Programa de Ayudas “Ciberseguridad Industrial”

SPRI-Agencia Vasca de Desarrollo ha publicado las bases reguladoras y la convocatoria del Programa de Ayudas «Ciberseguridad Industrial» 2023.

El objeto del Programa es impulsar la Ciberseguridad Industrial, especialmente proyectos que contribuyan a incrementar el nivel de ciberseguridad de las empresas de manera significativa en empresas industriales y de servicios conexos ligados al producto-proceso industrial.

Podrán acceder a las ayudas contempladas en el presente Programa las empresas industriales y de servicios conexos ligados al producto-proceso industrial, así como las empresas matrices de los grupos industriales y de servicios conexos ligados al producto-proceso industrial ubicados en la Comunidad Autónoma del País Vasco, que en su conjunto cumplan con las características citadas, teniendo en cuenta su situación económica consolidada, y que presenten proyectos para la ejecución de las actuaciones subvencionables descritas más adelante. Todo ello siempre que:

1. Dispongan de un centro de actividad industrial o de servicios conexos ligados al producto-proceso industrial en la Comunidad Autónoma del País Vasco, centro en el que el proyecto presentado deberá tener impacto y en el que se realizará la actividad subvencionable.
2. Figuren de alta el correspondiente epígrafe industrial del Impuesto de Actividades Económicas del País Vasco

Tendrán la consideración de actuaciones subvencionables los proyectos relacionados con la Ciberseguridad Industrial en empresas industriales y de servicios conexos ligados al producto-proceso industrial, en las siguientes áreas:

1. Convergencia e integración de los sistemas de protección ante ciberataques para entornos IT/OT (Information Technology / Operational Technology). Diseño y ejecución de arquitecturas seguras y en su caso materialización de la segmentación de redes industriales.
2. Securización de los accesos remotos OT a los equipos industriales de la planta productiva requeridos para el mantenimiento de equipo, control y operación de los mismos, tareas realizadas cada vez con más frecuencia de manera remota.
3. Securización de la información/datos industriales. Auditorías y simulaciones de ataques por personas externas a la organización y auditorias sobre perfiles internos con diferentes niveles de accesos a datos de la compañía.
4. Evaluación de la ciberseguridad de dispositivos electrónicos, así como su certificación.
5. Iniciativas para la concienciación y/o capacitación de la plantilla de la empresa industrial en el ámbito de ciberseguridad.
6. Diagnóstico de situación actual de la industria en materia de ciberseguridad industrial y elaboración de su plan de acción para la mejora de la Ciberseguridad. Análisis de riesgo industrial y de vulnerabilidad industrial. Inventario de los diferentes elementos en un sistema crítico industrial. Realización de un test de intrusión industrial. Análisis de vulnerabilidades en aplicaciones web. Auditorias de las comunicaciones inalámbricas industriales.
7. Replicación de CPDs dirigidos a la adopción de políticas de ciberseguridad relacionadas con Planes de Disaster Recovery o de contingencia, así como a escenarios de alta disponibilidad dirigidos a garantizar la continuidad de negocio en cualquier empresa.
8. Adopción de buenas prácticas y procesos de certificación relativos a la obtención y cumplimiento de diversos estándares de Ciberseguridad industrial (por ejemplo, IEC 62443, TISAX o equivalentes) u otros estándares de gestión de la Ciberseguridad (por ejemplo, ISO 27001, CAB o equivalentes) ampliamente reconocidos, así como reglamento o leyes en vigor de obligado cumplimiento. Adaptación al cumplimiento del Esquema Nacional de Seguridad (Real Decreto 3/2010), Reglamento PIC (Real Decreto 704/2011). Mejora continua del proceso de gestión de ciberseguri[1]dad mediante el despliegue de medidas específicas o evolución de las mismas a niveles de madurez superiores a los preexistentes.
9. Medidas de protección de información estratégica o sensible como puedan ser la propiedad intelectual, estrategias de I+D+i, planos de edificios o de diseño de productos, información afectada por el RGPD o cualquiera otra directamente relacionada con la competitividad y sostenibilidad del negocio (ejemplo de medidas: cifrado del almacenamiento, control de acceso, control de distribución de copias, borrado seguro, etc.).
10. Monitorización de dispositivos de seguridad perimetral y de otros dispositivos industriales (Switches, sondas, Appliances, firewalls industriales, PLCs, EDRs, etc.).
11. Otros proyectos que incrementen de manera significativa el nivel de ciberseguridad de las empresas industriales y reduzcan el riesgo y la vulnerabilidad ante los diferentes tipos de ataques existentes.

No se admitirán como actuaciones subvencionables aquellos productos o servicios descritos en el presente artículo que formen parte del propio catálogo de productos/servicios de la entidad beneficiaria.

No constituirá en ningún caso una actuación subvencionable la exportación a otros Estados miembros de la Unión Europea o a terceros países y, por consiguiente, ninguna subvención concedida en el marco del presente Programa podrá estar directamente vinculada a las cantidades exportadas, al establecimiento y la explotación de una red de distribución o a otros gastos corrientes vinculados a la actividad exportadora.

Ninguna subvención concedida en el marco del presente Programa podrá estar condicionada a la utilización de productos domésticos en lugar de productos importados.

Tendrán la consideración de gastos y/o inversiones elegibles los de consultoría, ingeniería, hardware y software descritos en el apartado anterior y que cumplan los siguientes requisitos:

1. Devengados o facturados a partir de la presentación de la Solicitud de Ayuda en SPRI y durante el plazo establecido para la ejecución del proyecto, que no podrá superar el plazo máximo de 12 meses. Se admitirán gastos devengados o facturados antes de la presentación de la Solicitud de Ayuda de proyectos iniciados a partir del 1 de enero de 2023, siempre que estas Solicitudes sean presentadas dentro de los dos meses contados a partir de la fecha de la publicación de esta normativa en el Boletín Oficial del País Vasco.
2. Realizados por empresas expertas externas.

Para proyectos que contemplen la implantación de aplicaciones de gestión en formato tipo SAAS (Software as a Service), también podrá ser considerado como gasto elegible el coste imputable a este tipo de servicio, durante un plazo máximo de 12 meses, siempre que cumplan las condiciones descritas en este artículo y que estén incluidos en la tipología de proyectos descritos.

No tendrá la consideración de gasto elegible el Impuesto sobre el Valor Añadido repercutido en factura.

No tendrán la consideración de gastos e inversiones elegibles trabajos realizados por el propio solicitante, los gastos de desplazamiento del consultor, la elaboración de materiales didácticos y el alquiler de salas, dietas y similares. Estos gastos deberán figurar de forma separada en el concepto de las facturas.

Las empresas externas expertas deben cumplir las siguientes condiciones:

1. No tener la consideración de Sociedades Públicas, Entidades de Derecho Público, Asociaciones o Colegios Profesionales ni formar parte de la Red Vasca de Ciencia, Tecnología e Innovación ni de redes de I+D de naturaleza similar.
2. No tener vinculación, vía acciones o participaciones, directa o indirectamente, con la solicitante de la ayuda.

En la valoración de los gastos e inversiones elegibles se tendrán en cuenta los siguientes criterios:

1. Deberán estar directamente relacionados con la actividad que constituye el objeto de este Programa.
2. Los descuentos y similares, supondrán un menor valor del gasto.
3. La valoración del gasto elegible será en función del criterio de caja.
4. Si se considera que el presupuesto de gasto del proyecto es excesivo en comparación con el coste medio de gastos en proyectos de análoga naturaleza, se reducirá la cuantía de los gastos elegibles a lo que se considere un gasto ajustado y proporcionado.
5. La ejecución de los trabajos objeto de subvención podrá, en aquellos casos en los que sea procedente, ser totalmente subcontratada a empresas especializadas, en cuyo caso, en aplicación de lo previsto en el artículo 31.3 de la Ley General de Subvenciones, cuando el importe del gasto subvencionable supere las cuantías establecidas en la normativa vigente en materia de contratación pública para el contrato menor, el beneficiario deberá solicitar como mínimo tres ofertas de diferentes proveedores, con carácter previo a la contrata del compromiso para la obra, la prestación del servicio o la entrega del bien, salvo que por sus especiales características no exista en el mercado suficiente número de entidades que los realicen, presten o suministren, o salvo que el gasto se hubiere realizado con anterioridad a la solicitud de la subvención. Asimismo, se consideran gastos subvencionables en el marco de las presentes bases los acordes al artículo 31 de la Ley 38/2003, de 17 de noviembre, General de Subvenciones.
6. Conforme a lo previsto en el artículo 29 de la LGS, se entiende que un beneficiario subcontrata cuando concierta con terceros la ejecución total o parcial de la actividad que constituye el objeto de la subvención. Queda fuera de este concepto la contratación de aquellos gastos en que tenga que incurrir el beneficiario para la realización por sí mismo de la actividad subvencionada. A este respecto, la subcontratación o contratación de terceros podrá alcanzar hasta el 100% del importe de la actividad subvencionada, resultando de aplicación para la subcontratación o contratación de ter[1]ceros de las actividades subvencionadas las restantes previsiones recogidas en el citado artículo 29 de la LGS, así como el artículo 68 del Reglamento de la Ley General de Subvenciones.

Las ayudas se instrumentarán en forma de subvenciones.

A efectos del cálculo de la subvención, se tendrán en cuenta las siguientes definiciones:

• El «presupuesto global aceptado del proyecto» será la suma del presupuesto aceptado en Gastos de Consultoría y/o Ingeniería, más el presupuesto aceptado en Hardware y/o Software.
• El «presupuesto máximo aceptado», base para la aplicación de los porcentajes y cálculo de la subvención, será la suma de los dos conceptos descritos en el punto anterior (Gastos de Consultoría y/o Ingeniería, Hardware y Software), siendo el máximo permitido para los gastos de Hardware y Software el 80% del «presupuesto máximo aceptado».

El Presupuesto total presentado por la entidad solicitante deberá necesariamente contemplar al menos un 20% para labores de Consultoría y/o Ingeniería. En caso de destinarse un importe menor del 20% del Presupuesto total presentado a labores de Consultoría y/o Ingeniería, se realizará un ajuste en el resto de partidas (Hardware y Software), reduciendo el Presupuesto total presentado, con el objetivo de que la partida para las labores de Consultoría y/o Ingeniería signifique al menos un 20% del Presupuesto total presentado.

La subvención propuesta se incrementará en un 5% adicional, sin superar el límite máximo de las ayudas, si la empresa cumple alguna de las siguientes condiciones:

• Disponer del Certificado de Calidad en la Gestión Lingüística Bikain como acreditación del uso, presencia y gestión del euskera en la empresa.
• Disponer de un Plan de Igualdad, únicamente en el caso de las empresas de 50 personas o menos de plantilla, dado que las de mayor tamaño están obligadas a tenerlo por ley.
• Que se trate de proyectos que implementen el uso de Software en Euskera dentro del marco de las actuaciones subvencionables de este programa.

El porcentaje de subvención sobre los «presupuestos de gastos e inversiones máximos aceptados» para el proyecto por cada uno de los tres conceptos subvencionables (según se describe en este mismo artículo) será del 50%.

La subvención máxima por empresa beneficiaria para apoyar los gastos de consultoría-ingeniería, hardware y software asociados al proyecto será de 18.000 euros para la realización de una o más actuaciones subvencionables a lo largo del ejercicio.

El plazo para la presentación de solicitudes finalizará el 2 de octubre de 2023.