Regeling van de Minister van Economische Zaken van 3 december 2025 nr. WJZ/102659930, tot wijziging van de Regeling nationale EZ-, LVVN- en KGG-subsidies en de Regeling openstelling EZ-, LVVN-en KGG-subsidies 2025 in verband met de wijziging en openstelling van de subsidiemodule Cyberbeveiligingsinnovatieprojecten

Met deze regeling worden de Regeling nationale EZ-, LVVN- en KGG-subsidies en de Regeling openstelling EZ-, LVVN-en KGG-subsidies 2025 aangepast. Deze aanpassingen houden verband met de openstelling en wijziging van de subsidiemodule Cyberbeveiligingsinnovatieprojecten.

In titel 4a.3 van de Regeling nationale EZ-, LVVN- en KGG-subsidies is de subsidiemodule Cyberbeveiligingsinnovatieprojecten opgenomen. Op grond van de subsidiemodule Cyberbeveiligingsinnovatieprojecten kan subsidie worden verstrekt aan een in Nederland gevestigde juridische entiteit voor het zelfstandig of in een samenwerkingsverband uitvoeren van een cyberbeveiligingsinnovatieproject dat een bijdrage moet leveren aan de doelen uit het programma Digitaal Europa zoals neergelegd in artikel 6, eerste lid, van verordening (EU) 2021/6941 (hierna: het Programma Digitaal Europa). Het gaat hierbij om de invulling van de doelstellingen op een aantal deelgebieden. Voor een uitgebreidere achtergrond bij de aanleiding, het doel en inhoud van deze subsidiemodule wordt verwezen naar de paragrafen 1.1, 1.2 en 1.3 van het algemene deel van de toelichting op de invoeringsregeling2 van de subsidiemodule Cyberbeveiligingsinnovatieprojecten (hierna: de invoeringsregeling).

Met deze wijzigingsregeling wordt de subsidiemodule Cyberbeveiligingsinnovatieprojecten wederom opengesteld van 9 december 2025 om 9.00 uur tot en met 10 februari 2026 om 17.00 uur. Het subsidieplafond wordt vastgesteld op (a) € 1.250.000 voor het nieuwe deelgebied ‘het bevorderen van crypto-agility’ en ook op (b) € 1.250.000 voor het nieuwe deelgebied ‘het vereenvoudigen en meer kostenefficiënt maken van cyberbeveiligingsoplossingen’. Daarnaast is ten behoeve van deze komende openstelling in de subsidiemodule Cyberbeveiligingsinnovatieprojecten een aantal aanpassingen doorgevoerd om ervoor te zorgen dat deze subsidiemodule bij de komende (en daarop volgende) openstelling(en) blijft aansluiten op de meest recente calls uit het Programma Digitaal Europa en dat zij voor (potentiële) subsidieaanvragers aantrekkelijker wordt. Deze aanpassingen zullen onder meer de volgende gevolgen hebben.

• – Allereerst is het gevolg dat bij de komende openstelling de subsidie bestemd is voor een cyberbeveiligingsinnovatieproject, waarbij de subsidiabele activiteiten (net zoals bij de vorige openstelling) bestaan uit industrieel onderzoek, experimentele ontwikkeling en/of procesinnovatie. In tegenstelling tot bij de vorige openstelling zullen de activiteiten (1) niet meer (aanvullend) bestaan uit een haalbaarheidsstudie of organisatie-innovatie en (2) wordt in het vervolg geen onderscheid meer gemaakt tussen subsidie voor economische en niet-economische activiteiten (omdat de subsidie in veel gevallen bestemd zal zijn voor economische activiteiten).

• – Ten tweede is het gevolg dat bij de komende openstelling van deze subsidiemodule de subsidiabele activiteiten verricht moeten worden op andere deelgebieden dan bij de vorige openstelling het geval was. De oude deelgebieden zijn voor de komende openstelling dan ook vervangen door (a) het nieuwe deelgebied ‘het bevorderen van crypto-agility’ en (b) het nieuwe deelgebied ‘het vereenvoudigen en meer kostenefficiënt maken van cyberbeveiligingsoplossingen’.

• – Ten derde is het gevolg dat in het vervolg slechts gebruikgemaakt wordt van de eenvoudige procedures uit slechts één toepasselijk Europees staatssteunkader, in plaats van drie Europese staatssteunkaders met verschillende procedures. Deze aanpassing zal moeten leiden tot meer duidelijkheid voor de subsidieaanvrager en subsidieontvanger. Zie voor een nadere uitleg over de staatssteunaspecten paragraaf 2 van het algemene deel van deze toelichting.

• – Tot slot zijn (mede in verband met de voorgaande aanpassingen) ook de bepalingen betreffende de hoogte van de subsidie, subsidiabele kosten, afwijzingsgronden en verdeling van het subsidieplafond aangepast. Voor de verdere achtergrond bij en inhoud van deze aanpassingen, alsook de voorgaande aanpassingen, wordt verwezen naar de artikelsgewijze toelichting.

Voor de komende openstelling van deze subsidiemodule zal als gevolg van de aanpassingen, bedoeld in paragraaf 1 van deze toelichting, geen gebruik meer gemaakt worden van diverse artikelen uit de (voorheen) toepasselijke Europese staatssteunkaders. Bij de vorige openstelling werd gebruik gemaakt van de algemene de-minimisverordening3, de algemene groepsvrijstellingsverordening4 en het O&O&I-steunkader5. Bij de komende openstelling(en) wordt uitsluitend gebruik gemaakt van de relatief eenvoudige procedures uit de algemene de-minimisverordening. Voor het gebruik van de algemene de-minimisverordening zijn dan ook de volgende aanpassingen doorgevoerd.

• – Allereerst is artikel 4a.3.2, derde lid, (nieuw), onderdeel d, aangepast om ervoor te zorgen dat de hierin opgenomen voorwaarden betreffende de sectorbeperking uit de algemene de-minimisverordening in het vervolg van toepassing zullen zijn op alle soorten subsidieontvangers, in plaats van op slechts een deel van de subsidieontvangers.

• – Ten tweede zijn de afwijzingsgronden en informatieverplichtingen in de artikelen 4a.3.7 en 4a.3.12 aangepast. Hierdoor zullen de afwijzingsgronden betreffende in- en uitvoer opgenomen in artikel 4a.3.7, onderdeel e, (nieuw) en de informatieverplichting betreffende de zogenaamde de-minimisverklaring, opgenomen in artikel 4a.3.12, eerste lid, onderdeel d, (nieuw) in het vervolg van toepassing zijn op alle subsidieaanvragers.

• – Tot slot regelt artikel 4a.3.3, derde lid, (nieuw) dat het te verlenen steunpercentage en het subsidiebedrag, opgenomen in artikel 4a.3.3, eerste en tweede lid, het toepasselijke de-minimisplafond niet overschrijden en regelt artikel 4.3.4 aanvullend welke kosten (tegen welk marktconform uurtarief) voor subsidie in aanmerking komen. Hierdoor wordt voorkomen dat een te hoog subsidiebedrag verstrekt wordt, dat zou kunnen leiden tot overcompensatie van de subsidiabele kosten.

De wijzigingen uit onderhavige wijzigingsregeling hebben het volgende effect op de administratieve lasten van de subsidiemodule Cyberbeveiligingsinnovatieprojecten.

Ten eerste komen er informatieverplichtingen betreffende staatssteun te vervallen in de subsidiemodule Cyberbeveiligingsinnovatieprojecten. Bij de vorige openstelling kon door de subsidieaanvrager gekozen worden om (a) gebruik te maken van de algemene de-minimisverordening of de algemene groepsvrijstellingsverordening (in het geval deze economische activiteiten zou verrichten) dan wel (b) aan bepaalde verplichtingen uit het O&O&I-steunkader te voldoen (in het geval deze niet-economische activiteiten zou verrichten).

• – Bij de vorige openstelling van de subsidiemodule Cyberbeveiligingsinnovatieprojecten moest een subsidieaanvraag op grond van de voorgaande drie Europese staatssteunkaders bij de vorige openstelling ten minste de volgende informatie bevatten: (a) een verklaring de-minimissteun van de subsidieaanvrager (indien de subsidieaanvrager aanspraak wilde maken op de steunpercentages en subsidiebedragen die vielen binnen de marges van de algemene de-minimisverordening), (b) de gegevens, bedoeld in artikel 6, tweede lid, van de algemene groepsvrijstellingsverordening (indien de subsidieaanvrager aanspraak wilde maken op de steunpercentages en subsidiebedragen die vielen binnen de marges van de algemene groepsvrijstellingsverordening) en (c) gegevens over de grootte van de onderneming van de subsidieaanvrager (indien de subsidieaanvrager aanspraak wilde maken op een verhoogd percentage aan subsidie voor een kleine of middelgrote onderneming die vielen binnen de marges van de algemene groepsvrijstellingsverordening).

• – Bij de komende openstelling(en) van de subsidiemodule Cyberbeveiligingsinnovatieprojecten komen de laatste twee informatieverplichtingen te vervallen. In het vervolg kan de subsidieaanvrager namelijk alleen aanspraak maken op de steunpercentages en subsidiebedragen die vallen binnen de marges van de algemene de-minimisverordening. Hierdoor zal bij alle ingediende subsidieaanvragen een verklaring de-minimissteun overlegd moeten worden. Deze informatieverplichting is erg gering en bestaat slechts in het aanvinken van een aantal selectievakjes in het aanvraagformulier, dat RVO voor de subsidieaanvraag ter beschikking stelt. Daarnaast zal de potentiële subsidieaanvrager wel moeten nagaan wat de informatieverplichtingen en overige voorwaarden zijn die gekoppeld zijn aan een subsidie onder de subsidiemodule cyberbeveiligingsinnovatieprojecten die valt onder de algemene de-minimisverordening. Om ervoor te zorgen dat de potentiële subsidieaanvrager deze keuze eenvoudig kan maken, zal RVO informatie beschikbaar stellen op de website RVO.nl. Daarom zal het voorgaande leiden tot een beperkte toename van de regeldruk (van ongeveer 1 uur) bij sommige individuele gebruikers van deze subsidiemodule, maar tegelijkertijd zal deze regeldruk ook weer met 1 uur afnemen in verband met dat andere alternatieve informatieverplichtingen uit andere Europese staatssteunkaders zijn komen te vervallen.

Ten tweede moet bij de komende openstelling(en) van de subsidiemodule Cyberbeveiligingsinnovatieprojecten de subsidieaanvraag vergezeld gaan van de meest recente jaarrekening of, voor zover van toepassing, andere vergelijkbare documenten waaruit de financiële situatie van de subsidieaanvrager kan worden afgeleid. Deze informatie is nodig voor de beoordeling van de financiële en economische haalbaarheid van een project op grond van artikel 23 van het Kaderbesluit nationale EZK- en LNV-subsidies (hierna: Kaderbesluit). Het aanleveren van de jaarrekening zal 1 uur in beslagnemen en het aanleveren van vergelijkbare documentatie zal 2 uur in beslagnemen. Bij de hierna volgende berekening zal uitgegaan worden van het meest ongunstige scenario, waarin sprake is van een toename van de administratieve lasten bij de individuele subsidieaanvrager van 2 uur. DE administratieve lasten zullen echter ook met minimaal 1 uur afnemen, omdat de verplichting tot het aanleveren van een samenwerkingsovereenkomst vervalt.

Ten slotte blijven de overige informatieverplichtingen ongewijzigd. Bij de komende openstelling

van de subsidiemodule Cyberbeveiligingsinnovatieprojecten vervallen een aantal afwijzingsgronden in artikel 4a.3.7, die niet meer beoordeeld hoeven te worden. De voor deze beoordeling benodigde informatieverplichtingen, opgenomen in artikel 4a.3.12, tweede lid, onderdelen a, b, c, d, en e, komen echter niet te vervallen. Deze informatieverplichtingen zijn namelijk nodig om te beoordelen in welke mate voldaan wordt aan de bij de komende openstelling toepasselijke rangschikkingscriteria uit artikel 4a.3.8 (nieuw), die de vervallen afwijzingsgronden uit artikel 4a.3.7 (oud) moeten vervangen op grond van het Programma Digitaal Europa. Zie de artikelsgewijze toelichting op artikelen 4a.3.5, 4a.3.7 en 4a.3.8.

Voor een omschrijving van zowel de vervallen als de (nog steeds) toepasselijke informatieverplichtingen wordt verwezen naar paragraaf 3.2 van de invoeringsregeling7, alsook naar de artikelsgewijze toelichting op artikelen 4a.3.2 en 4a.3.13 van de invoeringsregeling en, voor zover van toepassing, onderhavige regeling.

Ten eerste is de begripsbepaling ‘onderzoeksorganisatie’ vervallen. De reden hiervoor is dat in deze subsidiemodule voor de komende openstelling(en) geen specifieke bepalingen meer zijn opgenomen die betrekking hebben op het uitvoeren van niet-economische activiteiten door dit type subsidieontvanger. Het onderscheid tussen economische en niet-economische activiteiten is immers komen te vervallen, waardoor onderzoeksorganisaties (net zoals alle overige subsidieontvangers) moeten voldoen aan de voorwaarden uit de algemene de-minimisverordening. Zie paragraaf 2. Van het algemene deel van deze toelichting.

Ten tweede zijn ter vereenvoudiging van de leesbaarheid van deze subsidiemodule de begripsbepalingen “juridische entiteit’ en ‘Europees samenwerkingsverband’, aangepast, samen met artikel 4a.3.2, derde lid. Voor de afbakening van de begripsbepaling ‘juridische entiteit’ in artikel 4a.3.1 blijft in het vervolg verwezen worden naar de begripsbepaling uit het Programma Digitaal Europa, die is neergelegd in artikel 2, onderdeel 2, van verordening (EU) 2021/694. Aanvullend wordt in het vervolg in de begripsbepaling ‘juridische entiteit’ in artikel 4a.3.1 ook verwezen naar de eisen /beoordelingscriteria die zijn overgeheveld (1) uit de begripsbepaling ‘Europees samenwerkingsverband’ uit artikel 4a.3.1 en (2) uit de eisen uit artikel 4a.3.2, derde lid, onderdelen a en c, (oud). Aan deze overgehevelde eisen /beoordelingscriteria moet door de subsidieaanvrager (en eventueel partners van de subsidieaanvrager uit een Nederlands of Europees samenwerkingsverband) voldaan worden, zodat de subsidieaanvrager voor subsidie in aanmerking zou kunnen komen op grond van artikel 18 van verordening (EU) 2021/694 van het Programma Digitaal Europa. Met de voorgaande aanpassing wordt ervoor gezorgd dat de afbakening van een (subsidiabele) juridische entiteit in het vervolg slechts in één bepaling van onderhavige subsidiemodule wordt geregeld, in plaats van in drie verschillende bepalingen. Ook regelt deze aanpassing dat de eisen /beoordelingscriteria uit artikel 18 van verordening (EU) 2021/694 ongewijzigd van toepassing blijven op partners uit een eventueel Nederlands of Europees samenwerkingsverband waarmee de subsidieaanvrager samenwerkt, omdat uit de samenhang tussen voormelde begripsbepalingen volgt dat ook deze partners van de subsidieaanvrager moeten voldoen aan de begripsbepaling ‘juridische entiteit\. Zie voor een nadere uitleg van het begrip ‘juridische entiteit’ en voormelde eisen /beoordelingscriteria de artikelsgewijze toelichting op artikel 4a.3.2, derde lid, uit de invoeringsregeling9.

Bij de komende openstelling(en) van deze subsidiemodule wordt in artikel 4a.3.3, in het vervolg geen onderscheid meer gemaakt tussen (1) de subsidiepercentages voor niet-economische activiteiten, (2) economische activiteiten die vallen onder de algemene de-minimisverordening en (3) economische activiteiten die vallen onder de Algemene groepsvrijstellingsverordening. De reden hiervoor is dat bij de komende openstelling(en) van deze subsidiemodule uitsluitend steun verleend zal worden op grond van de algemene de-minimisverordening. Zie voor de achtergrond paragraaf 2 van het algemene deel van deze toelichting.

De algemene de-minimisverordening maakt het mogelijk om een steunintensiteit van 100% te hanteren. Er is echter voor gekozen om bij de komende openstelling(en) van de subsidiemodule Cyberbeveiligingsinnovatieprojecten slechts een deel van de subsidiabele kosten te subsidiëren om de subsidieontvanger te stimuleren het subsidiabele project uit te voeren en zelf ook een financiële bijdrage te leveren. Hierbij zal de hoogte van het steunpercentage wel afhankelijk zijn van het financiële risico dat behoort bij het desbetreffende project (en dus ook de mate waarin de desbetreffende subsidieontvangers zelf in financiering kunnen voorzien). Op grond van deze uitgangspunten bedraagt de subsidie voor cyberbeveiligingsinnovatieprojecten (a) 70% van de subsidiabele kosten voor de activiteiten binnen het deelgebied ‘het bevorderen van crypto-agility’ (het hoogste risicoproject) en (b) 50% van de subsidiabele kosten voor de activiteiten binnen het deelgebied ‘het vereenvoudigen en meer kostenefficiënt maken van cyberbeveiligingsoplossingen’ (een minder hoog risicoproject).

In het eerste lid van dit artikel is (in aanvulling op artikel 10 Kaderbesluit) bepaald wat de subsidiabele kosten zijn. Op grond van artikel 10 Kaderbesluit is het uitgangspunt dat alleen de redelijk gemaakte kosten die direct verbonden zijn met de uitvoering van een activiteit in aanmerking kunnen komen voor subsidie. In het vervolg van artikel 10 Kaderbesluit wordt dit uitgangspunt verder uitgewerkt via specifieke regels die betrekking hebben op de vraag welke kosten wel en niet in aanmerking komen voor subsidie. Hiermee wordt gewaarborgd dat het verband tussen de kosten en de subsidiabele activiteit (direct en duidelijk) aanwezig is.

In aanvulling op voorgaande bepaling is voor de subsidiemodule Cyberbeveiligingsinnovatieprojecten in artikel 4a.3.4, eerste lid, (nieuw) aangegeven wat voor categorieën van kosten voor subsidie in aanmerking komen. Bij de vorige openstelling van deze subsidiemodule betroffen het hier de kosten die vermeld staan in artikelen 25 en 29 van de algemene groepsvrijstellingsverordening. Voor de komende openstelling(en) is expliciet in artikel 4a.3.4 vermeld welke kosten voor subsidie in aanmerking komen. De reden hiervoor is dat bij de komende openstelling(en) van deze subsidiemodule de bepalingen uit de algemene groepsvrijstellingsverordening niet meer van toepassing zijn, alsook dat niet direct bepalingen over subsidiabele kosten zijn opgenomen in het bij de komende openstelling(en) toepasselijke Europese steunkader (de algemene de-minimisverordening). Voor subsidie komen bij de komende openstelling(en) in aanmerking de kosten die verbonden zijn met de activiteiten, bedoeld in artikel 4a.3.2, tweede lid, in het geval deze bestaan uit: (a) personeelskosten, waaronder mede begrepen de kosten verbonden aan de inzet van onderzoekers, technici en ander ondersteunend personeel, (b) kosten van de aanschaf en het gebruiksklaar maken van apparatuur en uitrusting, (c) kosten van contractonderzoek, consultancy of gelijkwaardige diensten en/of (d) kosten voor het gebruik van onderzoek-, simulatie- of testfaciliteiten of materialen.

Voor de berekeningsmethoden voor het bepalen van de subsidiabele kosten geven de artikelen 11 tot en met 14 van het Kaderbesluit de subsidieontvanger normaal gesproken onder meer de keuze om de subsidiabele kosten te berekenen met behulp van (a) de integrale kostensystematiek (IKS) (artikel 12 Kaderbesluit), (b) de loonkosten plus vaste-opslag-systematiek (artikel 13 Kaderbesluit) of (c) (artikel 14 Kaderbesluit). In artikel 4a.3.4, tweede lid, is echter geregeld dat, in afwijking van artikel 11, eerste lid, onderdelen a en b, van het Kaderbesluit, bij de komende openstelling(en) van deze subsidiemodule door de subsidieaanvrager uitsluitend gebruik gemaakt kan worden van de vaste-uurtarief-systematiek uit artikel 14 van het Kaderbesluit. Hiermee wordt gebruik gemaakt van de mogelijkheid uit artikel 15 van het Kaderbesluit om slechts één van de voorgaande drie berekeningsmethoden toe te passen. Het is in dit geval gewenst om gebruik te maken van de vaste-uurtarief-systematiek, omdat dit beter aansluit op de wijze van kostenberekening, behorend bij de toepasselijke Europese call uit het Programma Digitaal Europa.

Opgemerkt wordt dat op grond van artikel 1.7 van de Regeling nationale EZ-, LVVN- en KGG-subsidies (aanvullend op het voorgaande) normaal gesproken ook voldaan moet worden aan de berekeningsmethode uit het toepasselijke Europese steunkader. In dit geval is de algemene de-minimisverordening van toepassing, die geen berekeningsmethoden bevat. Daarom is artikel 1.7 (automatisch) niet van toepassing bij de komende openstelling(en) van deze subsidiemodule.

Dit onderdeel bevat de aanpassing van artikel 4a.3.6 waarin onder meer is bepaald dat bij de komende openstelling(en) met de uitvoering van een op grond van deze subsidiemodule gesubsidieerd cyberbeveiligingsinnovatieproject moet worden gestart uiterlijk één maand na subsidieverlening, in plaats van voor 1 februari 2024 zoals bij de vorige openstelling van deze subsidiemodule het geval was. Op deze wijze wordt gewaarborgd dat het desbetreffende project ook bij de komende openstelling(en) spoedig van start zal gaan. Het gaat immers om een subsidiemodule die onderdeel is van het Programma Digitaal Europa waarbij het van belang is dat projecten snel kunnen starten en binnen afzienbare termijn tot tastbare resultaten leiden die bijdragen aan cyberbeveiliging.

Aanvullend hierop is met dit onderdeel in artikel 4a.3.6 de realisatietermijn aangepast en voor de komende openstelling(en) van deze subsidiemodule vastgesteld op één jaar na subsidieverlening in plaats van zes maanden na de start van het project, zoals bij de vorige openstelling van deze subsidiemodule het geval was. Dit betekent dat het desbetreffende cyberbeveiligingsinnovatieproject één jaar na subsidieverlening gerealiseerd moet zijn. Indien uit het bij de subsidieaanvraag aangeleverde projectplan blijkt dat het cyberbeveiligingsinnovatieproject niet binnen deze termijn gerealiseerd zou kunnen worden, wordt de subsidieaanvraag dan ook afgewezen op grond van artikel 23, aanhef en onderdeel b, van het Kaderbesluit. Er is voor deze termijn gekozen, omdat de beleidsmatige wens en verwachting is dat een cyberbeveiligingsinnovatieproject dat betrekking heeft op de nieuwe deelgebieden, bedoeld in artikel 4a.3.2, eerste lid, onderdelen a en b, (nieuw) binnen de gestelde realisatietermijn kan worden afgerond.

Van belang is nog wel dat artikel 37, derde lid, van het Kaderbesluit in geval van vertraging van de uitvoering van de activiteiten of het essentieel wijzigen hiervan aan de Minister van Economische Zaken de bevoegdheid geeft om ontheffing te verlenen van de verplichting om de activiteiten overeenkomstig het projectplan van de subsidieontvanger uit te voeren. Gelet op de deadlines betreffende de Europese financiering uit het Programma Digitaal Europa is de verwachting echter dat een verzoek tot verlenging van de realisatietermijn niet altijd gehonoreerd zal worden.

Dit onderdeel bevat de vaststelling van de afwijzingsgronden in artikel 4a.3.7 (nieuw), die, in aanvulling op de afwijzingsgronden uit de artikelen 22 en 23 van het Kaderbesluit, van toepassing zijn bij de komende openstelling(en) van deze subsidiemodule. Met het opnieuw vaststellen van artikel 4a.3.7 (nieuw) is een groot deel van de (oude) afwijzingsgronden uit artikel 4a.3.7, onderdelen a, b, c, d, e, f, g en h (oud) komen te vervallen. Deze (oude) afwijzingsgronden zijn vervangen door de afwijzingsgronden uit artikel 4a.3.7, onderdelen a, b, c, d en e, (nieuw).

Allereerst wordt op grond van onderdeel a (nieuw) in het vervolg de subsidieaanvraag afgewezen indien na toepassing van artikel 4a.3.8, eerste lid, onderdelen a tot en met d, en tweede lid, minder dan drie punten per criterium zijn toegekend. De subsidieaanvragen worden verdeeld op volgorde van rangschikking van de aanvragen en in artikel 4a.3.8, eerste lid, zijn de zogenaamde rangschikkingscriteria voor deze verdeling opgenomen, waarvoor op grond van artikel 4a.3.8, tweede lid, per rangschikkingscriterium ten minste één en ten hoogste vijf punten worden toegekend. De bedoeling van deze afwijzingsgrond is dat alleen projecten die van voldoende kwaliteit zijn, gehonoreerd zullen worden. Een project wordt als kwalitatief voldoende beschouwd in het geval, met een schaal van één tot en met vijf punten, een score van drie punten is behaald voor elk rangschikkingscriterium, opgenomen in artikel 4a.3.8, eerste lid. De afwijzingsgrond in artikel 4a.3.7, onderdeel a, (nieuw) betreffende een voldoende score op de Rangschikkingscriteria dient als vervanging van inhoudelijke soortgelijke afwijzingsgronden uit artikel 4a.3.7, onderdelen a, b, c, d, e en f, (oud), die bij de komende openstelling komen te vervallen.

Ten tweede wordt op grond van onderdeel b (nieuw) in het vervolg de subsidieaanvraag afgewezen indien de te verlenen subsidie (1°) minder dan € 60.000 voor een project zou bedragen of (2°) minder dan € 25.000 voor een subsidieaanvrager zou bedragen (in het geval het cyberbeveiligingsinnovatieproject wordt uitgevoerd in een samenwerkingsverband). De voorgaande afwijzingsgronden zorgen ervoor dat kleinere projecten (met een lagere subsidie dan € 60.000) niet voor subsidie in aanmerking zullen komen. Op deze wijze worden subsidieaanvragen gestimuleerd die voldoende massa hebben, zodat de subsidieaanvragers binnen het samenwerkingsverband significante stappen kunnen zetten en gefragmenteerde inzet van publieke financiële middelen voorkomen wordt. Ook wordt ervoor gezorgd dat de bijdrage in een (eventueel) samenwerkingsverband (met een subsidie van niet minder dan € 25.000) voldoende substantieel is per subsidieontvanger.

Ten derde wordt op grond van onderdeel c (nieuw) in het vervolg de subsidieaanvraag afgewezen indien de subsidieaanvrager in de afgelopen drie volledige kalenderjaren niet actief zijn beroep of bedrijf heeft uitgeoefend in Nederland, waaronder mede begrepen geen producten of diensten heeft aangeboden op de Nederlandse markt. Hiermee wordt beoogd om te voorkomen dat de zogenaamde brievenbusfirma’s (die geen activiteiten In Nederland verrichten) voor subsidie in aanmerking zouden komen.

Ten vierde wordt op grond van onderdeel d (nieuw) in het vervolg de subsidieaanvraag afgewezen indien het cyberbeveiligingsinnovatieproject uitsluitend gericht is op het verhogen van de cyberweerbaarheid binnen de organisatie van de subsidieaanvrager. Hiermee wordt beoogd om te voorkomen dat subsidieaanvrager cyberoplossingen (methoden of technieken) ontwikkelen, die niet gebruikt kunnen worden door andere organisaties (lees: niet als product of dienst kunnen worden aangeboden aan afnemers van de subsidieaanvrager).

Een subsidieaanvraag wordt hoger gerangschikt naarmate de kwaliteit van het bij de subsidieaanvraag gevoegde projectplan en begroting beter is.

Een projectplan scoort hoger op dit criterium in het geval er een duidelijke omschrijving gegeven wordt van de onderzoeksmethode, inhoudelijke aanpak, (per partner) uit te voeren activiteiten, de projectfases met meetbare indicatoren (inclusief go/no go momenten), de te gebruiken middelen en de resultaten. Het gaat hier dus om een heldere beschrijving en onderbouwing van de activiteiten in de tijd (wie doet wat en wanneer). Daarnaast moet een adequate inventarisatie en analyse aanwezig zijn van de risico’s die een succesvolle uitvoering van het project kunnen bedreigen en wat voor mitigerende maatregelen hiervoor genomen (kunnen) worden. Ook moet worden onderbouwd waarom het projectplan uitvoerbaar is conform de projectbeschrijving.

Een begroting, behorend bij het projectplan, scoort hoger op dit criterium in het geval de beschikbare financiële middelen effectiever en efficiënter worden ingezet. Een begroting scoort hierop beter als de financiële middelen effectiever worden ingezet met het oog op de te bereiken doelen van het projectplan. De financiële middelen betreffen zowel de gevraagde subsidie als andere financiële middelen waarmee het project gefinancierd wordt. Om te voorkomen dat er onnodig veel kosten opgevoerd worden, wordt bij de beoordeling meegewogen welke impact het projectvoorstel kan hebben op de doelstellingen gerelateerd aan de totale subsidiabele kosten die opgevoerd worden. Subsidieaanvragen betreffende projectvoorstellen die meer impact zullen hebben ten opzichte van de totale opgevoerde kosten scoren hoger dan voorstellen die met dezelfde kosten minder impact hebben.

Aan een subsidieaanvraag voor een cyberbeveiligingsinnovatieproject worden meer punten toegekend naarmate de subsidieaanvrager of het samenwerkingsverband meer geschikt is om het project uit te voeren.

Allereerst gaat dit criterium over wie het project gaan uitvoeren en of de benodigde competenties en ervaring bij de subsidieaanvrager of de deelnemers in het samenwerkingsverband en de projectorganisatie aanwezig zijn. Dit kan aangetoond worden door documenten met daarin een beknopte beschrijving van de projectorganisatie en de kennis, ervaring en capaciteiten van de bij de uitvoering van een cyberbeveiligingsinnovatieproject betrokken entiteiten (rechtspersonen of natuurlijke personen).

Ten tweede moet bij dit criterium aangetoond worden dat de inrichting van de projectorganisatie binnen de subsidieaanvrager of het samenwerkingsverband adequaat is, waaronder mede begrepen de structuur van de projectorganisatie en taakverdeling.

Tot slot wordt bij dit criterium ook getoetst aan de mate van samenwerking tussen de deelnemers binnen het samenwerkingsverband, waaronder mede begrepen een adequate verdeling en verbinding van de werkpakketten. Er dient dan ook aangetoond te worden dat er sprake is van feitelijke samenwerking tussen de partners binnen het samenwerkingsverband, bijvoorbeeld door een adequate kennisuitwisseling. De partners binnen het samenwerkingsverband dienen onderscheidende en complementaire specifieke technische expertise te hebben. Hierdoor wordt de toegevoegde waarde van de samenwerking groter en daarmee stijgt de kans op een vervolgsamenwerking.

Aan een subsidieaanvraag voor een cyberbeveiligingsinnovatieproject worden meer punten toegekend naar mate de impact van het project op de markt groter is, blijkend uit ten minste de toepassingsmogelijkheden en slaagkans van de met het project te ontwikkelen innovatie of innovaties op de Nederlandse en internationale markt, de ontwikkeling van omzet en arbeidsplaatsen binnen cyberbeveiligingssectoren en de snelheid waarmee impact kan worden gerealiseerd op het gebied van cyberbeveiliging. Waar in de criteria a b, en c vooral de nadruk ligt op de input, de activiteiten en de output van het project, gaat het bij dit criterium om de uitkomst en de verwachte impact. Een goede onderbouwing, waar mogelijk kwantitatief, van de verwachtingen op dit punt is voor de beoordeling van dit criterium belangrijk, de aannames en inschattingen dienen expliciet gemaakt te worden. Er dient daarom een adequate kwantitatieve onderbouwing verstrekt te worden van de verwachte afzetmarkt, bestaande uit een omschrijving van de soorten potentiële afnemers. De aannames en inschattingen dienen expliciet gemaakt te worden. Daarbij wordt ingegaan op welke stappen nog gezet moeten worden om de markt te bereiken en welke kosten en welke termijnen daarbij horen.

Concreet scoort een projectvoorstel hoger op dit criterium naarmate in het projectvoorstel:

• a) meer onderbouwd is in welke sectoren/marktsegmenten behoefte is aan de voorgestelde cyberbeveiligingsoplossingen (methoden en/of technieken), wat de bredere context is;

• b) een visie op het implementatietraject beter onderbouwd is, door inzicht te geven in de vervolgstappen die bij een positief resultaat gezet zullen worden in de verdere ontwikkeling en marketing van de voorgestelde cyberbeveiligingsoplossingen en door wie, zo mogelijk tot aan introductie op de markt. Daarbij dient in het projectplan rekening gehouden te worden met de niet-technologische aspecten die bij marktintroductie een rol kunnen spelen, zoals wet- en regelgeving die invloed heeft op marktintroductie;

• c) een visie op de ontwikkeling van omzet en arbeidsplaatsen binnen de cyberbeveiligingssectoren beter onderbouwd is;

• d) meer aannemelijk wordt gemaakt dat de snelheid waarmee impact kan worden gerealiseerd op het gebied van cyberbeveiliging hoger is; van belang is dat de geleerde lessen gedeeld zullen worden met relevante belanghebbenden (tenminste met de achterban van alle betrokken partijen en vragende partijen) en verdere kennisverspreiding.

Met dit artikel is de tabel van artikel 1 van de Regeling openstelling EZ-, LVVN- en KGG-subsidies 2025 aangepast. In de tabel van artikel 1 van de Regeling openstelling EZ-, LVVN- en KGG-subsidies 2025 is aangegeven in welke periode de diverse subsidiemodules van de Regeling nationale EZ-, LVVN-en KGG-subsidies zijn opengesteld en wat het subsidieplafond bedraagt. Hieraan is ook de openstelling van de subsidiemodule Cyberbeveiligingsinnovatieprojecten toegevoegd.

Voor de subsidiemodule Cyberbeveiligingsinnovatieprojecten loopt de openstellingsperiode van 9 december om 9.00 uur tot en met 10 februari 2026 om 17.00 uur. Het subsidieplafond wordt vastgesteld op (a) € 1.250.000 voor het deelgebied ‘het bevorderen van crypto-agility’, bedoeld in artikel 4a.3.2, eerste lid, onderdeel a, (nieuw) en ook (b) € 1.250.000 voor het deelgebied ‘het vereenvoudigen en meer kostenefficiënt maken van cyberbeveiligingsoplossingen’, bedoeld in artikel 4a.3.2, eerste lid, onderdeel b, (nieuw).