Subsidie voor cyberweerbaarheid kleine bedrijven is na drie weken pilot op

De subsidiepot waarmee kleine bedrijven hun cyberweerbaarheid kunnen verbeteren, is na drie weken overtekend. Het ministerie van Economische Zaken en Klimaat startte de pilot begin deze maand en stelde 300.000 euro beschikbaar.

Het ministerie benadrukt dat kleine bedrijven nog tot 1 november aanvragen kunnen doen voor subsidie, maar dat de kans zeer klein is dat er nog subsidie wordt toegekend bij nieuwe aanvragen. Het overheidsorgaan zegt de pilot te gaan evalueren en komt mogelijk in 2024 met een vergelijkbare subsidieregeling voor kleine bedrijven.

De subsidieregelingpilot Mijn Cyberweerbare Zaak werd eind september aangekondigd en is bedoeld voor de 'aanschaf en implementatie van cruciale cyberweerbaarheidsmaatregelen'. Het ministerie zegt dat kleine bedrijven tot 1250 euro kunnen krijgen om de helft van de kosten te compenseren, bijvoorbeeld voor het inrichten van een back-up of het laten uitvoeren van een risicoanalyse rondom cyberveiligheid.

De Nederlandse overheid geeft vaker subsidies aan bedrijven om de digitale beveiliging en weerbaarheid te verbeteren. Het betreffende traject liep synchroon met een grotere subsidieregeling van hetzelfde ministerie voor kleine en middelgrote bedrijven en cybersecurityprojecten. In de zomer werd eerder 800.000 euro subsidie vrijgemaakt voor dat onderwerp. De initiatieven maken deel uit van beloften die het intussen demissionaire kabinet deed in het regeerakkoord.

Door Yannick Spinner

Redacteur

27-10-2023 • 14:59

43

Submitter: wildhagen

Reacties (43)

43
43
24
2
0
14
Wijzig sortering
Ik kreeg een brief met een uitleg en de mogelijkheid om gebruik te maken van deze subsidie. Het ging, volgens de brief, vooral om het maken van een backup, een aanschaffen van anti-virus/anti-malware software, een firewall, een externe schijf. Vooral hele kleine dingen die voor non-ICT MKB-ers niet altijd vanzelfsprekend zijn. Een beetje ICT-er had dat allang geregeld.
Die risicoanalyse sloeg vooral op het inhuren van iemand die er eens naar kon kijken. Heel laagdrempelig allemaal. Op zich een prima actie voor de kleine ZZP-er, de kapper op de hoek enz.
De helft van die dingen zijn ook gratis af te regelen, dus ik zie niet in waarom, hier n miljoenen voor moet uitgegeven worden. Eerder aanwijzen op open source oplossingen voor Windows/Office/IE en de helft van je virusprobleem is al opgelost, zo ook met routers/firewalls, hardware aanbiedingen van oa. OpnSense is geen groot verschil qua kosten voor een klein bedrijf maar in veel gevallen beter qua beveiliging dan je FortiGates en Meraki.

En qua backup, als een bedrijf vandaag een dienst zoals Backblaze niet kan veroorloven, eenmaal de subsidie verloopt kunnen ze het nog steeds niet, een lokale schijf helpt niet als de boel afbrandt.

[Reactie gewijzigd door Guru Evi op 23 juli 2024 01:03]

Daar heeft een MKB-er op de hoek geen bal verstand aan. Die zet zijn computer aan en die moet het doen. Punt. Daarom is er een kleine subsidie, om te helpen.
De vraag is waar je dan allemaal subsidie voor moet geven. Een goede aov is ook belangrijk of het regelen van een pensioen. Of hoe je een goede boekhouding voert etc.

Lijkt mij enorm veel efficiënter om een goede website te maken waarop je aangeeft hoe je je ict regelt, het belang van goede backup etc. En dan concrete tips en voorbeelden hoe dit in te regelen.

Nu moeten de kleine zaken dus zelf vooraf bedenken wat en hoe ze het willen om een subsidie te krijgen om het op te lossen. De bedrijven die dat dus weten hebben de subsidie juist niet nodig.
Meer dan me eens, nu ga je mensen hebben die hun premie spenderen aan een pentest van een freelance pentester m@st3rhack3rs of een back up in de alvast gepwned cloud zet of zich er niet van bewust is wat er in de "cloud" gebeurd en dan verschiet dat amazon met zen ontwerpen lopen is of dergelijke.

Ik kan trouwens ook wel geheugen gebruiken kan ik nu iets uit de grond stampen om ook te kunnen genieten van dit? Ik kan me eigen back ups doen maar heb enkel maar een nas nodig 8)7
Ik hoop dan toch wel dat er bepaalde eisen zijn gesteld aan het ICT bedrijf. Als ik soms de automatisering bij kleine bedrijven zie word ik bijna verdrietig. Als die subsidie vol naar een ongeschoolde amateur automatiseerder wordt geschoven is dat weer lekker verspilling van het belastinggeld, en dat MKB bedrijf denkt veilig te zijn.
Precies dat. Als je soms ziet wat voor bevoegdheden je krijgt, bij kleine en ook grote bedrijven dan is dat schrikbarend.
Goed dat MKB'ers hierop gewezen worden hoor. Maar ik ben geloof ik niet de enige persoon die zich afvraagt waarom de kleine ondernemer vervolgers (gedeeltelijk) met publieke middelen hardware of software mag gaan aanschaffen. Wat is het publieke belang daarbij precies?
Ga dan een samenwerking met een bedrijf aan die security analyses uitvoert en laat MKB daarop intekenen voor de helft van de reguliere prijs of iets dergelijks, waarbij de andere helft uit publieke middelen wordt betaald. Dan gaat het nog over kennis in plaats van over spullen waarvan de eigenaar niet weet wat hij of zij ermee aan moet en na een half jaar waarschijnlijk al niet meer doet wat het moet doen.
Het gaat ook om het laagdrempelig inbrengen van kennis en bewustzijn in algeheel ondernemersland. Cyberrisk wordt steeds belangrijker. Je hoort mij niet zeggen dat subsidier hiervoor doorlopend en structureel zou moeten zijn, maar af en toe een impuls is denk ik wel goed voor de algehele cyberweerbaarheid van Nederland en kan ook juist kostenbesparend zijn voor de belastingbetaler.

[Reactie gewijzigd door PjotterP op 23 juli 2024 01:03]

Dat is sowieso gewoon toch te weinig voor meerdere bedrijven te gelijk ?
De volledige subsidiepot is een bedrag dat een gemiddeld groot bedrijf makkelijk per jaar uitgeeft aan cybersecurity. Ik snap niet dat de overheid überhaupt een subsidie verleent als het zo weinig is. Zelfs een klein bedrijf heeft er geen zak aan als ze maar liefst 1250 euro krijgen

[Reactie gewijzigd door StackMySwitchUp op 23 juli 2024 01:03]

Natuurlijk wel, je kan een (beperkte) analyse laten uitvoeren bijvoorbeeld zodat je eindelijk eens een overzicht krijgt. Vaak weet je niet eens wat je problemen zijn en men wil er ook niet veel tijd of geld aan spenderen. Maar een simpele audit kan soms al aantonen dat er echt wel problemen zijn die aangepakt moeten worden.
Menig MKB of ZZP'er zit nog steeds met de gedachte dat zij nooit gehacked of aangevallen zullen worden, want 'wie wilt mij nou hacken?'... Vaak hebben ze 0 idee van de gevaren en weten ze niet eens dat dergelijke analyses bestaan. Deze subsidie had naar mijn idee beter gebruikt kunnen worden voor het algemeen informeren van het MKB en ZZP'ers over de gevaren van de online wereld, dan telt een gewaarschuwd mens voor twee. Wie dan nog zegt dat ze niet gehacked zullen worden hebben gewoon pech 8)7
100% mee eens.

Mijn website is helaas gehacked geweest en ik dacht echt altijd, wie zou nou zo'n website van zo'n klein bedrijf willen hacken. Maar ze pakken gewoon iedereen waar ze een gaatje vinden, dat weet ik nu inmiddels. Veel slapeloze nachten gehad, veel moeten regelen en informeren en een boete. Geen fijne ervaring dus. Als er vanuit de overheid andere nietsvermoedende bedrijven geïnformeerd kunnen worden dan juich ik dat alleen maar toe. Ik ben vast niet de enige die dacht "wie wil mij nou hacken".
Volgens mij is het wel ongeveer een jaar of 20 normaal dat elk buiten-ip dagelijks wordt benaderd door vooral automatische processen die een gaatje proberen te vinden. Ik heb al weken last van icmp floods waardoor dns af en toe slecht reageert. Wat ze daar nou mee willen bereiken...
Ik heb ook wel eens een dreigmail gehad, dat ik binnen 24uur een bitcoin moest betalen. Ik dat btc-adres googlen, en ja hoor, een hele reeks aan kleine websites die door hen overgenomen waren met een melding.

Zelf ben ik bovengemiddeld fanatiek in alles dichttimmeren en monitoren, maar nog steeds niet de illusie dat ik immuun ben. Ik snap heel goed dat mensen deze kennis niet in huis hebben en niet weten wat ze moeten doen om hun weerbaarheid te verhogen.

Had liever gezien dat de subsidie in informatievoorziening was gestopt om zoveel mogelijk (kleine) ondernemers handvatten te bieden.
- Bewustwording van de gevaren
- Welke preventieve maatregelen kan ik nemen?
- Wat moet ik doen als ik toch slachtoffer ben?
- Waar kan ik een betrouwbare scan aanvragen?
- etc.
Goeie WAF is het halve werk. En dit hoeft niet eens iets te kosten. Bijvoorbeeld Cloudflare geeft genoeg gratis tools om heel wat dingen zeer gemakkelijk veiliger te maken. Je kunt alle logs bekijken van benaderingen en aan de hand daarvan combinaties van condities van een request blokken/filteren of beperkt toegang geven.
Bij mij heeft de website eigenlijk alleen Nederlandse bezoekers en dus blok ik alles wat niet nodig is. Daardoor heeft de server veel minder te verwerken wat toch niks toevoegt.
Mijn ADSL-modem is het probleem waardoor je zoiets niet op laag niveau kan tegenhouden. Ik kan hem in bridge mode zetten en een software-router erachter hangen maar dan werkt de hele webinterface niet meer. Een aantal jaar geleden had ik die setup. De provider gaat dan dwars doen en telkens het ip veranderen. Ze zorgen er wel voor dat een particuliere lijn geen redelijk professionele server kan hosten. Eigenlijk belachelijk want van die modem-beveiliging is niemand onder de indruk. Ze lopen ook telkens de firmware aan te passen zonder enige log-informatie, zegt al genoeg.
het is ook deel van een aantal scanners/harvesters waarop je moet of kan uitschrijven. als ik even 20 minuten een lamp stack in de gang steek om een wordpress template te laten zien of dergelijke bijvoorbeeld dan staat de log vol en ook gewoon elk protocol ssh ftp http je kan het zo gek niet bedenken.
Zelfs een klein bedrijf heeft er geen zak aan als ze maar liefst 1250 euro krijgen
Een groot bedrijf werkt ook heel anders dan een klein bedrijf waar het hier om gaat. €1250 is ook slechts de helft, de andere helft moeten ze zelf ophoesten. Dus €2500 totaal, daar kan een kleine MSP redelijk wat voor bereiken bij een kleine MKB. Het probleem hier is echter dat €300k = 240x€1250, dus er zijn waarschijnlijk slechts 240 bedrijfjes geholpen. Nederland heeft 2.325.141 bedrijven (per 1 januari 2023), dus ergens 1 op de 10.000 heeft een beetje subsidie kunnen krijgen...

Ik vraag me af of er nu MSPs zijn geweest die direct een voorstel hebben neergelegd bij al hun kleine klanten met een kant en klare subsidie aanvraag... ;)
Voor 2500 euro halen de meeste MSPs nog niet eens de telefoon van de haak. Een ‘oplossing’ zoals Office365 (wat ze meestal aanbieden) is al 150/gebruiker van Microsoft uit, daar is nog geen verkoper, technieker of probleem mee geweest. De gemiddelde MSP vraagt 50-100 euro per gebruiker per maand exclusief hardware/software. De eigenaar en een werknemer en je zit al doorheen je budget en volgend jaar is de subsidie er ook niet meer, dus moet je dat zelf al ophoesten.

Ik heb ook al een bedrijfje of twee gesticht met de bedoeling MSP voor horeca en was redelijk succesvol, maar inkomen was belabberd en met COVID de deuren moeten sluiten. Meeste mensen wouden gewoon dat hun computer werkte, extra kosten zoals een firewall, backup of een upgrade was teveel, maandelijkse kosten voor nieuwere software was teveel. Horeca zit al stampvol met overregulering en overbelasting dat hun handenvol geld kost, en ik kwam al snel te zien dat een restaurantje dat 1 miljoen per jaar draait, dit geld gaat grotendeels naar de staat, dan naar hun werknemers, de eigenaars zien er minder dan 1-2% van en daar moeten alle “extra’s” zoals investeringen in beveiliging en IT komen. De meeste eigenaars willen wel WiFi aanbieden maar het mag niet meer dan 1000 euro kosten, daar kom je dan niet heel ver mee, dus het is altijd een goedkope Netgear dat wijd open staat.

En ja, dat wil zeggen dat al onze data te koop staat voor China, en nagenoeg alle zelfstandigen zeggen hetzelfde: als er zoiets gebeurt, gaan we misschien failliet maar als we maandelijks honderden euro’s moeten uitgeven om ons te beschermen, gaan we zeker failliet.

Hier is een idee: neem 5% van de 65-75% van ons inkomen die we als zelfstandigen afdragen en zet het in een spaarpotje waar de eigenaars mee kunnen digitaliseren, probleem opgelost.

[Reactie gewijzigd door Guru Evi op 23 juli 2024 01:03]

...Een ‘oplossing’ zoals Office365 (wat ze meestal aanbieden) is al 150/gebruiker van Microsoft uit, daar is nog geen verkoper, technieker of probleem mee geweest. De gemiddelde MSP vraagt 50-100 euro per gebruiker per maand exclusief hardware/software...
O365 E1 €9,10/user/maand
O365 E3 €25,10/user/maand
O365 E5 €41,50/user/maand

En ik ben van mening dat een horeca onderneming niet voor elke medewerker een E5 licentie nodig heeft.

Iets als Microsoft 365 Business Standard krijg je al voor €93/jaar/user en dat is vaak al overkill! Microsoft 365 Business Basic is €55/user/jaar. Daar kan je dan de beveiligingsabos aan toevoegen die relevant zijn voor het type organisatie.

En als een 'gemiddelde' MSP €50-€100 vraagt per gebruiker/maand dan is die 'gemiddelde' MSP imho niet geschikt voor de kleine MKB. Maar ik herken zeker die bedragen, dat betekende zeer zeker niet dat je een kwaliteit MSP kreeg! Ik heb zes jaar (2013-2019) bij kleine MSPs gezeten en never nooit niet dat we €50/user/maand rekende (ex licenties), I wish! Heel veel O365 migraties in die tijd gedaan (primair AAD/Exchange Online), als je weet waar je mee bezig bent en het al veel vaker heb gedaan, zijn dat voor dergelijke simpele bedrijfjes geen enorme projecten (zoals ik dat de afgelopen vier jaar zie bij de enterprise/multinationals). Ook heel veel migraties gedaan juist weg bij andere MSPs ivm. hoge kosten vs. slechte service, wou wat zit daar veel bagger! Maar als je een 'standaard' klaar heb staan voor dat soort budgetten qua inrichting, dan kan het bijna lopende band werk zijn.

Ik denk dat €2500 (waarvan ze €1250 zelf betalen) voor kleine MKBs in heel veel gevallen voor een grote verbetering kan zorgen, zeker als ze al kunnen migreren van hun oude meuk naar iets als O365. Tenzij een MSP het onderste uit de kan wil hebben, kan je prima een kleine MKB migreren naar O365 voor €2500 inclusief licenties voor een jaar.
10*12 = 120. Dus met E1 zit je al dichtbij je 150. Het budget hier is 1x 2500 euro, niet elk jaar en we moeten dus gaan (voor veel MKB) een ‘gratis’ e-mail bij je domein of GMail naar O365 om Windows 11 + Office + beveiliging + licenties voor allerlei Microsoft troep te verkrijgen en jaarlijks opnieuw te betalen. Veel MKBers zitten dan liever op hun oude XP/7 kassa’s totdat ze omvervallen of gehackt worden.

Er zijn weinig MSPs die niet tenminste een Microsoft partner zijn dus veelal is dit het eerste aanbod om nog niet te spreken van de gebonden pakketten met een (branded) antivirus en VoIP.

[Reactie gewijzigd door Guru Evi op 23 juli 2024 01:03]

Eigenaars van horeca krijgen 1-2%, restant grotendeels naar de staat en dan naar hun werknemers. Ik werk toevallig als accountant, kan je dit cijfermatig en tekstueel wat meer onderbouwen?
Je kan wel Pilot roepen, maar hoe nuttig is een pilot als deze nu werkelijk? Als ze een expert in de arm nemen dan is die niet op tijd klaar met het advies voordat het bedrag op is. Dus wat gebeurt er? Ze kopen een router of een antiviruspakket, if that, en verder is het mooi meegenomen.
Misschien omdat het een pilot is?
Ja, 1250 euro krijg je zo'n 10 man uren voor van een security expert.
Vrees meer voor een junior security engineer. Een senior, laat staan expert, krijg je niet voor dat tarief.
Ik denk wel dat de junior in dit geval menig MKB een mooie stap vooruit kan helpen.
Ik heb als senior advisor wel voor dat bedrag gewerkt hoor. Maar dat was meestal wel voor langere contractduren dan dat. Dan wordt er wel eens water bij de wijn gedaan. Normaal gesproken ligt dat bedrag inderdaad hoger, vooral omdat er ook veel overheadskosten bij zijn. En vaak mikken we op 75% inzetbaarheid, dus je betaald natuurlijk ook voor de uren die we niet meteen bij de klant bezig zijn, e.g. vanwege kennisopbouw enzo.
Contract? Vergeet het jong, daarmee begin je nog niet eens met de vacatures.
1250 euro per bedrijf (subsidie voor de helft van het bedrag).
Kan je uberhaupt een volledige cyber security analyse en aanbeveling laten opstellen voor 2500 door een externe partij?
Ja hoor, voor kleine bedrijven kan dat prima. Die hebben geen uitgebreide infrastructuur die geaudit moet worden.
Hangt af van je definitie van volledig, maar kleine bedrijven zijn al gebaat bij de goed huisvaderschap maatregelen. (bron: ben werknemer bij zo een externe partij die dit zou kunnen uitvoeren) Die maatregelen kun je voor dit bedrag prima in kaart brengen, al lijkt me het erg ambitieus om ze ook te implementeren.

De complexiteit, en daarmee kosten van anaylse, beginnen waarschijnlijk bij een maatje grotere organisaties met verspreid informatiemanagement, onduidelijke risico's, versnipperd applicatielandschap etc.. Daar heeft het gemiddelde kleine bedrijf minder mee te maken maar die laten op de basis vaak al een achterdeur open staan. Ik vraag me wel af wat de succesfactoren zijn voor deze pilot, want op macro schaal zul je dit nog niet zien en een evaluatie op bedrijfsniveau lijkt me niet representatief. Verwacht niet dat we alle organisaties gaan pentesten.
Wat is volledig? Voor €2500 kan je best iemand inhuren om 2 volle dagen naar het IT-landschap laten kijken en nog een dag te besteden aan een rapport waar de belangrijkste bevindingen en adviezen instaan. Vergeet niet dat een (groot) deel van cyberweerbaarheid in governance, awareness en daadwerkelijk gedrag zit. En als zo'n rapport het management inzicht geeft in de bedrijfvoerings/continuïteitsrisico's die ze lopen kan dat best helpen om veilig gedrag aan te moedigen. Haal je er je ISO27001 certificaat mee? Nee zeker niet, maar het is wel een stapje in de goede richting.

Een subsidie is bedoelt om aan te moedigen, iets voor elkaar te krijgen dat zonder subsidie niet haalbaar is. Een subsidie is niet 'je krijgt alle kosten vergoed en de kosten voor cybersecurity worden door de overheid gedekt'. Een duwtje in de rug. En voor kleine bedrijven met een IT budget van misschien maar €5.000-10.000/jaar is €1250 best een aardig percentage daarvan.

[Reactie gewijzigd door -Elmer- op 23 juli 2024 01:03]

Als je hun familie bedreigt misschien... Maar in principe niet, nee. Aan de andere kant is er wel e.e.a. aan software/appliance voor te halen waar je wat zaken mee kan afhandelen. Maar het is natuurlijk ook nog zo: het is een business he, de overheid hoeft het niet geheel voor ze te financieren ofzo - dat is je eigen verantwoordelijkheid. En daarnaast ook nog een pilot. ;)
De eerste reacties zijn vooral dat de totale pot of de subsidie zelf te laag is. Maar ik bemerk bij mijzelf dat ik überhaupt nog twijfel of ik hier nou wel een subsidie voor in het leven zou roepen. De cyberveiligheid zou gewoon in je normale bedrijfsvoering een onderdeel moeten zijn, of je dat nou in huis regelt, of uitbesteed. Die kosten neem je op in je prijskaartje van je product of dienst. En ja, wordt het te duur, dan moet je je afvragen of je aanbod wel een plek heeft.

Maar waarom moet hier publiek geld naartoe? We helpen die bedrijven toch ook niet om hun bedrijfsafval op publieke kosten af te voeren, omdat dat duur is? Of met hun belastingaanslag omdat een menneke per uur te duur is?

Ik heb hier echt mijn twijfels bij.
Publiek geld vindt ik nog tot daar aan toe hier, maar hoeveel ambtenaren zitten er op het beheren,verstrekken, controleren van deze pot met beperkte meerwaarde?
Dit is een heel aardig bedrag als een MKB-ondernemer het kleine neefje voor zijn cybersecurity laat zorgen en op diens aanraden een USB harddrive koopt voor backups.
Maar daar krijg je geen subsidie voor: "Een aantal zaken komt niet in aanmerking voor subsidie: (...) Producten of diensten die niet aansluiten bij wat de leverancier normaal gesproken levert."

Wat ook niet heel gek is, je laat de bakker ook geen APK uitvoeren.

[Reactie gewijzigd door nst6ldr op 23 juli 2024 01:03]

Is dat niet een extreem klein bedrag, zelfs voor kleinere bedrijven? Zit zelf niet echt in cyber sec of iets, maar voelt gewoon als weinig aan voor zoiets belangrijks.
Ik denk dat je als adviseur prima in 2 dagen een klein bedrijf kunt doorlichten en adviseren.
Een (degelijke) adviseur kost een beetje meer dan 2500 euro. En dan heb je nog geen oplossing.

De meeste beveiligingsbedrijven zenden je tegenwoordig een Raspberry Pi of gelijkaardig, je steekt die ergens in en binnen een dagje of 2 heb je een volledige geautomatiseerd rapport van Nessus. Voor heel kleine bedrijven kan dit misschien voor 1500 euro, de meeste offertes die ik gezien heb komen tussen de 2500 en 10,000 euro afhankelijk van het aantal mensen en welke standaarden ze zich moeten aan houden (vb. als je kassa’s of kaartlezers hebt tov dokters/tandartsen waar ook data van patiënten mogelijk open staan)

Op dit item kan niet meer gereageerd worden.