A Consellería de Economía e Industria, a través do Instituto Galego de Promoción Económica (Igape), desenvolve diversas actuacións para fortalecer a competitividade do tecido empresarial galego mediante o fomento da innovación, a transformación dixital, a sustentabilidade e a mellora da capacidade operativa das empresas galegas.
A crecente dependencia das infraestruturas dixitais e a evolución das ameazas cibernéticas fan imprescindible que as empresas reforcen a súa capacidade de prevención, detección e resposta fronte a riscos dixitais. Neste contexto, a ciberseguridade convértese nun elemento esencial para garantir a continuidade operativa e a estabilidade do tecido económico, en liña co establecido no Plan estratéxico de Galicia 2022-2030 e coas recomendacións europeas en materia de seguridade da información.
Co obxectivo de apoiar a implantación de solucións técnicas especializadas e de facilitar o acceso das empresas galegas a servizos profesionais de calidade neste ámbito, o Igape ten previsto poñer en marcha o programa Empresa Cibersegura 2025, que recollerá a concesión de axudas directas para despregamento de medidas técnicas e organizativas específicas en materia de ciberseguridade, prestadas por entidades provedoras homologadas.
Esta resolución ten por finalidade establecer o procedemento de homologación das entidades prestadoras destes servizos, que serán as encargadas de executar as actuacións subvencionables, colaborar na xustificación técnica e facilitar o cumprimento dos requisitos do programa. Este procedemento permitirá garantir a solvencia técnica, a experiencia acreditada e a capacidade operativa dos provedores participantes, así como asegurar a calidade das actuacións financiadas.
Por todo o anterior,
RESOLVO:
Artigo 1. Obxecto
1. Esta resolución ten por obxecto regular o procedemento para a homologación, en concorrencia non competitiva, de entidades provedoras que desexen participar no programa Empresa Cibersegura 2025, prestando servizos especializados en materia de ciberseguridade ás empresas beneficiarias das axudas convocadas para o ano 2025 (código de procedemento IG408P).
2. As entidades que resulten homologadas poderán ser seleccionadas polas empresas beneficiarias para a execución das actuacións subvencionables definidas nas bases reguladoras da convocatoria de axudas e deberán cumprir as condicións técnicas, organizativas e administrativas establecidas nesta resolución.
3. A homologación terá como finalidade garantir a solvencia técnica e económica das entidades prestadoras dos servizos, así como a calidade, adecuación e seguridade das solucións implantadas, promovendo un ecosistema profesional de confianza no ámbito da ciberseguridade.
4. A inclusión no catálogo de entidades provedoras homologadas habilitará as entidades para subscribir acordos de prestación de servizos coas empresas beneficiarias e participar na execución, xustificación e control das actuacións financiadas ao abeiro do programa.
Artigo 2. Características do programa
1. O programa Empresa Cibersegura 2025 ten como finalidade mellorar a capacidade de defensa e continuidade no ámbito dixital das empresas mediante a implantación de medidas técnicas e organizativas de ciberseguridade adaptadas ás súas necesidades, que lles permitan mellorar a súa capacidade de prevención, detección e resposta fronte a riscos e ameazas no ámbito dixital.
2. As axudas que se concedan no marco deste programa destinaranse a financiar a prestación de servizos técnicos especializados en ciberseguridade, que abranguerán desde o diagnóstico inicial de situación ata a implantación de solucións funcionais e a concienciación do persoal. Estes servizos deberán aliñarse cos estándares e boas prácticas vixentes e poderán incluír a adaptación aos requisitos exixidos por normativas como a Directiva NIS2 ou o Esquema Nacional de Seguridade (ENS).
3. Os destinatarios destes servizos serán as empresas con domicilio social ou centro de traballo en Galicia, incluíndo persoas autónomas, que resulten beneficiarias das axudas convocadas no marco do programa.
4. Os servizos que presten as entidades provedoras homologadas poderán incluír, segundo as necesidades da empresa beneficiaria, actuacións de diagnóstico, planificación e implantación de solucións específicas de ciberseguridade. Estas actuacións poderán abranguer, entre outras:
• A realización de auditorías ou análises de riscos e vulnerabilidades.
• A definición e posta en marcha de plans de mellora da seguridade dixital.
• A implantación de solucións técnicas de protección, detección ou resposta ante incidentes en contornos TI e OT.
• A elaboración ou actualización de políticas de seguridade e protocolos internos.
• Accións orientadas á concienciación e sensibilización do persoal da empresa en materia de ciberseguridade.
Cada servizo deberá estar orientado a mellorar de forma efectiva o nivel de protección da empresa fronte a riscos dixitais, e deberá adaptarse ao seu contexto organizativo, sectorial e tecnolóxico.
5. A prestación destes servizos deberá ser realizada exclusivamente por entidades provedoras que resulten homologadas conforme o procedemento regulado nesta resolución, e que figuren no catálogo habilitado polo Igape para tal fin.
6. A través desta resolución establécense os requisitos, condicións e procedemento para a homologación das entidades provedoras que desexen prestar os servizos descritos ás empresas beneficiarias do programa. As entidades homologadas deberán estar en disposición de prestar os servizos descritos no artigo 13 durante a vixencia da súa homologación.
Artigo 3. Prazo de presentación de solicitudes
O prazo de presentación das solicitudes para homologarse como entidade provedora no ámbito da convocatoria de axudas comezará a contar o sexto día hábil posterior ao da publicación desta resolución no Diario Oficial de Galicia e será dun mes, contado desde as 9.00 horas do día de inicio do prazo e ata as 14.00 horas do día en que se cumpra o citado prazo dun mes.
Artigo 4. Requisitos das entidades provedoras homologadas
1. Poderán solicitar a súa homologación aquelas entidades con personalidade xurídica propia, legalmente constituídas, incluíndo as persoas traballadoras autónomas con persoal ao seu cargo, que acrediten capacidade técnica e solvencia económica para prestar servizos especializados en materia de ciberseguridade ás empresas galegas no marco do programa Empresa Cibersegura 2025.
2. As entidades solicitantes deberán cumprir os seguintes requisitos xerais:
a) Estar legalmente constituídas e dadas de alta na actividade correspondente na epígrafe do imposto de actividades económicas (IAE) que lles habilite para prestar servizos profesionais no ámbito da ciberseguridade, como os grupos 763, 845 ou equivalentes.
b) Dispor dun centro de traballo operativo en Galicia ou, alternativamente, acreditar unha base operativa ou un equipo técnico permanente que garanta a prestación presencial dos servizos ás empresas galegas nun prazo máximo de 48 horas durante toda a vixencia da homologación.
As entidades que non conten cun centro de traballo en Galicia deberán demostrar que dispoñen de medios humanos e materiais situados no territorio galego que permitan cumprir cos tempos de resposta establecidos. Esta capacidade poderá acreditarse mediante a existencia dunha oficina propia, dun equipo técnico despregado permanentemente en Galicia, ou mediante acordos contractuais que aseguren a súa dispoñibilidade efectiva. En todo caso, a entidade deberá comprometerse a manter esta capacidade durante o período de vixencia da homologación.
c) Estar ao día nas súas obrigas tributarias e fronte á Seguridade Social, así como non estar incursa en ningunha das causas de prohibición para contratar co sector público, nos termos establecidos na normativa vixente, como criterio de solvencia e integridade profesional para a participación no programa.
d) Non ter vínculo societario, económico ou funcional coas empresas solicitantes das axudas, nos termos establecidos no artigo 43.2 do Decreto 11/2009 ou no Regulamento (UE) nº 651/2014 no relativo a empresas asociadas ou vinculadas.
e) Non poderán obter a condición de entidade homologada aquelas en que concorra algunha das circunstancias previstas no artigo 10.2 e 3 da Lei 9/2007, do 13 de xuño, de subvencións de Galicia, e na súa normativa de desenvolvemento.
f) Non ter pendente o pagamento de obrigas derivadas de resolucións firmes de procedencia de reintegro emitidas por calquera Administración pública.
3. As entidades homologadas estarán exentas da constitución de garantía prevista no artigo 13.2.d) da Lei 9/2007, logo de autorización do Consello da Xunta nos termos previstos no artigo 72.2 do Decreto 11/2009, do 8 de xaneiro, polo que se aproba o Regulamento da Lei de subvencións de Galicia.
4. As entidades deberán acreditar a súa solvencia técnica, mediante a presentación de:
i) Documentación acreditativa da prestación de servizos realizados de igual ou similar natureza aos recollidos na convocatoria de axudas finalizados nos 3 anos anteriores á presentación da solicitude, por un importe acumulado mínimo de 250.000 €, IVE excluído. A relación debe incluír como máximo quince (15) referencias de servizos prestados que sumen no seu conxunto o citado importe mínimo. Para cada unha das referencias deberán indicarse, como mínimo, os seguintes datos:
• Descrición do servizo prestado e identificación do cliente destinatario.
• Importe do servizo (sen IVE).
• Número de factura ou contrato.
• Data de inicio e fin da prestación.
A acreditación da execución dos traballos realizarase do seguinte xeito:
• Se o destinatario é unha entidade do sector público: mediante certificado ou informe expedido ou visado polo órgano competente.
• Se o destinatario é unha entidade privada: mediante certificado do cliente ou, na súa falta, mediante declaración responsable da entidade solicitante acompañada da documentación acreditativa dispoñible (facturas, contratos, informes, etc.).
Non se admitirán referencias por importes agregados inferiores a 5.000 €, nin prestacións que non poidan considerarse directamente vinculadas cos servizos obxecto desta convocatoria.
ii) Relación do equipo de traballo proposto para a prestación dos servizos, indicando a experiencia profesional relevante en proxectos de ciberseguridade, conforme o obxecto definido nesta convocatoria. O equipo deberá incluír, como mínimo:
• 2 membros do equipo cunha experiencia superior a 2 anos en proxectos relacionados coa avaliación de riscos, implantación de solucións de seguridade e definición de políticas ou protocolos de ciberseguridade.
• 1 membro do equipo (adicional aos dous mencionados no punto anterior) cunha experiencia superior a 4 anos en proxectos relacionados coa avaliación de riscos, implantación de solucións de seguridade e definición de políticas ou protocolos de ciberseguridade.
A experiencia acreditarase mediante o curriculum vitae de cada membro do equipo de traballo que acredite funcións e duración dos proxectos indicados.
Adicionalmente, a vinculación dos traballadores coa empresa solicitante xustificarase do seguinte xeito:
• Para persoal contratado por conta allea: copia da relación nominal de traballadores (RNT/RLC) ou informe de traballadores en alta (ITA) correspondente ao mes anterior á presentación da solicitude.
• Para socios/as-traballadores/as ou administradores/as que formen parte do equipo: nota simple ou certificación do Rexistro Mercantil que acredite a participación societaria, xunto coa alta no Réxime Especial de Traballadores Autónomos (RETA) ou documento equivalente.
iii) Certificacións da empresa e/ou membros do equipo de traballo. A empresa solicitante deberá acreditar como mínimo unha das seguintes certificacións:
• Certificacións por parte dos membros do equipo de traballo como auditores ou implementadores líder ISO/IEC 27001.
• Certificacións por parte do equipo de traballo nas certificacións CIMS, CISSP ou CISA en ciberseguridade.
• Certificacións por parte do equipo de traballo nas certificacións OSCP, CEH, CompTIA Security+ en ciberseguridade.
• Certificacións da empresa en ISO/IEC 27001, ENS, ISO/IEC22301.
Deberá achegar copias das certificacións vixentes coa solicitude de homologación.
5. A entidade deberá acreditar, ademais, a súa solvencia económica e financeira:
Deberán acreditar dispoñer dun volume anual de negocio, referido ao mellor exercicio dos tres últimos exercicios pechados por un importe de como mínimo 250.000 €, IVE non incluído.
Acreditarase mediante a achega dalgún dos seguintes medios:
• Persoas xurídicas: contas anuais aprobadas e depositadas no Rexistro Mercantil, co xustificante de depósito, se o solicitante estivese inscrito no dito rexistro, e en caso contrario, polas depositadas no rexistro oficial en que deba estar inscrito.
• Persoas físicas: declaración do IRPF presentada ante a Axencia Tributaria.
6. As entidades provedoras deberán dispor dos medios tecnolóxicos precisos que garantan o acceso á utilización de medios electrónicos nas comunicacións co Igape a través da súa oficina virtual.
Artigo 5. Obrigas e compromisos das entidades provedoras homologadas
1. As entidades provedoras homologadas deberán cumprir, en todo momento, coas obrigas xerais derivadas da súa condición de entidade homologada, e coa normativa específica aplicable ao programa Empresa Cibersegura 2025. En particular, deberán:
a) Someterse ás actuacións de control, verificación e auditoría que realicen o Igape, a Intervención Xeral da Comunidade Autónoma, o Tribunal de Contas, o Consello de Contas ou calquera outro órgano competente.
b) Prestar os servizos comprometidos conforme o acordo subscrito coa empresa beneficiaria, dentro dos prazos establecidos e segundo as condicións aprobadas pola resolución de concesión da axuda.
c) Dispoñer dos recursos técnicos, humanos e materiais necesarios para a correcta execución dos servizos, garantindo a cualificación do persoal asignado.
d) Garantir que o custo do servizo facturado non é superior ao valor de mercado e que non existen diferenzas inxustificadas respecto doutras condicións comerciais ofrecidas a terceiros para solucións equivalentes.
e) Emitir a factura correspondente ao servizo prestado dentro dos prazos previstos, coa estrutura e contido exixidos polas bases reguladoras, incluíndo expresamente a desagregación entre:
a. A parte subvencionada polo Igape (75 % da base impoñible).
b. E a parte a cargo da empresa beneficiaria (25 % da base impoñible + total do IVE).
A entidade provedora non poderá condicionar a prestación do servizo ao pagamento anticipado do importe subvencionado.
f) Presentar a xustificación da axuda e colaborar coa empresa beneficiaria na preparación da xustificación técnica e documental da actuación subvencionada, achegando os informes, evidencias e certificacións requiridas, e conservando copia da documentación durante un prazo mínimo de 4 anos a partir do 31 de decembro do ano en que se presente a correspondente xustificación da actuación subvencionada.
g) Facilitar a información e documentación adicional que lles sexa requirida para a verificación técnica, económica e de resultados do programa.
h) Participar, se así se solicita, nas accións de difusión ou comunicación promovidas polo Igape, incluíndo a elaboración de casos de éxito, a visibilidade do programa nas súas canles dixitais e a colaboración en eventos divulgativos.
i) Cumprir coa normativa vixente en materia de protección de datos, accesibilidade, seguridade da información e demais regulacións sectoriais aplicables.
j) Incluír de forma visible na páxina web corporativa da entidade a súa condición de provedora homologada no marco do programa Empresa Cibersegura 2025, de acordo coas instrucións e requisitos de visibilidade establecidos no anexo II desta convocatoria, durante todo o período de vixencia da homologación.
k) Facilitarlles gratuitamente ás empresas solicitantes, cando así o requiran, un orzamento detallado, co obxecto de dar cumprimento á obriga de solicitar tres ofertas previstas na Lei 9/2007, de subvencións de Galicia, cando o importe do proxecto supere os límites establecidos para o contrato menor.
A entidade poderá xustificar ante o Igape a non emisión dun orzamento nos seguintes casos:
– Cando reciba un número elevado de solicitudes que impida razoablemente atender todas elas no prazo previsto.
– Cando a solicitude careza da información mínima necesaria para a súa elaboración.
– Cando se aprecie un uso reiterado, inxustificado ou abusivo deste servizo por parte da mesma empresa solicitante.
– Cando concorran outras circunstancias debidamente motivadas que imposibiliten ou desaconsellen a súa emisión.
As entidades homologadas comprométense a emitir os orzamentos de forma detallada, comparable e conforme os servizos definidos no artigo 13 desta convocatoria, no prazo máximo de dez (10) días hábiles desde a solicitude da empresa interesada.
Así mesmo, os orzamentos deberán recoller o importe total do servizo e a desagregación da parte subvencionable, para facilitar a tramitación da axuda.
l) A entidade provedora deberá adscribir aos servizos de ciberseguridade regulados nesta convocatoria o equipo mínimo definido no artigo 4, garantindo a súa dedicación efectiva durante toda a vixencia da homologación. Calquera substitución ou baixa deberá comunicárselle ao Igape no prazo máximo de dez (10) días hábiles, xunto coa documentación acreditativa da nova persoa incorporada, que deberá cumprir un nivel de experiencia igual ou superior ao exixido.
m) As tarefas esenciais da prestación do servizo deberán executarse exclusivamente polo persoal propio ou polos socios-traballadores adscritos pola entidade. Só poderá subcontratarse ata un 50 % do importe elixible de cada servizo, limitado a actividades auxiliares, e sempre mediante autorización previa e expresa do Igape. Para estes efectos, consideraranse tarefas esenciais as seguintes:
• Avaliación de riscos en ciberseguridade.
• Implantación de solucións de seguridade.
• Actividades de concienciación e sensibilización.
• Definición ou revisión de políticas e protocolos de ciberseguridade.
2. Non poderán ser beneficiarias das axudas concedidas no marco deste programa aquelas entidades que resulten homologadas como provedoras, nin aquelas empresas que teñan vinculación societaria ou funcional con elas, cos seus órganos de dirección ou coas persoas integrantes dos equipos de traballo. Para estes efectos, aplicarase o previsto no artigo 27.7 da Lei 9/2007 e no artigo 43.2 do Decreto 11/2009, así como os conceptos de empresas asociadas e vinculadas definidos no Regulamento (UE) nº nº 651/2014.
Artigo 6. Procedemento de control e seguimento das entidades homologadas
1. As entidades provedoras homologadas estarán suxeitas, durante toda a vixencia da súa homologación, a un procedemento de control e seguimento por parte do Igape, co obxectivo de verificar o cumprimento das obrigas asumidas, a calidade dos servizos prestados e a súa adecuación aos obxectivos do programa.
2. Este procedemento poderá incluír:
a) A solicitude de información técnica e administrativa relativa aos servizos prestados no marco do programa.
b) A realización de cuestionarios de avaliación ou visitas de seguimento.
c) A comprobación documental de acordos de prestación, xustificacións e relación cos beneficiarios.
d) O requirimento de medidas correctoras, nos casos en que se detecten desviacións ou incumprimentos parciais.
3. O incumprimento reiterado das obrigas de colaboración no marco deste procedemento poderá dar lugar á revogación da condición de entidade homologada, conforme o artigo 17 desta convocatoria.
Artigo 7. Forma e lugar de presentación das solicitudes
1. As entidades interesadas en obter a condición de provedoras homologadas deberán cubrir previamente un formulario electrónico descritivo das súas circunstancias e da tipoloxía de servizos que ofrecen, a través da aplicación establecida na oficina virtual do Igape (https://spiga-sede.igape.es). Deberán cubrir necesariamente todos os campos obrigatorios establecidos no formulario.
2. Nas solicitudes de axuda a persoa solicitante realizará as seguintes declaracións, que estarán incluídas no devandito formulario electrónico:
a) Que cumpre cos requisitos establecidos na convocatoria para obter a condición de entidade provedora homologada.
b) Que non está incursa en ningunha das causas de prohibición para contratar co sector público, segundo o artigo 27.7 da Lei 9/2007 e o artigo 43 do Decreto 11/2009.
c) Que está ao día nas súas obrigas tributarias, coa Seguridade Social e coa Comunidade Autónoma de Galicia.
d) Que dispón da capacidade técnica e económica para prestar os servizos recollidos no artigo 13 da convocatoria, e que manterá esa capacidade durante toda a vixencia da homologación.
e) Que acepta expresamente as obrigas derivadas da súa condición de entidade homologada, segundo o disposto no artigo 5 desta convocatoria.
f) Que se compromete a facilitar orzamentos detallados ás empresas solicitantes no prazo máximo de dez (10) días hábiles, co obxecto de dar cumprimento á obriga de solicitude de tres ofertas prevista na Lei 9/2007, e conforme o establecido nesta convocatoria.
g) Que o persoal técnico proposto para cumprir cos requisitos establecidos no artigo 4 desta convocatoria forma parte do seu cadro de persoal ou é socio/a-traballador/a da entidade, e que a prestación dos servizos se realizará con medios propios, sen recorrer á subcontratación das tarefas esenciais definidas no artigo 5, salvo autorización previa e expresa do Igape.
h) Que non concorre ningunha das circunstancias previstas no artigo 10.2 e 3 da Lei 9/2007, do 13 de xuño, de subvencións de Galicia, e na súa normativa de desenvolvemento.
i) Que non ten pendente o pagamento de obrigas derivadas de resolucións firmes de procedencia de reintegro emitidas por calquera Administración pública.
Así mesmo, comprométese a comunicar calquera modificación no equipo adscrito no prazo máximo de dez (10) días hábiles, achegando a documentación acreditativa correspondente.
3. A solicitude presentarase obrigatoriamente por medios electrónicos, mediante o formulario normalizado (anexo I), xerado exclusivamente a través da aplicación informática da oficina virtual do Igape, tamén accesible desde a sede electrónica da Xunta de Galicia, https://sede.xunta.gal
De conformidade co artigo 68.4 da Lei 39/2015, do 1 de outubro, do procedemento administrativo común das administracións públicas, se algunha das persoas interesadas presenta a súa solicitude presencialmente, requiriráselle para que a emende a través da súa presentación electrónica. Para estes efectos, considerarase como data de presentación da solicitude aquela en que sexa realizada a emenda.
4. Para poder presentar a solicitude por medios electrónicos, as entidades solicitantes deberán reunir os seguintes requisitos:
a) As solicitudes subscribiranse directamente polas persoas interesadas ou por persoa que acredite a súa representación por calquera medio válido en dereito.
b) Ter en vigor un certificado dixital dos validados pola plataforma @firma da Administración xeral do Estado (http://administracionelectronica.gob.es/PAe/aFirma-Anexo-PSC).
Unha vez asinado o formulario de solicitude, mediante certificado dixital, procederase á anotación dunha entrada no Rexistro Electrónico da Xunta de Galicia. No momento da presentación o rexistro expedirá, empregando as características da aplicación telemática, un recibo en que quedará constancia do feito da presentación.
Artigo 8. Documentación complementaria
1. As entidades solicitantes deberán achegar coa solicitude a seguinte documentación:
a) No caso de entidades non inscritas no Rexistro Mercantil, escritura ou documento xuridicamente válido de constitución, estatutos debidamente inscritos no rexistro competente, modificacións posteriores destes, e acreditación da representación con que se actúa, no caso de non atoparse inscritas no Rexistro Xeral de Apoderamentos de Galicia (REAG).
No caso de sociedades rexistradas no Rexistro Mercantil, o Igape poderá solicitar, motivadamente, algunha ou algunhas das escrituras referidas no parágrafo anterior cando a información obtida do Rexistro Mercantil non resulte suficiente para concluír sobre a personalidade da sociedade ou da súa representación.
b) Documentación acreditativa da solvencia técnica, segundo o disposto no artigo 4.3 da convocatoria, incluíndo relación de servizos prestados e os correspondentes certificados, relación de servizos prestados e experiencia do equipo técnico e os correspondentes currículos e copia das certificacións vixentes de empresa ou de membros do equipo de traballo. Para estes efectos, o solicitante poderá empregar o modelo de cadro resumo referido no anexo III desta convocatoria, ademais da documentación acreditativa que sexa necesaria en cada caso.
c) Documentación acreditativa da solvencia económica e financeira, conforme o establecido no artigo 4.4 desta convocatoria, incluíndo as contas anuais.
d) Para os efectos do artigo 4.2.b), no caso de non dispoñer dun centro de traballo operativo en Galicia, documentación que acredite a existencia dunha base operativa ou dun equipo técnico permanente no territorio que garanta a prestación presencial dos servizos nun prazo máximo de 48 horas. Ademais, en todos os casos deberá presentarse unha declaración responsable en que a entidade se comprometa a manter esta capacidade operativa durante toda a vixencia da homologación.
2. De conformidade co artigo 28.3 da Lei 39/2015, do 1 de outubro, do procedemento administrativo común das administracións públicas, non será necesario achegar os documentos que xa foron presentados anteriormente pola persoa interesada ante calquera Administración. Neste caso, a persoa interesada deberá indicar en que momento e ante que órgano administrativo presentou os ditos documentos, que serán recadados electronicamente a través das redes corporativas ou mediante consulta ás plataformas de intermediación de datos ou outros sistemas electrónicos habilitados para o efecto, agás que conste no procedemento a oposición expresa da persoa interesada.
De forma excepcional, se non se poden obter os citados documentos, poderá solicitarse novamente á persoa interesada a súa achega.
3. A documentación complementaria deberá presentarse electronicamente.
Se algunha das entidades presenta a documentación complementaria presencialmente, requiriráselle para que a emende a través da súa presentación electrónica. Para estes efectos, considerarase como data de presentación aquela en que sexa realizada a emenda.
As entidades interesadas responsabilizaranse da veracidade dos documentos que presenten. Excepcionalmente, cando a relevancia do documento no procedemento o exixa ou existan dúbidas derivadas da calidade da copia, a Administración poderá solicitar de maneira motivada o cotexo das copias achegadas pola persoa interesada, para o que poderán requirir a exhibición do documento ou da información orixinal.
Artigo 9. Comprobación de datos
1. Para a tramitación deste procedemento consultaranse automaticamente os datos incluídos nos seguintes documentos en poder da Administración actuante ou elaborados polas administracións públicas, agás que a persoa interesada se opoña á súa consulta:
a) DNI/NIE da persoa solicitante.
b) DNI/NIE da persoa representante.
c) NIF da entidade solicitante.
d) NIF da entidade representante.
e) Imposto de actividades económicas (IAE).
f) Certificado de estar ao día nas obrigas tributarias coa AEAT.
g) Certificado de estar ao día no pagamento coa Seguridade Social.
h) Certificado de estar ao día no pagamento coa Consellería de Facenda e Administración Pública.
i) Consulta de inhabilitacións para obter subvencións e axudas.
j) Documentación depositada no Rexistro Mercantil, segundo o artigo 8.1.a) das bases.
2. No caso de que as entidades interesadas se opoñan a esta consulta, deberán indicalo no recadro correspondente habilitado no anexo I de solicitude e presentar os documentos.
Cando así o exixa a normativa aplicable solicitarase o consentimento expreso da persoa interesada para realizar a consulta.
3. Excepcionalmente, no caso de que algunha circunstancia imposibilite a obtención dos citados datos poderase solicitar ás persoas interesadas a presentación dos documentos correspondentes.
Artigo 10. Trámites administrativos posteriores á presentación da solicitude
Todos os trámites administrativos que as entidades interesadas deban realizar logo da presentación da solicitude deberán ser realizados electronicamente accedendo ao enderezo da internet https://spiga-sede.igape.es
Artigo 11. Órganos competentes
O órgano competente para a instrución do procedemento de adhesión como entidade provedora será a Área de Competitividade do Igape e a competencia para ditar a resolución, que poña fin ao procedemento na vía administrativa, correspóndelle á persoa titular da Dirección Xeral do Igape, por delegación do Consello de Dirección do Igape.
Artigo 12. Instrución do procedemento de homologación
1. Unha vez recibidas as solicitudes, de conformidade co establecido no artigo 68 da Lei 39/2015, se a solicitude ou o formulario non reúne algún dos requisitos exixidos nesta convocatoria, requirirase o interesado para que, nun prazo de dez días hábiles, emende a falta ou achegue os documentos preceptivos. Neste requirimento farase indicación expresa de que, se así non o fixer, se terá por desistido da súa petición, logo da correspondente resolución.
2. O órgano instrutor comprobará o cumprimento dos requisitos mínimos establecidos para a homologación das entidades provedoras, de acordo co establecido no artigo 4 desta convocatoria.
3. Unha vez verificado que as solicitantes cumpren os requisitos mínimos establecidos nesta convocatoria, elevarase proposta de homologación como entidade provedora.
Artigo 13. Alcance funcional dos servizos que van prestar as entidades provedoras homologadas
1. As entidades que resulten homologadas ao abeiro desta resolución deberán estar en condicións de prestar, con plena capacidade técnica, os servizos recollidos no marco do programa Empresa Cibersegura 2025, segundo os bloques de actuacións definidos nas bases reguladoras da convocatoria de axudas.
2. En concreto, os servizos que van prestar as entidades homologadas deberán incluír:
a) Diagnóstico inicial de ciberseguridade:
Realización de auditorías técnicas orientadas á avaliación da madurez dixital e dos riscos de ciberseguridade da empresa beneficiaria, así como a elaboración dun informe técnico con recomendacións e propostas de mellora.
b) Prestación de itinerarios técnicos en modelo de servizo (12 meses):
As entidades homologadas deberán estar en condicións de executar calquera dos seguintes itinerarios técnicos en función da demanda da empresa beneficiaria:
• Cloudificación IaaS (Infrastructure as a Service): actuacións orientadas á migración segura a contornos cloud, incluíndo a xestión do acceso a datos, a continuidade operativa, as copias de seguridade e o control de riscos asociados.
• Securización ITaaS (Information Technology as a Service): implantación e operación de solucións de seguridade TIC, como sistemas de detección e resposta ante incidentes (SOC, EDR, MDR ou equivalentes), monitorización e xestión de alertas.
• Securización OtaaS (Operational Technology as a Service): despregamento de solucións de seguridade en contornos industriais, incluíndo redes OT, sistemas SCADA ou PLC, e ferramentas de visibilidade de activos e monitorización de tráfico en tempo real.
c) Actuacións complementarias de prestación única:
As entidades homologadas deberán estar en condicións de implementar, cando así o requira a empresa beneficiaria, as seguintes actuacións:
• Hacking ético: test de intrusión, análise de vulnerabilidades e informes técnicos asociados.
• Concienciación e cultura en ciberseguridade: programas para a creación dunha cultura empresarial en materia de ciberseguridade e campañas de sensibilización e concienciación (incluíndo simulacións de phishing).
• Gobernanza e políticas de ciberseguridade: asistencia técnica na implantación ou revisión de SGSI, adaptación ao ENS ou á Directiva NIS2, e elaboración de políticas e procedementos internos.
• CISO as a Service (CISOaaS): asistencia técnica especializada para o acompañamento estratéxico continuo en materia de ciberseguridade. Inclúe a definición e execución da folla de ruta en seguridade, apoio á dirección na toma de decisións, supervisión da implantación de medidas técnicas e organizativas, cumprimento normativo e coordinación cos provedores tecnolóxicos e responsables internos.
3. A presentación da solicitude de homologación implicará o compromiso expreso por parte da entidade solicitante de estar en disposición de prestar todos os servizos descritos neste artigo durante a vixencia da homologación, con independencia da demanda concreta das empresas beneficiarias. A entidade homologada deberá manter a capacidade técnica necesaria para a prestación destes servizos durante toda a vixencia da súa inclusión no catálogo de entidades homologadas.
Artigo 14. Resolución, publicación e notificacións
O prazo máximo para que a persoa titular da Dirección Xeral do Igape resolva sobre as homologacións das entidades provedoras é de dous meses desde a publicación da convocatoria no DOG. Pasado o devandito prazo, as entidades provedoras poderán entender desestimadas as súas solicitudes por silencio administrativo.
A resolución será conxunta e indicará que solicitudes foron rexeitadas por non cumprir requisitos e os solicitantes que acadan a condición de entidade provedora homologada.
O anuncio da publicación do texto completo da resolución definitiva no enderezo https://spiga-sede.igape.es será obxecto de publicación no Diario Oficial de Galicia, de acordo co artigo 45 da Lei 39/2015.
As notificacións das resolucións e actos administrativos do procedemento que non sexan obxecto de publicación efectuaranse só por medios electrónicos, nos termos previstos na normativa reguladora do procedemento administrativo común.
De conformidade co artigo 45.2 da Lei 4/2019, do 17 de xullo, de administración dixital de Galicia, as notificacións electrónicas efectuaranse a través do Sistema de notificación electrónica de Galicia-Notifica.gal. Este sistema remitirá ás persoas interesadas avisos da posta á disposición das notificacións á conta de correo e/ou teléfono móbil que consten na solicitude. Estes avisos non terán, en ningún caso, efectos de notificación efectuada e a súa falta non impedirá que a notificación sexa considerada plenamente válida.
De conformidade co artigo 47 da Lei 4/2019, do 17 de xullo, de administración dixital de Galicia, as persoas interesadas deberán crear e manter o seu enderezo electrónico habilitado único a través do Sistema de notificación electrónica de Galicia-Notifica.gal, para todos os procedementos administrativos tramitados pola Administración xeral e as entidades instrumentais do sector público autonómico. En todo caso, a Administración xeral e as entidades do sector público autonómico de Galicia poderán de oficio crear o indicado enderezo, para os efectos de asegurar que as persoas interesadas cumpran a súa obriga de relacionarse por medios electrónicos.
As notificacións por medios electrónicos entenderanse efectuadas no momento en que se produza o acceso ao seu contido. Entenderase rexeitada cando transcorresen dez días naturais desde a posta á disposición da notificación sen que se acceda ao seu contido.
Se o envío da notificación electrónica non é posible por problemas técnicos, efectuarase a notificación polos medios previstos na normativa reguladora do procedemento administrativo común.
Artigo 15. Catálogo de entidades homologadas e vixencia da homologación
1. As entidades que resulten homologadas ao abeiro desta convocatoria serán incluídas nun catálogo público de entidades provedoras homologadas do programa Empresa Cibersegura 2025, que será xestionado polo Igape e publicado na súa páxina web (https://www.igape.gal/gl/entidades-homologadas-ciber).
2. Este catálogo terá como finalidade:
a) Identificar as entidades habilitadas para prestar servizos no marco do programa.
b) Facilitar ás empresas beneficiarias a elección dun provedor homologado, asegurando transparencia e concorrencia.
c) Permitir o seguimento e control por parte do Igape e demais órganos competentes.
3. A homologación terá efectos desde a data de publicación da resolución correspondente e manterase vixente durante todo o período de execución da convocatoria, sen prexuízo da súa revogación nos casos previstos neste artigo.
4. O Igape poderá establecer actualizacións periódicas do catálogo mediante procedementos de nova homologación, co obxecto de incorporar novas entidades ou revisar as condicións das xa rexistradas.
5. A homologación poderá ser revogada en calquera momento cando se produza algún dos supostos establecidos no artigo 17 desta convocatoria.
Artigo 16. Réxime de recursos
As resolucións ditadas ao abeiro desta convocatoria porán fin á vía administrativa e contra elas poderán interporse os seguintes recursos, sen prexuízo de que os interesados poidan exercer calquera outro que consideren procedente:
a) Potestativamente, recurso previo de reposición, que resolverá a persoa titular da Dirección Xeral do Igape, por delegación do Consello de Dirección do Igape, no prazo dun mes desde o día seguinte ao da súa publicación, ou en calquera momento a partir do día seguinte a aquel en que, de acordo co establecido nesta convocatoria, se produza o acto presunto.
b) Recurso contencioso-administrativo, ante os xulgados do contencioso-administrativo de Santiago de Compostela, no prazo de dous meses contados desde o día seguinte ao da súa publicación, ou no prazo de seis meses contados a partir do día seguinte a aquel en que se produza o acto presunto.
Artigo 17. Perda da condición de entidade provedora homologada
1. A condición de entidade provedora homologada poderá ser revogada en calquera momento por resolución do Igape, logo de audiencia á entidade interesada, cando concorra algún dos seguintes supostos:
a) Incumprimento grave ou reiterado das obrigas establecidas nesta convocatoria ou na resolución de homologación.
b) Perda sobrevida dos requisitos de solvencia técnica ou económica que motivaron a homologación.
c) Detección de actuacións contrarias aos principios de transparencia, concorrencia, igualdade ou non discriminación.
d) Prestación deficiente dos servizos, verificada por medios técnicos ou a través de queixas fundamentadas de empresas beneficiarias.
e) Manter vínculos societarios ou funcionais con empresas beneficiarias, que impidan garantir a independencia e obxectividade da entidade homologada.
f) Falta de colaboración cos requirimentos do Igape ou doutros órganos de control no exercicio das súas funcións de verificación, auditoría ou seguimento.
g) Incumprimento da obriga de facilitar gratuitamente orzamentos ás empresas interesadas, nos termos e prazos establecidos no artigo 5 desta convocatoria, cando resulte aplicable.
Este suposto poderá motivar a revogación directa en caso de negativa inxustificada, ou ben logo de requirimento previo no caso de reiteración.
2. A revogación da homologación implicará a baixa inmediata no catálogo de entidades provedoras homologadas e a imposibilidade de subscribir novos acordos de prestación de servizos no marco do programa. Así mesmo, poderá supoñer, se procede, a anulación das actuacións pendentes de execución ou xustificación.
3. A entidade poderá renunciar voluntariamente á súa condición de homologada mediante comunicación expresa ao Igape. Esta renuncia non eximirá do cumprimento das obrigas derivadas dos acordos xa formalizados coa empresa beneficiaria.
Artigo 18. Transparencia e bo goberno
1. Deberá darse cumprimento ás obrigas de transparencia contidas no artigo 17 da Lei 1/2016, do 18 de xaneiro, de transparencia e bo goberno, e no artigo 15 da Lei 9/2007, do 13 de xuño, de subvencións de Galicia.
2. En virtude do disposto no artigo 4 da Lei 1/2016, do 18 de xaneiro, de transparencia e bo goberno, as persoas físicas e xurídicas beneficiarias de subvencións están obrigadas a subministrarlle á Administración, ao organismo ou á entidade das previstas no artigo 3.1 da Lei 1/2016, do 18 de xaneiro, a que se atopen vinculadas, logo de requirimento, toda a información necesaria para que aquela cumpra as obrigas previstas no título I da citada lei.
Artigo 19. Remisión normativa
Para todo o non previsto nesta convocatoria aplicarase o previsto en:
a) Lei 9/2007, do 13 de xuño, de subvencións de Galicia.
b) Decreto 11/2009, do 8 de xaneiro, polo que se aproba o Regulamento da Lei 9/2007, do 13 de xuño, de subvencións de Galicia.
c) Lei 38/2003, do 17 de novembro, xeral de subvencións.
d) Real decreto 887/2006, do 21 de xullo, polo que se aproba o Regulamento da Lei 38/2003, do 17 de novembro, xeral de subvencións.
e) Lei 39/2015, do 1 de outubro, do procedemento administrativo común das administracións públicas.
f) Lei orgánica 3/2018, de 5 de decembro, de protección de datos persoais e garantía dos dereitos dixitais.
g) Regulamento (UE) nº 2016/679 do Parlamento Europeo e do Consello, do 27 de abril de 2016, relativo á protección das persoas físicas no que respecta ao tratamento de datos persoais e á libre circulación destes datos e polo que se derroga a Directiva 95/46/CE (Regulamento xeral de protección de datos).
h) O resto da normativa que resulte de aplicación.
Artigo 20. Habilitación para o desenvolvemento
Facúltase a persoa titular da Dirección da Área de Competitividade para que dite, no ámbito das súas competencias, as resolucións, instrucións, aclaracións ou interpretacións necesarias para o desenvolvemento e cumprimento destas bases reguladoras.
Santiago de Compostela, 30 de xullo de 2025
Covadonga Toca Carús
Directora xeral do Instituto Galego de Promoción Económica
