Pentest laten subsidiëren: zo werkt de kmo-portefeuille voor cybersecurity
Sinds februari 2026 steunt de kmo-portefeuille enkel nog advies over cybersecurity, aan 45% voor kleine ondernemingen. Zo gebruik je de kmo-portefeuille en de VLAIO verbetertrajecten om de kost van een pentest fors te verlagen.
TL;DR
- Sinds 1 februari 2026 steunt de kmo-portefeuille enkel nog advies over één onderwerp: cybersecurity. Een pentest met een volwaardig rapport en aanbevelingen valt daar recht onder.
- Kleine ondernemingen krijgen 45% steun, middelgrote 35%, met een plafond van 7.500 euro per kalenderjaar. De percentages gelden op het bedrag exclusief btw.
- Voor grotere securityprojecten dekken de VLAIO cybersecurity verbetertrajecten 50% van externe begeleiding tussen 7.100 en 39.000 euro exclusief btw (35% voor niet-kmo's onder NIS2).
- Je vraagt de steun online aan, kiest het thema cybersecurity en het verhoogde percentage wordt automatisch toegepast. De dienstverlener moet geregistreerd zijn voor de kmo-portefeuille; Sectricity is dat.
Voor veel Belgische kmo's is het grootste bezwaar tegen een pentest niet de waarde, maar het prijskaartje. Wat weinig bedrijven beseffen: Vlaanderen subsidieert precies dit soort securitywerk actief. Sinds de hervorming van februari 2026 is cybersecurity zelfs het enige adviesonderwerp dat de kmo-portefeuille nog steunt. Wie een kleine of middelgrote onderneming in Vlaanderen runt, kan een flink deel van het pentestbudget als subsidie terugkrijgen.
Wat is de kmo-portefeuille?
De kmo-portefeuille is een laagdrempelig steuninstrument van de Vlaamse overheid (VLAIO) voor kmo's die opleiding of advies aankopen bij geregistreerde dienstverleners. In 2025 dienden bijna 55.000 ondernemingen meer dan 125.000 aanvragen in, dit is dus geen obscuur nicheprogramma. Je vraagt de steun online aan, VLAIO stort zijn deel bij in je digitale portefeuille en je betaalt de dienstverlener deels met die portefeuille.
Sinds februari 2026: advies enkel nog voor cybersecurity
Op 23 januari 2026 besliste de Vlaamse Regering om de dienst advies van de kmo-portefeuille te versmallen als onderdeel van een bredere besparingsronde. Sinds 1 februari 2026 komt advies over elk ander onderwerp dan cybersecurity niet meer in aanmerking. Marketingadvies, HR-advies, algemeen digitaliseringsadvies: allemaal eruit. Advies over cybersecurity: nog altijd erin, en nog altijd aan het verhoogde steunpercentage.
Voor securitywerk is dit vermomd goed nieuws. Het budget dat vroeger over alle mogelijke adviesonderwerpen werd uitgesmeerd, is nu gereserveerd voor de ene categorie waar kmo's structureel te weinig in investeren. Ook opleidingen blijven gesteund voor alle acht toekomstgerichte thema's, inclusief awareness training rond cybersecurity.
Hoeveel steun krijg je?
Voor advies en opleiding rond cybersecurity gelden de verhoogde percentages: een kleine onderneming krijgt 45% steun, een middelgrote 35%. Ter vergelijking: de andere opleidingsthema's zitten op 30% en 20%. Het plafond is 7.500 euro steun per kalenderjaar, en de percentages worden berekend op het bedrag exclusief btw.
Of je klein of middelgroot bent, volgt de Europese kmo-definitie: klein betekent minder dan 50 voltijdsequivalenten en een omzet of balanstotaal van maximaal 10 miljoen euro; middelgroot betekent minder dan 250 voltijdsequivalenten en een omzet van maximaal 50 miljoen euro of een balanstotaal van maximaal 43 miljoen euro. VLAIO bepaalt je grootte automatisch bij je eerste aanvraag van het jaar, op basis van gegevens van de Nationale Bank, en groepsstructuren tellen mee.
Komt een pentest in aanmerking?
Ja, op twee voorwaarden. Ten eerste moet de opdracht echt advies zijn: een analyse van je beveiliging die eindigt in een geschreven rapport met bevindingen en concrete aanbevelingen. Een pentest is daar een schoolvoorbeeld van, want het eindresultaat is precies dat: een expertbeoordeling van waar je kwetsbaar bent en wat je eerst moet aanpakken. Pure implementatie-uren, zoals firewalls voor jou configureren, zijn geen advies.
Ten tweede moet de dienstverlener geregistreerd zijn voor de kmo-portefeuille. Sectricity is een geregistreerde dienstverlener, en meerdere van onze lopende pentestopdrachten voor Vlaamse kmo's lopen met steun van de kmo-portefeuille.
Grotere projecten: VLAIO cybersecurity verbetertrajecten
Is je securityproject groter dan één assessment? Kijk dan naar de VLAIO cybersecurity verbetertrajecten. In zo'n traject analyseert een erkende dienstverlener je beveiliging, stelt hij een actieplan op en begeleidt hij de uitvoering. VLAIO subsidieert 50% van de kost voor kmo's en maatwerkbedrijven, op trajecten tussen 7.100 en 39.000 euro exclusief btw. Ondernemingen die te groot zijn voor het kmo-statuut maar onder de NIS2-richtlijn vallen, krijgen nog 35%.
Let op: deze trajecten lopen via een selecte groep dienstverleners die VLAIO specifiek voor dit programma erkend heeft. Past een verbetertraject beter bij jouw situatie dan een los assessment, dan wijzen we je graag naar het juiste startpunt; het analysewerk dat wij doen, zoals pentests en cloud configuratieaudits, voedt vaak rechtstreeks zo'n traject.
Zo verloopt de aanvraag
- Leg eerst de scope en de offerte vast met je dienstverlener, zodat je het exacte projectbedrag exclusief btw kent.
- Meld je aan op het e-loket voor ondernemers en start een nieuwe kmo-portefeuille aanvraag. Kies de dienst advies en het thema cybersecurity; het verhoogde percentage wordt automatisch toegepast.
- Vul het registratienummer van je dienstverlener en het projectbedrag in, en stort je eigen aandeel in de digitale portefeuille. VLAIO vult aan met de subsidie.
- Betaal de factuur van de dienstverlener vanuit de portefeuille (exclusief btw; de btw betaal je zoals gewoonlijk rechtstreeks aan de dienstverlener).
Een rekenvoorbeeld
Neem een externe pentest van 4.600 euro exclusief btw. Een kleine onderneming kiest het thema cybersecurity en krijgt 45% steun: 2.070 euro. De nettokost van de pentest zakt naar 2.530 euro. Een middelgrote onderneming krijgt 35%, of 1.610 euro, en betaalt netto 2.990 euro. Beide blijven ruim onder het jaarplafond van 7.500 euro, wat ruimte laat voor een vervolgassessment of awareness training in hetzelfde jaar.
Veelgestelde vragen
Komt een pentest in aanmerking voor de kmo-portefeuille?
Ja. Een pentest die eindigt in een volwaardig rapport met bevindingen en aanbevelingen valt onder advies over cybersecurity, precies de categorie die de kmo-portefeuille sinds februari 2026 nog steunt. Voorwaarde is dat je de test aankoopt bij een dienstverlener die geregistreerd is voor de kmo-portefeuille.
Hoeveel subsidie krijgt een kleine onderneming voor een pentest?
Een kleine onderneming krijgt 45% steun op het bedrag exclusief btw, een middelgrote onderneming 35%. Het steunplafond is 7.500 euro per kalenderjaar. Op een pentest van 4.600 euro exclusief btw ontvangt een kleine onderneming dus 2.070 euro steun en betaalt ze netto 2.530 euro.
Wat veranderde er op 1 februari 2026 aan de kmo-portefeuille?
Sinds 1 februari 2026 is de dienst advies van de kmo-portefeuille beperkt tot één onderwerp: cybersecurity. Advies over andere onderwerpen komt niet langer in aanmerking voor steun. Voor opleidingen verandert er niets, en ook de steunpercentages en het jaarplafond van 7.500 euro blijven gelijk.
Wat is een VLAIO cybersecurity verbetertraject?
Een cybersecurity verbetertraject is een apart VLAIO-programma voor grotere securityprojecten. VLAIO betaalt 50% van de kost van externe begeleiding voor kmo's en maatwerkbedrijven, op trajecten tussen 7.100 en 39.000 euro exclusief btw. Ondernemingen die geen kmo zijn maar wel onder de NIS2-richtlijn vallen, krijgen 35%. Deze trajecten lopen via een selecte groep dienstverleners die VLAIO daarvoor erkend heeft.
Hoe vraag ik kmo-portefeuille steun aan voor een pentest?
Je vraagt de steun online aan via de kmo-portefeuille in het e-loket voor ondernemers. In de aanvraag kies je het thema cybersecurity, waarna het verhoogde steunpercentage automatisch wordt toegepast. Je dienstverlener bezorgt je het registratienummer en de projectgegevens die je voor de aanvraag nodig hebt.
Gerelateerde diensten en artikels
Benieuwd hoe een gesubsidieerd assessment er voor jouw organisatie uitziet? Onze pentestdiensten dekken externe, interne, webapplicatie- en API-testen, en onze cloud pentest en configuratieaudit brengt identiteits- en configuratierisico's in Microsoft 365, Entra ID en Azure in kaart. Wil je eerst een gevoel krijgen bij realistische budgetten, lees dan ons overzicht van wat een pentest kost in België, Nederland en de EU. Vermeld de kmo-portefeuille bij je offerteaanvraag en wij zetten de cijfers klaar, zodat de aanvraag jou minuten kost in plaats van uren.