A Conselharia de Economia e Indústria, através do Instituto Galego de Promoção Económica (Igape), desenvolve diversas actuações para fortalecer a competitividade do tecido empresarial galego mediante o fomento da inovação, a transformação digital, a sustentabilidade e a melhora da capacidade operativa das empresas galegas.
A crescente dependência das infra-estruturas digitais e a evolução das ameaças cibernéticas fã imprescindível que as empresas reforcem a sua capacidade de prevenção, detecção e resposta face a riscos digitais. Neste contexto, a ciberseguridade converte-se num elemento essencial para garantir a continuidade operativa e a estabilidade do tecido económico, em linha com o estabelecido no Plano estratégico da Galiza 2022-2030 e com as recomendações europeias em matéria de segurança da informação.
Com o objectivo de apoiar a implantação de soluções técnicas especializadas e de facilitar o acesso das empresas galegas a serviços profissionais de qualidade neste âmbito, o Igape tem previsto pôr em marcha o programa Empresa Cibersegura 2025, que recolherá a concessão de ajudas directas para despregamento de medidas técnicas e organizativo específicas em matéria de ciberseguridade, prestadas por entidades provedoras homologadas.
Esta resolução tem por finalidade estabelecer o procedimento de homologação das entidades prestadoras destes serviços, que serão as encarregadas de executar as actuações subvencionáveis, colaborar na justificação técnica e facilitar o cumprimento dos requisitos do programa. Este procedimento permitirá garantir a solvencia técnica, a experiência acreditada e a capacidade operativa dos provedores participantes, assim como assegurar a qualidade das actuações financiadas.
Por todo o anterior,
RESOLVO:
Artigo 1. Objecto
1. Esta resolução tem por objecto regular o procedimento para a homologação, em concorrência não competitiva, de entidades provedoras que desejem participar no programa Empresa Cibersegura 2025, prestando serviços especializados em matéria de ciberseguridade às empresas beneficiárias das ajudas convocadas para o ano 2025 (código de procedimento IG408P).
2. As entidades que resultem homologadas poderão ser seleccionadas pelas empresas beneficiárias para a execução das actuações subvencionáveis definidas nas bases reguladoras da convocação de ajudas e deverão cumprir as condições técnicas, organizativo e administrativas estabelecidas nesta resolução.
3. A homologação terá como finalidade garantir a solvencia técnica e económica das entidades prestadoras dos serviços, assim como a qualidade, adequação e segurança das soluções implantadas, promovendo um ecosistema profissional de confiança no âmbito da ciberseguridade.
4. A inclusão no catálogo de entidades provedoras homologadas habilitará as entidades para subscrever acordos de prestação de serviços com as empresas beneficiárias e participar na execução, justificação e controlo das actuações financiadas ao amparo do programa.
Artigo 2. Características do programa
1. O programa Empresa Cibersegura 2025 tem como finalidade melhorar a capacidade de defesa e continuidade no âmbito digital das empresas mediante a implantação de medidas técnicas e organizativo de ciberseguridade adaptadas às suas necessidades, que lhes permitam melhorar a sua capacidade de prevenção, detecção e resposta face a riscos e ameaças no âmbito digital.
2. As ajudas que se concedam no marco deste programa destinar-se-ão a financiar a prestação de serviços técnicos especializados em ciberseguridade, que abrangerão desde o diagnóstico inicial de situação até a implantação de soluções funcional e a conscienciação do pessoal. Estes serviços deverão aliñarse com os standard e boas práticas vigentes e poderão incluir a adaptação aos requisitos exixir por normativas como a Directiva NIS2 ou o Esquema Nacional de Segurança (ENS).
3. Os destinatarios destes serviços serão as empresas com domicílio social ou centro de trabalho na Galiza, incluindo pessoas autónomas, que resultem beneficiárias das ajudas convocadas no marco do programa.
4. Os serviços que prestem as entidades provedoras homologadas poderão incluir, segundo as necessidades da empresa beneficiária, actuações de diagnóstico, planeamento e implantação de soluções específicas de ciberseguridade. Estas actuações poderão abranger, entre outras:
• A realização de auditoria ou análises de riscos e vulnerabilidades.
• A definição e posta em marcha de planos de melhora da segurança digital.
• A implantação de soluções técnicas de protecção, detecção ou resposta ante incidentes em contornos TU e OT.
• A elaboração ou actualização de políticas de segurança e protocolos internos.
• Acções orientadas à conscienciação e sensibilização do pessoal da empresa em matéria de ciberseguridade.
Cada serviço deverá estar orientado a melhorar de forma efectiva o nível de protecção da empresa face a riscos digitais, e deverá adaptar-se ao seu contexto organizativo, sectorial e tecnológico.
5. A prestação destes serviços deverá ser realizada exclusivamente por entidades provedoras que resultem homologadas conforme o procedimento regulado nesta resolução, e que figurem no catálogo habilitado pelo Igape para tal fim.
6. Através desta resolução estabelecem-se os requisitos, condições e procedimento para a homologação das entidades provedoras que desejem prestar os serviços descritos às empresas beneficiárias do programa. As entidades homologadas deverão estar em disposição de prestar os serviços descritos no artigo 13 durante a vigência da sua homologação.
Artigo 3. Prazo de apresentação de solicitudes
O prazo de apresentação das solicitudes para homologarse como entidade provedora no âmbito da convocação de ajudas começará a contar o sexto dia hábil posterior ao da publicação desta resolução no Diário Oficial da Galiza e será de um mês, contado desde as 9.00 horas do dia de início do prazo e até as 14.00 horas do dia em que se cumpra o citado prazo de um mês.
Artigo 4. Requisitos das entidades provedoras homologadas
1. Poderão solicitar a sua homologação aquelas entidades com personalidade jurídica própria, legalmente constituídas, incluindo as pessoas trabalhadoras independentes com pessoal ao seu cargo, que acreditem capacidade técnica e solvencia económica para prestar serviços especializados em matéria de ciberseguridade às empresas galegas no marco do programa Empresa Cibersegura 2025.
2. As entidades solicitantes deverão cumprir os seguintes requisitos gerais:
a) Estar legalmente constituídas e dadas de alta na actividade correspondente na epígrafe do imposto de actividades económicas (IAE) que lhes habilite para prestar serviços profissionais no âmbito da ciberseguridade, como os grupos 763, 845 ou equivalentes.
b) Dispor de um centro de trabalho operativo na Galiza ou, alternativamente, acreditar uma base operativa ou uma equipa técnica permanente que garanta a prestação pressencial dos serviços às empresas galegas num prazo máximo de 48 horas durante toda a vigência da homologação.
As entidades que não contem com um centro de trabalho na Galiza deverão demonstrar que dispõem de meios humanos e materiais situados no território galego que permitam cumprir com os tempos de resposta estabelecidos. Esta capacidade poderá acreditar mediante a existência de um escritório próprio, de uma equipa técnica despregado permanentemente na Galiza, ou mediante acordos contratual que assegurem a sua disponibilidade efectiva. Em todo o caso, a entidade deverá comprometer-se a manter esta capacidade durante o período de vigência da homologação.
c) Estar ao dia nas suas obrigações tributárias e face à Segurança social, assim como não estar incursa em nenhuma das causas de proibição para contratar com o sector público, nos termos estabelecidos na normativa vigente, como critério de solvencia e integridade profissional para a participação no programa.
d) Não ter vínculo societario, económico ou funcional com as empresas solicitantes das ajudas, nos termos estabelecidos no artigo 43.2 do Decreto 11/2009 ou no Regulamento (UE) nº 651/2014 no relativo a empresas associadas ou vinculadas.
e) Não poderão obter a condição de entidade homologada aquelas em que concorra alguma das circunstâncias previstas no artigo 10.2 e 3 da Lei 9/2007, de 13 de junho, de subvenções da Galiza, e na sua normativa de desenvolvimento.
f) Não ter pendente o pagamento de obrigações derivadas de resoluções firmes de procedência de reintegro emitidas por qualquer Administração pública.
3. As entidades homologadas estarão exentas da constituição de garantia prevista no artigo 13.2.d) da Lei 9/2007, depois de autorização do Conselho da Xunta nos termos previstos no artigo 72.2 do Decreto 11/2009, de 8 de janeiro, pelo que se aprova o Regulamento da Lei de subvenções da Galiza.
4. As entidades deverão acreditar a sua solvencia técnica, mediante a apresentação de:
i) Documentação acreditador da prestação de serviços realizados de igual ou similar natureza aos recolhidos na convocação de ajudas finalizados em 3 anos anteriores à apresentação da solicitude, por um montante acumulado mínimo de 250.000 €, IVE excluído. A relação deve incluir no máximo quinze (15) referências de serviços prestados que somem no seu conjunto o citado montante mínimo. Para cada uma das referências deverão indicar-se, no mínimo, os seguintes dados:
• Descrição do serviço prestado e identificação do cliente destinatario.
• Montante do serviço (sem IVE).
• Número de factura ou contrato.
• Data de início e fim da prestação.
A acreditação da execução dos trabalhos realizar-se-á do seguinte modo:
• Se o destinatario é uma entidade do sector público: mediante certificado ou relatório expedido ou visto pelo órgão competente.
• Se o destinatario é uma entidade privada: mediante certificado do cliente ou, na sua falta, mediante declaração responsável da entidade solicitante acompanhada da documentação acreditador disponível (facturas, contratos, relatórios, etc.).
Não se admitirão referências por montantes agregados inferiores a 5.000 €, nem prestações que não possam considerar-se directamente vinculadas com os serviços objecto desta convocação.
ii) Relação da equipa de trabalho proposto para a prestação dos serviços, indicando a experiência profissional relevante em projectos de ciberseguridade, conforme o objecto definido nesta convocação. A equipa deverá incluir, no mínimo:
• 2 membros da equipa com uma experiência superior a 2 anos em projectos relacionados com a avaliação de riscos, implantação de soluções de segurança e definição de políticas ou protocolos de ciberseguridade.
• 1 membro da equipa (adicional aos dois mencionados no ponto anterior) com uma experiência superior a 4 anos em projectos relacionados com a avaliação de riscos, implantação de soluções de segurança e definição de políticas ou protocolos de ciberseguridade.
A experiência acreditar-se-á mediante o curriculum vitae de cada membro da equipa de trabalho que acredite funções e duração dos projectos indicados.
Adicionalmente, a vinculação dos trabalhadores com a empresa solicitante justificar-se-á do seguinte modo:
• Para pessoal contratado por conta alheia: cópia da relação nominal de trabalhadores (RNT/RLC) ou relatório de trabalhadores em alta (ITA) correspondente ao mês anterior à apresentação da solicitude.
• Para sócios/as-trabalhadores/as ou administrador/as que façam parte da equipa: nota simples ou certificação do Registro Mercantil que acredite a participação societaria, junto com a alta no Regime Especial de Trabalhadores independentes (RETA) ou documento equivalente.
iii) Certificações da empresa e/ou membros da equipa de trabalho. A empresa solicitante deverá acreditar no mínimo uma das seguintes certificações:
• Certificações por parte dos membros da equipa de trabalho como auditor ou implementadores líder ISSO/IEC 27001.
• Certificações por parte da equipa de trabalho nas certificações CIMS, CISSP ou CISA em ciberseguridade.
• Certificações por parte da equipa de trabalho nas certificações OSCP, CEH, CompTIA Security+ em ciberseguridade.
• Certificações da empresa nisso/IEC 27001, ENS, ISSO/IEC22301.
Deverá achegar cópias das certificações vigentes com a solicitude de homologação.
5. A entidade deverá acreditar, ademais, a sua solvencia económica e financeira:
Deverão acreditar dispor de um volume anual de negócio, referido ao melhor exercício dos três últimos exercícios fechados por um montante de no mínimo 250.000 €, IVE não incluído.
Acreditar-se-á mediante a achega de algum dos seguintes meios:
• Pessoas jurídicas: contas anuais aprovadas e depositadas no Registro Mercantil, com o comprovativo de depósito, se o solicitante estivesse inscrito no dito registro, e caso contrário, pelas depositadas no registro oficial em que deva estar inscrito.
• Pessoas físicas: declaração do IRPF apresentada ante a Agência Tributária.
6. As entidades provedoras deverão dispor dos meios tecnológicos precisos que garantam o acesso à utilização de meios electrónicos nas comunicações com o Igape através da seu escritório virtual.
Artigo 5. Obrigações e compromissos das entidades provedoras homologadas
1. As entidades provedoras homologadas deverão cumprir, em todo momento, com as obrigações gerais derivadas da sua condição de entidade homologada, e com a normativa específica aplicável ao programa Empresa Cibersegura 2025. Em particular, deverão:
a) Submeter às actuações de controlo, verificação e auditoria que realizem o Igape, a Intervenção Geral da Comunidade Autónoma, o Tribunal de Contas, o Conselho de Contas ou qualquer outro órgão competente.
b) Prestar os serviços comprometidos conforme o acordo subscrito com a empresa beneficiária, dentro dos prazos estabelecidos e segundo as condições aprovadas pela resolução de concessão da ajuda.
c) Dispor dos recursos técnicos, humanos e materiais necessários para a correcta execução dos serviços, garantindo a qualificação do pessoal atribuído.
d) Garantir que o custo do serviço facturado não é superior ao valor de mercado e que não existem diferenças injustificar respeito de outras condições comerciais oferecidas a terceiros para soluções equivalentes.
e) Emitir a factura correspondente ao serviço prestado dentro dos prazos previstos, com a estrutura e conteúdo exixir pelas bases reguladoras, incluindo expressamente a desagregação entre:
a. A parte subvencionada pelo Igape (75 % da base impoñible).
b. E a parte a cargo da empresa beneficiária (25 % da base impoñible + total do IVE).
A entidade provedora não poderá condicionar a prestação do serviço ao pagamento antecipado do montante subvencionado.
f) Apresentar a justificação da ajuda e colaborar com a empresa beneficiária na preparação da justificação técnica e documentário da actuação subvencionada, achegando os relatórios, evidências e certificações requeridas, e conservando cópia da documentação durante um prazo mínimo de 4 anos a partir de 31 de dezembro do ano em que se apresente a correspondente justificação da actuação subvencionada.
g) Facilitar a informação e documentação adicional que lhes seja requerida para a verificação técnica, económica e de resultados do programa.
h) Participar, se assim se solicita, nas acções de difusão ou comunicação promovidas pelo Igape, incluindo a elaboração de casos de sucesso, a visibilidade do programa nos seus canais digitais e a colaboração em eventos divulgadores.
i) Cumprir com a normativa vigente em matéria de protecção de dados, acessibilidade, segurança da informação e demais regulações sectoriais aplicável.
j) Incluir de forma visível na página web corporativa da entidade a sua condição de provedora homologada no marco do programa Empresa Cibersegura 2025, de acordo com as instruções e requisitos de visibilidade estabelecidos no anexo II desta convocação, durante todo o período de vigência da homologação.
k) Facilitar-lhes gratuitamente às empresas solicitantes, quando assim o requeiram, um orçamento detalhado, com o objecto de dar cumprimento à obrigação de solicitar três ofertas previstas na Lei 9/2007, de subvenções da Galiza, quando o montante do projecto supere os limites estabelecidos para o contrato menor.
A entidade poderá justificar ante o Igape a não emissão de um orçamento nos seguintes casos:
– Quando receba um número elevado de solicitudes que impeça razoavelmente atender todas elas no prazo previsto.
– Quando a solicitude careça da informação mínima necessária para a sua elaboração.
– Quando se aprecie um uso reiterado, injustificar ou abusivo deste serviço por parte da mesma empresa solicitante.
– Quando concorram outras circunstâncias devidamente motivadas que impossibilitar ou desaconselhem a sua emissão.
As entidades homologadas comprometem-se a emitir os orçamentos de forma detalhada, comparable e conforme os serviços definidos no artigo 13 desta convocação, no prazo máximo de dez (10) dias hábeis desde a solicitude da empresa interessada.
Além disso, os orçamentos deverão recolher o montante total do serviço e a desagregação da parte subvencionável, para facilitar a tramitação da ajuda.
l) A entidade provedora deverá adscrever aos serviços de ciberseguridade regulados nesta convocação a equipa mínima definida no artigo 4, garantindo a sua dedicação efectiva durante toda a vigência da homologação. Qualquer substituição ou baixa deverá comunicar-se-lhe ao Igape no prazo máximo de dez (10) dias hábeis, junto com a documentação acreditador da nova pessoa incorporada, que deverá cumprir um nível de experiência igual ou superior ao exixir.
m) As tarefas essenciais da prestação do serviço deverão executar-se exclusivamente pelo pessoal próprio ou pelos sócios-trabalhadores adscritos pela entidade. Só poderá subcontratarse até um 50 % do importe elixible de cada serviço, limitado a actividades auxiliares, e sempre mediante autorização prévia e expressa do Igape. Para estes efeitos, considerar-se-ão tarefas essenciais as seguintes:
• Avaliação de riscos em ciberseguridade.
• Implantação de soluções de segurança.
• Actividades de conscienciação e sensibilização.
• Definição ou revisão de políticas e protocolos de ciberseguridade.
2. Não poderão ser beneficiárias das ajudas concedidas no marco deste programa aquelas entidades que resultem homologadas como provedoras, nem aquelas empresas que tenham vinculação societaria ou funcional com elas, com os seus órgãos de direcção ou com as pessoas integrantes das equipas de trabalho. Para estes efeitos, aplicar-se-á o previsto no artigo 27.7 da Lei 9/2007 e no artigo 43.2 do Decreto 11/2009, assim como os conceitos de empresas associadas e vinculadas definidos no Regulamento (UE) nº nº 651/2014.
Artigo 6. Procedimento de controlo e seguimento das entidades homologadas
1. As entidades provedoras homologadas estarão sujeitas, durante toda a vigência da sua homologação, a um procedimento de controlo e seguimento por parte do Igape, com o objectivo de verificar o cumprimento das obrigações assumidas, a qualidade dos serviços prestados e a sua adequação aos objectivos do programa.
2. Este procedimento poderá incluir:
a) A solicitude de informação técnica e administrativa relativa aos serviços prestados no marco do programa.
b) A realização de cuestionarios de avaliação ou visitas de seguimento.
c) A comprovação documentário de acordos de prestação, justificações e relação com os beneficiários.
d) O requerimento de medidas correctoras, nos casos em que se detectem deviações ou não cumprimentos parciais.
3. O não cumprimento reiterado das obrigações de colaboração no marco deste procedimento poderá dar lugar à revogação da condição de entidade homologada, conforme o artigo 17 desta convocação.
Artigo 7. Forma e lugar de apresentação das solicitudes
1. As entidades interessadas em obter a condição de provedoras homologadas deverão cobrir previamente um formulario electrónico descritivo das suas circunstâncias e da tipoloxía de serviços que oferecem, através da aplicação estabelecida no escritório virtual do Igape (https://spiga-sede.igape.és). Deverão cobrir necessariamente todos os campos obrigatórios estabelecidos no formulario.
2. Nas solicitudes de ajuda a pessoa solicitante realizará as seguintes declarações, que estarão incluídas no supracitado formulario electrónico:
a) Que cumpre com os requisitos estabelecidos na convocação para obter a condição de entidade provedora homologada.
b) Que não está incursa em nenhuma das causas de proibição para contratar com o sector público, segundo o artigo 27.7 da Lei 9/2007 e o artigo 43 do Decreto 11/2009.
c) Que está ao dia nas suas obrigações tributárias, com a Segurança social e com a Comunidade Autónoma da Galiza.
d) Que dispõe da capacidade técnica e económica para prestar os serviços recolhidos no artigo 13 da convocação, e que manterá essa capacidade durante toda a vigência da homologação.
e) Que aceita expressamente as obrigações derivadas da sua condição de entidade homologada, segundo o disposto no artigo 5 desta convocação.
f) Que se compromete a facilitar orçamentos detalhados às empresas solicitantes no prazo máximo de dez (10) dias hábeis, com o objecto de dar cumprimento à obrigação de solicitude de três ofertas prevista na Lei 9/2007, e conforme o estabelecido nesta convocação.
g) Que o pessoal técnico proposto para cumprir com os requisitos estabelecidos no artigo 4 desta convocação faz parte do seu quadro de pessoal ou é sócio/a-trabalhador/a da entidade, e que a prestação dos serviços se realizará com meios próprios, sem recorrer à subcontratación das tarefas essenciais definidas no artigo 5, salvo autorização prévia e expressa do Igape.
h) Que não concorre nenhuma das circunstâncias previstas no artigo 10.2 e 3 da Lei 9/2007, de 13 de junho, de subvenções da Galiza, e na sua normativa de desenvolvimento.
i) Que não tem pendente o pagamento de obrigações derivadas de resoluções firmes de procedência de reintegro emitidas por qualquer Administração pública.
Além disso, compromete-se a comunicar qualquer modificação na equipa adscrita no prazo máximo de dez (10) dias hábeis, achegando a documentação acreditador correspondente.
3. A solicitude apresentar-se-á obrigatoriamente por meios electrónicos, mediante o formulario normalizado (anexo I), gerado exclusivamente através da aplicação informática do escritório virtual do Igape, também acessível desde a sede electrónica da Xunta de Galicia, https://sede.junta.gal
De conformidade com o artigo 68.4 da Lei 39/2015, de 1 de outubro, do procedimento administrativo comum das administrações públicas, se alguma das pessoas interessadas apresenta a sua solicitude presencialmente, requerer-se-lhe-á para que a emende através da sua apresentação electrónica. Para estes efeitos, considerar-se-á como data de apresentação da solicitude aquela em que seja realizada a emenda.
4. Para poder apresentar a solicitude por meios electrónicos, as entidades solicitantes deverão reunir os seguintes requisitos:
a) As solicitudes subscrever-se-ão directamente pelas pessoas interessadas ou por pessoa que acredite a sua representação por qualquer meio válido em direito.
b) Ter em vigor um certificado digital dos validar pela plataforma @firma da Administração geral do Estado (http://administracionelectronica.gob.és/PAe/afirma Anexo-PSC).
Uma vez assinado o formulario de solicitude, mediante certificado digital, procederá à anotação de uma entrada no Registro Electrónico da Xunta de Galicia. No momento da apresentação o registro expedirá, empregando as características da aplicação telemático, um recebo em que ficará constância do feito da apresentação.
Artigo 8. Documentação complementar
1. As entidades solicitantes deverão achegar com a solicitude a seguinte documentação:
a) No caso de entidades não inscritas no Registro Mercantil, escrita ou documento juridicamente válido de constituição, estatutos devidamente inscritos no registro competente, modificações posteriores destes, e acreditação da representação com que se actua, no caso de não encontrar-se inscritas no Registro Geral de Empoderaento da Galiza (REAG).
No caso de sociedades registadas no Registro Mercantil, o Igape poderá solicitar, motivadamente, alguma ou algumas das escritas referidas no parágrafo anterior quando a informação obtida do Registro Mercantil não resulte suficiente para concluir sobre a personalidade da sociedade ou da sua representação.
b) Documentação acreditador da solvencia técnica, segundo o disposto no artigo 4.3 da convocação, incluindo relação de serviços prestados e os correspondentes certificados, relação de serviços prestados e experiência da equipa técnica e os correspondentes currículos e cópia das certificações vigentes de empresa ou de membros da equipa de trabalho. Para estes efeitos, o solicitante poderá empregar o modelo de quadro resumo referido no anexo III desta convocação, ademais da documentação acreditador que seja necessária em cada caso.
c) Documentação acreditador da solvencia económica e financeira, conforme o estabelecido no artigo 4.4 desta convocação, incluindo as contas anuais.
d) Para os efeitos do artigo 4.2.b), no caso de não dispor de um centro de trabalho operativo na Galiza, documentação que acredite a existência de uma base operativa ou de uma equipa técnica permanente no território que garanta a prestação pressencial dos serviços num prazo máximo de 48 horas. Ademais, em todos os casos deverá apresentar-se uma declaração responsável em que a entidade se comprometa a manter esta capacidade operativa durante toda a vigência da homologação.
2. De conformidade com o artigo 28.3 da Lei 39/2015, de 1 de outubro, do procedimento administrativo comum das administrações públicas, não será necessário achegar os documentos que já foram apresentados anteriormente pela pessoa interessada ante qualquer Administração. Neste caso, a pessoa interessada deverá indicar em que momento e ante que órgão administrativo apresentou os ditos documentos, que serão arrecadados electronicamente através das redes corporativas ou mediante consulta às plataformas de intermediación de dados ou outros sistemas electrónicos habilitados para o efeito, excepto que conste no procedimento a oposição expressa da pessoa interessada.
De forma excepcional, se não se podem obter os citados documentos, poderá solicitar-se novamente à pessoa interessada a sua achega.
3. A documentação complementar deverá apresentar-se electronicamente.
Se alguma das entidades apresenta a documentação complementar presencialmente, requerer-se-lhe-á para que a emende através da sua apresentação electrónica. Para estes efeitos, considerar-se-á como data de apresentação aquela em que seja realizada a emenda.
As entidades interessadas responsabilizarão da veracidade dos documentos que apresentem. Excepcionalmente, quando a relevo do documento no procedimento o exixir ou existam dúvidas derivadas da qualidade da cópia, a Administração poderá solicitar de maneira motivada o cotexo das cópias achegadas pela pessoa interessada, para o que poderão requerer a exibição do documento ou da informação original.
Artigo 9. Comprovação de dados
1. Para a tramitação deste procedimento consultar-se-ão automaticamente os dados incluídos nos seguintes documentos em poder da Administração actuante ou elaborados pelas administrações públicas, excepto que a pessoa interessada se oponha à sua consulta:
a) DNI/NIE da pessoa solicitante.
b) DNI/NIE da pessoa representante.
c) NIF da entidade solicitante.
d) NIF da entidade representante.
e) Imposto de actividades económicas (IAE).
f) Certificar de estar ao dia nas obrigações tributárias com a AEAT.
g) Certificar de estar ao dia no pagamento com a Segurança social.
h) Certificar de estar ao dia no pagamento com a Conselharia de Fazenda e Administração Pública.
i) Consulta de inabilitações para obter subvenções e ajudas.
j) Documentação depositada no Registro Mercantil, segundo o artigo 8.1.a) das bases.
2. Em caso que as entidades interessadas se oponham a esta consulta, deverão indicá-lo no recadro correspondente habilitado no anexo I de solicitude e apresentar os documentos.
Quando assim o exixir a normativa aplicável solicitar-se-á o consentimento expresso da pessoa interessada para realizar a consulta.
3. Excepcionalmente, em caso que alguma circunstância impossibilitar a obtenção dos citados dados poder-se-á solicitar às pessoas interessadas a apresentação dos documentos correspondentes.
Artigo 10. Trâmites administrativos posteriores à apresentação da solicitude
Todos os trâmites administrativos que as entidades interessadas devam realizar depois da apresentação da solicitude deverão ser realizados electronicamente acedendo ao endereço da internet https://spiga-sede.igape.és
Artigo 11. Órgãos competente
O órgão competente para a instrução do procedimento de adesão como entidade provedora será a Área de Competitividade do Igape e a competência para ditar a resolução, que ponha fim ao procedimento na via administrativa, corresponde à pessoa titular da Direcção-Geral do Igape, por delegação do Conselho de Direcção do Igape.
Artigo 12. Instrução do procedimento de homologação
1. Uma vez recebidas as solicitudes, de conformidade com o estabelecido no artigo 68 da Lei 39/2015, se a solicitude ou o formulario não reúne algum dos requisitos exixir nesta convocação, requerer-se-á o interessado para que, num prazo de dez dias hábeis, emende a falta ou achegue os documentos preceptivos. Neste requerimento fá-se-á indicação expressa de que, se assim não o fizer, se terá por desistido da seu pedido, depois da correspondente resolução.
2. O órgão instrutor comprovará o cumprimento dos requisitos mínimos estabelecidos para a homologação das entidades provedoras, de acordo com o estabelecido no artigo 4 desta convocação.
3. Uma vez verificado que as solicitantes cumprem os requisitos mínimos estabelecidos nesta convocação, elevar-se-á proposta de homologação como entidade provedora.
Artigo 13. Alcance funcional dos serviços que vão prestar as entidades provedoras homologadas
1. As entidades que resultem homologadas ao amparo desta resolução deverão estar em condições de prestar, com plena capacidade técnica, os serviços recolhidos no marco do programa Empresa Cibersegura 2025, segundo os blocos de actuações definidos nas bases reguladoras da convocação de ajudas.
2. Em concreto, os serviços que vão prestar as entidades homologadas deverão incluir:
a) Diagnóstico inicial de ciberseguridade:
Realização de auditoria técnicas orientadas à avaliação da madurez digital e dos riscos de ciberseguridade da empresa beneficiária, assim como a elaboração de um relatório técnico com recomendações e propostas de melhora.
b) Prestação de itinerarios técnicos em modelo de serviço (12 meses):
As entidades homologadas deverão estar em condições de executar quaisquer dos seguintes itinerarios técnicos em função da demanda da empresa beneficiária:
• Cloudificación IaaS (Infrastructure as a Service): actuações orientadas à migração segura a contornos cloud, incluindo a gestão do acesso a dados, a continuidade operativa, as cópias de segurança e o controlo de riscos associados.
• Securización ITaaS (Information Technology as a Service): implantação e operação de soluções de segurança TIC, como sistemas de detecção e resposta ante incidentes (SOC, EDR, MDR ou equivalentes), monitorização e gestão de alertas.
• Securización OtaaS (Operational Technology as a Service): despregamento de soluções de segurança em contornos industriais, incluindo redes OT, sistemas SCADA ou PLC, e ferramentas de visibilidade de activos e monitorização de trânsito em tempo real.
c) Actuações complementares de prestação única:
As entidades homologadas deverão estar em condições de implementar, quando assim o requeira a empresa beneficiária, as seguintes actuações:
• Hacking ético: teste de intrusión, análise de vulnerabilidades e relatórios técnicos associados.
• Conscienciação e cultura em ciberseguridade: programas para a criação de uma cultura empresarial em matéria de ciberseguridade e campanhas de sensibilização e conscienciação (incluindo simulações de phishing ).
• Gobernanza e políticas de ciberseguridade: assistência técnica na implantação ou revisão de SGSI, adaptação ao ENS ou à Directiva NIS2, e elaboração de políticas e procedimentos internos.
• CISO as a Service (CISOaaS): assistência técnica especializada para o acompañamento estratégico contínuo em matéria de ciberseguridade. Inclui a definição e execução da folha de rota em segurança, apoio à direcção na tomada de decisões, supervisão da implantação de medidas técnicas e organizativo, cumprimento normativo e coordinação com os provedores tecnológicos e responsáveis internos.
3. A apresentação da solicitude de homologação implicará o compromisso expresso por parte da entidade solicitante de estar em disposição de prestar todos os serviços descritos neste artigo durante a vigência da homologação, com independência da demanda concreta das empresas beneficiárias. A entidade homologada deverá manter a capacidade técnica necessária para a prestação destes serviços durante toda a vigência da sua inclusão no catálogo de entidades homologadas.
Artigo 14. Resolução, publicação e notificações
O prazo máximo para que a pessoa titular da Direcção-Geral do Igape resolva sobre as homologações das entidades provedoras é de dois meses desde a publicação da convocação no DOG. Passado o supracitado prazo, as entidades provedoras poderão perceber desestimado as suas solicitudes por silêncio administrativo.
A resolução será conjunta e indicará que solicitudes foram rejeitadas por não cumprir requisitos e os solicitantes que atingem a condição de entidade provedora homologada.
O anúncio da publicação do texto completo da resolução definitiva no endereço https://spiga-sede.igape.és será objecto de publicação no Diário Oficial da Galiza, de acordo com o artigo 45 da Lei 39/2015.
As notificações das resoluções e actos administrativos do procedimento que não sejam objecto de publicação efectuar-se-ão só por meios electrónicos, nos termos previstos na normativa reguladora do procedimento administrativo comum.
De conformidade com o artigo 45.2 da Lei 4/2019, de 17 de julho, de administração digital da Galiza, as notificações electrónicas efectuar-se-ão através do Sistema de notificação electrónica da Galiza-Notifica.gal. Este sistema remeterá às pessoas interessadas aviso da posta à disposição das notificações à conta de correio e/ou telemóvel que constem na solicitude. Estes aviso não terão, em nenhum caso, efeitos de notificação efectuada e a sua falta não impedirá que a notificação seja considerada plenamente válida.
De conformidade com o artigo 47 da Lei 4/2019, de 17 de julho, de administração digital da Galiza, as pessoas interessadas deverão criar e manter o seu endereço electrónico habilitado único através do Sistema de notificação electrónica da Galiza-Notifica.gal, para todos os procedimentos administrativos tramitados pela Administração geral e as entidades instrumentais do sector público autonómico. Em todo o caso, a Administração geral e as entidades do sector público autonómico da Galiza poderão de ofício criar o indicado endereço, para os efeitos de assegurar que as pessoas interessadas cumpram a sua obrigação de relacionar-se por meios electrónicos.
As notificações por meios electrónicos perceber-se-ão efectuadas no momento em que se produza o acesso ao seu conteúdo. Perceber-se-á rejeitada quando transcorressem dez dias naturais desde a posta à disposição da notificação sem que se aceda ao seu conteúdo.
Se o envio da notificação electrónica não é possível por problemas técnicos, efectuar-se-á a notificação pelos médios previstos na normativa reguladora do procedimento administrativo comum.
Artigo 15. Catálogo de entidades homologadas e vigência da homologação
1. As entidades que resultem homologadas ao amparo desta convocação serão incluídas num catálogo público de entidades provedoras homologadas do programa Empresa Cibersegura 2025, que será gerido pelo Igape e publicado na sua página web (https://www.igape.gal/gl/entidades-homologadas-ciber).
2. Este catálogo terá como finalidade:
a) Identificar as entidades habilitadas para prestar serviços no marco do programa.
b) Facilitar às empresas beneficiárias a eleição de um provedor homologado, assegurando transparência e concorrência.
c) Permitir o seguimento e controlo por parte do Igape e demais órgãos competente.
3. A homologação terá efeitos desde a data de publicação da resolução correspondente e manter-se-á vigente durante todo o período de execução da convocação, sem prejuízo da sua revogação nos casos previstos neste artigo.
4. O Igape poderá estabelecer actualizações periódicas do catálogo mediante procedimentos de nova homologação, com o objecto de incorporar novas entidades ou rever as condições das já registadas.
5. A homologação poderá ser revogada em qualquer momento quando se produza algum dos supostos estabelecidos no artigo 17 desta convocação.
Artigo 16. Regime de recursos
As resoluções ditadas ao amparo desta convocação porão fim à via administrativa e contra é-las poderão interpor-se os seguintes recursos, sem prejuízo de que os interessados possam exercer quaisquer outro que considerem procedente:
a) Potestativamente, recurso prévio de reposição, que resolverá a pessoa titular da Direcção-Geral do Igape, por delegação do Conselho de Direcção do Igape, no prazo de um mês desde o dia seguinte ao da sua publicação, ou em qualquer momento a partir do dia seguinte a aquele em que, de acordo com o estabelecido nesta convocação, se produza o acto presumível.
b) Recurso contencioso-administrativo, ante os julgados do contencioso-administrativo de Santiago de Compostela, no prazo de dois meses contados desde o dia seguinte ao da sua publicação, ou no prazo de seis meses contados a partir do dia seguinte a aquele em que se produza o acto presumível.
Artigo 17. Perda da condição de entidade provedora homologada
1. A condição de entidade provedora homologada poderá ser revogada em qualquer momento por resolução do Igape, depois de audiência à entidade interessada, quando concorra algum dos seguintes supostos:
a) Não cumprimento grave ou reiterado das obrigações estabelecidas nesta convocação ou na resolução de homologação.
b) Perca sobrevida dos requisitos de solvencia técnica ou económica que motivaram a homologação.
c) Detecção de actuações contrárias aos princípios de transparência, concorrência, igualdade ou não discriminação.
d) Prestação deficiente dos serviços, verificada por meios técnicos ou através de queixas fundamentadas de empresas beneficiárias.
e) Manter vínculos societarios ou funcional com empresas beneficiárias, que impeça garantir a independência e objectividade da entidade homologada.
f) Falta de colaboração com os requerimento do Igape ou de outros órgãos de controlo no exercício das suas funções de verificação, auditoria ou seguimento.
g) Não cumprimento da obrigação de facilitar gratuitamente orçamentos às empresas interessadas, nos termos e prazos estabelecidos no artigo 5 desta convocação, quando resulte aplicável.
Este suposto poderá motivar a revogação directa em caso de negativa injustificar, ou bem depois de requerimento prévio no caso de reiteração.
2. A revogação da homologação implicará a baixa imediata no catálogo de entidades provedoras homologadas e a imposibilidade de subscrever novos acordos de prestação de serviços no marco do programa. Além disso, poderá supor, se procede, a anulação das actuações pendentes de execução ou justificação.
3. A entidade poderá renunciar voluntariamente à sua condição de homologada mediante comunicação expressa ao Igape. Esta renúncia não isentará do cumprimento das obrigações derivadas dos acordos já formalizados com a empresa beneficiária.
Artigo 18. Transparência e bom governo
1. Deverá dar-se cumprimento às obrigações de transparência contidas no artigo 17 da Lei 1/2016, de 18 de janeiro, de transparência e bom governo, e no artigo 15 da Lei 9/2007, de 13 de junho, de subvenções da Galiza.
2. Em virtude do disposto no artigo 4 da Lei 1/2016, de 18 de janeiro, de transparência e bom governo, as pessoas físicas e jurídicas beneficiárias de subvenções estão obrigadas a subministrar à Administração, ao organismo ou à entidade das previstas no artigo 3.1 da Lei 1/2016, de 18 de janeiro, a que se encontrem vinculadas, depois de requerimento, toda a informação necessária para que aquela cumpra as obrigações previstas no título I da citada lei.
Artigo 19. Remissão normativa
Para todo o não previsto nesta convocação aplicar-se-á o previsto em:
a) Lei 9/2007, de 13 de junho, de subvenções da Galiza.
b) Decreto 11/2009, de 8 de janeiro, pelo que se aprova o Regulamento da Lei 9/2007, de 13 de junho, de subvenções da Galiza.
c) Lei 38/2003, de 17 de novembro, geral de subvenções.
d) Real decreto 887/2006, de 21 de julho, pelo que se aprova o Regulamento da Lei 38/2003, de 17 de novembro, geral de subvenções.
e) Lei 39/2015, de 1 de outubro, do procedimento administrativo comum das administrações públicas.
f) Lei orgânica 3/2018, de 5 de dezembro, de protecção de dados pessoais e garantia dos direitos digitais.
g) Regulamento (UE) nº 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à protecção das pessoas físicas no que respeita ao tratamento de dados pessoais e à livre circulação destes dados e pelo que se derrogar a Directiva 95/46/CE (Regulamento geral de protecção de dados).
h) O resto da normativa que resulte de aplicação.
Artigo 20. Habilitação para o desenvolvimento
Faculta-se a pessoa titular da Direcção da Área de Competitividade para que dite, no âmbito das suas competências, as resoluções, instruções, esclarecimentos ou interpretações necessárias para o desenvolvimento e cumprimento destas bases reguladoras.
Santiago de Compostela, 30 de julho de 2025
Covadonga Toca Carús
Directora geral do Instituto Galego de Promoção Económica
