MID‑Digitale Sicherheit ist ein Baustein des NRW‑Programms „Mittelstand Innovativ & Digital (MID)“. Es richtet sich an Kleinst-, kleine und mittlere Unternehmen mit Sitz in NRW, die ihre digitale Sicherheit gezielt verbessern wollen. Gefördert werden konkrete Maßnahmen, nicht „gutes Gefühl“, und zwar mit 50 Prozent Zuschuss auf die förderfähigen Kosten, bis maximal 15.000 Euro Zuschuss bei einer Mindestfördersumme von 4.000 Euro.

Was sich trocken anhört, ist für typische Unternehmen im Sauerland oder der DACH‑Region hoch relevant: Du kannst damit ein strukturiertes Security-Projekt anstoßen, das sonst immer hinten überfällt, weil „das Tagesgeschäft ruft“.

---

Für wen MID‑Digitale Sicherheit gedacht ist – und für wen nicht

Antragsberechtigt sind Kleinstunternehmen sowie kleine und mittlere Unternehmen gemäß EU‑KMU‑Definition mit Sitz in Nordrhein‑Westfalen. Übersetzt:

• weniger als 250 Mitarbeitende
• Jahresumsatz höchstens 50 Mio. Euro oder Bilanzsumme höchstens 43 Mio. Euro
• Unternehmenssitz und Durchführung der Maßnahmen in NRW

Nicht im Fokus sind Konzerne oder Unternehmen, die Security ausschließlich aus Compliance‑Druck „irgendwie billig abfrühstücken“ wollen. Sinnvoll ist das Programm für Betriebe, die wissen, dass ihre IT‑Sicherheit Lücken hat, aber Budget und Know-how nicht unendlich sind: Metallverarbeiter, Zulieferer, Handwerksbetriebe, Agenturen, Dienstleister.

Wichtig: Du musst deinen Eigenanteil tragen können und ein externes Unternehmen auswählen, das nachweislich passende Referenzen und Kompetenzen hat. Die Auswahl soll wettbewerblich und wirtschaftlich sein, „einfach den Kumpel beauftragen“ ist offiziell nicht die Idee.

---

Die drei Schwerpunkte – was konkret gefördert wird

MID‑Digitale Sicherheit bündelt drei Schwerpunkte, die du frei kombinieren kannst.

• Schwerpunkt A: Analyse des Ist‑Zustands
  • Externe IT‑Dienstleistungen zur Analyse deiner bestehenden IT‑Infrastruktur.
  • Identifikation von Schwachstellen und Sicherheitslücken.
  • Vorbereitung auf Sicherheitsvorfälle, Übungen oder Planspiele.
  • Praktisch heißt das: Security‑Audit, Notfallkonzept, Härtungsplan.
•  Schwerpunkt B: Faktor Mensch – Schulung und Verhalten
  • Schulungen und Awareness-Maßnahmen für Mitarbeitende.
  • Fortbildung von Mitarbeitenden zur/m IT‑Sicherheitsbeauftragten.
  • Festlegung und Kommunikation von Rollen und Zuständigkeiten in der IT‑Sicherheit.
  • Also: Phishing-Trainings, Security‑Workshops, klare Prozesse für Freigaben, Passwörter, Berechtigungen.
• Schwerpunkt C: Software und Hardware für den IT‑Basisschutz
  • Erstanschaffung von Antiviren‑, Anti‑Ransom‑ und Patch‑Management‑Software.
  • Firewalls, Backup‑Lösungen, Lizenzen und deren Einbindung.
  • Keine Verlängerung bestehender Lizenzen und keine Lösungen, vor denen das BSI explizit warnt.

Gerade die Kombination macht das Programm attraktiv: Du kannst Lagebild, Schulung und konkrete Technik in einem Projekt zusammenführen, statt nur „noch eine Lizenz“ zu kaufen.

Externer Fachlink, der hier gut passt:

• BSI für Unternehmen – Einstiegsinformationen und Maßnahmenempfehlungen: BSI – Für Unternehmen

---

Zahlen, Eckdaten und Projektlaufzeit im Klartext

Die Finanzlogik ist bewusst einfach gestrickt:

• Förderquote: einheitlich 50 Prozent der zuwendungsfähigen Ausgaben.
• Maximale Fördersumme: 15.000 Euro Zuschuss.
• Mindestfördersumme: 4.000 Euro Zuschuss.
• Bedeutet: Projektsumme mindestens 8.000 Euro, damit du überhaupt im Programm landest.
• Projektlaufzeit: 3, 6, 9 oder 12 Monate, je nachdem, wie komplex dein Vorhaben ist.

Wichtig ist das Losverfahren: Du bekundest monatlich dein Interesse, es wird gelost, und wenn du gezogen wirst, hast du eine begrenzte Zeit (z.B. 28 Tage), um den Antrag auszuarbeiten und einzureichen. Heißt übersetzt: Wenn du erst anfängst zu überlegen, „was wir eigentlich machen wollen“, nachdem ihr gezogen wurdet, wird es stressig.

---

Typische Fehler von KMU bei MID‑Digitale Sicherheit

Was in der Praxis immer wieder schiefgeht:

• „Wir machen einfach mal irgendwas mit Sicherheit“
  Ohne saubere Risikoanalyse und Zielbild werden Produkte gekauft, die am Ende keiner richtig einsetzt. Ergebnis: Mehr Komplexität, kaum mehr Sicherheit.
• Fokus nur auf Technik, Mensch und Prozesse ignoriert
  Firewalls werden gepflegt, aber Mitarbeitende klicken trotzdem auf jede Mail. MID‑Digitale Sicherheit will explizit den Faktor Mensch mitdenken.
• Projektstart vor Bewilligung
  Viele Unternehmen starten mit Maßnahmen, bevor der Antrag bewilligt ist – damit ist das Ganze fördertechnisch tot. Das gilt auch hier.
• Falscher Dienstleister
  Günstig ist nicht gleich gut. Wenn der Dienstleister weder Security‑Erfahrung noch Branchenverständnis hat, wird aus der Förderung ein schön dokumentiertes Alibi‑Projekt.

Hier hilft es, intern klar zu sagen: „Wir nutzen MID, um ein sauberes Sicherheitsprojekt aufzusetzen, nicht um zufällig vorhandene Rechnungen zu subventionieren.“

---

So könnte ein sinnvolles MID‑Sicherheitsprojekt im KMU aussehen

Ein Beispiel aus einem typischen Szenario im Sauerland:

• Start mit Schwerpunkt A:
• • Externes Security‑Assessment gegen gängige Standards (z.B. orientiert am BSI‑Grundschutz).
  • Analyse von Backup‑Strategie, Zugriffsrechten, Patch‑Stand, Cloud‑Einsatz, Lieferkette.
• Ergänzung Schwerpunkt B:
• • Awareness‑Trainings für alle Mitarbeitenden mit praxisnahen Beispielen.
  • Schulung einer verantwortlichen Person zum internen Security‑Champion.
• Abschluss mit Schwerpunkt C:
• • Einführung eines zentralen Patch‑Managements.
  • Härtung der Firewall‑Regeln, Segmentierung, zusätzliche Authentifizierungsmaßnahmen.
  • Ergänzung der bestehenden Backup‑Landschaft um eine „offline/immutable“ Komponente.

In 6–12 Monaten kannst du so von „wir hoffen, dass nichts passiert“ zu „wir wissen, wie wir aufgestellt sind und wo wir weiter investieren“ kommen – mit einem relevanten Teil der Kosten gefördert.

Nächste sinnvolle Schritte

Du willst deine IT‑Sicherheit grundsätzlich durchleuchten lassen?
Schau dir meine IT‑Sicherheitsberatung für KMU an:
IT-Sicherheitsberatung für KMU

Du brauchst erst einmal eine nüchterne Risiko‑Einschätzung?
Dann passt der CyberRisikoCheck nach DIN SPEC 27076:
CyberRisikoCheck nach DIN SPEC 27076

---

Dein 7‑Punkte‑Check:
Lohnt sich MID‑Digitale Sicherheit für euch?Wenn du konkret entscheiden willst, ob du dich mit MID‑Digitale Sicherheit beschäftigen solltest, geh kurz diese Liste durch:

1. Habt ihr in den letzten 24 Monaten ein strukturiertes Security‑Audit durchgeführt (nicht nur „IT‑Dienstleister sagt, es passt“)?
2. Gibt es dokumentierte, geübte Notfallpläne für Cybervorfälle (Ransomware, Ausfall, Datenleck)?
3. Wissen alle Mitarbeitenden, wie sie mit verdächtigen Mails, USB‑Sticks, externen Zugängen umgehen sollen?
4. Ist klar geregelt, wer für IT‑Sicherheit verantwortlich ist – mit Zeit und Mandat?
5. Habt ihr eine aktuelle Übersicht aller relevanten Systeme, inkl. Cloud‑Diensten?
6. Gibt es eine bewusst gewählte, dokumentierte Backup‑Strategie mit regelmäßigen Restore‑Tests?
7. Könntest du in 10 Sätzen erklären, wie ihr heute Angriffe erkennt und wie ihr darauf reagiert?

Wenn du bei mehr als zwei dieser Punkte ins Schwimmen gerätst, ist das ein ziemlich klares Signal: Es gibt Luft nach oben – und MID‑Digitale Sicherheit kann genau das Projekt finanzieren, mit dem du diese Lücken angehst.

---

Konkrete Handlungsempfehlung: So gehst du jetzt vor

1. Sicherheitsstatus ehrlich bewerten
   Nimm den 7‑Punkte‑Check und mach ihn mit deinem IT‑Verantwortlichen oder Dienstleister einmal brutal ehrlich. Was ihr nicht sauber beantworten könnt, ist kein Drama – aber es ist ein Risiko.

2. Kurzes Sicherheitskonzept skizzieren
   Auf maximal zwei Seiten:

   • Wo stehen wir heute?

   • Was sind unsere 3 größten Risiken?

   • Welche Maßnahmen in A (Analyse), B (Mensch), C (Technik) würden sie adressieren?

   Das ist die Basis für ein förderfähiges Projekt, egal ob mit mir, einem anderen Partner oder komplett eigenständig.

3. Prüfen, ob MID der richtige Hebel ist
   Wenn euer Sitz in NRW ist, ihr in die KMU‑Definition fallt und das Projektvolumen realistisch über 8.000 Euro liegt, lohnt sich ein Blick auf MID‑Digitale Sicherheit und das Losverfahren. Sonst: Projekt trotzdem machen, aber ohne Förderschleife.

---

15 Minuten, unverbindlich, kein Verkaufsgespräch

Wenn du wissen willst, ob MID‑Digitale Sicherheit für euch passt – oder ob ihr erst einmal mit einem pragmatischen Sicherheitscheck starten solltet:

Lass uns 15 Minuten sprechen – unverbindlich, kein Verkaufsgespräch.
Hier kannst du kurz dein Szenario skizzieren und einen Termin anstoßen: Kontakt aufnehmen