Fördert BAFA Cybersecurity-Schulungen direkt?

Nein. BAFA fördert bei diesem Programm nur externe Beratungsleistungen für KMU. Reine Kurslizenzen, Standard-Online-Kurse, Security-Software oder Hardware werden darüber nicht direkt bezuschusst. Förderfähig ist die Beratung, aus der zum Beispiel ein NIS2-Fahrplan oder eine Schulungsempfehlung entsteht.

Wie hoch ist die BAFA-Förderung für Cybersecurity-Beratung?

Für 2026 wird in diesem Projektkontext mit 50 Prozent Zuschuss in Westdeutschland und 80 Prozent in den neuen Bundesländern gerechnet. Die förderfähigen Beratungskosten werden dabei bis zu einem maximalen Zuschuss von 2.800 EUR berücksichtigt.

Welche Unternehmen können BAFA-Förderung beantragen?

Adressiert sind kleine und mittlere Unternehmen im Sinn der Empfehlung 2003/361/EG, also typischerweise Unternehmen mit weniger als 250 Beschäftigten und den einschlägigen Umsatz- oder Bilanzgrenzen. Zusätzlich müssen die weiteren BAFA-Voraussetzungen zum Unternehmen, zum Beratungsanlass und zum eingesetzten Berater erfüllt sein.

Welche Cybersecurity-Themen sind über BAFA sinnvoll förderfähig?

Sinnvoll förderfähig sind vor allem Gap-Analysen, NIS2-Readiness-Bewertungen, Sicherheitskonzepte, Rollen- und Prozessdesign, Incident-Response-Strukturen, Lieferketten-Risiken und Maßnahmenfahrpläne. Nicht passend sind reine Produktkäufe oder isolierte Standardschulungen ohne individuellen Beratungsanteil.

Kann ich BAFA-Beratung mit einer NIS2-Schulung kombinieren?

Ja, wenn die Kosten sauber getrennt werden. BAFA kann die Beratung finanzieren, in der ein externer Berater den Schulungsbedarf und die Prioritäten ableitet. Die anschließende Schulung wird dann über ein anderes Budget oder ein separates Förderprogramm umgesetzt.

Wann muss der BAFA-Antrag gestellt werden?

Die Förderlogik sollte immer vor Maßnahmenbeginn geklärt werden. Wer Beratung voreilig beauftragt oder startet, riskiert die Förderfähigkeit. Maßgeblich sind die jeweils aktuellen BAFA-Vorgaben und der konkrete Verfahrensstand im Antragsportal.

BAFA Cybersecurity Beratung

BAFA Cybersecurity Beratung ist 2026 für viele KMU der pragmatischste Förderweg, wenn zuerst eine externe NIS2- oder Sicherheitsanalyse gebraucht wird. Entscheidend ist die Abgrenzung: Gefördert werden Beraterhonorare, nicht Kurslizenzen, Security-Tools oder laufende Managed Services.

Letzte Aktualisierung: 23. März 2026

Die wichtigste Aussage für die Praxis lautet deshalb schon am Anfang: Wenn Ihr Unternehmen eine geförderte NIS2- oder Cybersecurity-Maßnahme plant, sollten Sie Beratung und Schulung strikt trennen. BAFA übernimmt in diesem Kontext typischerweise 50 Prozent der förderfähigen Beratungskosten in Westdeutschland beziehungsweise 80 Prozent in den neuen Bundesländern bis maximal 2.800 EUR. Die spätere Umsetzung, etwa eine Awareness-Maßnahme oder eine NIS2 Online-Schulung, muss gesondert finanziert oder über einen anderen Förderweg beantragt werden.

Für KMU ist genau diese Trennung wirtschaftlich sinnvoll. Erstens schafft eine geförderte Beratung Klarheit darüber, ob Ihr Unternehmen von NIS2 betroffen ist, welche Risiken priorisiert werden müssen und welche Rollen geschult werden sollten. Zweitens vermeiden Sie Fehlkäufe bei Kursen oder Tools, die nicht zu Ihrem Reifegrad passen. Drittens entsteht eine belastbare Dokumentation, die Sie später gegenüber Geschäftsleitung, Revision, Kunden oder Versicherern nutzen können.

Wenn Sie bereits wissen möchten, welche Weiterbildungsförderungen für die spätere Umsetzung in Frage kommen, lesen Sie ergänzend unseren Leitfaden zur NIS2-Schulung Förderung, die Übersicht zur geförderten NIS2-Schulung und den Beitrag zum Qualifizierungschancengesetz für NIS2-Schulungen.

Was fördert die BAFA? Nur Beraterhonorare, keine Kurslizenzen

BAFA fördert bei der Cybersecurity-Beratung nur die externe Beratungsleistung, nicht den späteren Kauf eines Schulungsprodukts. Diese Abgrenzung ist der wichtigste Punkt des gesamten Programms und zugleich die häufigste Fehlerquelle in Anfragen von KMU.

Förderfähig ist deshalb typischerweise eine individuelle Unternehmensberatung mit konkretem Leistungsbild. Dazu gehören etwa eine NIS2-Betroffenheitsanalyse, eine Cybersecurity-Gap-Analyse, die Bewertung bestehender Sicherheitsprozesse, ein Maßnahmenfahrplan, die Rollenklärung zwischen IT, Compliance und Geschäftsleitung oder ein Konzept für Incident Response und Lieferkettenkontrollen gemäß Art. 21 Abs. 2 NIS2. Nicht förderfähig sind dagegen Standard-Online-Kurse, Lizenzpakete für Awareness-Plattformen, Firewalls, EDR-Lösungen, Penetrationstests ohne förderfähigen Beratungsrahmen oder fortlaufende Betriebsleistungen.

Für die Budgetplanung bedeutet das: BAFA bezahlt nicht die eigentliche Schulung Ihrer Mitarbeitenden. BAFA bezahlt die vorgelagerte Expertise, die den Schulungsbedarf fachlich begründet. Genau deshalb ist die Kombination mit einer separaten Weiterbildung oft sinnvoller als der Versuch, alles in ein einziges Förderformat zu pressen.

Die saubere Trennung hilft auch rechtlich. NIS2 verlangt nach Art. 20 Abs. 2 und Art. 21 Abs. 2 Buchst. g der Richtlinie (EU) 2022/2555, dass Leitungsorgane geschult werden und grundlegende Cyberhygiene sowie Cybersicherheitsschulungen organisatorisch verankert werden. Die Beratung kann hierfür das Soll-Konzept liefern, die Schulung setzt das Konzept anschließend operativ um. Wer beide Teile trennt, schafft eine deutlich auditfestere Dokumentationskette.

Welche Cybersecurity-Beratungen sind in der Praxis BAFA-tauglich?

BAFA-tauglich sind vor allem Beratungsprojekte, die ein konkretes Management- oder Sicherheitsproblem im Unternehmen strukturieren und in einen individuellen Umsetzungsfahrplan übersetzen. Für Cybersecurity und NIS2 sind in der Praxis insbesondere folgende Formate plausibel:

Beratungsformat	Typischer Nutzen	Warum BAFA-nahe
NIS2-Gap-Analyse	Klärt Betroffenheit, Defizite und Prioritäten	Individuelle Analyse statt Standardkurs
Cybersecurity-Reifegradbewertung	Erfasst Schwächen bei Technik, Prozessen und Verantwortlichkeiten	Klassische strategische Unternehmensberatung
Incident-Response- und Meldeprozess-Design	Definiert Zuständigkeiten, Meldewege und Eskalation	Organisations- und Prozessberatung
Lieferketten- und Drittparteien-Risikoanalyse	Bewertet externe Abhängigkeiten und Kontrolllücken	Governance- und Risikoberatung
Schulungs- und Awareness-Roadmap	Leitet ab, welche Rollen wann geschult werden müssen	Beratungsleistung mit Umsetzungsplan

Die entscheidende Frage lautet immer: Entsteht ein individueller Beratungsoutput für Ihr Unternehmen? Wenn die Antwort ja ist, passt BAFA deutlich besser. Wenn Sie dagegen nur einen Kurs für mehrere Mitarbeitende einkaufen möchten, ist ein Weiterbildungsprogramm oder ein direkter Kurseinkauf meist der richtige Weg.

Gerade bei NIS2 lohnt sich die Beratungslogik. Viele KMU unterschätzen, dass nicht nur die IT-Abteilung betroffen ist, sondern auch Einkauf, Geschäftsführung, Produktion, Kundenservice oder externe Dienstleister in die Sicherheitsorganisation einbezogen werden müssen. Ein Berater kann diese Rollen sauber aufnehmen, den Status quo bewerten und daraus ein priorisiertes Maßnahmenpaket ableiten. Erst danach sollte entschieden werden, ob eine Awareness-Schulung, eine Management-Schulung oder eine vertiefte Fachschulung sinnvoll ist.

Wer wird gefördert? Voraussetzungen für KMU

Gefördert werden grundsätzlich kleine und mittlere Unternehmen, wenn sie die KMU-Kriterien der Empfehlung 2003/361/EG erfüllen und zusätzlich die Fördervorgaben des BAFA-Programms einhalten. Maßgeblich sind dabei insbesondere die Unternehmensgröße, die wirtschaftliche Tätigkeit, der Unternehmenssitz in Deutschland und die Auswahl eines geeigneten, förderfähigen Beraters.

Für die meisten Unternehmen lässt sich die KMU-Frage pragmatisch so prüfen:

Voraussetzung	Einordnung für die Praxis
Unternehmensgröße	In der Regel weniger als 250 Beschäftigte
Finanzielle Schwelle	Umsatz bis 50 Mio. EUR oder Bilanzsumme bis 43 Mio. EUR gemäß Empfehlung 2003/361/EG
Sitz / Tätigkeit	Unternehmen mit wirtschaftlicher Tätigkeit in Deutschland
Beratungsformat	Externe Unternehmensberatung mit individuellem Inhalt
Berater	Berater muss zum Programm passen und die BAFA-Vorgaben erfüllen

Zusätzlich sollten KMU darauf achten, dass es sich wirklich um eine externe, unabhängige Beratung handelt. Interne Projektarbeit, Leistungen verbundener Unternehmen oder rein technische Implementierungsaufträge sind kein sauberer Ersatz für eine förderfähige Unternehmensberatung. Genau deshalb ist die Beraterauswahl so wichtig: Ein guter BAFA-Berater verkauft nicht zuerst ein Produkt, sondern strukturiert zuerst das Problem.

Besonders relevant ist diese Voraussetzung für Unternehmen, die NIS2 erstmals ernsthaft prüfen. Oft ist noch unklar, ob die eigene Organisation als wesentliche oder wichtige Einrichtung einzuordnen ist, welche Lieferantenpflichten relevant werden und wo Governance-Lücken bestehen. In solchen Fällen ist BAFA-Beratung kein Fördertrick, sondern ein Mittel, um aus unscharfer Sorge ein belastbares Projekt zu machen.

Wie hoch ist die Förderung? 50 Prozent West, 80 Prozent Ost, maximal 2.800 EUR

Für diesen Beitrag gilt die im Projekt hinterlegte Förderlogik: Die BAFA Cybersecurity Beratung wird mit 50 Prozent in Westdeutschland und mit 80 Prozent in den neuen Bundesländern gerechnet, jeweils bezogen auf förderfähige Beratungskosten bis zu einem maximalen Zuschuss von 2.800 EUR. Die wirtschaftliche Wirkung ist gerade für kleinere Mittelständler erheblich, weil schon ein kompakter Beratungsauftrag einen großen Teil der Analysekosten abfedern kann.

Die Fördersystematik lässt sich für die Praxis so lesen:

Region	Fördersatz	Maximaler Zuschuss	Typische Wirkung
Westdeutschland	50 %	bis 2.800 EUR	Beratung wird halbiert, Eigenanteil planbar
Neue Bundesländer	80 %	bis 2.800 EUR	Deutlich geringerer Eigenanteil bei gleichem Beratungsziel

Die Förderhöhe ist bewusst auf Beratung begrenzt. Das Programm soll KMU den Zugang zu externer Expertise erleichtern, nicht ein komplettes Security-Programm allein finanzieren. Genau daraus ergibt sich aber ein sinnvoller Hebel: Ein Unternehmen kann mit überschaubarem Eigenanteil die strategischen Fragen zuerst klären und anschließend auf dieser Basis die richtige Weiterbildung, Tool-Auswahl oder organisatorische Umsetzung beschließen.

Ein Beispiel macht den Unterschied deutlich. Ein KMU aus Nordrhein-Westfalen beauftragt eine dreitägige NIS2- und Cybersecurity-Beratung mit Gap-Analyse, Management-Workshop und Maßnahmenplan. Wenn die Beratung förderfähig ausgestaltet ist, senkt der BAFA-Zuschuss den Eigenanteil erheblich. Ein Unternehmen aus Sachsen-Anhalt oder Thüringen profitiert bei gleicher Beratungslogik von einer deutlich stärkeren Entlastung. In beiden Fällen gilt aber: Die spätere Mitarbeiterschulung ist nicht automatisch mitbezahlt.

Wie beantrage ich BAFA-Förderung? Schritt für Schritt

Die Antragstellung funktioniert am besten, wenn Sie nicht mit dem Formular beginnen, sondern mit einer sauberen Förderlogik. BAFA-Beratung scheitert in der Praxis selten an der Idee „Cybersecurity“, sondern fast immer an einem unscharfen Leistungsgegenstand oder einem zu frühen Projektstart.

Beratungsbedarf konkretisieren: Definieren Sie zuerst, ob Sie eine NIS2-Gap-Analyse, ein Sicherheitskonzept, einen Incident-Response-Prozess oder eine Schulungs-Roadmap brauchen.
Beratung von Schulung trennen: Beschreiben Sie die förderfähige Leistung als Beratungsprojekt und nicht als Kurseinkauf.
Geeigneten Berater auswählen: Nutzen Sie die BAFA-konforme Beraterlogik und klären Sie frühzeitig, ob der Anbieter zum Förderprogramm passt.
Fördervoraussetzungen prüfen: Prüfen Sie KMU-Status, Unternehmensdaten, Projektgegenstand und aktuelle BAFA-Vorgaben vor dem Start.
Antrag beziehungsweise Förderfreigabe vor Beginn sichern: Starten Sie die Beratung nicht vorschnell, solange der förderrelevante Verfahrensschritt nicht sauber geklärt ist.
Beratung durchführen und dokumentieren: Halten Sie Angebot, Leistungsbeschreibung, Beratungsbericht, Rechnung und Zahlungsnachweise sauber vor.
Anschlussmaßnahme planen: Nutzen Sie den Beratungsbericht, um Schulung, Investitionen oder organisatorische Maßnahmen nachgelagert umzusetzen.

Der häufigste Fehler liegt in Schritt zwei. Viele Unternehmen formulieren ein gemischtes Paket aus Workshop, Schulung, Softwareempfehlung und laufender Begleitung. Das klingt intern praktisch, ist förderlogisch aber oft zu unscharf. Deutlich besser ist ein Beratungsauftrag mit klaren Deliverables, zum Beispiel Bestandsaufnahme, Risikobild, Rollenmatrix, Maßnahmenpriorisierung und Schulungsempfehlung.

Der zweithäufigste Fehler ist Zeitdruck. Wer eine Schulung sofort einkauft und danach erst nach Fördermöglichkeiten sucht, hat die BAFA-Logik bereits verfehlt. Im Zweifel ist es besser, zuerst eine kurze geförderte Beratung aufzusetzen und danach die operative Umsetzung zu starten. Das gilt besonders dann, wenn die Geschäftsleitung belastbare Entscheidungsgrundlagen benötigt.

Kombination: BAFA-Beratung plus NIS2-Schulung

Die sinnvollste Kombination lautet für viele KMU nicht „entweder BAFA oder Schulung“, sondern „BAFA für die Analyse, Schulung für die Umsetzung“. Genau so vermeiden Sie die falsche Erwartung, dass BAFA Kursgebühren tragen müsse, und nutzen trotzdem die Förderung für den fachlich wichtigsten ersten Schritt.

Ein typisches Modell sieht so aus:

BAFA-geförderte Beratung: Ein externer Berater prüft Betroffenheit, Risiken, Rollen, Nachweislücken und Prioritäten für NIS2.
Schulungsentscheidung auf Basis der Beratung: Aus dem Bericht ergibt sich, ob Geschäftsleitung, Fachbereiche oder IT unterschiedliche Trainingspfade brauchen.
Getrennte Umsetzung der Weiterbildung: Die eigentliche Schulung wird separat eingekauft oder über ein anderes Förderinstrument finanziert.
Dokumentierter Nachweis: Beratung und Weiterbildung ergeben zusammen eine deutlich stärkere Compliance-Dokumentation.

Diese Kombination ist insbesondere für Unternehmen interessant, die sowohl technische als auch organisatorische Lücken haben. Eine Beratung ohne Schulung bleibt oft theoretisch. Eine Schulung ohne vorgelagerte Analyse bleibt oft zu generisch. Erst die Kombination sorgt dafür, dass Inhalte, Zielgruppen und Prioritäten wirklich zum Unternehmen passen.

Wenn Sie die Weiterbildungsseite vertiefen möchten, finden Sie passende Anschlusswege in unserer Übersicht zur NIS2-Schulung Förderung, in der NIS2 Online-Schulung und im Beitrag zum Qualifizierungschancengesetz für NIS2-Maßnahmen. Wenn Sie zuerst prüfen möchten, wie eine geförderte Schulungslogik insgesamt aussehen kann, ist außerdem die Seite zur geförderten NIS2-Schulung relevant.

Wann BAFA sinnvoll ist und wann nicht

BAFA ist besonders sinnvoll, wenn Ihr Unternehmen noch keine belastbare Cybersecurity-Roadmap hat und zuerst strategische Klarheit braucht. Das gilt typischerweise für KMU, die erstmals mit NIS2, Lieferkettenanforderungen, Management-Verantwortung oder Schulungsnachweisen konfrontiert sind. In solchen Konstellationen ist eine kurze, gute Beratung oft wertvoller als ein schneller Kurskauf.

Weniger sinnvoll ist BAFA, wenn Ihr Bedarf bereits eindeutig feststeht und Sie nur noch eine standardisierte Schulung für definierte Zielgruppen ausrollen möchten. Dann ist ein Weiterbildungsprogramm oder der direkte Kauf einer passenden Schulung meist schneller und förderlogisch sauberer. BAFA ist auch nicht das richtige Instrument, wenn Sie primär Technik beschaffen, Managed Services beauftragen oder Security-Betrieb auslagern wollen.

Die Kernfrage lautet daher nicht „Gibt es BAFA für Cybersecurity?“, sondern „Brauchen wir zuerst Beratung oder bereits Umsetzung?“. Wer diese Frage sauber beantwortet, spart Zeit, Rückfragen und Fehlanträge.

Fazit: BAFA finanziert die Sicherheitsanalyse, nicht den Kurs

BAFA Cybersecurity Beratung ist für KMU 2026 vor allem dann attraktiv, wenn zuerst eine individuelle Analyse, ein Sicherheitskonzept oder eine NIS2-Roadmap gebraucht wird. Gefördert werden Beraterhonorare mit 50 Prozent in Westdeutschland beziehungsweise 80 Prozent in den neuen Bundesländern bis maximal 2.800 EUR, nicht jedoch die spätere Kurslizenz.

Für die Praxis ist deshalb die beste Reihenfolge meist klar: zuerst BAFA-geförderte Beratung, danach die passende Schulung oder Umsetzungsmaßnahme. Wenn Sie die operative Weiterbildung direkt prüfen möchten, starten Sie mit unserer NIS2 Online-Schulung. Wenn Sie zunächst die Förderlogik für Beratung und Training sauber trennen wollen, lesen Sie außerdem die Beiträge zur NIS2-Schulung Förderung und zum Qualifizierungschancengesetz für NIS2-Schulungen.

BAFA Cybersecurity Beratung für KMU 2026