciers: gids voor technische due diligence voor inkoopfunctionarissen

Defensie-softwareaanbestedingen mislukken vaker in de fase van leveranciersevaluatie dan in enige andere fase van de aanbestedingscyclus. Niet omdat inkoopfunctionarissen zorgvuldigheid missen — maar omdat de evaluatiekaders die zij toepassen zijn ontworpen voor commerciële IT, waar de risico's dienstonderbrekingen, kostenoverschrijdingen en integratieproblematiek zijn. Defensieaanbestedingen voegen een volledig andere risicocategorie toe: veiligheidsfouten met operationele gevolgen, kwetsbaarheid van de toeleveringsketen voor vijandelijke inlichtingenverzameling en contractuele leemten die pas aan het licht komen wanneer het systeem het meest nodig is.

Deze gids biedt een gestructureerd technisch due diligence-kader dat specifiek is ontworpen voor de evaluatie van defensiesoftwareleveranciers. Het omvat acht evaluatiedomeinen: waarom commerciële benaderingen tekortschieten, hoe de technische architectuur te beoordelen, welke beveiligingscertificeringen er werkelijk toe doen, escrow-vereisten voor broncode, SLA- en ondersteuningsevaluatie voor langcyclische programma's, verificatie van referentieklanten, PoC-structuur en contractuele gegevensrechten.

Waarom standaard commerciële leveranciersevaluatie tekortschiet voor defensie

Commerciële leveranciersevaluatiekaders zijn gebouwd rond vier risicodimensies: levert de leverancier de beloofde functies, tegen de aangegeven kosten, geïntegreerd in de bestaande stack, met acceptabele beschikbaarheid? Dit zijn reële risico's — maar niet de dominante risico's bij defensiesoftware-aanbestedingen. ITAR-naleving, levensduurvereisten (15–20 jaar operationele levensduur), operationele continuïteit onder vijandige omstandigheden en accreditatie op classificatieniveau zijn verplichte evaluatiedimensies die commerciële kaders stelselmatig negeren.

Kernprincipe: ITAR-blootstelling, bedrijfscontinuïteit op 15-jarige horizonnen, dreigingsmodellering door tegenstanders en classificatieaccreditatie zijn aanbestedingspoorten — geen post-toewijzingsrisico's. Evalueer ze voor het samenstellen van de shortlist.

Technische architectuurbeoordeling

De kwaliteit van architectuurdocumentatie is een van de meest betrouwbare vroege indicatoren van de ingenieursdiscipline van een leverancier. Vraag van elke leverancier op de shortlist: een componentarchitectuurdiagram, een implementatiearchitectuurdiagram, API-documentatie, een Software Bill of Materials (SBOM) in SPDX- of CycloneDX-formaat, en Architecture Decision Records (ADRs).

Controle van beveiligingscertificeringen

ISO 27001 certificeert het informatiebeveiligingsbeheerssysteem. SOC 2 Type II beoordeelt operationele beveiligingscontroles over een bedrijfsperiode. ITAR-naleving is geen certificering maar een wettelijke verplichting: voor programma's met coalitiedelingsvereisten is een onafhankelijke juridische beoordeling vereist. NATO AQAP-2110 is de NAVO-norm voor softwarekwaliteitsbeheer, vereist bij levering van software onder een NAVO-programma.

Broncode-escrow en bedrijfscontinuïteit

Broncode-escrow is een contractuele regeling waarbij de leverancier broncode, bouwscripts, testsuites en documentatie deponeert bij een neutrale derde partij. Voor defensieprogramma's met een operationele levensduur van 15–20 jaar is dit een bedrijfscontinuïteitsmechanisme. Specificeer in het contract: de reikwijdte van het depot, de updatefrequentie, triggercondities, verificatie van bouwareproduceerbaarheid en een geaccrediteerde escrow-agent.

SLA- en ondersteuningsevaluatie

SLA-evaluatie voor defensieprogramma's moet vier dimensies bestrijken: responstijdverplichtingen per ernstniveau (P1 in uren, niet dagen), patchfrequentie voor beveiligingskwetsbaarheden, de lengte van het langetermijnondersteuningsvenster (militaire systemen hebben minimaal 10–15 jaar nodig) en de capaciteit van het ondersteuningsteam bij crisisscenario's.

Verificatie van referentieklanten

Door leveranciers verstrekte referentielijsten zijn een vertrekpunt, geen eindpunt. Neem rechtstreeks contact op met de programmamanager of technisch leider bij de referentieorganisatie. Stel operationele vragen: wat ging er mis tijdens de implementatie? Wat duurde langer dan de leverancier beloofde? Zou u deze leverancier opnieuw kiezen? Prioriteer referenties met vergelijkbare gebruiksscenario's en classificatieniveaus.

Pilot- en PoC-structuur

Een verdedigbare PoC vereist: vooraf overeengekomen meetbare succescriteria, een realistisch testomgeving die operationele beperkingen weerspiegelt, een scorerubriek, een neutraal evaluatieteam apart van aanbestedingsbeslissers en een documentatieprotocol voor mislukkingen.

Contractuele overwegingen: IP, gegevensrechten en ITAR-doorstroom

Kritieke contractclausules: IE-eigendomsrechten voor software ontwikkeld met overheidsmiddelen, wijzigingsrechten zonder leveranciersgoedkeuring, rechten op operationele gegevens en afgeleide inlichtingenproducten, ITAR-nalevingsverplichtingen in de gehele onderaannemersketen, en uitstap- en overgangsbepalingen.

Conclusie: Evaluatie van defensiesoftwareleveranciers is geen grondiger versie van commerciële IT-leveranciersevaluatie. Het is een andere evaluatie gebaseerd op een ander risicomodel. Deze gids biedt het juiste kader.