Direct naar content

U bent hier:

  1. Regeling
Zoek opnieuw

Subsidieprogramma Nederland – Oekraïne cyberbeveiliging[Regeling vervalt per 01-01-2031.]
[Regeling treedt (deels) in werking per 20-03-2026.]
Geraadpleegd op 25-03-2026. Gebruikte datum 'geldig op' en zichtdatum .
Geldend van 20-03-2026 t/m heden.

Inhoudsopgave

Subsidieprogramma Nederland – Oekraïne cyberbeveiliging

[Regeling vervalt per 01-01-2031.]
[Regeling treedt (deels) in werking per 20-03-2026.]
Geraadpleegd op 25-03-2026. Gebruikte datum 'geldig op' en zichtdatum .
Geldend van 20-03-2026 t/m heden.

Origineel opschrift en aanhef

Besluit van de Minister van Buitenlandse Zaken van 11 maart 2026, nr. BZ2625757 tot vaststelling van beleidsregels en een subsidieplafond voor subsidiëring op grond van de Subsidieregeling Ministerie van Buitenlandse Zaken 2006 (Subsidieprogramma Nederland – Oekraïne cyberbeveiliging)

Artikel 1

Voor subsidieverlening op grond van de artikelen 2.4, onderdeel f, van de Subsidieregeling Ministerie van Buitenlandse Zaken 2006 met het oog op subsidiëring van activiteiten die bijdragen aan de cyberbeveiliging in Oekraïne, gelden voor de periode vanaf inwerkingtreding van dit besluit tot en met 31 december 2030 de als bijlage bij dit besluit gevoegde beleidsregels.

Artikel 2

  • 1 Aanvragen voor subsidie in het kader van het Subsidieprogramma Nederland – Oekraïne cyberbeveiliging worden ingediend vanaf 2 april 2026 09:00 tot en met 29 april 2026 17:00 Nederlandse tijd.

  • 2 Aanvragen voor subsidie in het kader van het Subsidieprogramma Nederland – Oekraïne cyberbeveiliging worden ingediend aan de hand van een door de minister beschikbaar gesteld formulier en voorzien van de op het aanvraagformulier gevraagde bescheiden1.

Artikel 3

  • 1 Voor subsidieverlening in het kader van het Subsidieprogramma Nederland – Oekraïne cyberbeveiliging geldt voor de periode vanaf inwerkingtreding van dit besluit tot en met 31 december 2030 een totaal subsidieplafond van € 2,5 miljoen, onderverdeeld in de volgende subsidieplafonds:

    • a. € 625.000 voor activiteiten gericht op oplossingen die de implementatie van Security Operations Center-as-a-Service en Managed Security Service Providers vergemakkelijken of verbeteren;

    • b. € 625.000 voor activiteiten gericht op Cloud-beveiliging oplossingen, die eraan bijdragen dat Oekraïne kan diversifiëren ten aanzien van aanbieders van cloud-opslag en diensten;

    • c. € 625.000 voor activiteiten gericht op oplossingen die bijdragen aan het verbeteren van Identity and Access Management en e-mail bescherming, ter bevordering van de integriteit van data;

    • d. € 625.000 voor activiteiten gericht op ontwikkelingen die forensisch onderzoek en incidentrespons optimaliseren.

  • 2 Als een subsidieplafond, bedoeld in het eerste lid, onderdelen a tot en met d, niet volledig wordt benut voor de aanvragen waarvoor het is vastgesteld, wordt het resterende bedrag toegevoegd aan het subsidieplafond waar de meeste aanvragen voor zijn ingediend.

Artikel 4

De verdeling van elk van de subsidieplafonds, bedoeld in artikel 3, vindt plaats op grond van een beoordeling overeenkomstig de maatstaven die in de bijlage bij dit besluit zijn neergelegd, met dien verstande dat uit alle aanvragen die voldoen aan de maatstaven, de aanvragen die het beste voldoen aan die maatstaven het eerst voor subsidieverlening in aanmerking komen, binnen het raam van een evenwichtige spreiding van de beschikbare middelen als bedoeld in artikel 8, derde lid, onderdeel d, van het Subsidiebesluit Ministerie van Buitenlandse Zaken.

Artikel 5

Dit besluit treedt in werking met ingang van de dag na de datum van uitgifte van de Staatscourant waarin het wordt geplaatst en vervalt met ingang van 1 januari 2031, met dien verstande dat het besluit van toepassing blijft op aanvragen die voor die datum zijn ingediend en subsidies die voor die datum zijn verleend.

Artikel 6

Dit besluit wordt aangehaald als: Subsidieprogramma Nederland – Oekraïne cyberbeveiliging.

Origineel slotformulier en ondertekening

Dit besluit zal met de bijlage in de Staatscourant worden geplaatst.

De Minister van Buitenlandse Zaken,

namens deze,

de plaatsvervangend Directeur-Generaal Politieke Zaken,

J. Flamand

Bijlage

1. Algemeen

1.1. Achtergrond

Sinds een aantal jaar, met een sterke stijging sinds de start van de Russische invasie, vinden er veel cyberaanvallen plaats op alle lagen van de Oekraïense overheid, zoals de gezondheidssector, maar ook op de financiële instellingen, het bedrijfsleven en de vitale infrastructuur van het land. Russische cyberoffensieven zijn onlosmakelijk verbonden met de oorlog en maken het dagelijks leven van veel Oekraïners zwaarder. Oekraïense autoriteiten en het complete cyberbeveiligingsecosysteem werken dagelijks met man en macht aan de cyberbeveiliging.

Tegelijkertijd ondervinden Europese landen, waaronder Nederland, ook meer last van cyberaanvallen sinds het begin van de oorlog, zoals blijkt uit rapportages van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en het Nationaal Cyber Security Centrum (NCSC)2. Nederland moet voorbereid zijn op een toenemende mate van cyberaanvallen van statelijke actoren in de nabije toekomst. Nederlandse partijen hebben veel kennis en kunde op het gebied van cyberbeveiliging en genieten een goede internationale reputatie op het gebied van innovatie.

Op dit moment vindt er veel uitwisseling plaats over cyberbeveiliging tussen Oekraïense en Nederlandse overheidspartijen. Deze uitwisseling vindt een stuk minder plaats wanneer het aankomt op contact tussen cyberbeveiligingsondernemingen tussen beide landen. Vanuit beide kanten is er een grote wens om van elkaar te leren. Ook Nederlandse ondernemingen willen zich klaarmaken voor een onzekere geopolitieke toekomst en leren hoe cyberverdediging werkt aan de frontlinie. Daarnaast hebben Oekraïense ondernemingen veel interesse in de specifieke vaardigheden van het Nederlandse ecosysteem en innovatieve ideeën die ingezet kunnen worden in hun dagelijks werk.

Het Tallinn Mechanisme3 is in 2023 opgericht om civiele cyberbeveiligingssupport van verschillende landen aan Oekraïne te coördineren. Prioriteiten onder het Tallinn Mechanisme zijn het verhogen van de weerbaarheid van het Oekraïense civiele cyberbeveiligingsecosysteem, het coördineren van financiële steun aan Oekraïne en het bevorderen van business-to-business relaties tussen Oekraïense ondernemingen en ondernemingen uit de landen aangesloten bij het Tallinn Mechanisme. De Tweede Kamer heeft op 16 juli 2025 besloten om twintig miljoen euro beschikbaar te stellen voor ondersteuning van cybersteun in Oekraïne in 2025 en 2026.4

1.2. Bijdragen aan prioriteiten Tallinn Mechanisme

Gelet op de voortdurende grote behoefte aan steun vanuit Oekraïne en ook met het oog op de staat van nationale veiligheid in Nederland, wil de minister met het Subsidieprogramma Nederland – Oekraïne cyberbeveiliging (hierna: subsidieprogramma) bijdragen aan de prioriteiten die gesteld zijn voor het Tallinn Mechanisme. Het subsidieprogramma is daarbij gericht op het verbinden van het Oekraïense en Nederlandse bedrijfsleven, gelet op de meerwaarde die het Nederlandse bedrijfsleven hiervoor kan hebben.

Het cyberbeveiligingsecosysteem in Oekraïne heeft veel te verduren onder constante Russische aanvallen. De nood op veel vlakken van cyberbeveiliging is hoog, van het leveren van Security Operations Center (SOC) diensten tot het beschermen van kritieke data. Innovatieve producten kunnen de druk verlichten en cyberbeveiliging-aanbieders in staat stellen om hun werk nog efficiënter uit te voeren.

De minister stelt met het subsidieprogramma middelen beschikbaar voor projecten van samenwerkingsverbanden van Nederlandse en Oekraïense ondernemingen die bijdragen aan civiele cyberbeveiligingsdoeleinden in Oekraïne en Nederland. Militaire cyberbeveiligingsdoeleinden vallen derhalve niet onder de reikwijdte van dit subsidieprogramma.

Nederland streeft ernaar om zo goed mogelijk aan te sluiten bij de prioriteiten van de Oekraïense cyberbeveiligingsgemeenschap ten aanzien van cyberbeveiliging en aansluiting van het Oekraïense ecosysteem op het Nederlandse ecosysteem. Nederlandse ondernemingen hebben veel ervaring in veel aspecten van de cyberbeveiligingssector. Het faciliteren van het leveren van een korte-termijnbijdrage door het (Nederlandse) bedrijfsleven wordt daarom van belang geacht voor het bereiken van een verhoogde cyberbeveiliging in Oekraïne en Nederland.

Ter illustratie volgt hierna een beschrijving van het type projecten dat het subsidieprogramma beoogt te financieren:

  • Oplossingen die de implementatie van SOC-as-a-Service en Managed Security Service Providers vergemakkelijken of verbeteren. Denk hierbij aan tools en onboardingsmethoden;

  • Cloud-beveiliging oplossingen die eraan bijdragen dat Oekraïne kan diversifiëren ten aanzien van de aanbieders van cloud-opslag en diensten, in lijn zijn met de Europese beweging naar een soevereine Cloud. De voorgestelde cloudoplossingen moeten een sterk niveau van beveiliging hebben en een hoge mate van beschikbaarheid garanderen;

  • Oplossingen die bijdragen aan het verbeteren van Identity and Access Management en e-mail bescherming, ter bevordering van de integriteit van data;

  • Ontwikkelingen die forensisch onderzoek en incidentrespons optimaliseren. Denk hier bijvoorbeeld aan draaiboeken, tabletop exercises voor crisispreparatie, en tools die forensisch onderzoek vergemakkelijken of verbeteren.

2. Uitvoerder

De minister heeft de uitvoering van het subsidieprogramma opgedragen aan de Rijksdienst voor Ondernemend Nederland (RVO), agentschap van het Ministerie van Economische Zaken en Klimaat. RVO zal het subsidieprogramma uitvoeren namens de minister op grond van een aan RVO verleend mandaat.

3. Begrippen

In dit subsidieprogramma wordt verstaan onder:

  • Economische activiteit: iedere activiteit waarbij goederen of diensten op een markt worden aangeboden;

  • Groep: een groep is een economische eenheid, waarin organisatorisch zijn verbonden:

    • a. een privaatrechtelijke rechtspersoon, die direct of indirect:

      • meer dan de helft van het geplaatste kapitaal verschaft aan,

      • volledig aansprakelijk vennoot is van, of

      • overwegende zeggenschap heeft over,

      een of meer rechtspersonen, en

    • b. laatstbedoelde rechtspersoon/rechtspersonen;

  • Fiscale eenheid: een fiscale eenheid is een groep van meerdere ondernemingen die gezien wordt als één onderneming voor een bepaalde belastingsoort;

  • Maatschappelijke organisatie: een niet op winst gerichte, niet aan een overheidsinstantie statutair of feitelijk verbonden organisatie, met een maatschappelijk oogmerk, beschikkend over private rechtspersoonlijkheid in het land waar de organisatie statutair is gevestigd, en is ook als zodanig geregistreerd. De organisatie is niet door een overheidsinstantie opgericht, dan wel is na oprichting door een overheidsinstantie geheel verzelfstandigd;

  • Minister: de Minister van Buitenlandse Zaken;

  • Onderneming: een rechtspersoon die economische activiteiten uitvoert, niet zijnde een maatschappelijke organisatie;

  • Samenwerkingsverband: een niet over rechtspersoonlijkheid beschikkend contractueel samenwerkingsverband, bestaande uit één Nederlandse en één Oekraïense partner met ieder eigen private rechtspersoonlijkheid, gericht op de realisering van gezamenlijk onderschreven doelstellingen door uitvoering van activiteiten op een zodanige wijze dat elk van de partners een deel van de daartoe benodigde inspanningen levert en een deel van de daarmee gepaard gaande risico’s draagt;

  • Penvoerder: de partner in een samenwerkingsverband die namens het samenwerkingsverband de subsidie aanvraagt. Indien de aanvraag wordt gehonoreerd, is de penvoerder de subsidieontvanger en als zodanig volledig aanspreekbaar en verantwoordelijk jegens de minister voor de uitvoering van de gesubsidieerde activiteiten en de naleving van de aan de subsidieverlening verbonden verplichtingen.

4. Subsidieprogramma Nederland – Oekraïne cyberbeveiliging

4.1. Doel en doelgroep

Het subsidieprogramma heeft als doel om de samenwerking tussen het Oekraïense en Nederlandse cyberbeveiligingsecosysteem te vergroten, Nederlandse ondernemers lessen te laten trekken uit de cyberbeveiliging van Oekraïne en in Nederland, en bij te dragen aan de civiele cyberbeveiliging in Oekraïne, zoals omschreven in paragraaf 1.

4.2. Wie kunnen in aanmerking komen voor een subsidie

Met het subsidieprogramma wil de minister samenwerkingsverbanden ondersteunen, namens welke een penvoerder een subsidie aanvraagt.

Aan (de partners van) het samenwerkingsverband worden de volgende eisen gesteld:

  • Elke partner is een onderneming;

  • Het samenwerkingsverband bestaat uit twee ondernemingen: één lokale in Oekraïne statutair gevestigde organisatie met kennis van de lokale context en één onderneming met een statutaire zetel in Nederland;

  • Elke partner heeft aantoonbare expertise op het gebied van het soort activiteiten als die waarop de door hem in het kader van het samenwerkingsverband uit te voeren activiteiten betrekking hebben;

  • Elke partner heeft aantoonbaar structureel gewaarborgde en voldoende capaciteit voor de uitvoering van de door hem in het kader van het samenwerkingsverband uit te voeren activiteiten;

  • Alle partners moeten noodzakelijk zijn voor het behalen van de doelstelling van de activiteiten waarvoor subsidie wordt aangevraagd door aantoonbaar een duidelijke en significante rol binnen het samenwerkingsverband te vervullen, welke blijkt uit het projectplan;

  • Het samenwerkingsverband moet gevormd zijn voorafgaand aan de indiening van de aanvraag.

De rol van penvoerder wordt vervuld door een onderneming met een statutaire zetel in Nederland of een onderneming met een statutaire zetel in het buitenland én een vestiging of vaste inrichting in Nederland. Verder dient de penvoerder:

  • minimaal 3 FTE5 in loondienst6 te hebben wat wordt aangetoond uit bij de aanvraag in te dienen stukken (zoals een verzamelloonstaat), waarbij in het geval van een groep of fiscale eenheid dit voor de groep of fiscale eenheid als geheel geldt;

  • aantoonbaar in staat te zijn tot een adequaat financieel beheer om een doelgerichte en doelmatige uitvoering van de activiteiten te kunnen waarborgen.

Oekraïense en Nederlandse(semi-)overheidsinstellingen kunnen niet in aanmerking komen voor subsidie in het kader van dit subsidieprogramma (niet direct als penvoerder noch als partner). Het is wel mogelijk om deze instellingen te betrekken als observerende partijen bij het project, waardoor ze kunnen adviseren over lokale behoeften in het kader van de te behalen doelstellingen, zonder hiervoor subsidiemiddelen te ontvangen.

4.3. Subsidiabele activiteiten

Om in aanmerking te kunnen komen voor een subsidie in het kader van dit subsidieprogramma moet de aanvraag betrekking hebben op een planmatige integrale aanpak van activiteiten die bijdragen aan één gezamenlijk doel (ook wel te noemen: project).

Het project moet gericht zijn op één van volgende deelgebieden behorend bij de subsidieplafonds waarin het totaal subsidieplafond dat voor subsidieverlening in het kader van dit subsidieprogramma beschikbaar is, is verdeeld:

  • a. oplossingen die de implementatie van Security Operations Center-as-a-Service en Managed Security Service Providers vergemakkelijken of verbeteren;

  • b. Cloud-beveiliging oplossingen, die eraan bijdragen dat Oekraïne kan diversifiëren ten aanzien van aanbieders van cloud-opslag en diensten;

  • c. oplossingen die bijdragen aan het verbeteren van Identity and Access Management en e-mail bescherming, ter bevordering van de integriteit van data;

  • d. ontwikkelingen die forensisch onderzoek en incidentrespons optimaliseren.

Verder moet het project:

  • bijdragen aan het doel beschreven in paragraaf 4.1;

  • inspelen op de lokale behoeften in Oekraïne;

  • aansluiting waarborgen op de voor het project relevante Oekraïense uitdagingen en zorgdragen voor een substantiële overdracht van kennis tussen de partners, blijkend uit de werkverdeling en het beschreven plan van aanpak voor kennisuitwisseling;

  • aansluiten op Nederlandse behoeften voor cyberbeveiligingsoplossingen en het toenemend dreigingsniveau, blijkend uit referenties naar bijvoorbeeld Europese wetgeving zoals de NIS27 en de CRA8, naar dreigingsbeelden of -rapporten van het NCSC en de NCTV, of referenties naar een aangepaste bedrijfsstrategie of aangepaste prioriteiten van de Nederlandse partner naar aanleiding van de oorlog in Oekraïne;

  • zorgen voor oplossingen die bijdragen aan de verbetering van de civiele cyberbeveiliging van Oekraïne, door bijvoorbeeld lokale Oekraïense data te gebruiken, en die snel te implementeren zijn door eindgebruikers, door bijvoorbeeld integratie met bestaande cyberbeveiligingsplatformen;

  • passen binnen de lange termijn cyberweerbaarheidsstrategie van de Nederlandse partner;

  • kostenefficiënt zijn in relatie tot de beoogde resultaten en voorspelde risico's;

  • realistisch en haalbaar zijn in de aangegeven loopduur, blijkend uit de concreetheid van de beschreven doelen en de aantoonbare ervaring van de partners in het samenwerkingsverband;

  • risicomitigerende maatregelen hebben opgesteld voor de in kaart gebrachte risico's die de uitvoering van het project in de weg staan.

In ieder geval niet-subsidiabel zijn activiteiten waarvoor reeds rechtstreeks een subsidie of bijdrage ten laste van het (Nederlandse) Ministerie van Buitenlandse Zaken is ontvangen.

4.4. Looptijd van de activiteiten

De activiteiten hebben een maximale looptijd van zes maanden. De activiteiten moeten starten binnen één maand na subsidieverlening.

4.5. Omvang van de subsidie

De subsidie bedraagt per aanvraag maximaal 100% van de totale subsidiabele kosten, met een minimum van € 200.000 en tot een maximum van € 250.000. Alleen indien er sprake is van uit een subsidieplafond voor een deelgebied overblijvende middelen die worden ingezet voor aanvragen voor een ander deelgebied (zie daarover nader paragraaf 7.1) kan een subsidie minder dan € 200.000 zijn, namelijk minstens € 125.000.

5. Subsidiabele kosten

5.1. Uitgangspunten

Voor het bepalen van (de omvang van) de kosten die in aanmerking kunnen worden genomen bij het bepalen van de hoogte van de te verlenen subsidie gelden de volgende uitgangspunten:

  • kosten moeten aantoonbaar redelijk, logisch en noodzakelijk9 zijn;

  • kosten moeten naar hun aard passend zijn bij de betreffende partner die de kosten maakt;

  • kosten moeten direct gerelateerd zijn aan de uitvoering van de activiteiten en mogen geen onvoorziene kosten zijn;

  • kosten moeten worden gemaakt na de indiening van de aanvraag;

  • interne kosten worden zonder winstopslag in aanmerking genomen;

  • kosten worden aan lokale maatstaven en op redelijkheid getoetst;

  • voor kosten van projectmanagement en coördinatie geldt een maximum van 10% van de totale subsidiabele kosten.

5.2. Subsidiabele kosten

Subsidiabele kosten zijn de volgende door de partners zelf te maken kosten:

  • a. Personeelskosten: het aantal uren dat de direct bij de subsidiabele activiteiten betrokken personen ten behoeve van de activiteiten hebben gemaakt vermenigvuldigd met € 87,50 waarin zowel de directe loonkosten als daaraan toegerekende indirecte kosten zijn begrepen. Hierbij geldt een maximum van € 700,– per dag.

  • b. Afschrijvingskosten van activa, met uitzondering van grond en bestaande gebouwen, gedurende de looptijd van de activiteiten. De grondslag voor het bepalen van de afschrijvingskosten is de aanschafprijs, rekening houdend met de eventuele restwaarde en vermeerderd met eventuele aanpassingskosten. Als activa, met uitzondering van grond en bestaande gebouwen, na afloop van de looptijd van de activiteiten aan een organisatie in Oekraïne, die niet tot de groep of fiscale eenheid behoort van de partner die overdraagt, wordt overgedragen dan kan de kostprijs van deze activa als subsidiabele kosten worden opgevoerd.

  • c. Kosten derden: op factuur aantoonbare aan derden verschuldigde kosten, tot maximaal 10% van de totale subsidiabele kosten.

  • d. Reiskosten: internationale reiskosten en interlokale reiskosten buiten Nederland op basis van economy class.

  • e. Verblijfkosten: de maximale vergoeding voor verblijfkosten is het aantal overnachtingen maal de logies- en overige kosten conform de Daily Subsistence Allowance Rates van de Verenigde Naties10, geldend op het moment van indiening. Ook extra reis- en verblijfkosten kunnen vanwege de risico’s, verzekering en negatief reisadvies subsidiabel zijn, mits goed onderbouwd in de aanvraag.

5.3. Niet-subsidiabele kosten

Niet subsidiabel zijn in ieder geval de volgende kosten:

  • kosten voor het ontwikkelen van de aanvraag en het aanvragen van subsidie en andere kosten die voor indiening van de aanvraag zijn gemaakt;

  • omzetbelasting (btw) voor zover dit geen kostenpost is;

  • financieringskosten en rentevergoedingen;

  • kosten veroorzaakt door inflatie en wisselkoersschommelingen;

  • licentiekosten;

  • kosten voor de aankoop van grond en bestaande gebouwen;

  • kosten van tenaamstelling en instandhouding van rechten van intellectueel eigendom;

  • onvoorziene kosten.

6. Aanvraag

6.1. Vereisten

De aanvraag wordt ingediend met gebruikmaking van een daartoe door RVO beschikbaar gesteld middel en voorzien van de daarin genoemde bijlagen waarvoor modellen beschikbaar worden gesteld door RVO. Het projectplan, de begroting en de samenwerkingsovereenkomst moeten worden aangeleverd in het Engels. De bewijsstukken voor minimaal 3 FTE in loondienst voor de penvoerder mogen in het Nederlands of Engels worden aangeleverd.

De aanvraag bevat in ieder geval:

  • Bewijs van het hebben van minimaal 3 FTE in loondienst voor de penvoerder (zoals een verzamelloonstaat), waarbij in het geval van een groep of fiscale eenheid dit voor de groep of fiscale eenheid als geheel geldt;

  • Projectplan, dat voldoet aan de vereisten uit paragraaf 4.4 en met het oog daarop tenminste bevat:

    • een uitgewerkte beschrijving van de activiteiten, waarbij duidelijk is voor welk deelgebied de subsidie wordt aangevraagd;

    • een omschrijving van de uitgangsituatie voor aanvang van de activiteiten;

    • de beoogde resultaten van het project waaronder de bijdrage aan de prioriteiten en (sub)doelen van dit subsidieprogramma, zoals vermeld in paragraaf 4.1;

    • de afbakening van het project;

    • een onderbouwing van de wijze waarop de activiteiten inspelen op de lokale behoeften in Oekraïne en aansluiten bij het beleid/prioriteiten van de Oekraïense overheid op het gebied van cyberbeveiliging;

    • een omschrijving van de samenwerking tussen de partners waaruit blijkt waarom elke partner nodig is voor de uitvoering van het project waarvoor subsidie wordt aangevraagd (elke partner vervult dus aantoonbaar een duidelijke, actieve en significante rol binnen het samenwerkingsverband);

    • een omschrijving van de samenwerking met en tussen de belangrijkste stakeholders;

    • een beschrijving van lokale partijen (begunstigden) die kennis en/of goederen gaan ontvangen inclusief onderbouwde beschrijving van hun rol in, en bijdrage aan het project, indien van toepassing;

    • een onderbouwing van hoe de partners in staat zijn om het project uit te voeren in de vanwege de oorlogssituatie complexe Oekraïense context;

    • een risicoanalyse met een overzicht van de belangrijkste aan het project gerelateerde risico’s en bijbehorende mitigerende maatregelen, waarbij in ieder geval gedacht kan worden aan de volgende risico’s:

      • uitvoeringsrisico’s in een oorlogssituatie;

      • financiële uitvoeringsrisico’s;

      • risico’s omtrent veilig ondernemen;

      • risico van corruptie;

      • overige risico’s die van toepassing kunnen zijn op het project.

  • Begroting van de totale projectkosten;

  • Ondertekende samenwerkingsovereenkomst die de medewerking van de partners aan de uitvoering van de activiteiten, de rolverdeling en de naleving door de partners onderling van de gemaakte afspraken waarborgt, evenals de naleving jegens de minister van de aan een subsidieverlening te verbinden verplichtingen.

De aanvrager zorgt ervoor dat elke onderneming die in de aanvraag participeert, verklaart dat ze op de hoogte is van, en zal handelen in overeenstemming met, de OESO-richtlijnen11. Dit betekent dat ondernemingen gepaste zorgvuldigheid (due diligence) toepassen in overeenstemming met deze richtlijnen om (potentiële) negatieve effecten op mens en milieu in hun eigen activiteiten en hun waardeketen te identificeren en waar nodig aan te pakken, en hier transparant over communiceren. Ondernemingen verklaren ook dat ze geen activiteiten ondernemen die op de FMO-uitsluitingenlijst12 staan.

Ondernemingen moeten signalen of omstandigheden die duiden op betrokkenheid bij een schending van de OESO-richtlijnen onmiddellijk melden aan RVO, waaronder schendingen van mensenrechten of significante milieuschade. Wanneer over een onderneming een melding is (of wordt) ingediend bij het Nederlands Nationaal Contactpunt (NCP) voor de OESO-richtlijnen13, moeten ondernemingen dit melden bij RVO en medewerking verlenen aan het NCP.

6.2. Herstelperiode

In het kader van de aanvraagprocedure wordt met nadruk gewezen op artikel 7, derde lid, van het Subsidiebesluit Ministerie van Buitenlandse Zaken. Mocht een aanvraag onvolledig worden ingediend, dan kan de minister (met gebruikmaking van artikel 4:5 van de Algemene wet bestuursrecht) vragen om een aanvulling. Als datum en tijd van ontvangst van de aanvraag zal vervolgens gelden de datum en tijd waarop de aanvulling is ontvangen.

Daarbij geldt ook dat hoe korter voor het verstrijken van de deadline voor het indienen van aanvragen een aanvraag wordt ingediend, hoe groter het risico dat de minister geen toepassing zal geven aan zijn bevoegdheid om een aanvulling te vragen; dit in verband met de tijd die is gemoeid met het controleren van alle aanvragen op volledigheid en de tijd die nodig is om een aanvulling te vragen en in te dienen. In dat geval zal de aanvraag derhalve niet meer kunnen worden aangevuld, maar zal deze worden beoordeeld zoals hij primair is ingediend. Dit kan leiden tot afwijzing van de subsidieaanvraag.

Daarnaast geldt in het algemeen dat het niet volledig indienen van aanvragen of onvoldoende onderbouwen van (onderdelen van) de aanvraag mogelijk leidt tot afwijzing van een subsidieaanvraag op basis van het niet of niet in voldoende mate voldoen aan de aan aanvragen gestelde vereisten en criteria.

Kortheidshalve verwijzen naar andere onderdelen van de aanvraag, websites of bijlagen is niet voldoende, tenzij in de aanvraagdocumenten uitdrukkelijk is aangegeven dat daarmee (geheel of gedeeltelijk) kan worden volstaan. Indien onderdelen van de aanvraagdocumenten niet worden ingevuld, loopt de penvoerder het risico op afwijzing van de aanvraag.

7. Beoordeling en verdeling beschikbare middelen

7.1. Beoordeling en verdeling

De bepalingen van de Algemene wet bestuursrecht, het Subsidiebesluit Ministerie van Buitenlandse Zaken en de Subsidieregeling Ministerie van Buitenlandse Zaken 2006 zijn onverkort van toepassing op de beoordeling van aanvragen en de uiteindelijke subsidieverstrekking in het kader van het subsidieprogramma. De aanvragen worden beoordeeld met inachtneming van deze regelgeving en overeenkomstig de maatstaven die in het subsidieprogramma zijn neergelegd.

Om voor subsidie in aanmerking te kunnen komen dient de aanvraag te voldoen aan de in paragraaf 4 tot en met 6 opgenomen vereisten. Slechts de aanvragen die daaraan voldoen worden inhoudelijk beoordeeld op kwaliteit aan de hand van de criteria in paragraaf 7.2. Daaraan moet in voldoende mate (ten minste 63 punten van de maximaal 95 te behalen punten) worden voldaan om in aanmerking te kunnen komen voor subsidie. Ook voor de criteria 1 tot en met 3 moet ten minste een minimum aantal punten worden behaald ten einde te kunnen kwalificeren voor subsidie, zie daarover nader paragraaf 7.2.

De verdeling van de subsidiemiddelen vindt voor elk van de subsidieplafonds/deelgebieden (zie paragraaf 4.3) plaats via een subsidietender, oftewel op basis van kwaliteit. De kwaliteit wordt beoordeeld door beoordeling van aanvragen op grond van de kwalitatieve criteria neergelegd in paragraaf 7.2. Aanvragen worden beoordeeld per deelgebied waaronder ze worden ingediend. De uitkomsten van deze beoordeling leiden tot een rangorde van de aanvragen per subsidieplafond/per deelgebied op basis van kwaliteit. Aanvragen die niet van ten minste voldoende kwaliteit zijn, worden niet meegenomen in deze rangschikking.

In geval het honoreren van twee of meer aanvragen met een even hoge score zou leiden tot overschrijding van het subsidieplafond voor het deelgebied waarop de aanvragen betrekking hebben, wordt door middel van loting bepaald welke aanvraag wordt gehonoreerd.

In geval er subsidiemiddelen over blijven uit een subsidieplafond voor een deelgebied, komen deze middelen beschikbaar voor aanvragen voor het deelgebied waarop de meeste aanvragen zijn ingediend. De minimale omvang van een subsidie is in dit geval € 125.000.

7.2. Criteria

De hiernavolgende criteria zijn van toepassing, waarbij de puntentoekenning afhankelijk is van de mate waarin er aan de (sub)criteria wordt voldaan.

Er geldt daarbij een minimumaantal te behalen punten per criterium 1 tot en met 3 en bijbehorende sub-criteria, zie de hieronder opgenomen tabel. Extra punten kunnen worden behaald met criterium 4.

Let op: indien voor de criteria 1 tot en met 3 uitsluitend het minimale aantal punten is behaald volgt geen toekenning van subsidie omdat dan in totaal slechts 57 punten zijn behaald. Voor toekenning van een subsidie moet de totaalscore 63 punten zijn (zie hierboven in paragraaf 7.1). Dit betekent dat er meer punten dan het minimumaantal punten voor criteria 1 tot en met 3 moet worden behaald of extra punten met criterium 4, of een combinatie ervan.

Criteria

Maximale punten

1. Aansluiting behoeften en prioriteiten (minimaal 20 punten)

1.1 De mate van geschiktheid van de partners om het project uit te voeren, blijkend uit het aanwezig zijn van de daarvoor benodigde competenties en ervaring die borgen dat het project:

a. inspeelt op de noden in Oekraïne.

b. gebruikmaakt van de kennis van de partners.

10

1.2 De mate waarin het project bijdraagt aan het toepassingsgebied van de te ontwikkelen of door te ontwikkelen methode of techniek:

• Oplossingen die de implementatie van SOC-as-a-Service en Managed Security Service Providers vergemakkelijken of verbeteren;

• Cloud-beveiligingsoplossingen, die eraan bijdragen dat Oekraïne kan diversifiëren ten aanzien van de aanbieders van cloud-opslag en diensten. De oplossingen moeten in lijn zijn met de EU-beweging naar een soevereine Cloud. De voorgestelde cloudoplossingen moeten een hoog niveau van beveiliging hebben en een hoge mate van beschikbaarheid garanderen;

• Oplossingen die bijdragen aan de bevordering van het toegangsbeleid en daarmee waarborgen bieden ten aanzien van de integriteit van data door innovatieve en flexibele oplossingen van Identity and Access Management en e-mailbescherming,

• Ontwikkelingen die forensisch onderzoek en incidentrespons optimaliseren.

10

1.3 De mate waarin er sprake is van substantiële overdracht van kennis en capaciteiten tussen beide partijen in het samenwerkingsverband, waaronder mede begrepen een adequate verdeling en verbinding van de werkpakketten en een kort beschreven plan voor regelmatige kennisuitwisseling tussen de partners, uitgaande van interesses en noden van beiden partijen.

10

2. Resultaten en impact (minimaal 17 punten)

2.1 De mate waarin het project bijdraagt aan verbetering van de civiele cyberbeveiliging in Oekraïne, blijkend uit een beschrijving van aansluiting van het project aan Oekraïense behoeften, het gebruik van lokale data, de snelle implementatie van de oplossing in een volatiele omgeving en de integratie van de oplossing in bestaande cyberbeveiligingsplatforms.

10

2.2 De mate waarin het project bijdraagt aan het creëren van lange termijn cyberbeveiligingsoplossingen die gebruikt kunnen worden in Oekraïne en/of in Nederland, aansluitend op de thema's als bedoeld in criterium 1.2 en ontwikkeld met referenties naar relevante cyberbeveiligingsbeleidsdoelstellingen, vernoemd in Nederlandse, Oekraïense of Europese documenten, zoals beschreven in paragraaf 4.4.

10

2.3 De mate waarin de resultaten van het project zullen worden meegenomen in toekomstige cyberweerbaarheidsplannen van Nederlandse ondernemingen, blijkend uit aanwezige referenties aan huidige en toekomstige Europese en Nederlandse cyberwetgeving en bedrijfsdoelstellingen, zoals beschreven in paragraaf 4.4.

5

3. Plan van aanpak en doelmatigheid (minimaal 20 punten)

De mate waarin de kwaliteit van het projectplan en begroting geborgd is, blijkend uit:

3.1 De mate waarin het project kostenefficiënt is, waarbij wordt gekeken naar de hoogte van de (subsidiabele) kosten van het project in relatie tot de beoogde ontwikkelingsresultaten en risico’s.

10

3.2 a) De mate waarin het projectplan specifiek, meetbaar, haalbaar, realistisch en tijdgebonden (SMART) is opgesteld, b) de mate waarin de doelen realistisch en concreet zijn, en c) de mate waarin het samenwerkingsverband aantoonbare ervaring heeft met vergelijkbare trajecten.

10

3.3 a) De mate waarin de risico’s voor het behalen van de beoogde projectdoelstelling in kaart zijn gebracht en b) de mate van specificering op welke wijze mitigatie van de risico's plaatsvindt.

10

4. Extra punten (geen minimum)

4.1 De mate waarin het project een duidelijk plan heeft voor toekomstige samenwerking van Nederlandse en Oekraïense partners na afloop van de subsidie.

5

4.2 De mate waarin de Nederlandse partner in het samenwerkingsverband aantoonbare eerdere ervaring heeft met werken in Oekraïne sinds 20 februari 2014.

5

Totaal aantal punten (minimaal 63 en maximaal 95 punten)

 

Ter ondersteuning van de beoordeling kan RVO verificatieactiviteiten uitvoeren ter controle van de in de aanvraag gemaakte aannames en stellingnames. Tevens kan door verificatie informatie die nodig is voor een goede beoordeling van de kwaliteit van de aanvraag verzameld worden.

8. Afwijzingsgronden

Naast het bepaalde in artikel 4:35 van de Algemene wet bestuursrecht wordt een aanvraag voor subsidie afgewezen als er niet voldaan wordt aan het bepaalde in dit subsidieprogramma of indien de beschikbare subsidiemiddelen ontoereikend zijn. Een aanvraag wordt ook afgewezen als het project zich (mede) richt op militaire cyberveiligheid.

9. Gevolgen van de oorlog

Indien een project gedurende de looptijd hinder ondervindt door de Russische invasie, waardoor het project schade oploopt of niet volledig ten uitvoer kan worden gebracht, maakt de subsidieontvanger hiervan melding conform de aan de subsidie te verbinden meldplicht. Hierna treedt de subsidieontvanger hierover in overleg met RVO en wordt gezamenlijk in redelijkheid naar een oplossing gezocht. Dat kan zijn het tijdelijk stilzetten van het project totdat de situatie verbetert, het geheel stopzetten van het project, of anderszins. Als er gezamenlijk wordt besloten tot het stilzetten van een project dient het niet gebruikte deel van de subsidie te worden terugbetaald, mocht er reeds een teveel aan voorschotten zijn ontvangen. De subsidieontvanger is zelf verantwoordelijk voor de veiligheidsrisico’s in Oekraïne.14

10. Toezicht

RVO zal een steekproefsgewijze controle uitvoeren en waar mogelijk monitoren op het correcte gebruik van de subsidie waarbij op grond van de afgegeven beschikkingen wordt gecontroleerd op rechtmatigheid en doelmatigheid.

11. Verplichtingen

In de subsidieverleningsbeschikking worden onder andere de volgende verplichtingen voor de subsidieontvanger opgenomen:

  • Een meldingsplicht ten aanzien van feiten en omstandigheden die van belang kunnen zijn voor de subsidie, zoals het niet (geheel of tijdig) kunnen uitvoeren van de gesubsidieerde activiteiten en het naleven van OESO-richtlijnen.

  • Het geen gebruik mogen maken van kinderarbeid en/of dwangarbeid.15 De subsidieontvanger moet eventuele feiten of omstandigheden die wijzen op kinder- of dwangarbeid bij henzelf of partners eveneens onverwijld te melden bij RVO.

  • Het na afronding van het project opleveren van een eindrapportage.

12. Administratieve lasten

Ter verantwoording van de administratieve lasten waarmee de penvoerder te maken krijgt is een toets uitgevoerd volgens een standaard kostenmodel. Daarbij is rekening gehouden met de indiening van een aanvraag voor subsidie, de beheerfase, de vaststelling van de subsidie en eventuele bezwaar- en beroepsprocedures. Uit de berekening blijkt dat het totale percentage administratieve lasten ten opzichte van het totaal beschikbare subsidiebudget 2,88% bedraagt.

  1. www.rvo.nl/subsidies-financiering/nl-ua-cf ^ [1]
  2. https://www.nctv.nl/documenten/2025/11/26/cybersecuritybeeld-nederland-2025 ^ [2]
  3. https://www.government.nl/documents/diplomatic-statements/2023/12/20/tallinn-mechanism-officially-formalized ^ [3]
  4. kst-36045-209.pdf ^ [4]
  5. ‘FTE’ staat voor ‘voltijdequivalenten’. De berekening van FTE’s verschilt per onderneming of maatschappelijke organisatie, maar wordt in zijn algemeenheid berekend door het aantal gewerkte uren van een werknemer te delen door het aantal uren van een volledige werkweek. ^ [5]
  6. https://www.belastingdienst.nl/wps/wcm/connect/nl/arbeidsrelaties/content/wanneer-is-sprake-van-loondienst ^ [6]
  7. Europese NIS2-richtlijn (Richtlijn (EU) 2022/2555), welke in Nederland wordt omgezet in de Cyberbeveiligingswet (zie de wetgevingskalender voor de actuele status van dat wetsvoorstel). ^ [7]
  8. Europese Verordening cyberweerbaarheid (Verordening (EU) 2024/2847), waaraan in Nederland uitvoering wordt gegeven met de Uitvoeringswet verordening cyberweerbaarheid (zie de wetgevingskalender voor de actuele status van dat wetsvoorstel). ^ [8]
  9. Zie ook artikel 14 van het Subsidiebesluit Ministerie van Buitenlandse Zaken. ^ [9]
  10. https://icsc.un.org/Home/DailySubsistence ^ [10]
  11. https://www.oesorichtlijnen.nl/ ^ [11]
  12. https://www.fmo.nl/policies-and-position-statements ^ [12]
  13. https://www.oesorichtlijnen.nl/meldingen ^ [13]
  14. https://www.nederlandwereldwijd.nl/reisadvies/oekraine. ^ [14]
  15. Elke vorm van arbeid die de Internationale Arbeidsorganisatie beoogt te verhinderen met het Verdrag betreffende den gedwongen of verplichten arbeid, 1930 (C29), het Verdrag betreffende de afschaffing van gedwongen arbeid, 1957 (C 105), het Verdrag betreffende de minimumleeftijd, 1973. ^ [15]