Ley de Start-ups: puntos clave para mi negocio de ciberseguridad, aspectos legales y beneficios
Introducción
La llamada Ley de Start-ups o Ley de Fomento del Ecosistema de las Empresas Emergentes, aprobada definitivamente el pasado 21 de diciembre en nuestro país, genera un nuevo escenario para las empresas de nueva creación. Como se especifica en el preámbulo de dicha ley, la situación, la economía y el desarrollo tecnológico actual suponen “una palanca importante de crecimiento y prosperidad, al basarse en actividades de valor añadido, tener un alto potencial de crecimiento gracias a la escala que proporcionan los medios digitales, promover la investigación, el desarrollo y la innovación y desarrollar nuevos productos y servicios que facilitan o mejoran procesos sociales, económicos, medioambientales o culturales”. En el caso que nos ocupa, los profesionales del sector de ciberseguridad han encontrado también en esta situación una oportunidad perfecta para la creación de nuevas empresas en España. A lo largo del siguiente artículo realizaremos un pequeño repaso de la situación actual en cuanto a ciberseguridad, así como los aspectos clave de esta nueva Ley de Start-ups, qué implica y en qué puede beneficiar a nuevas empresas de ciberseguridad.
Ciberseguridad en España: oportunidad de emprendimiento
España no es ajena a la situación actual que se da a nivel mundial en cuanto a temas de ciberseguridad [1]. Durante los últimos años, se ha registrado un notable aumento de amenazas a todo tipo de infraestructuras, organizaciones y empresas, y la sofisticación de las mismas también ha aumentado sustancialmente [2]. Todo esto se traduce en una serie de datos que reflejan una situación que requiere una inversión, compromiso y respuestas firmes por parte de todos los países [3]:
- El 94% de las empresas españolas sufrió 1 o más incidentes graves en 2021.
- El 69% sufrió entre 1 y 2 incidentes graves (el 25% más de 2).
- Entre 2020 y 2021 hay un 26% más de ciberincidentes.
Si se analiza más en detalle, esta situación afecta indistintamente al sector público y al privado. La banca, la Administración pública, los servicios de salud o el público en general, entre muchos otros, son todos objetivos de ciberdelincuencia. En la figura 1 podemos ver una distribución de incidentes registrados por distintos sectores entre mediados de 2021 y 2022 [2].
Además, el análisis de incidentes recientes ha revelado que existen una serie de amenazas que destacan sobre el resto [3] (ver figura 2) y sobre las cuales es más necesario actuar para su prevención. El secuestro de datos o la ejecución de malware lidera el ranking de peligros en cuanto a ciberseguridad.
Ante esta situación, España ha hecho la inversión, compromiso y respuesta firme que mencionábamos antes. Una prueba de ello es que en la actualidad se encuentra en el puesto 4 a nivel mundial en el Global Cybersecurity Index de la ITU [4], puesto que ha ido mejorando con los años a pesar del incremento de amenazas mencionado. Esta situación se debe en parte al aumento de la inversión en ciberseguridad por parte de las empresas, generando una gran oportunidad y un mercado floreciente con un gran potencial de crecimiento, debido al incremento de necesidades. Estas necesidades se convierten así en oportunidades para muchas empresas emergentes especializadas del sector, cuyos servicios podrían solventar los problemas que se vayan identificando. Otra de las razones que explican esto es que España ha aumentado la inversión pública en ciberseguridad, ha hecho cambios legislativos y puesto en marcha iniciativas que favorezcan la creación de estas empresas emergentes y el incremento general de las capacidades de respuesta en ciberseguridad en muchos ámbitos, algo que detallaremos
Las respuesta de España ante el panorama de ciberamenazas actuales
España tiene actualmente una serie de iniciativas para articular la inversión, compromiso y respuestas firmes necesarias para favorecer el emprendimiento y responder a la situación actual que mencionamos anteriormente. Esta sección destacará las más relevantes. Posteriormente, entraremos en detalle en cada una de ellas y abordaremos los diferentes cambios legislativos, al ser el objeto principal de este artículo.
Aumento de la inversión publica
España ha hecho un aumento sustancial de la inversión pública que favorece la creación de empresas emergentes que trabajen en ciberseguridad. Para ello, aprobó en 2022 un plan de 16.000 millones de € en forma de ayudas directas, rebajas de impuestos y créditos, de los cuales 1.000 millones de € van al Nuevo Plan Nacional de Ciberseguridad [5]. Este plan contempla más de 150 actuaciones, entre las que podemos destacar [6]:
Creación de un Centro de Operaciones de Ciberseguridad de la Administración General del Estado y de sus Organismos Públicos.
Incrementar la creación de infraestructuras de ciberseguridad tanto en comunidades y ciudades autónomas como en entidades locales, lo cual puede suponer una oportunidad de negocio para empresas emergentes.
Impulsar la ciberseguridad de pymes, micropymes y autónomos, y promover un mayor nivel de cultura en ciberseguridad, que nuevamente puede ser una oportunidad de negocio.
España ya tiene parte de esta inversión pública en marcha [6]. Esto facilita la aparición de nuevas oportunidades de negocio para empresas emergentes, que se verán facilitadas además por los cambios legislativos que describiremos en la próxima sección.
La Estrategia Nacional de Ciberseguridad (ENCS)
España publicó en 2019 la Estrategia Nacional de Ciberseguridad (ENCS) . En ella se reconoce el papel clave que juega la ciberseguridad en el entorno actual de transformación e incertidumbre, y la oportunidad que ofrece para incrementar la competitividad de España. La ENCS define 5 objetivos principales y 7 líneas de acción.
El objetivo 4 de la ENCS destaca la importancia de potenciar la industria española de ciberseguridad, además de la generación y retención de talento, para el fortalecimiento de la autonomía digital. Entre sus medidas, se menciona expresamente “dinamizar el sector industrial y de servicios de ciberseguridad, incentivando medidas de apoyo a la innovación, a la inversión, a la internacionalización y a la transferencia tecnológica, en especial en el caso de micropymes y pymes”.
Agenda España Digital 2026
Define 12 ejes estratégicos para el futuro de España [8], 4 destinados a Infraestructuras y Tecnología, 4 a la Economía, 2 a Personas y los dos últimos transversales.
El eje estratégico 3, perteneciente a Infraestructuras y Tecnología, está dedicado monográficamente a la ciberseguridad. En él se establece como reto incrementar las capacidades de ciberseguridad en España, fomentar el desarrollo del ecosistema empresarial en este sector (industria, I+D+i y talento), y potenciar el liderazgo internacional del país en materia de ciberseguridad. Muchas de estas iniciativas las lleva a cabo INCIBE.
Iniciativas vinculadas a INCIBE para apoyar la innovación
El Instituto Nacional de Ciberseguridad de España (INCIBE), dependiente del Ministerio de Transformación Digital y de la Función Pública a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial, es la entidad de referencia para el desarrollo de la ciberseguridad y de la confianza digital de los ciudadanos, la red académica y de investigación española (Red IRIS) y las empresas, especialmente para sectores estratégicos.
Vamos a describir ahora una serie de planes e iniciativas que se llevan a cabo relacionadas con este artículo y financiadas con el Plan de Recuperación Transformación y Resiliencia (PRTR).
Programas para apoyar la innovación en ciberseguridad
Compra Pública Innovadora (CPI)
La Compra Pública de Innovación (CPI), también llamada Iniciativa Estratégica de Compra Pública de Innovación (IECPI), es un instrumento creado con la intención de impulsar la innovación y la competitividad desde los poderes públicos. Para ello, se usa la demanda pública de productos, servicios y suministros como instrumento mediante el que poner en marcha políticas públicas, y ejecutar los mandatos de las entidades compradoras.
La CPI está dotada con un presupuesto global de 224 millones de euros y se engloba dentro del PRTR, con la financiación de los fondos Next Generation EU.
La CPI es una forma de colaboración público-privada para impulsar actuaciones dirigidas a fomentar la I+D+i, y crear productos y soluciones en el ámbito de la ciberseguridad. Tiene cuatro objetivos principales:
Impulsar la I+D+i en ciberseguridad fomentando la colaboración público-privada para crear grandes proyectos tractores de I+D en ciberseguridad donde participen grandes empresas, pymes, organismos de investigación y otros. La idea es crear soluciones tecnológicas para sectores estratégicos y fomentar el empleo cualificado en ciberseguridad.
Promover el emprendimiento en ciberseguridad fomentando el desarrollo de soluciones muy innovadoras por parte de start-ups o pymes. Hablaremos más de este aspecto en la siguiente sección.
Fortalecer las capacidades en ciberseguridad para atender las necesidades en sectores estratégicos, públicos y de pymes en esa materia, minimizando riesgos y amenazas.
Desarrollar talento en ciberseguridad mediante su formación o desarrollo de sus capacidades/habilidades para el impulso de la ciberseguridad en las empresas donde trabajen.
Programa INCIBE Emprende
Es un programa para emprendedores y start-ups dotado con más de 45 millones de €. Al igual que la CPI, está enmarcado en las inversiones del PRTR y en la Agenda España Digital 2026 descritos.
Los objetivos de este programa son el apoyo a la creación de nuevas empresas en el ámbito de la ciberseguridad; la internacionalización de start-ups consolidadas y con alto potencial y el impulso de la innovación y la atracción de la inversión. Para ello, se contempla una serie de actuaciones para promocionar el emprendimiento en cada una de las fases en las que se encuentre (ver figura 3).
Estas actuaciones, todas en marcha en estos momentos, son:
INCIBEinspira: conjunto de, charlas, talleres y eventos para identificar e impulsar iniciativas emprendedoras que den respuesta a los nuevos retos y desafíos a los que se enfrenta la ciberseguridad.
Ciberemprende: incubadora de ideas/proyectos dirigida a personas con vocación emprendedora. Tiene como finalidad la atracción y promoción de talento innovador en ciberseguridad o en sectores que requieran ciberseguridad.
Cybersecurity Ventures: aceleradora de empresas dirigida a start-ups de ciberseguridad o de cualquier sector que necesiten incorporar ciberseguridad en su cadena de valor.
Tiene como objetivo incentivar el desarrollo de nuevas empresas de base tecnológica en el ámbito de la ciberseguridad, así como acelerar la incorporación de la ciberseguridad en start-ups de otros sectores/ámbitos.
Aceleración exprés: integración de la ciberseguridad en pymes de manera más rápida, independientemente del sector al que pertenezcan, mediante la tutorización e implantación de un componente de ciberseguridad en las mismas.
Formación a la ciudadanía
El eje estratégico 3 de la Agenda España Digital 2026 tiene como una de sus medidas la “capacitación en ciberseguridad para ciudadanía, menores y empresas mediante el desarrollo de programas formativos y recursos específicos para la adquisición de competencias digitales en ciberseguridad”. Es por ello que INCIBE desarrolla una serie de iniciativas de formación que también involucra a las universidades españolas. Estas son:
Academia Hacker: iniciativa gratuita de formación con el objetivo de fomentar el aprendizaje en ciberseguridad, en la que se busca la identificación, captación y promoción del talento en ciberseguridad, así como la formación en competencias técnicas para que los participantes puedan desarrollar sus habilidades en esta materia, con especial foco en contribuir a cerrar la brecha digital de género.
CyberCamp: eventos gratuitos orientados para todos los públicos para el desarrollo de la ciberseguridad y de la confianza digital de la ciudadanía y las entidades. Se desarrolla mediante diferentes eventos coorganizados con universidades y fundaciones universitarias de carácter público en las diferentes comunidades autónomas españolas.
Cátedras de ciberseguridad: INCIBE plantea la creación de 16 cátedras de investigación en ciberseguridad, con un presupuesto de 22,4 millones de €. Se dividirán en cátedras nacionales, con una aportación de hasta 1,2 millones euros, y cátedras internacionales, con hasta 1,6 millones de euros. Todas ellas, deberán realizar su actividad en España, combinando el carácter presencial y virtual, y requerirán de cofinanciación por parte de las universidades seleccionadas del 25% del importe del desarrollo de cada cátedra.
Estas cátedras estarán basadas en una serie de temáticas alineadas con las definidas en la 2ª convocatoria del programa de CPI: criptografía avanzada resistente a ataques cuánticos, las soluciones innovadoras en ciberseguridad para redes 5G, los sistemas para el seguimiento de criptotransacciones, el impulso de la ciberresiliencia en la cadena de suministro, etc.
Cambios legislativos para facilitar el emprendimiento en España: la Ley de Start-ups
Los cambios legislativos son una herramienta adicional a las vistas en la sección anterior para para facilitar el emprendimiento en ciberseguridad.
La Ley 28/2022 de diciembre de fomento del ecosistema de las empresas emergentes, denominada comúnmente Ley de Start-ups [7], es una norma que favorece la inversión con medidas ad hoc y concretas que faciliten el desarrollo y crecimiento en el ámbito del emprendimiento en España. Es una ley aprobada con cierto consenso, lo que facilita que se mantenga estable en el tiempo incluso ante cambios futuros en el gobierno. Contempla, además, mecanismos de revisión y mejora periódica a través del Foro Nacional de Empresas Emergentes.
¿Qué requisitos debe cumplir tu start-up de ciberseguridad?
Esta ley contempla una serie de incentivos de naturaleza fiscal, societaria y otras áreas para favorecer la creación de empresas emergentes innovadoras de base tecnológica. Para ello, define claramente el concepto de empresa emergente y los requisitos que tiene que cumplir para beneficiarse de estos incentivos (artículo 3 de la ley), entre los que destacamos los siguientes:
Empresa de nueva creación o llevar menos de 5 años inscrita en el Registro Mercantil o de Cooperativas competente
En caso de empresas de biotecnología, energía, industriales y otros sectores estratégicos o que hayan desarrollado una tecnología propia diseñada íntegramente en España, aumenta a menos de 7 años. Esto permitiría a una start-up en ciberseguridad que desarrolle su propia tecnología en el país, teniendo tiempo suficiente para su consolidación, prueba y puesta en marcha.
Las empresas deben estar localizadas en España y no pueden surgir de modificaciones estructurales (fusiones, escisiones…) de empresas no emergentes.
Tener al 60 % de la plantilla con un contrato laboral en España. En caso de cooperativas solo computan para este porcentaje los socios trabajadores y los socios de trabajo, cuya relación sea de naturaleza societaria.
Hay, además, un segundo bloque de requisitos relativos al proyecto a desarrollar y el entorno en el que se desarrolla. Estos son:
Deben desarrollar un proyecto innovador y con un modelo de negocio escalable.
No deben haber distribuido dividendos o retornos en caso de cooperativas.
No deben cotizar en un mercado regulado.
Si están dentro de un grupo empresarial (art. 42 del Código de Comercio), las demás empresas del grupo deben cumplir también con estos requisitos de empresa emergentes.
Lógicamente debe existir alguna entidad que sea responsable de evaluar y calificar como emergente o no a las empresas que lo soliciten. La ley estipula en su art. 4 que esta entidad es la Empresa Nacional de Innovación SME, S.A. (ENISA) (https://www.enisa.es/). El procedimiento de evaluación se llevará a cabo en un plazo no superior a tres meses desde que la solicitud esté completa, sobrepasado dicho plazo, sin resolución expresa, la solicitud se entenderá estimada por silencio administrativo positivo. La ley no obstante contempla en su art. 6 unas causas de extinción de la condición de emergente y que, por tanto, impedirán a la empresa acogerse a los beneficios que vamos a describir a continuación.
¿En qué beneficia la Ley de Start-ups a mi empresa de ciberseguridad?
Cuando tu empresa de ciberseguridad sea calificada como emergente por la ENISA, tendrá derecho a una serie de beneficios que vamos a describir a continuación, indicando el punto de la ley en donde se desarrollan. Los siguientes son los beneficios fiscales:
En el art. 7 de la ley:
Reducción del tipo impositivo en el impuesto de sociedades a un 15%
Posibilidad de aplazar la deuda tributaria entre 12 y 16 meses en los primeros ejercicios.
En la disposición final tercera de la ley:
Exención fiscal por entrega de acciones o participaciones a los empleados de las empresas (stock options) de hasta 50.000 € al año.
Elevación de la base máxima de deducción por inversión de 60.000 a 100.000 €/año y del tipo de deducción del 30% al 50%.
Las comisiones a éxito de las gestoras de capital riesgo (carried interest) tributarán con una exención de hasta el 50%. Esto se hace para alinear a España con países de su entorno y fomentar así el desarrollo de capital-riesgo como elemento canalizador de financiación empresarial que impulse el emprendimiento.
También tendrán beneficios desde el punto de vista formal y societario:
Posibilidad de adquirir autocartera hasta un 20% para entrega a empleados, administradores y colaboradores de estas empresas (art. 10). Esto es adicional a los beneficios fiscales mencionados anteriormente.
Plazos (5 días desde la presentación) y trámites (a través del DUE) de inscripción registral (art. 11).
Reducción de aranceles registrales y exención de pago de tasas para la publicación en el Boletín Oficial del Registro Mercantil (BORME) art. 12.
Exención de incurrir en causa de disolución por pérdidas en los 3 primeros años (art. 13).
La ley contiene otros beneficios adicionales que facilitan la creación de empresas emergentes:
Beneficios para nómadas digitales en aspectos de visado y residencia, lo que está pensado como medida de atracción de talento (capítulo V bis: teletrabajadores de carácter internacional). Esto facilita atraer expertos extranjeros para ayudar al desarrollo de innovaciones en ciberseguridad.
Entornos controlados de prueba (regulatory sandbox) que exceptúen la normativa general durante un año bajo la supervisión de un organismo o entidad reguladora. Esto permite evaluar la utilidad, viabilidad y el impacto de innovaciones tecnológicas en los diferentes sectores productivos (art. 16). Esto permitiría, por ejemplo, probar ideas de negocio en ciberseguridad de alto riesgo o que supongan una gran innovación en un entorno más flexible.
El concepto de “empresa emergente de estudiantes” como herramienta pedagógica durante uno o dos cursos estudiantes (disposición adicional cuarta), que facilitaría la implementación de ideas de ciberseguridad innovadoras que tengan dichos estudiantes.
Compra Pública Innovadora (título III).
Facilidades en el acceso a ayudas públicas.
Se define así un escenario casi perfecto para la creación de nuevas empresas especializadas en ciberseguridad.
La inversión y los beneficios sustanciales que introduce la Ley de Start-ups, tanto a la hora de la creación como en diferentes fases del ciclo de vida de las empresas emergentes, hacen a España un país más atractivo para la implantación de dichas empresas, que atraerán inversiones y talento extranjero.
¿Estaremos ante el inicio de una revolución digna de comparar con escenarios internacionales en desarrollo tecnológico empresarial? Lo que sí está claro es que estas facilidades, junto con el aumento de inversión, son un paso muy importante para mejorar el panorama de las empresas emergentes en ciberseguridad del país.
Referencias
[1] Deloitte, "El estado de la ciberseguridad en España," Deloitte, 2023. [Online]. Available: https://www2.deloitte.com/es/es/pages/risk/articles/estado-ciberseguridad.html. [Accessed 2023 3 2].
[2] ENISA, "ENISA Threat Landscape 2022," ENISA, 2022.
[3] P. d. A. Electrónica, "Publicado el Informe de Panorama de Amenazas de ciberseguridad 2022," 4 11 2022.[Online].Available: https://administracionelectronica.gob.es/pae_Home/pae_Actualidad/pae_Noticias/Anio2022/Noviembre/Noticia-2022-11-04-Informe-Panorama-Amenazas-ciberseguridad-2022.html. [Accessed 2023 3 2].
[4] ITU, "Global Cybersecurity Index 2020," ITU Publications, 2020.
[5] B. Becares, "Así es el plan de ciberseguridad de 1.000 millones de euros con el que el Gobierno de España quiere defendernos de ataques rusos," GenBeta, 28 3 2022. [Online]. Available: https://www.genbeta.com/actualidad/asi-plan-ciberseguridad-1-000-millones-euros-que-gobierno-espana-quiere-defendernos-ataques-rusos. [Accessed 4 3 2023].
[6] ComputerWorld, "El sector público invierte 121 millones de euros en ciberseguridad en el primer semestre de 2022," 5 8 2022. [Online]. Available: https://cso.computerworld.es/cibercrimen/el-sector-publico-invierte-121-millones-de-euros-en-ciberseguridad-en-el-primer-semestre-de-2022. [Accessed 4 3 2023].
[7] A. Suárez Tramón, "La esperada nueva Ley de Startups, al fin, entra en vigor," El País,
Contenido realizada en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).