Kit Consulting Ciberseguridad financia hasta 24.000€ en asesoramiento para implantar ISO 27001 o ENS en PYMEs españolas entre 10 y 249 empleados.
La ciberseguridad es una de las categorías estrella del Kit Consulting, y la única que ofrece tres niveles de profundidad: básico, avanzado y preparación para certificación. Esto permite a las empresas diseñar un recorrido completo que va desde el diagnóstico inicial hasta la preparación para certificarse en ISO 27001 o adecuarse al Esquema Nacional de Seguridad (ENS), con una subvención que puede cubrir hasta 24.000 euros del coste total del asesoramiento.
Si necesita un contexto general del Kit Consulting, consulta mia guía completa del Kit Consulting 2026.
Los tres niveles de asesoramiento en ciberseguridad
Nivel 1: Ciberseguridad Básico (6.000€)
El asesoramiento básico es el punto de partida para empresas que no han abordado la ciberseguridad de forma estructurada. Incluye un diagnóstico del estado actual de seguridad de la empresa, la identificación de activos de información críticos, una evaluación de vulnerabilidades técnicas y organizativas, recomendaciones priorizadas de mejora, y un informe ejecutivo con hoja de ruta de ciberseguridad.
Los entregables exigidos son un informe de diagnóstico de ciberseguridad, un inventario de activos de información, un análisis de vulnerabilidades, y un plan de acción priorizado con al menos 15 medidas concretas.
Nivel 2: Ciberseguridad Avanzado (6.000€)
Dirigido a empresas que ya tienen una base de seguridad y necesitan elevar el nivel. Incluye un análisis de riesgos formal con metodología reconocida, el diseño de un plan director de seguridad a 2-3 años, la definición de la arquitectura de seguridad objetivo, la evaluación de proveedores y soluciones de seguridad, y la preparación para el cumplimiento normativo (RGPD, NIS2, ENS).
Los entregables incluyen un análisis de riesgos documentado, un plan director de seguridad, una propuesta de arquitectura técnica de seguridad y un informe de cumplimiento normativo.
Nivel 3: Preparación para Certificación (6.000€)
Este es el nivel más específico y el que mayor valor aporta a empresas que buscan certificarse en ISO 27001 o adecuarse al ENS. El asesoramiento comprende la definición del alcance del sistema de gestión de seguridad de la información (SGSI), la elaboración de la documentación nuclear (política de seguridad, análisis de riesgos, Declaración de Aplicabilidad), la implantación de los controles necesarios para la certificación, la realización de una auditoría interna previa, y la preparación del equipo para la auditoría de certificación.
Los entregables exigidos son la política de seguridad de la información, el análisis de riesgos con metodología reconocida (MAGERIT para ENS), la Declaración de Aplicabilidad, los procedimientos de seguridad documentados, y un informe de auditoría interna.
Estrategia óptima: combinación de los tres niveles
Una empresa del segmento B (50-99 empleados) o C (100-249 empleados) puede contratar dos o tres servicios de asesoramiento en ciberseguridad, combinando los niveles de forma secuencial. La estrategia más eficiente es contratar el nivel básico en la primera fase para tener un diagnóstico claro. En la segunda fase, el nivel avanzado para diseñar el plan director y la arquitectura de seguridad. Y en la tercera fase, la preparación para certificación para documentar e implantar el SGSI y llegar a la auditoría con garantías.
Con esta combinación, una empresa del segmento C puede obtener hasta 18.000 euros de subvención (tres servicios a 6.000 euros cada uno) que cubren prácticamente la totalidad del asesoramiento necesario para certificarse en ISO 27001 o adecuarse al ENS.
Combinación Kit Consulting + Kit Digital para ciberseguridad integral
La estrategia más completa combina el asesoramiento del Kit Consulting con la implementación tecnológica del Kit Digital. El Kit Consulting le dice qué necesita y diseña el plan; el Kit Digital financia las herramientas.
Por ejemplo, el Kit Consulting ciberseguridad avanzado puede recomendar la implantación de un sistema EDR con SOC gestionado. Esa recomendación se ejecuta después con la categoría de ciberseguridad gestionada del Kit Digital (hasta 29.000 euros en segmento V). El resultado es una estrategia de ciberseguridad completa, desde el diagnóstico hasta la implementación, financiada en gran parte con fondos públicos.
Consulta mio artículo sobre Kit Digital ciberseguridad para conocer las soluciones tecnológicas que complementan el asesoramiento.
¿Cuáles son los requisitos de Asesor Digital en ciberseguridad?
El asesor digital que preste servicios de ciberseguridad a través del Kit Consulting debe estar adherido al catálogo de Asesores Digitales de Red.es, demostrar experiencia y capacitación en ciberseguridad, y cumplir con los requisitos técnicos definidos en las bases de la convocatoria.
Para la categoría de preparación para certificación, es especialmente importante que el asesor cuente con experiencia acreditada en proyectos de certificación ISO 27001 y adecuación al ENS, conocimiento de MAGERIT y la herramienta PILAR del CCN, y capacidad técnica para evaluar e implementar controles de seguridad.
Novedades normativas y perspectivas
La Orden TDF/38/2026 ha abierto la posibilidad de nuevas convocatorias del Kit Consulting con fondos remanentes. Las disposiciones legales vigentes facilitan la reactivación del programa, y la creciente presión regulatoria en ciberseguridad (NIS2, ENS, RGPD) hace previsible que la ciberseguridad siga siendo una categoría prioritaria en futuras convocatorias.
Si tu empresa necesita certificarse en ISO 27001 o adecuarse al ENS, no espere a que se abra la convocatoria para empezar a prepararse. Tener el asesor seleccionado, el alcance definido y un diagnóstico previo le permitirá actuar con rapidez cuando se presente la oportunidad.
Consulta mia guía de ISO 27001 y nuestra guía del ENS para entender los requisitos de certificación.
¿Quiere financiar la certificación ISO 27001 o el ENS de tu empresa con Kit Consulting? Hablamos. Como Asesor Digital certificado en las tres categorías de ciberseguridad, te acompaño desde el diagnóstico hasta la certificación.
Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs. Relacionado: Agente Digitalizador Kit Digital: Cómo Elegir Bien.
Caso real: Kit Consulting 18.000€ para ISO 27001 en industria de Aranda de Duero
Una empresa industrial de Aranda de Duero (Burgos), 42 empleados y facturación de 6,8M€, fabricante de componentes metálicos para automoción, necesitaba acreditar ISO 27001 para mantenerse en la cadena de homologación de un fabricante OEM alemán. El plazo del cliente era 9 meses y el presupuesto disponible para consultoría externa ascendía a 8.000€, insuficiente para una implantación completa.
Diagnóstico inicial: ausencia total de Sistema de Gestión de Seguridad de la Información (SGSI), gestión de accesos sin control, ausencia de política de contraseñas y backups manuales no documentados. La empresa había sido objeto de un intento de ransomware en 2024 (sin éxito gracias al backup offline, pero sin proceso formal de respuesta).
Solución aplicada combinando las tres vías de la convocatoria Kit Consulting:
- Asesoramiento Ciberseguridad Básico (6.000€): diagnóstico completo según ISO 27001 e identificación de las 93 controles (Anexo A) aplicables.
- Asesoramiento Ciberseguridad Avanzado (6.000€): diseño del SGSI, políticas, procedimientos, análisis de riesgos con metodología MAGERIT, plan de tratamiento de riesgos.
- Asesoramiento Preparación Certificación (6.000€): implantación de evidencias, auditoría interna, simulacro de auditoría externa y selección de entidad certificadora acreditada por ENAC.
Resultado en 8 meses: ISO 27001:2022 certificada por entidad ENAC en primera convocatoria sin no conformidades mayores. Coste total para la empresa: 0€ directos (subvención cubrió los 18.000€) + 4.200€ de tasas de la entidad certificadora (no subvencionables vía Kit Consulting). Mantenimiento del contrato OEM por 5 años (valor estimado 8M€) y nuevas oportunidades de licitación industrial que exigían ISO 27001.
Comparativa: vías de financiación para ISO 27001
| Programa | Importe máximo | Organismo | Plazo | Cubre |
|---|---|---|---|---|
| Kit Consulting Ciberseguridad | 24.000€ (3x6.000€ + 6.000€ IA) | red.es | 6 meses | Consultoría y preparación |
| Kit Digital ciberseguridad | Hasta 29.000€ | red.es | 12 meses | Herramientas y servicios técnicos |
| ICEX Next | 10.400€ (50% gasto) | ICEX | 24 meses | Solo si exporta y vinculado a internacionalización |
| ICE Castilla y León | 15.000€ (35-45% gasto) | Junta CyL | 12 meses | Certificaciones incluyendo ISO 27001 |
| CDTI Cervera | Variable (proyecto) | CDTI | 24-36 meses | Solo I+D ciberseguridad, no certificación per se |
La estrategia óptima en PYMEs industriales suele ser Kit Consulting (consultoría) + ICE CyL (tasas certificadora), no acumulables sobre el mismo concepto pero sí complementarias sobre conceptos distintos del proyecto global.
FAQ avanzada Kit Consulting ciberseguridad
¿Se puede contratar a varios Asesores Digitales distintos para los tres niveles (básico, avanzado, certificación) de ciberseguridad?
Sí, expresamente permitido por bases reguladoras (BOE-A-2024-12169). Cada nivel es una categoría independiente y se firma contrato separado. En la práctica, lo habitual es mantener al mismo asesor por continuidad metodológica, pero si tu asesor inicial no domina ISO 27001 o el preparador de certificación recomendable es otro, divide. Lo importante es coordinar entregables.
¿El asesor digital debe estar adherido al esquema AEPD o tener certificación específica en ISO 27001?
Para Kit Consulting basta con la condición de Asesor Digital habilitado por red.es. Sin embargo, para nivel 3 (preparación certificación), exige a tu asesor: (a) auditores con certificación ISO 27001 Lead Auditor o Lead Implementer (IRCA, PECB o equivalente), (b) referencias verificables de certificaciones previas y (c) conocimiento de la versión 2022 (cambio significativo respecto a 2013).
¿Las tasas de la entidad certificadora ENAC son subvencionables dentro del Kit Consulting?
No. Kit Consulting cubre la fase de asesoramiento (gap analysis, diseño SGSI, preparación). La auditoría externa de certificación (etapa 1 + etapa 2) y el ciclo de mantenimiento trienal lo factura la entidad certificadora (AENOR, Bureau Veritas, DNV, SGS, etc.) y son entre 4.000€ y 8.000€ no cubiertos. Sí pueden financiarse vía ICE CyL o Kit Digital ciberseguridad como categoría de servicios complementarios.
¿Cuál es la diferencia real entre ISO 27001:2022 y la versión 2013 en términos de coste de implantación?
La versión 2022 tiene 93 controles (versus 114 en 2013) reagrupados en 4 dominios (organizacionales, personas, físicos, tecnológicos). 11 controles son nuevos (threat intelligence, cloud security, data masking, secure coding, web filtering, etc.). El coste de implantación en una PYME es prácticamente idéntico, pero quien certificó en 2013 debe migrar antes de octubre de 2025 (fecha tope IAF). Si certificas por primera vez en 2026, hazlo directamente en 2022.
Checklist práctico: ruta Kit Consulting a ISO 27001 en 6 meses
- Verificar elegibilidad (PYME 10-249 empleados, registrada en España, sin deudas Hacienda/SS).
- Obtener certificado digital de representante (FNMT o Cl@ve PIN) si no lo tienes.
- Acceso a sede.red.gob.es y registro como beneficiario potencial Kit Consulting.
- Realizar Test de Madurez Digital obligatorio (15-20 min, online en kitconsulting.es).
- Solicitar el bono Kit Consulting con segmento adecuado (I, II o III según empleados).
- Seleccionar Asesor Digital habilitado para ciberseguridad (consulta el listado oficial en red.es).
- Firmar acuerdo de prestación con el asesor para el nivel 1 (Básico, 6.000€).
- Diagnóstico ISO 27001 inicial: alcance del SGSI, partes interesadas, análisis GAP de los 93 controles.
- Contratación nivel 2 (Avanzado, 6.000€): redacción de política de seguridad, análisis de riesgos MAGERIT, plan de tratamiento.
- Implantación efectiva durante 8-12 semanas con seguimiento semanal del asesor.
- Contratación nivel 3 (Preparación certificación, 6.000€): auditoría interna y simulacro.
- Selección de entidad certificadora ENAC y presupuesto de tasas (no subvencionable Kit Consulting).
- Auditoría externa etapa 1 (documental) y etapa 2 (en sede) con 4-6 semanas entre ambas.
- Cierre de no conformidades menores (si las hubiera) en plazo máximo 30 días.
- Recepción certificado ISO 27001:2022 válido 3 años con auditoría de seguimiento anual.
Errores comunes a evitar en Kit Consulting ciberseguridad
- Agotar el bono en consultoría genérica sin destino certificable. Si no vas a certificar ISO 27001 ni ENS, replantea: quizá te conviene más Kit Digital ciberseguridad (herramientas concretas) que Kit Consulting (asesoramiento).
- Elegir asesor por precio cuando todos cobran lo mismo. El bono cubre 6.000€ por nivel; el asesor no puede cobrarte menos ni más. Elige por experiencia documentada en ISO 27001, no por descuentos imposibles.
- No planificar la auditoría externa ENAC desde el inicio. Las certificadoras tienen agendas saturadas (espera 3-5 meses). Reserva fecha cuando termines el nivel 2.
- Subestimar el tiempo de personal interno. Aunque el asesor te acompañe, necesitas un responsable interno (4-8 h/semana durante 6 meses) que aporte información y mantenga las evidencias.
- Cerrar el SGSI al finalizar la certificación. ISO 27001 requiere mantenimiento continuo. Si abandonas las revisiones, perderás la certificación en la primera auditoría de seguimiento. Planifica recursos para el ciclo trienal completo.
Para casos específicos en Castilla y León puedes consultar mi página de servicios ISO y el cluster de ciberseguridad.
¿Necesitas ayuda con esto?
Trabaja conmigo en Kit Digital y Kit Consulting
Consultoría a medida en digitalización y ayudas públicas. Primera sesión sin coste.
Agendar sesión →