Entidades beneficiarias

Podrán acceder a las ayudas contempladas en el presente Programa, las empresas industriales o de servicios conexos ligados al producto-proceso industrial, siempre que:

• Dispongan de un centro de actividad en la Comunidad Autónoma de Euskadi.
• Figuren de alta en el Impuesto de Actividades Económicas del País Vasco.

Actuaciones elegibles

Tendrán la consideración de actuaciones elegibles los proyectos dirigidos a incrementar la protección, la ciberseguridad y la resiliencia operativa de las empresas de la CAE  y de sus productos, promoviendo la mejora de sus sistemas de gestión de ciberseguridad y fomentando su alineación y certificación conforme a marcos y estándares reconocidos a nivel internacional.

De este modo, los proyectos deberán encuadrarse en alguna de las fases relacionadas con los procesos habituales de adecuación y certificación a normativas o estándares en cibersegurida, que se detallan a continuación:

I.– Ciberseguridad en la empresa:

• Diagnóstico Inicial:
  • Evaluación de controles y políticas existentes.
  • Auditorías de Ciberseguridad de empresa o producto.
  • Medición del nivel de capacitación y concienciación de la plantilla.
  • Otros proyectos dirigidos a determinar la situación actual de la empresa en materia de ciberseguridad.
• Estrategia y Planes de Acción:
  • PDS – Planes Directores de Seguridad.
  • Desarrollo de planes de acción para la mejora de la ciberseguridad.
  • Otros proyectos vinculados a definir y desarrollar la estrategia de las empresas en materia de ciberseguridad.
• Implementación de soluciones y medidas:
  • Identificar:
    • Generación y mantenimiento de un inventariado de activos.
    • Definición de políticas y procedimientos.
    • Evaluación de amenazas y riesgos.
    • Evaluación de cumplimiento normativo.
    • Otros proyectos dirigidos a conocer el contexto tecnológico y organizativo de las empresas en materia de ciberseguridad.
  • Gobernar:
    • Definición y aprobación de una política global de ciberseguridad alineada con los riesgos y objetivos del negocio.
    • Elaboración e implantación de un procedimiento de gestión de crisis.
    • Estrategia para el cumplimiento normativo, así como herramientas para su seguimiento (GRC).
    • Otros proyectos dirigidos a garantizar el gobierno de la ciberseguridad en las empresas.
  • Proteger:
    • Securización de los accesos remotos OT, control de accesos IT y gestión de identidades.
    • Iniciativas de concienciación y capacitación en ciberseguridad.
    • Segmentación de redes y arquitecturas seguras.
    • Implantación de herramientas y tecnologías de protección.
    • Gestión vulnerabilidades y realización de tests de penetración.
    • Cifrado de datos (incluido PQC, Quantum, y equivalentes) y securización de la información.
    • Otros proyectos que contribuyan a elevar el nivel de protección de las empresas.
  • Detectar:
    • Servicios de seguridad gestionados (MSSP).
    • Contratación de servicio de SOC.
    • Monitorización de dispositivos de seguridad.
    • Otros proyectos orientados a integrar capacidades de detección en las empresas.
  • Responder:
    • Planes de Respuesta ante Incidentes (ICP) y Planes de Continuidad de Negocio (BCP).
    • Simulacros de incidentes de Ciberseguridad.
  • Recuperar:
    • Planes Disaster Recovery.
    • Copias de Seguridad y BRS (Business Recovery Systems).
    • Replicación de CPDs relacionados con Planes Disaster Recovery.
    • Otros proyectos dirigidos a integrar capacidades de recuperación en las empresas.
• Evaluación, Auditoría y Certificación:
  • Proceso de evaluación y conformidad sobre marcos normativos orientados a la ciberseguridad.
  • Procesos de auditoría sobre marcos normativos orientados a la ciberseguridad.
  • Procesos de certificación sobre marcos normativos orientados a la ciberseguridad.
• Mejora Continua:
  • Procesos de revisión, renovación y/o adecuación sobre marcos normativos orientados a la ciberseguridad.

II.– Ciberseguridad de Producto:

• Implantación de un marco organizativo y de proceso que asegure la ciberseguridad durante todo el ciclo de vida del producto.
• Proyectos de consultoría para ayudar en el diseño y desarrollo seguro de productos.
• Proyectos de Implementación de cifrado de datos (incluido PQC, Quantum, y equivalentes) en tránsito y reposo, autenticación mutua y gestión segura de claves.
• Implantación de soluciones dirigidas a la gestión activa de vulnerabilidades.
• Evaluación y Certificación de Ciberseguridad del Producto: pruebas de conformidad relativa a los productos.
• Otros proyectos vinculados a la ciberseguridad de producto.

Gastos elegibles

Tendrán la consideración de gastos y/o inversiones elegibles los de consultoría, ingeniería, hardware y licencias de software.

Siempre que sean devengados o facturados a partir del 1 de enero de 2026 y durante el plazo establecido para la ejecución del proyecto, que no podrá superar los 12 meses desde su inicio.

Cuantía de la ayuda

La subvención máxima por empresa en el marco de este programa será de 100.000 euros para la realización de una o más actuaciones elegibles/proyectos.

Los gastos de consultoría y/o ingeniería deberán representar al menos el 20 % de la base elegible del proyecto.

Se aplicará una intensidad de ayuda del 60 % a cada uno de los gastos elegibles de la base elegible.

El «presupuesto máximo aceptado del proyecto» será la suma de los siguientes conceptos:

• el presupuesto aceptado en gastos de consultoría y/o ingeniería, más
• el presupuesto aceptado en Hardware y/o licencias de Software.

Plazo de ejecución

Los proyectos deberán ejecutarse en el plazo máximo de 12 meses desde de su inicio.

Plazo de justificación

Una vez finalizada la actuación elegible, y en el plazo de 90 días naturales, las entidades beneficiarias deberán justificar la misma utilizando los formularios de solicitud de liquidación habilitados en la página web de SPRI.