MB.NRW 2026 Nr. 12
Richtlinie zur Durchführung des Förderprogramms „Mittelstand Innovativ & Digital (MID)“ zum Teilprogramm MID-Digitale Sicherheit
Runderlass
des Ministeriums für Wirtschaft, Industrie, Klimaschutz und Energie
Vom 10. Dezember 2025
1
Zuwendungszweck und Rechtsgrundlagen
1.1
Zuwendungszweck
Ziel der Förderung im Teilprogramm MID-Digitale Sicherheit ist es, kleine und mittlere Unternehmen (KMU) in Nordrhein-Westfalen beim Aufbau und der Weiterentwicklung ihrer IT-Sicherheitsinfrastruktur zu unterstützen. Die Förderung soll dazu beitragen, das Sicherheitsniveau in KMU substanziell zu erhöhen und deren digitale Resilienz gegenüber Cyberangriffen, Datenverlust, Schadsoftware und weiteren IT-basierten Bedrohungen zu stärken.
Durch die Umsetzung technischer Schutzmaßnahmen sowie die Integration von IT-Sicherheit in betriebliche Prozesse sollen bestehende Schwachstellen im Unternehmen identifiziert und gezielt behoben werden. Gleichzeitig sollen unternehmensinterne Kompetenzen im Bereich der IT-Sicherheit gestärkt und der nachhaltige Umgang mit Sicherheitsrisiken gefördert werden.
Die Förderung dient dem übergeordneten Ziel, die digitale Wettbewerbsfähigkeit des Mittelstands in Nordrhein-Westfalen zu sichern und strukturelle Risiken im Zuge der digitalen Transformation zu mindern.
Dabei soll eine wahrnehmbare Entwicklung des Sicherheitsniveaus sowie der Aufbau interner Sicherheitskompetenz und ein Einsatz von Soft- und Hardware stattfinden.
1.2
Rechtsgrundlagen
1.2.1
Das Land gewährt auf Antrag Zuwendungen nach Maßgabe der §§ 23 und 44 der Landeshaushaltsordnung des Landes Nordrhein-Westfalen in der Fassung der Bekanntmachung vom 26. April 1999 (GV. NRW. S. 158), im Folgenden LHO, sowie den hierzu erlassenen Verwaltungsvorschriften zur Landeshaushaltsordnung vom 6. Juni 2022 (MBl. NRW. S. 445), im Folgenden VV zur LHO, jeweils in der jeweils geltenden Fassung sowie nach dieser Richtlinie.
1.2.2
Die Zuwendung erfolgt als De-minimis-Beihilfe im Sinne der Verordnung (EU) 2023/2831 der Kommission vom 13. Dezember 2023 über die Anwendung der Artikel 107 und 108 des Vertrags über die Arbeitsweise der Europäischen Union auf De-minimis-Beihilfen (ABl. L, 2023/2831, 15.12.2023) im Folgenden De-minimis-Verordnung. Die in der De-minimis-Verordnung genannten Voraussetzungen müssen für die Gewährung der Zuwendung gegeben sein. Der Gesamtbetrag der einem Unternehmen von einem Mitgliedstaat gewährten De-minimis-Beihilfen darf innerhalb eines fließenden Zeitraumes von drei Jahren den Betrag von 300 000 Euro nicht übersteigen. Es wird darauf hingewiesen, dass Informationen über jede De-minimis-Einzelbeihilfe in der Regel binnen 20 Arbeitstagen nach dem Tag der Gewährung der Beihilfe in dem De-minimis-Zentralregister der Europäischen Kommission veröffentlicht werden.
1.2.3
Die Bestimmung des KMU-Status erfolgt gemäß der Empfehlung 2003/361/EG der Europäischen Kommission vom 06.05.2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124/36 vom 20.05.2003, S. 36), im Folgenden KMU-Empfehlung. Ein Rechtsanspruch auf Förderung besteht nicht. Es handelt sich um eine freiwillige Leistung des Landes Nordrhein-Westfalen, über welche die Bewilligungsbehörde nach pflichtgemäßem Ermessen im Rahmen der verfügbaren Haushaltsmittel entscheidet. Für die beantragte Maßnahme dürfen keine weiteren öffentlichen Zuschüsse aus Mitteln des Landes, des Bundes oder der Europäischen Union in Anspruch genommen werden. Das gilt nicht für öffentliche Darlehen und Bürgschaften. Die Kumulierungsvorschriften der De-minimis-Verordnung sind zu beachten.
Gefördert werden konkrete, abgrenzbare Vorhaben in den drei sich ergänzenden Schwerpunkten A, B und C, die beliebig kombiniert werden können. Die genaue Abgrenzung der förderfähigen und nicht förderfähigen Maßnahmen erfolgt in der Anlage zu dieser Richtlinie.
2.1
Schwerpunkt A: Analyse des IST-Zustandes der IT-Infrastruktur in der Organisation
Grundvoraussetzung zur Steigerung der digitalen Sicherheit von Netzen und IT-Systemen in einem sich rasant ändernden virtuellen Umfeld ist eine präzise Risikoanalyse der zu schützenden IT-Infrastruktur. Schwerpunkt A unterstützt dabei, den IST-Zustand der IT-Systeme zu definieren, die Gefährdung herauszuarbeiten, den Schutzbedarf zu bestimmen und darauf aufbauend das erforderliche Schutzniveau zu definieren. Der Schwerpunkt bildet die Grundlage für die Planung und Umsetzung angemessener Maßnahmen zur Behebung oder Reduktion von Schwachstellen. Im Rahmen des Schwerpunktes sind ausschließlich IT-Dienstleistungen durch ein externes auftragnehmendes Unternehmen förderfähig. Der alleinige Abschluss von Wartungsverträgen zur Pflege der Systemlandschaft und deren Komponenten ist von der Förderung ausgeschlossen.
2.2
Schwerpunkt B: Faktor Mensch - nutzerorientierte Maßnahmen
Ein weiterer elementarer und nicht zu vernachlässigender Schwerpunkt zur Steigerung der Cyber-Resilienz sind die Mitarbeitenden im Unternehmen beziehungsweise der Faktor Mensch. Die aufwendigsten Sicherheitsvorkehrungen können ins Leere laufen, wenn diese im Arbeitsalltag nicht umgesetzt und angewendet werden. Unsichere Passwörter oder die Preisgabe von sensiblen Zugangsdaten sind beispielsweise ebenfalls Wege für Cyberangriffe fernab von technischen Sicherheitslücken, die auch durch die besten Schutzprogramme nicht abwehrbar sind. Daher sind die Mitarbeitenden, von den Nutzenden der Informationstechnik bis hin zur Administration, von der Arbeitsebene bis hin zur Leitungsebene, umfassend für Sicherheitsmaßnahmen zu sensibilisieren und zu schulen. Außerdem bietet der Schwerpunkt die Möglichkeit, Mitarbeitende im Bereich digitale Sicherheit gezielt fortzubilden.
2.3
Schwerpunkt C: Software und Hardware für den IT-Basisschutz
Hierbei liegt der Fokus auf dem Erwerb von Antiviren-, Anti-Ransom- sowie Patch-Management-Softwarelösungen und dem Erwerb von Firewall-Lösungen beziehungsweise entsprechender Lizenzen sowie deren Installation.
Die Bewilligungsbehörde behält sich vor, weitere Maßnahmen beziehungsweise Ausgaben im Rahmen der Antragsprüfung von der Förderung auszuschließen, sofern diese nicht mit den Förderbestimmungen und Zielen des Programmes vereinbar sind.
3
Zuwendungsempfängerin oder Zuwendungsempfänger
3.1
Antragsberechtigt sind Unternehmen, die alle nachfolgenden Voraussetzungen erfüllen:
a) Unternehmen im Sinne der KMU-Empfehlung
aa) Kleinst- und kleine Unternehmen mit weniger als 50 Mitarbeitende und einem Jahresumsatz oder einer Jahresbilanzsumme von höchstens 10 Millionen Euro oder
bb) Mittlere Unternehmen mit weniger als 250 Mitarbeitende und entweder einem Jahresumsatz von höchstens 50 Millionen Euro oder einer Jahresbilanzsumme von höchstens 43 Millionen Euro und
b) ihren Sitz, der der im Handelsregisterauszug oder auf der Gewerbeanmeldung angegebenen Geschäftsanschrift entspricht, am Tag der Antragstellung in Nordrhein-Westfalen haben.
3.2
Ausgeschlossen von der Förderung sind:
a) Unternehmen, bei denen zwischen der Geschäftsführung beziehungsweise Anteilseignerinnen oder Anteilseigner ein familiäres Verhältnis zur Geschäftsführung beziehungsweise Anteilseignerinnen oder Anteilseignern des beabsichtigten auftragnehmenden Unternehmens besteht,
b) Unternehmen, deren Geschäftsführung beziehungsweise Anteilseignerinnen oder Anteilseigner die gleichen natürlichen Personen wie die Geschäftsführung beziehungsweise Anteilseignerinnen oder Anteilseigner des beabsichtigten auftragnehmenden Unternehmens sind,
c) Unternehmen, die bereits Anteile am auftragnehmenden Unternehmen halten beziehungsweise bei denen das auftragnehmende Unternehmen Anteile am auftraggebenden Unternehmen hält; im Falle einer Beteiligungsgesellschaft dürfen neben dieser auch deren Gesellschafter nicht bereits Anteile am Unternehmen halten,
d) Krankenhäuser, Kliniken, Medizinische Versorgungszentren, Ärzte und Arztpraxen, Sanatorien oder ähnliche Einrichtungen und
e) Unternehmen der Land- und Forstwirtschaft, Aquakultur, Fischerei, soweit nicht Verarbeitung oder Vermarktung.
4
Zuwendungsvoraussetzungen
4.1
Die Wahl des auftragnehmenden Unternehmens erfolgt durch das auftraggebende Unternehmen. Das auftragnehmende Unternehmen sowie deren handelnden Personen müssen in dem Themengebiet, welches es später im Rahmen des Projektes bearbeitet, Kompetenzen, wie zum Beispiel Berufsabschlüsse, Studienabschlüsse oder Fortbildungen, aufweisen. Die Bewilligungsbehörde behält sich vor, dies im Rahmen der Antragsbewilligung zu prüfen. Eine Zertifizierung als Auftragnehmer ist nicht erforderlich.
4.2
Es werden auftragnehmende Unternehmen mit Sitz in der Europäischen Union akzeptiert. Eine Zertifizierung ist nicht erforderlich.
4.3
Die Vergabe von Unteraufträgen im Rahmen der Leistungserbringung ist nicht zulässig. Dies schließt den Einsatz von freiberuflichen Mitarbeitenden ein. Die Bewilligungsbehörde behält sich vor, dies im Rahmen der Antragsbewilligung zu prüfen.
4.4
Das auftragnehmende Unternehmen kann nicht zugleich auftraggebendes Unternehmen in demselben Teilprogramm sein und umgekehrt, wenn eine Frist von zwei Jahren zum letztmaligen Förderfall unterschritten wird. Maßgeblich für die Berechnung dieser Frist ist das Eingangsdatum des Schlussverwendungsnachweises bei der Bewilligungsbehörde. Dies schließt verbundene Unternehmen und Partnerunternehmen mit ein.
4.5
Das antragstellende Unternehmen muss in der Lage sein, den nicht geförderten, für die Projektdurchführung aber notwendigen Eigenanteil selbst oder von Dritten aufzubringen. Ausgenommen sind zweckgebundene Zuwendungen im Sinne der §§ 23 und 44 LHO oder vergleichbarer Regelungen oder Aufträge im Sinne der Unterschwellenvergabeordnung vom 2. Februar 2017 (BAnz AT 07.02.2017 B1; 08.02.2017 B1) in der jeweils geltenden Fassung oder vergleichbarer Regelungen anderer juristischer Personen des öffentlichen Rechts für das beantragte Projekt.
4.6
Förderfähig sind nur Maßnahmen, die noch nicht begonnen wurden. Die Maßnahme gilt als begonnen, wenn bereits ein rechtsverbindlicher Auftrag zur Erbringung einer Dienstleistung erteilt wurde.
4.7
In einem Zeitraum von zwei Jahren kann das Teilprogramm von einem Unternehmen nur einmal in Anspruch genommen werden. Maßgeblich für die Berechnung dieser Frist ist das Eingangsdatum des Schlussverwendungsnachweises bei der Bewilligungsbehörde. Dies inkludiert noch laufende und beantragte Vorhaben in der Maßnahme, einschließlich der Förderbekanntmachung MID-Digitale Sicherheit und schließt verbundene Unternehmen und Partnerunternehmen mit ein.
5
Art, Umfang und Höhe der Zuwendung
5.1
Zuwendungsart
Die Zuwendung wird als Projektförderung gewährt.
5.2
Finanzierungsart
Die Finanzierung erfolgt im Wege der Anteilsfinanzierung.
5.3
Form der Zuwendung
Die Förderung nach dieser Richtlinie erfolgt in Form von Zuschüssen.
5.4
Bemessungsgrundlage und Höhe der Zuwendung
Gefördert werden projektbezogene Ausgaben für Fremdleistungen. Der Fördersatz beträgt einheitlich 50 Prozent der förderfähigen Ausgaben bis zu einer maximalen Zuwendung in Höhe von 15 000 Euro. Die Bagatellgrenze für eine Zuwendung beträgt 4 000 Euro. Als Bemessungsgrundlage für den Zuschuss werden die für die Umsetzung des Vorhabens erforderlichen Ausgaben im zum Zeitpunkt der Antragstellung gültigen Angebot des Kooperationspartners zugrunde gelegt. Die bewilligende Stelle behält es sich vor, Positionen des Angebotes, welche nicht zuwendungsfähig sind, ersatzlos zu streichen und anhand dieser korrigierten Summe die Zuwendung zu berechnen. Es können nur Nettobeträge anerkannt werden, eine Förderung der Umsatzsteuer ist ausgeschlossen.
5.5
Durchführungszeitraum
Der Durchführungszeitraum zur Umsetzung des Vorhabens beträgt wahlweise:
a) 3 Monate,
b) 6 Monate,
c) 9 Monate oder
d) 12 Monate.
Der Durchführungszeitraum muss bei der Beantragung festgelegt werden und dient der Berechnung aller weiteren Fristen. Ausgaben für die Lizenz- und Schulungsverträge können in Vorkasse für maximal 36 Monate geleistet werden und entsprechend mit dem Projektabschluss eingereicht werden.
6
Sonstige Zuwendungsbestimmungen
6.1
Bestandteil des Zuwendungsbescheids auf Ausgabenbasis ist die Anlage 2 zu Nr. 5.1 VV zu § 44 LHO.
6.2
Das zuwendungsempfangende Unternehmen ist zu einer engen Zusammenarbeit mit der Bewilligungsbehörde verpflichtet. Dies umfasst das fristgerechte Einreichen von geforderten Unterlagen, Beantwortung des Monitoringbogens, Einhaltung gesetzter Fristen sowie die Mitteilung wesentlicher Änderungen.
6.3
Der Zuwendungsgeber ist grundsätzlich berechtigt, über die Projekte folgende Angaben bekannt zu geben:
a) das Thema des Vorhabens,
b) das zuwendungsempfangende sowie das auftragnehmende Unternehmen,
c) die für die Durchführung des Vorhabens verantwortliche Person,
d) den Bewilligungszeitraum und
e) die Höhe der Zuwendung und der Eigenbeteiligung des zuwendungsempfangenden Unternehmens.
6.5
Für die Durchführung der Erfolgskontrolle und Evaluation auf Programmebene und für die Bewertung der Umsetzung des Förderprogramms sowie der mit den Förderprojekten erreichten Ergebnisse ist es erforderlich, dass der Zuwendungsgeber, die Bewilligungsbehörde beziehungsweise die gegebenenfalls mit einer Evaluation beauftragten Institutionen während und nach der Laufzeit des Förderprogramms die notwendigen Daten und Informationen erhalten.
Zuwendungsempfangende Unternehmen haben daher projektbezogene Informationen, auch über den üblichen Inhalt eines Zwischen- und Verwendungsnachweises hinaus, sowie unternehmensbezogene Angaben, die bei der Antragstellung relevant waren oder allgemeiner Art sind, auf Nachfrage zur Verfügung zu stellen.
6.6
Der Zuwendungsgeber, die Bewilligungsbehörde beziehungsweise die mit einer Evaluation beauftragten Institutionen sind verpflichtet, die Informationen vertraulich zu behandeln und dürfen diese ausschließlich zu dem bezeichneten Zweck sowie im erforderlichen Umfang auch für die Zurverfügungstellung weiterer Beratungsangebote mit Bezug zum jeweiligen Vorhaben verwenden.
6.7
Im Falle einer Öffentlichkeitsarbeit zu dem geförderten Vorhaben ist das zuwendungsempfangende Unternehmen dazu verpflichtet, durch die sichtbare Platzierung des MID-Logos auf der Firmenhomepage oder in entsprechenden Dokumenten auf die Förderung des Projekts hinzuweisen und die Bewilligungsbehörde darüber zu informieren. Dies gilt insbesondere für Veröffentlichungen, wie zum Beispiel Broschüren, Faltblätter oder Internetseiten, sowie Informationsveranstaltungen, Workshops, Symposien und ähnliches im Zusammenhang mit dem Projekt. Das MID-Logo darf vom zuwendungsempfangenden Unternehmen nicht bearbeitet werden.
6.8
Für die entsprechende Öffentlichkeitsarbeit ist die folgende Formulierung zu verwenden:
Dieses Vorhaben wurde aus Mitteln des Förderprogramms Mittelstand Innovativ & Digital (MID) des Landes NRW gefördert.
7.1
Losverfahren
In einem ersten Schritt werden durch ein algorithmus-basiertes Zufallsverfahren, im Folgenden Losverfahren, die im Monat verfügbaren Förderkontingente unter allen registrierten Teilnehmenden vergeben, sofern die Zahl der Teilnehmenden die Höhe der verfügbaren Förderungen pro Monat übersteigt. Die Ziehung erfolgt monatlich. Die genauen Termine werden im Förderportal MID-Digitale Sicherheit veröffentlicht. Nicht ausgewählte Unternehmen können im Folgemonat erneut am Losverfahren teilnehmen. Die erneute Teilnahme muss aktiv im Förderportal MID-Digitale Sicherheit bestätigt werden, eine neue Registrierung oder Dateneingabe ist nicht notwendig. Die Registrierung, die Bestätigung zur Teilnahme am Losverfahren, die Antragstellung und die erneute Teilnahmebestätigung sind ausschließlich über das Förderportal MID-Digitale Sicherheit möglich.
7.2
Antrag auf Förderung
Alle im Förderportal angegebenen Pflichtfelder sind wahrheits- und ordnungsgemäß auszufüllen. Der Antrag muss die folgenden Mindestangaben und -unterlagen enthalten:
a) Angaben zum antragstellenden Unternehmen,
b) Beschreibung des Projektes,
c) Angaben zum auftragnehmenden Unternehmen,
d) Angaben zu De-minimis-Förderungen und staatlichen Zuwendungen für dieselben förderbaren Aufwendungen beziehungsweise Vorhaben,
e) abschließende Erklärung zur Antragstellung MID-Digitale Sicherheit, in der zum Tag der Antragstellung geltenden und bereitgestellten Fassung,
f) ein zum Tag der Antragstellung aktuellen Nachweis über die Geschäftstätigkeit:
aa) bei Unternehmen mit einer Eintragung im Handelsregister ist zwingend der Handelsregisterauszug einzureichen,
bb) bei Kleingewerbetreibende und Gesellschaften des bürgerlichen Rechts ist der Eintrag freiwillig; hier ist als Nachweis eine Gewerbeanmeldung und gegebenenfalls eine Gewerbeummeldung ausreichend,
cc) bei Angehörigen der freien Berufe reicht eine Bescheinigung in Steuersachen des zuständigen Finanzamtes oder,
dd) bei steuerberatenden Personen reicht einen Nachweis über die Eintragung bei der Steuerberaterkammer und
g) ein aktuelles und zum Zeitpunkt der Antragstellung gültiges, unverbindliches aber aussagekräftiges Angebot des auftragnehmenden Unternehmens.
Nur vollständige Anträge können berücksichtigt werden. Die Unterlagen sind in Deutsch und die Beträge in Euro vorzulegen. Die eingegangenen Anträge werden nach Maßgabe dieser Richtlinie und den einschlägigen Rechtsgrundlagen für eine Förderung des Landes Nordrhein-Westfalen geprüft.
Der Zuwendungsgeber behält sich vor, jederzeit einen Antragsstopp für das gesamte Programm MID oder ein spezifisches Teilprogramm zu verkünden. Dies gilt insbesondere für den Fall, dass die verfügbaren Haushaltsmittel ausgeschöpft worden sind oder eine Haushaltssperre verhängt wird. Anträge, die nach dem Zeitpunkt eines möglichen Antragsstopps eingehen, können nicht mehr berücksichtigt werden.
7.3
Abruf von Fördergeldern (Projektabschluss)
Nach Abschluss der Maßnahme werden die Fördergelder innerhalb eines im Zuwendungsbescheid genannten Zeitraumes bei der Bewilligungsbehörde durch Anforderung der Zuwendungsmittel abgerufen. Die Bereitstellung der Fördergelder erfolgt nach dem Ausgabenerstattungsverfahren, das heißt das zuwendungsempfangende Unternehmen tritt zunächst in Vorleistung. Die Erstattung erfolgt einmalig nach Abschluss der Maßnahme und Begleichung einer Schlussrechnung, es kann keine Zwischenrechnung eingereicht werden. Der Abruf von Fördergeldern muss in digitaler Form über das Förderportal erfolgen.
Zum Projektabschluss müssen der Bewilligungsbehörde folgende Angaben und Anlagen bereitgestellt werden:
a) Anforderung der Zuwendungsmittel,
b) Verwendungsnachweis,
c) Kopie der Rechnung des auftragnehmenden Unternehmens inklusive Angabe des Anschaffungszeitpunktes,
d) Zahlungsnachweise oder Buchungsbelege, wie zum Beispiel eine Kopie des Kontoauszugs vom Geschäftskonto des Zuwendungsempfängers, Barzahlungen sind ausgeschlossen,
e) kurzer Sachbericht und
f) abschließende Erklärung zum Projektabschluss MID-Digitale Sicherheit, in der zum Tag der Antragstellung gültigen und bereitgestellten Fassung.
7.4
Die Antragstellerin oder der Antragsteller ist im Rahmen der Erteilung erforderlicher Auskünfte und der Beibringung erforderlicher Unterlagen, innerhalb der gesetzten Frist, zur Mitwirkung verpflichtet.
7.5
Projektänderungen bedürfen der Rücksprache mit der Bewilligungsbehörde und einer entsprechenden Freigabe durch diese.
8
Inkrafttreten
Dieser Runderlass tritt am 1. Januar 2026 in Kraft und mit Ablauf des 31. Dezember 2029 außer Kraft.
MB.NRW 2026 Nr. 12