Vrijdag webinar: live demo van Lexboost

ECLI:NL:CBB:2026:229

College van Beroep voor het bedrijfsleven

Datum uitspraak
2 juni 2026
Publicatiedatum
28 mei 2026
Zaaknummer
25/509
Instantie
College van Beroep voor het bedrijfsleven
Type
Uitspraak
Rechtsgebied
Bestuursrecht
Uitkomst
Toewijzend
Procedures
  • Proceskostenveroordeling
Rechters
Vindplaatsen
  • Rechtspraak.nl
Aangehaalde wetgeving Pro
Artikel 3.18a.1 Regeling nationale EZK- en LNV-subsidiesArtikel 3.18a.2 Regeling nationale EZK- en LNV-subsidiesArtikel 3.18a.7 Regeling nationale EZK- en LNV-subsidies
AI samenvatting door LexboostAutomatisch gegenereerd

Subsidieaanvraag voor cyberweerbaarheidsmaatregelen ten onrechte afgewezen door minister

Een onderneming heeft op 29 oktober 2024 subsidie aangevraagd voor twee cyberweerbaarheidsmaatregelen, namelijk patch-management en tweefactorauthenticatie, ter beveiliging van haar webshop. De minister van Economische Zaken en Klimaat wees de aanvraag af op grond van een wijziging in de Regeling nationale EZK- en LNV-subsidies, waarin beveiliging van websites niet langer subsidiabel zou zijn.

Het College oordeelt dat de afwijzing onterecht is omdat de maatregelen die de onderneming trof wel degelijk in de tabel met cyberweerbaarheidsmaatregelen stonden zoals die gold ten tijde van de aanvraag. De latere wijziging van de Regeling, die websites expliciet uitsluit, was nog niet van kracht bij de aanvraag en kan daarom niet worden toegepast.

Het College vernietigt het bestreden besluit en draagt de minister op binnen zes weken een nieuw besluit te nemen. Tevens veroordeelt het College de minister in de proceskosten van de onderneming en wijst het griffierecht toe. De zaak benadrukt het belang van de juiste toepassing van subsidieregelingen en het respecteren van de geldende regelgeving op het moment van aanvraag.

Uitkomst: Het beroep wordt gegrond verklaard, het bestreden besluit vernietigd en de minister opgedragen een nieuw besluit te nemen.

Uitspraak

uitspraak

COLLEGE VAN BEROEP VOOR HET BEDRIJFSLEVEN

zaaknummer: 25/509

uitspraak van de meervoudige kamer van 2 juni 2026 in de zaak tussen

[naam 1] , handelend onder de naam [naam 2] , te [woonplaats]

(gemachtigde: A.A. Katoele)
en

de minister van Economische Zaken en Klimaat

(gemachtigde: mr. Y. Groen)

Procesverloop in beroep

[naam 2] heeft tegen het besluit van de minister van 10 juni 2025 beroep ingesteld.
De minister heeft een verweerschrift ingediend.
De zitting was op 9 april 2026. Aan de zitting heeft deelgenomen de gemachtigde van de minister.

Waar deze zaak over gaat

1 [naam 2] heeft op 29 oktober 2024 een subsidie aangevraagd op grond van de Regeling nationale EZK- en LNV-subsidies, Titel 3.18a. Mijn cyberweerbare zaak (Regeling). Op grond van deze regeling kunnen kleine ondernemingen een investeringssubsidie krijgen voor producten en/of diensten die de cyberweerbaarheid van de onderneming verhogen. [naam 2] heeft subsidie aangevraagd voor twee maatregelen voor de beveiliging van zijn webshop: patch-management en tweefactorauthenticatie. In het bestreden besluit heeft de minister zich op het standpunt gesteld dat de beveiliging van websites een categorie maatregelen is die in de Regeling voor 2024 is komen te vervallen. De minister heeft de aanvraag daarom afgewezen op grond van artikel 3.18a.7, aanhef en onder c, van de Regeling.

Wettelijk kader

2 Het toepasselijke wettelijke kader is opgenomen in een bijlage bij deze uitspraak.

Beoordeling van het beroep

3 Het College oordeelt dat de minister de subsidieaanvraag ten onrechte heeft afgewezen op de genoemde grond en zal dat hierna toelichten.
4.1
In artikel 3.18a.2, eerste lid, van de Regeling staat dat subsidie wordt verstrekt voor het afnemen en implementeren van in de tabel cyberweerbaarheidsmaatregelen opgenomen maatregelen. Deze tabel staat in bijlage 3.18a.1 bij de Regeling. [naam 2] betoogt dat de door hem getroffen maatregelen (patch-management en tweefactorauthenticatie) in deze tabel zijn opgenomen en dat zijn aanvraag daarom ten onrechte is afgewezen.
4.2
De minister stelt zich op het standpunt dat de door [naam 2] getroffen maatregelen niet in aanmerking komen voor subsidie. Met de wijziging van de Regeling van 28 augustus 2024 (Stcrt. 2024, 28335) zijn twee cyberweerbaarheidsmaatregelen uit de tabel komen te vervallen, namelijk autorisatiebeheer en de beveiliging van websites en betaalsystemen. Omdat de maatregelen die [naam 2] heeft getroffen betrekking hebben op de beveiliging van zijn webshop, zijn deze volgens de minister niet (meer) subsidiabel. Tijdens de zitting heeft de minister er nog op gewezen dat [naam 2] voorafgaand aan zijn aanvraag de CyberVeilig Check tool heeft moeten invullen en het rapport daarvan als bijlage bij zijn aanvraag heeft gevoegd. Uit dit rapport had [naam 2] volgens de minister kunnen afleiden dat alleen subsidie aangevraagd kan worden voor maatregelen die betrekking hebben op de beveiliging van bedrijfsapplicaties, systemen en apparaten. Daarnaast heeft de minister erop gewezen dat de Regeling op 10 juli 2025 opnieuw gewijzigd is (Stcrt. 2025, 23785). Aan artikel 3.18.a4 van de Regeling is een derde lid toegevoegd waarin staat dat cyberweerbaarheidsmaatregelen ten behoeve van (onder andere) websites en webshops niet in aanmerking komen voor subsidie. In de toelichting bij deze wijziging staat dat het doel van de Regeling is de verbetering van de cyberweerbaarheid van de interne bedrijfsomgeving.
4.3
Het College stelt vast dat uit de Regeling, zoals die gold ten tijde van belang, niet blijkt dat de in de tabel cyberweerbaarheidsmaatregelen opgenomen maatregelen geen betrekking mogen hebben op (de beveiliging van) websites. Ook uit de toelichting bij de wijziging van de Regeling van 28 augustus 2024 volgt dit niet. De twee door [naam 2] getroffen maatregelen waren in de tabel opgenomen en kwamen dus in aanmerking voor subsidie. De minister heeft de aanvraag ten onrechte afgewezen op grond van artikel 3.18a.7., aanhef en onder c, van de Regeling. Wat er in het rapport CyberVeilig Check staat, kan niet afdoen aan het feit dat deze maatregelen op grond van de Regeling subsidiabel zijn, omdat dit rapport geen afbreuk kan doen aan rechten die een subsidie-aanvrager kan ontlenen aan de wettelijke regeling. Ook de latere wijziging van de Regeling waar de minister naar verwijst, kan niet tot een ander oordeel leiden. Deze wijziging was immers nog niet in werking getreden op het moment dat [naam 2] zijn aanvraag deed.
Slotsom
5 Het College zal het beroep gegrond verklaren, het bestreden besluit vernietigen en de minister opdragen een nieuw besluit te nemen op het bezwaar van [naam 2] . Het College ziet geen mogelijkheid om zelf in de zaak te voorzien, omdat het niet over alle daarvoor noodzakelijke informatie beschikt. De minister krijgt een termijn van zes weken om een nieuw besluit te nemen, zodat hij voldoende tijd heeft om indien nodig nadere informatie op te vragen bij [naam 2] .
6 Het College veroordeelt de minister in de door [naam 2] gemaakte proceskosten in beroep. Deze kosten stelt het College op grond van het Besluit proceskosten bestuursrecht voor de door een derde beroepsmatig verleende rechtsbijstand vast op € 934,- (1 punt voor het indienen van het beroepschrift; waarde per punt € 934,- en wegingsfactor 1).

Beslissing

Het College:
  • verklaart het beroep gegrond;
  • vernietigt het bestreden besluit;
  • draagt de minister op binnen zes weken na de dag van verzending van deze uitspraak een nieuw besluit te nemen op het bezwaar met inachtneming van de aanwijzingen in deze uitspraak;
  • draagt de minister op het betaalde griffierecht van € 194,- aan [naam 2] te vergoeden;
  • veroordeelt de minister in de proceskosten van [naam 2] tot een bedrag van € 934,-.
Deze uitspraak is gedaan door mr. J.L. Verbeek, mr. J.L.W. Aerts en mr. M.J. Jacobs, in aanwezigheid van mr. A.A. Dijk, griffier. De beslissing is in het openbaar uitgesproken op 2 juni 2026.
w.g. J.L. Verbeek w.g. A.A. Dijk

Bijlage

Regeling nationale EZK- en LNV-subsidies
Artikel 3.18a.1.
In deze titel wordt verstaan onder:
(…)
tabel cyberweerbaarheidsmaatregelen: in bijlage 3.18a.1 opgenomen overzicht van alle cyberweerbaarheidsmaatregelen voor aanvragers.
Artikel 3.18a.2., eerste lid
1. De Minister verstrekt op aanvraag subsidie aan een ondernemer, die een kleine onderneming in stand houdt, voor het afnemen en implementeren van in de tabel cyberweerbaarheidsmaatregelen opgenomen maatregelen, met als doel de cyberweerbaarheid van de onderneming van de aanvrager te vergroten.
Artikel 3.18a.7., aanhef en onder c
De minister beslist afwijzend op een aanvraag, indien:
c. de ingediende offerte geen betrekking heeft op het afnemen of implementeren van een product of een dienst opgenomen in de tabel cyberweerbaarheidsmaatregelen;
Bijlage 3.18a.1. behorende bij artikel 3.18a.1
Cyberweerbaarheid
1
Veilige netwerktoegang/wifi
2
Wachtwoordmanager
3
Tweefactorauthenticatie (2FA), tweestapsverificatie en multifactortauthenticatie (MFA)
4
Patch-management
5
Antivirussoftware
6
Back-ups instellen en testen
7
Risico-inventarisatie en -evaluatie (RI&E)
8
Cyber awareness trainingen