La Consellería de Economía e Industria, a través del Instituto Gallego de Promoción Económica (Igape), desarrolla diversas actuaciones para fortalecer la competitividad del tejido empresarial gallego mediante el fomento de la innovación, la transformación digital, la sostenibilidad y la mejora de la capacidad operativa de las empresas gallegas.
La creciente dependencia de las infraestructuras digitales y la evolución de las amenazas cibernéticas hacen imprescindible que las empresas refuercen su capacidad de prevención, detección y respuesta frente a riesgos digitales. En este contexto, la ciberseguridad se convierte en un elemento esencial para garantizar la continuidad operativa y la estabilidad del tejido económico, en línea con lo establecido en el Plan estratégico de Galicia 2022-2030 y con las recomendaciones europeas en materia de seguridad de la información.
Con el objetivo de apoyar la implantación de soluciones técnicas especializadas y de facilitar el acceso de las empresas gallegas a servicios profesionales de calidad en este ámbito, el Igape ha previsto poner en marcha el programa Empresa Cibersegura 2025, que contemplará la concesión de ayudas directas para despliegue de medidas técnicas y organizativas específicas en materia de ciberseguridad, prestadas por entidades proveedoras homologadas.
La presente resolución tiene por finalidad establecer el procedimiento de homologación de las entidades prestadoras de estos servicios, que serán las encargadas de ejecutar las actuaciones subvencionables, colaborar en la justificación técnica y facilitar el cumplimiento de los requisitos del programa. Este procedimiento permitirá garantizar la solvencia técnica, la experiencia acreditada y la capacidad operativa de los proveedores participantes, así como asegurar la calidad de las actuaciones financiadas.
Por todo lo anterior,
RESUELVO:
Artículo 1. Objeto
1. Esta resolución tiene por objeto regular el procedimiento para la homologación, en concurrencia no competitiva, de entidades proveedoras que deseen participar en el programa Empresa Cibersegura 2025, prestando servicios especializados en materia de ciberseguridad a las empresas beneficiarias de las ayudas convocadas para el año 2025 (código de procedimiento IG408P).
2. Las entidades que resulten homologadas podrán ser seleccionadas por las empresas beneficiarias para la ejecución de las actuaciones subvencionables definidas en las bases reguladoras de la convocatoria de ayudas, debiendo cumplir las condiciones técnicas, organizativas y administrativas establecidas en esta resolución.
3. La homologación tendrá como finalidad garantizar la solvencia técnica y económica de las entidades prestadoras de los servicios, así como la calidad, adecuación y seguridad de las soluciones implantadas, promoviendo un ecosistema profesional de confianza en el ámbito de la ciberseguridad.
4. La inclusión en el catálogo de entidades proveedoras homologadas habilitará a las entidades para suscribir acuerdos de prestación de servicios con las empresas beneficiarias y participar en la ejecución, justificación y control de las actuaciones financiadas al amparo del programa.
Artículo 2. Características del programa
1. El programa Empresa Cibersegura 2025 tiene como finalidad mejorar la capacidad de defensa y continuidad en el ámbito digital de las empresas mediante la implantación de medidas técnicas y organizativas de ciberseguridad adaptadas a sus necesidades, que les permitan mejorar su capacidad de prevención, detección y respuesta frente a riesgos y amenazas en el ámbito digital.
2. Las ayudas que se concedan en el marco de este programa se destinarán a financiar la prestación de servicios técnicos especializados en ciberseguridad, que abarcarán desde el diagnóstico inicial de situación hasta la implantación de soluciones funcionales y la concienciación del personal. Estos servicios deberán alinearse con los estándares y buenas prácticas vigentes, pudiendo incluir la adaptación a los requisitos exigidos por normativas como la Directiva NIS2 o el Esquema nacional de seguridad (ENS).
3. Los destinatarios de estos servicios serán las empresas con domicilio social o centro de trabajo en Galicia, incluyendo personas autónomas, que resulten beneficiarias de las ayudas convocadas en el marco del programa.
4. Los servicios que presten las entidades proveedoras homologadas podrán incluir, según las necesidades de la empresa beneficiaria, actuaciones de diagnóstico, planificación e implantación de soluciones específicas de ciberseguridad. Estas actuaciones podrán abarcar, entre otras:
• La realización de auditorías o análisis de riesgos y vulnerabilidades.
• La definición y puesta en marcha de planes de mejora de la seguridad digital.
• La implantación de soluciones técnicas de protección, detección o respuesta ante incidentes en entornos TI y OT.
• La elaboración o actualización de políticas de seguridad y protocolos internos.
• Acciones orientadas a la concienciación y sensibilización del personal de la empresa en materia de ciberseguridad.
Cada servicio deberá estar orientado a mejorar de forma efectiva el nivel de protección de la empresa frente a riesgos digitales, y deberá adaptarse a su contexto organizativo, sectorial y tecnológico.
5. La prestación de estos servicios deberá ser realizada exclusivamente por entidades proveedoras que resulten homologadas conforme al procedimiento regulado en esta resolución, y que figuren en el catálogo habilitado por el Igape a tal fin.
6. A través de la presente resolución se establecen los requisitos, condiciones y procedimiento para la homologación de las entidades proveedoras que deseen prestar los servicios descritos a las empresas beneficiarias del programa. Las entidades homologadas deberán estar en disposición de prestar los servicios descritos en el artículo 13 durante la vigencia de su homologación.
Artículo 3. Plazo de presentación de solicitudes
El plazo de presentación de las solicitudes para homologarse como entidad proveedora en el ámbito de la convocatoria de ayudas comenzará a contar el sexto día hábil posterior al de la publicación de esta resolución en el Diario Oficial de Galicia y será de un mes, contado desde las 9.00 horas del día de inicio del plazo y hasta las 14.00 horas del día en que se cumpla el citado plazo de un mes.
Artículo 4. Requisitos de las entidades proveedoras homologadas
1. Podrán solicitar su homologación aquellas entidades con personalidad jurídica propia, legalmente constituidas, incluyendo las personas trabajadoras autónomas con personal a su cargo, que acrediten capacidad técnica y solvencia económica para prestar servicios especializados en materia de ciberseguridad a las empresas gallegas en el marco del programa Empresa Cibersegura 2025.
2. Las entidades solicitantes deberán cumplir los siguientes requisitos generales:
a) Estar legalmente constituidas y dadas de alta en la actividad correspondiente en el epígrafe del impuesto de actividades económicas (IAE) que les habilite para prestar servicios profesionales en el ámbito de la ciberseguridad, como los grupos 763, 845 o equivalentes.
b) Disponer de un centro de trabajo operativo en Galicia o, alternativamente, acreditar una base operativa o un equipo técnico permanente que garantice la prestación presencial de los servicios a las empresas gallegas en un plazo máximo de 48 horas durante toda la vigencia de la homologación.
Las entidades que no cuenten con un centro de trabajo en Galicia deberán demostrar que disponen de medios humanos y materiales situados en el territorio gallego que permitan cumplir con los tiempos de respuesta establecidos. Esta capacidad podrá acreditarse mediante la existencia de una oficina propia, de un equipo técnico desplegado permanentemente en Galicia, o mediante acuerdos contractuales que aseguren su disponibilidad efectiva. En todo caso, la entidad deberá comprometerse a mantener esta capacidad durante el período de vigencia de la homologación.
c) Estar al corriente en sus obligaciones tributarias y frente a la Seguridad Social, así como no estar incursa en ninguna de las causas de prohibición para contratar con el sector público, en los términos establecidos en la normativa vigente, como criterio de solvencia e integridad profesional para la participación en el programa.
d) No tener vínculo societario, económico o funcional con las empresas solicitantes de las ayudas, en los términos establecidos en el artículo 43.2 del Decreto 11/2009 o en el Reglamento (UE) 651/2014 en lo relativo a empresas asociadas o vinculadas.
e) No podrán obtener la condición de entidad homologada aquellas en las que concurra alguna de las circunstancias previstas en el artículo 10.2 y 3 de la Ley 9/2007, de 13 de junio, de subvenciones de Galicia, y en su normativa de desarrollo.
f) No tener pendiente el pago de obligaciones derivadas de resoluciones firmes de procedencia de reintegro emitidas por cualquier Administración pública.
3. Las entidades homologadas estarán exentas de la constitución de garantía prevista en el artículo 13.2.d) de la Ley 9/2007, después de autorización del Consello de la Xunta en los términos previstos en el artículo 72.2 del Decreto 11/2009, de 8 de enero, por el que se aprueba el Reglamento de la Ley de subvenciones de Galicia.
4. Las entidades deberán acreditar su solvencia técnica, mediante la presentación de:
i) Documentación acreditativa de la prestación de servicios realizados de igual o similar naturaleza a los recogidos en la convocatoria de ayudas finalizados en los 3 años anteriores a la presentación de la solicitud, por un importe acumulado mínimo de 250.000 €, IVA excluido. La relación debe incluir como máximo quince (15) referencias de servicios prestados que sumen en su conjunto el citado importe mínimo. Para cada una de las referencias deberán indicarse, como mínimo, los siguientes datos:
• Descripción del servicio prestado e identificación del cliente destinatario.
• Importe del servicio (sin IVA).
• Número de factura o contrato.
• Fecha de inicio y fin de la prestación.
La acreditación de la ejecución de los trabajos se realizará de la siguiente manera:
• Si el destinatario es una entidad del sector público: mediante certificado o informe expedido o visado por el órgano competente.
• Si el destinatario es una entidad privada: mediante certificado del cliente o, en su defecto, mediante declaración responsable de la entidad solicitante acompañada de la documentación acreditativa disponible (facturas, contratos, informes, etc.).
No se admitirán referencias por importes agregados inferiores a 5.000 €, ni prestaciones que no puedan considerarse directamente vinculadas con los servicios objeto de esta convocatoria.
ii) Relación del equipo de trabajo propuesto para la prestación de los servicios, indicando la experiencia profesional relevante en proyectos de ciberseguridad, conforme al objeto definido en esta convocatoria. El equipo deberá incluir, como mínimo:
• 2 miembros del equipo con una experiencia superior a 2 años en proyectos relacionados con la evaluación de riesgos, implantación de soluciones de seguridad y definición de políticas o protocolos de ciberseguridad.
• 1 miembro del equipo (adicional a los dos mencionados en el apartado anterior) con una experiencia superior a 4 años en proyectos relacionados con la evaluación de riesgos, implantación de soluciones de seguridad y definición de políticas o protocolos de ciberseguridad.
La experiencia se acreditará mediante el curriculum vitae de cada miembro del equipo de trabajo que acredite funciones y duración de los proyectos indicados.
Adicionalmente, la vinculación de los trabajadores con la empresa solicitante se justificará de la siguiente manera:
• Para personal contratado por cuenta ajena: copia de la relación nominal de trabajadores (RNT/RLC) o informe de trabajadores en alta (ITA) correspondiente al mes anterior a la presentación de la solicitud.
• Para socios/as-trabajadores/as o administradores/as que formen parte del equipo: nota simple o certificación del Registro Mercantil que acredite la participación societaria, junto con el alta en el Régimen Especial de Trabajadores Autónomos (RETA) o documento equivalente.
iii) Certificaciones de la empresa y/o miembros del equipo de trabajo. La empresa solicitante deberá acreditar como mínimo una de las siguientes certificaciones:
• Certificaciones por parte de los miembros del equipo de trabajo como auditores o implementadores líder ISO/IEC 27001.
• Certificaciones por parte del equipo de trabajo en las certificaciones CIMS, CISSP o CISA en ciberseguridad.
• Certificaciones por parte del equipo de trabajo en las certificaciones OSCP, CEH, CompTIA Security+ en ciberseguridad.
• Certificaciones de la empresa en ISO/IEC 27001, ENS, ISO/IEC22301.
Deberá aportar copias de las certificaciones vigentes con la solicitud de homologación.
5. La entidad deberá acreditar, además, su solvencia económica y financiera:
Deberán acreditar disponer de un volumen anual de negocio, referido al mejor ejercicio de los tres últimos ejercicios cerrados por un importe de como mínimo 250.000 €, IVA no incluido.
Se acreditará mediante la aportación de alguno de los siguientes medios:
• Personas jurídicas: cuentas anuales aprobadas y depositadas en el Registro Mercantil, con el justificante de depósito, si el solicitante estuviera inscrito en dicho registro, y en caso contrario, por las depositadas en el registro oficial en el que deba estar inscrito.
• Personas físicas: declaración del IRPF presentada ante la Agencia Tributaria.
6. Las entidades proveedoras deberán disponer de los medios tecnológicos precisos que garanticen el acceso a la utilización de medios electrónicos en las comunicaciones con el Igape a través de su oficina virtual.
Artículo 5. Obligaciones y compromisos de las entidades proveedoras homologadas
1. Las entidades proveedoras homologadas deberán cumplir, en todo momento, con las obligaciones generales derivadas de su condición de entidad homologada, y con la normativa específica aplicable al programa Empresa Cibersegura 2025. En particular, deberán:
a) Someterse a las actuaciones de control, verificación y auditoría que realicen el Igape, la Intervención General de la Comunidad Autónoma, el Tribunal de Cuentas, el Consejo de Cuentas o cualquier otro órgano competente.
b) Prestar los servicios comprometidos conforme al acuerdo suscrito con la empresa beneficiaria, dentro de los plazos establecidos y según las condiciones aprobadas por la resolución de concesión de la ayuda.
c) Disponer de los recursos técnicos, humanos y materiales necesarios para la correcta ejecución de los servicios, garantizando la cualificación del personal asignado.
d) Garantizar que el coste del servicio facturado no es superior al valor de mercado y que no existen diferencias injustificadas respecto de otras condiciones comerciales ofrecidas a terceros para soluciones equivalentes.
e) Emitir la factura correspondiente al servicio prestado dentro de los plazos previstos, con la estructura y contenido exigidos por las bases reguladoras, incluyendo expresamente el desglose entre:
a. La parte subvencionada por el Igape (75 % de la base imponible).
b. Y la parte a cargo de la empresa beneficiaria (25 % de la base imponible + total del IVA).
La entidad proveedora no podrá condicionar la prestación del servicio al pago anticipado del importe subvencionado.
f) Presentar la justificación de la ayuda y colaborar con la empresa beneficiaria en la preparación de la justificación técnica y documental de la actuación subvencionada, aportando los informes, evidencias y certificaciones requeridas, y conservando copia de la documentación durante un plazo mínimo de 4 años a partir del 31 de diciembre del año en el que se presente la correspondiente justificación de la actuación subvencionada.
g) Facilitar la información y documentación adicional que les sea requerida para la verificación técnica, económica y de resultados del programa.
h) Participar, si así se solicita, en las acciones de difusión o comunicación promovidas por el Igape, incluyendo la elaboración de casos de éxito, la visibilidad del programa en sus canales digitales y la colaboración en eventos divulgativos.
i) Cumplir con la normativa vigente en materia de protección de datos, accesibilidad, seguridad de la información y demás regulaciones sectoriales aplicables.
j) Incluir de forma visible en la página web corporativa de la entidad su condición de proveedora homologada en el marco del programa Empresa Cibersegura 2025, de acuerdo con las instrucciones y requisitos de visibilidad establecidos en el anexo II de esta convocatoria, durante todo el período de vigencia de la homologación.
k) Facilitar gratuitamente a las empresas solicitantes, cuando así lo requieran, un presupuesto detallado, con el objeto de dar cumplimiento a la obligación de solicitar tres ofertas previstas en la Ley 9/2007, de subvenciones de Galicia, cuando el importe del proyecto supere los límites establecidos para el contrato menor.
La entidad podrá justificar ante el Igape la no emisión de un presupuesto en los siguientes casos:
– Cuando reciba un número elevado de solicitudes que impida razonablemente atender todas ellas en el plazo previsto.
– Cuando la solicitud carezca de la información mínima necesaria para su elaboración.
– Cuando se aprecie un uso reiterado, injustificado o abusivo de este servicio por parte de la misma empresa solicitante.
– Cuando concurran otras circunstancias debidamente motivadas que imposibiliten o desaconsejen su emisión.
Las entidades homologadas se comprometen a emitir los presupuestos de forma detallada, comparable y conforme a los servicios definidos en el artículo 13 de esta convocatoria, en el plazo máximo de diez (10) días hábiles desde la solicitud de la empresa interesada.
Asimismo, los presupuestos deberán recoger el importe total del servicio y el desglose de la parte subvencionable, para facilitar la tramitación de la ayuda.
l) La entidad proveedora deberá adscribir a los servicios de ciberseguridad regulados en esta convocatoria el equipo mínimo definido en el artículo 4, garantizando su dedicación efectiva durante toda la vigencia de la homologación. Cualquier sustitución o baja deberá comunicarse al Igape en el plazo máximo de diez (10) días hábiles, junto con la documentación acreditativa de la nueva persona incorporada, que deberá cumplir un nivel de experiencia igual o superior al exigido.
m) Las tareas esenciales de la prestación del servicio deberán ejecutarse exclusivamente por el personal propio o por los socios-trabajadores adscritos por la entidad. Solo podrá subcontratarse hasta un 50 % del importe elegible de cada servicio, limitado a actividades auxiliares, y siempre mediante autorización previa y expresa del Igape. A estos efectos, se considerarán tareas esenciales las siguientes:
• Evaluación de riesgos en ciberseguridad.
• Implantación de soluciones de seguridad.
• Actividades de concienciación y sensibilización.
• Definición o revisión de políticas y protocolos de ciberseguridad.
2. No podrán ser beneficiarias de las ayudas concedidas en el marco de este programa aquellas entidades que resulten homologadas como proveedoras, ni aquellas empresas que tengan vinculación societaria o funcional con ellas, con sus órganos de dirección o con las personas integrantes de los equipos de trabajo. A estos efectos, se aplicará lo previsto en el artículo 27.7 de la Ley 9/2007 y en el artículo 43.2 del Decreto 11/2009, así como los conceptos de empresas asociadas y vinculadas definidos en el Reglamento (UE) nº 651/2014.
Artículo 6. Procedimiento de control y seguimiento de las entidades homologadas
1. Las entidades proveedoras homologadas estarán sujetas, durante toda la vigencia de su homologación, a un procedimiento de control y seguimiento por parte del Igape, con el objetivo de verificar el cumplimiento de las obligaciones asumidas, la calidad de los servicios prestados y su adecuación a los objetivos del programa.
2. Este procedimiento podrá incluir:
a) La solicitud de información técnica y administrativa relativa a los servicios prestados en el marco del programa.
b) La realización de cuestionarios de evaluación o visitas de seguimiento.
c) La comprobación documental de acuerdos de prestación, justificaciones y relación con los beneficiarios.
d) El requerimiento de medidas correctoras, en los casos en los que se detecten desviaciones o incumplimientos parciales.
3. El incumplimiento reiterado de las obligaciones de colaboración en el marco de este procedimiento podrá dar lugar a la revocación de la condición de entidad homologada, conforme al artículo 17 de esta convocatoria.
Artículo 7. Forma y lugar de presentación de las solicitudes
1. Las entidades interesadas en obtener la condición de proveedoras homologadas deberán cubrir previamente un formulario electrónico descriptivo de sus circunstancias y de la tipología de servicios que ofrecen, a través de la aplicación establecida en la oficina virtual del Igape (https://spiga-sede.igape.es). Deberán cubrir necesariamente todos los campos obligatorios establecidos en el formulario.
2. En las solicitudes de ayuda la persona solicitante realizará las siguientes declaraciones, que estarán incluidas en dicho formulario electrónico:
a) Que cumple con los requisitos establecidos en la convocatoria para obtener la condición de entidad proveedora homologada.
b) Que no está incursa en ninguna de las causas de prohibición para contratar con el sector público, según el artículo 27.7 de la Ley 9/2007 y el artículo 43 del Decreto 11/2009.
c) Que está al corriente en sus obligaciones tributarias, con la Seguridad Social y con la Comunidad Autónoma de Galicia.
d) Que dispone de la capacidad técnica y económica para prestar los servicios recogidos en el artículo 13 de la convocatoria, y que mantendrá esa capacidad durante toda la vigencia de la homologación.
e) Que acepta expresamente las obligaciones derivadas de su condición de entidad homologada, según lo dispuesto en el artículo 5 de esta convocatoria.
f) Que se compromete a facilitar presupuestos detallados a las empresas solicitantes en el plazo máximo de diez (10) días hábiles, con el objeto de dar cumplimiento a la obligación de solicitud de tres ofertas prevista en la Ley 9/2007, y conforme a lo establecido en esta convocatoria.
g). Que el personal técnico propuesto para cumplir con los requisitos establecidos en el artículo 4 de esta convocatoria forma parte de su plantilla o es socio/a-trabajador/a de la entidad, y que la prestación de los servicios se realizará con medios propios, sin recurrir a la subcontratación de las tareas esenciales definidas en el artículo 5, salvo autorización previa y expresa del Igape.
h) Que no concurre ninguna de las circunstancias previstas en el artículo 10.2 y 3 de la Ley 9/2007, de 13 de junio, de subvenciones de Galicia, y en su normativa de desarrollo.
i) Que no tiene pendiente el pago de obligaciones derivadas de resoluciones firmes de procedencia de reintegro emitidas por cualquier Administración pública.
Asimismo, se compromete a comunicar cualquier modificación en el equipo adscrito en el plazo máximo de diez (10) días hábiles, aportando la documentación acreditativa correspondiente.
3. La solicitud se presentará obligatoriamente por medios electrónicos, mediante el formulario normalizado (anexo I), generado exclusivamente a través de la aplicación informática de la oficina virtual del Igape, también accesible desde la sede electrónica de la Xunta de Galicia, https://sede.xunta.gal
De conformidad con el artículo 68.4 de la Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas, si alguna de las personas interesadas presenta su solicitud presencialmente, se le requerirá para que la enmiende a través de su presentación electrónica. A estos efectos, se considerará como fecha de presentación de la solicitud aquella en la que sea realizada la enmienda.
4. Para poder presentar la solicitud por medios electrónicos, las entidades solicitantes deberán reunir los siguientes requisitos:
a) Las solicitudes se suscribirán directamente por las personas interesadas o por persona que acredite su representación por cualquier medio válido en derecho.
b) Tener en vigor un certificado digital de los validados por la plataforma @firma de la Administración general del Estado (http://administracionelectronica.gob.es/PAe/aFirma-Anexo-PSC).
Una vez firmado el formulario de solicitud, mediante certificado digital, se procederá a la anotación de una entrada en el Registro Electrónico de la Xunta de Galicia. En el momento de la presentación el registro expedirá, empleando las características de la aplicación telemática, un recibo en el que quedará constancia del hecho de la presentación.
Artículo 8. Documentación complementaria
1. Las entidades solicitantes deberán aportar con la solicitud la siguiente documentación:
a) En el caso de entidades no inscritas en el Registro Mercantil, escritura o documento jurídicamente válido de constitución, estatutos debidamente inscritos en el registro competente, modificaciones posteriores de estos, y acreditación de la representación con la que se actúa, en el caso de no encontrarse inscritas en el Registro General de Apoderamientos de Galicia (REAG).
En el caso de sociedades inscritas en el Registro Mercantil, el Igape podrá solicitar, motivadamente, alguna o algunas de las escrituras referidas en el párrafo anterior cuando la información obtenida del Registro Mercantil no resulte suficiente para concluir sobre la personalidad de la sociedad o de su representación.
b) Documentación acreditativa de la solvencia técnica, según lo dispuesto en el artículo 4.3 de la convocatoria, incluyendo relación de servicios prestados y los correspondientes certificados, relación de servicios prestados y experiencia del equipo técnico y los correspondientes currículos y copia de las certificaciones vigentes de empresa o de miembros del equipo de trabajo. A estos efectos, el solicitante podrá emplear el modelo de cuadro resumen referido en el anexo III de esta convocatoria, además de la documentación acreditativa que sea necesaria en cada caso.
c) Documentación acreditativa de la solvencia económica y financiera, conforme a lo establecido en el artículo 4.4 de esta convocatoria, incluyendo las cuentas anuales.
d) A los efectos del artículo 4.2.b), en el caso de no disponer de un centro de trabajo operativo en Galicia, documentación que acredite la existencia de una base operativa o de un equipo técnico permanente en el territorio que garantice la prestación presencial de los servicios en un plazo máximo de 48 horas. Además, en todos los casos deberá presentarse una declaración responsable en la que la entidad se comprometa a mantener esta capacidad operativa durante toda la vigencia de la homologación.
2. De conformidad con el artículo 28.3 de la Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas, no será necesario aportar los documentos que ya fueron presentados anteriormente por la persona interesada ante cualquier Administración. En este caso, la persona interesada deberá indicar en qué momento y ante qué órgano administrativo presentó dichos documentos, que serán recabados electrónicamente a través de las redes corporativas o mediante consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto, excepto que conste en el procedimiento la oposición expresa de la persona interesada.
De forma excepcional, si no se pueden obtener los citados documentos, podrá solicitarse nuevamente a la persona interesada su aportación.
3. La documentación complementaria deberá presentarse electrónicamente.
Si alguna de las entidades presenta la documentación complementaria presencialmente, se le requerirá para que la enmiende a través de su presentación electrónica. A estos efectos, se considerará como fecha de presentación aquella en la que sea realizada la enmienda.
Las entidades interesadas se responsabilizarán de la veracidad de los documentos que presenten. Excepcionalmente, cuando la relevancia del documento en el procedimiento lo exija o existan dudas derivadas de la calidad de la copia, la Administración podrá solicitar de manera motivada el cotejo de las copias aportadas por la persona interesada, para lo cual podrán requerir la exhibición del documento o de la información original.
Artículo 9. Comprobación de datos
1. Para la tramitación de este procedimiento se consultarán automáticamente los datos incluidos en los siguientes documentos en poder de la Administración actuante o elaborados por las administraciones públicas, excepto que la persona interesada se oponga a su consulta:
a) DNI/NIE de la persona solicitante.
b) DNI/NIE de la persona representante.
c) NIF de la entidad solicitante.
d) NIF de la entidad representante.
e) Impuesto de actividades económicas (IAE).
f) Certificado de estar al corriente en las obligaciones tributarias con la AEAT.
g) Certificado de estar al corriente en el pago con la Seguridad Social.
h) Certificado de estar al corriente en el pago con la Consellería de Hacienda y Administración Pública.
i) Consulta de inhabilitaciones para obtener subvenciones y ayudas.
j) Documentación depositada en el Registro Mercantil, según el artículo 8.1.a) de las bases.
2. En caso de que las entidades interesadas se opongan a esta consulta, deberán indicarlo en la casilla correspondiente habilitada en el anexo I de solicitud y presentar los documentos.
Cuando así lo exija la normativa aplicable se solicitará el consentimiento expreso de la persona interesada para realizar la consulta.
3. Excepcionalmente, en caso de que alguna circunstancia imposibilite la obtención de los citados datos se podrá solicitar a las personas interesadas la presentación de los documentos correspondientes.
Artículo 10. Trámites administrativos posteriores a la presentación de la solicitud
Todos los trámites administrativos que las entidades interesadas deban realizar tras la presentación de la solicitud deberán ser realizados electrónicamente accediendo a la dirección de internet https://spiga-sede.igape.es
Artículo 11. Órganos competentes
El órgano competente para la instrucción del procedimiento de adhesión como entidad proveedora será el Área de Competitividad del Igape y la competencia para dictar la resolución, que ponga fin al procedimiento en la vía administrativa, le corresponde a la persona titular de la Dirección General del Igape, por delegación del Consejo de Dirección del Igape.
Artículo 12. Instrucción del procedimiento de homologación
1. Una vez recibidas las solicitudes, de conformidad con lo establecido en el artículo 68 de la Ley 39/2015, si la solicitud o el formulario no reúne alguno de los requisitos exigidos en esta convocatoria, se requerirá el interesado para que, en un plazo de diez días hábiles, enmiende la falta o aporte los documentos preceptivos. En este requerimiento se hará indicación expresa de que, si así no lo hiciera, se tendrá por desistido de su petición, después de la correspondiente resolución.
2. El órgano instructor comprobará el cumplimiento de los requisitos mínimos establecidos para la homologación de las entidades proveedoras, de acuerdo con lo establecido en el artículo 4 de esta convocatoria.
3. Una vez verificado que las solicitantes cumplen los requisitos mínimos establecidos en esta convocatoria, se elevará propuesta de homologación como entidad proveedora.
Artículo 13. Alcance funcional de los servicios a prestar por las entidades proveedoras homologadas
1. Las entidades que resulten homologadas al amparo de esta resolución deberán estar en condiciones de prestar, con plena capacidad técnica, los servicios recogidos en el marco del programa Empresa Cibersegura 2025, según los bloques de actuaciones definidos en las bases reguladoras de la convocatoria de ayudas.
2. En concreto, los servicios a prestar por parte de las entidades homologadas deberán incluir:
a) Diagnóstico inicial de ciberseguridad:
Realización de auditorías técnicas orientadas a la evaluación de la madurez digital y de los riesgos de ciberseguridad de la empresa beneficiaria, así como la elaboración de un informe técnico con recomendaciones y propuestas de mejora.
b) Prestación de itinerarios técnicos en modelo de servicio (12 meses):
Las entidades homologadas deberán estar en condiciones de ejecutar cualquiera de los siguientes itinerarios técnicos en función de la demanda de la empresa beneficiaria:
• Cloudificación IaaS (Infrastructure as a Service): actuaciones orientadas a la migración segura a entornos cloud, incluyendo la gestión del acceso a datos, la continuidad operativa, las copias de seguridad y el control de riesgos asociados.
• Securización ITaaS (Information Technology as a Service): implantación y operación de soluciones de seguridad TIC, como sistemas de detección y respuesta ante incidentes (SOC, EDR, MDR o equivalentes), monitorización y gestión de alertas.
• Securización OtaaS (Operational Technology as a Service): despliegue de soluciones de seguridad en entornos industriales, incluyendo redes OT, sistemas SCADA o PLC, y herramientas de visibilidad de activos y monitorización de tráfico en tiempo real.
c) Actuaciones complementarias de prestación única:
Las entidades homologadas deberán estar en condiciones de implementar, cuando así lo requiera la empresa beneficiaria, las siguientes actuaciones:
• Hacking ético: test de intrusión, análisis de vulnerabilidades e informes técnicos asociados.
• Concienciación y cultura en ciberseguridad: programas para la creación de una cultura empresarial en materia de ciberseguridad y campañas de sensibilización y concienciación (incluyendo simulaciones de phishing).
• Gobernanza y políticas de ciberseguridad: asistencia técnica en la implantación o revisión de SGSI, adaptación al ENS o a la Directiva NIS2, y elaboración de políticas y procedimientos internos.
• CISO as a Service (CISOaaS): asistencia técnica especializada para el acompañamiento estratégico continuo en materia de ciberseguridad. Incluye la definición y ejecución de la hoja de ruta en seguridad, apoyo a la dirección en la toma de decisiones, supervisión de la implantación de medidas técnicas y organizativas, cumplimiento normativo y coordinación con los proveedores tecnológicos y responsables internos.
3. La presentación de la solicitud de homologación implicará el compromiso expreso por parte de la entidad solicitante de estar en disposición de prestar todos los servicios descritos en este artículo durante la vigencia de la homologación, con independencia de la demanda concreta de las empresas beneficiarias. La entidad homologada deberá mantener la capacidad técnica necesaria para la prestación de estos servicios durante toda la vigencia de su inclusión en el catálogo de entidades homologadas.
Artículo 14. Resolución, publicación y notificaciones
El plazo máximo para que la persona titular de la Dirección General del Igape resuelva sobre las homologaciones de las entidades proveedoras es de dos meses desde la publicación de la convocatoria en el DOG. Pasado dicho plazo, las entidades proveedoras podrán entender desestimadas sus solicitudes por silencio administrativo.
La resolución será conjunta e indicará que solicitudes fueron rechazadas por no cumplir requisitos y los solicitantes que consiguen la condición de entidad proveedora homologada.
El anuncio de la publicación del texto completo de la resolución definitiva en la dirección https://spiga-sede.igape.es será objeto de publicación en el Diario Oficial de Galicia, de acuerdo con el artículo 45 de la Ley 39/2015.
Las notificaciones de las resoluciones y actos administrativos del procedimiento que no sean objeto de publicación se practicarán solo por medios electrónicos, en los términos previstos en la normativa reguladora del procedimiento administrativo común.
De conformidad con el artículo 45.2 de la Ley 4/2019, de 17 de julio, de administración digital de Galicia, las notificaciones electrónicas se practicarán a través del Sistema de notificación electrónica de Galicia-Notifica.gal. Este sistema remitirá a las personas interesadas avisos de la puesta a disposición de las notificaciones a la cuenta de correo y/o teléfono móvil que consten en la solicitud. Estos avisos no tendrán, en ningún caso, efectos de notificación practicada y su falta no impedirá que la notificación sea considerada plenamente válida.
De conformidad con el artículo 47 de la Ley 4/2019, de 17 de julio, de administración digital de Galicia, las personas interesadas deberán crear y mantener su dirección electrónica habilitada única a través del Sistema de notificación electrónica de Galicia-Notifica.gal, para todos los procedimientos administrativos tramitados por la Administración general y las entidades instrumentales del sector público autonómico. En todo caso, la Administración general y las entidades del sector público autonómico de Galicia podrán de oficio crear la indicada dirección, a los efectos de asegurar que las personas interesadas cumplan su obligación de relacionarse por medios electrónicos.
Las notificaciones por medios electrónicos se entenderán practicadas en el momento en el que se produzca el acceso a su contenido. Se entenderá rechazada cuando transcurrieran diez días naturales desde la puesta a disposición de la notificación sin que se acceda a su contenido.
Si el envío de la notificación electrónica no es posible por problemas técnicos, se practicará la notificación por los medios previstos en la normativa reguladora del procedimiento administrativo común.
Artículo 15. Catálogo de entidades homologadas y vigencia de la homologación
1. Las entidades que resulten homologadas al amparo de esta convocatoria serán incluidas en un catálogo público de entidades proveedoras homologadas del programa Empresa Cibersegura 2025, que será gestionado por el Igape y publicado en su página web (https://www.igape.gal/gl/entidades-homologadas-ciber).
2. Este catálogo tendrá como finalidad:
a) Identificar las entidades habilitadas para prestar servicios en el marco del programa.
b) Facilitar a las empresas beneficiarias la elección de un proveedor homologado, asegurando transparencia y concurrencia.
c) Permitir el seguimiento y control por parte del Igape y demás órganos competentes.
3. La homologación tendrá efectos desde la fecha de publicación de la resolución correspondiente y se mantendrá vigente durante todo el período de ejecución de la convocatoria, sin perjuicio de su revocación en los casos previstos en este artículo.
4. El Igape podrá establecer actualizaciones periódicas del catálogo mediante procedimientos de nueva homologación, con el objeto de incorporar nuevas entidades o revisar las condiciones de las ya inscritas.
5. La homologación podrá ser revocada en cualquier momento cuando se produzca alguno de los supuestos establecidos en el artículo 17 de esta convocatoria.
Artículo 16. Régimen de recursos
Las resoluciones dictadas al amparo de esta convocatoria pondrán fin a la vía administrativa y contra ellas podrán interponerse los siguientes recursos, sin perjuicio de que los interesados puedan ejercer cualquier otro que consideren procedente:
a) Potestativamente, recurso previo de reposición, que resolverá la persona titular de la Dirección General del Igape, por delegación del Consejo de Dirección del Igape, en el plazo de un mes desde el día siguiente al de su publicación, o en cualquier momento a partir del día siguiente a aquel en el que, de acuerdo con lo establecido en esta convocatoria, se produzca el acto presunto.
b) Recurso contencioso-administrativo, ante los juzgados de lo contencioso-administrativo de Santiago de Compostela, en el plazo de dos meses contados desde el día siguiente al de su publicación, o en el plazo de seis meses contados a partir del día siguiente a aquel en el que se produzca el acto presunto.
Artículo 17. Pérdida de la condición de entidad proveedora homologada
1. La condición de entidad proveedora homologada podrá ser revocada en cualquier momento por resolución del Igape, después de audiencia a la entidad interesada, cuando concurra alguno de los siguientes supuestos:
a) Incumplimiento grave o reiterado de las obligaciones establecidas en esta convocatoria o en la resolución de homologación.
b) Pérdida sobrevenida de los requisitos de solvencia técnica o económica que motivaron la homologación.
c) Detección de actuaciones contrarias a los principios de transparencia, concurrencia, igualdad o no discriminación.
d) Prestación deficiente de los servicios, verificada por medios técnicos o a través de quejas fundamentadas de empresas beneficiarias.
e) Mantener vínculos societarios o funcionales con empresas beneficiarias, que impidan garantizar la independencia y objetividad de la entidad homologada.
f) Falta de colaboración con los requerimientos del Igape o de otros órganos de control en el ejercicio de sus funciones de verificación, auditoría o seguimiento.
g) Incumplimiento de la obligación de facilitar gratuitamente presupuestos a las empresas interesadas, en los términos y plazos establecidos en el artículo 5 de esta convocatoria, cuando resulte aplicable.
Este supuesto podrá motivar la revocación directa en caso de negativa injustificada, o bien tras requerimiento previo en el caso de reiteración.
2. La revocación de la homologación implicará la baja inmediata en el catálogo de entidades proveedoras homologadas y la imposibilidad de suscribir nuevos acuerdos de prestación de servicios en el marco del programa. Asimismo, podrá suponer, si procede, la anulación de las actuaciones pendientes de ejecución o justificación.
3. La entidad podrá renunciar voluntariamente a su condición de homologada mediante comunicación expresa al Igape. Esta renuncia no eximirá del cumplimiento de las obigaciones derivadas de los acuerdos ya formalizados con la empresa beneficiaria.
Artículo 18. Transparencia y buen gobierno
1. Deberá darse cumplimiento a las obligaciones de transparencia contenidas en el artículo 17 de la Ley 1/2016, de 18 de enero, de transparencia y buen gobierno, y en el artículo 15 de la Ley 9/2007, de 13 de junio, de subvenciones de Galicia.
2. En virtud de lo dispuesto en el artículo 4 de la Ley 1/2016, de 18 de enero, de transparencia y buen gobierno, las personas físicas y jurídicas beneficiarias de subvenciones están obligadas a suministrar a la Administración, al organismo o a la entidad de las previstas en el artículo 3.1 de la Ley 1/2016, de 18 de enero, a la que se encuentren vinculadas, previo requerimiento, toda la información necesaria para que aquella cumpla las obligaciones previstas en el título I de la citada ley.
Artículo 19. Remisión normativa
Para todo lo no previsto en esta convocatoria se aplicará lo previsto en:
a) Ley 9/2007, de 13 de junio, de subvenciones de Galicia.
b) Decreto 11/2009, de 8 de enero, por el que se aprueba el Reglamento de la Ley 9/2007, de 13 de junio, de subvenciones de Galicia.
c) Ley 38/2003, de 17 de noviembre, general de subvenciones.
d) Real Decreto 887/2006, de 21 de julio, por el que se aprueba el Reglamento de la Ley 38/2003, de 17 de noviembre, general de subvenciones.
e) Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas.
f) Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.
g) Reglamento (UE) nº 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
h) El resto de la normativa que resulte de aplicación.
Artículo 20. Habilitación para el desarrollo
Se faculta a la persona titular de la Dirección del Área de Competitividad para que dicte, en el ámbito de sus competencias, las resoluciones, instrucciones, aclaraciones o interpretaciones necesarias para el desarrollo y cumplimiento de estas bases reguladoras.
Santiago de Compostela, 30 de julio de 2025
Covadonga Toca Carús
Directora general del Instituto Gallego de Promoción Económica
