El 2025, l'INCIBE va gestionar 122.223 incidents de ciberseguretat a Espanya, un 26% més que l'any anterior, segons el Balanç de Ciberseguretat 2025 publicat per l'organisme el febrer de 2026. En aquest context, saber com triar empresa de ciberseguretat ja no és una decisió tècnica que es delega al departament de TI: és una decisió de negoci amb impacte directe en la continuïtat operativa, la reputació i el compliment legal de la companyia. Equivocar-se de proveïdor no significa només pagar de més; significa descobrir, enmig d'un incident, que qui havia de defensar-te no estava preparat per fer-ho.
Aquest article és una guia pràctica per a responsables de tecnologia, direcció general i compres que han d'avaluar i contractar un partner de seguretat a Espanya. No parlarem de màrqueting ni de promeses: parlarem de certificacions verificables, de criteris d'avaluació objectius, del marc normatiu que condiciona la decisió i de les senyals d'alarma que haurien de fer-te descartar un candidat abans de signar res.
Per què l'elecció de proveïdor de ciberseguretat és ara una decisió de negoci
Durant anys, contractar seguretat informàtica s'assemblava a contractar un antivirus: una despesa tècnica, gairebé de manteniment, que es resolia amb l'oferta més barata. Aquella època ha acabat. Les dades del mateix INCIBE descriuen un escenari en què l'amenaça és massiva i sistemàtica, no anecdòtica.
Al Balanç de Ciberseguretat 2025, el programari maliciós va encapçalar la tipologia d'incidents amb 55.411 casos, seguit del frau en línia amb 45.445, dins del qual el phishing va ser la tècnica dominant amb 25.133 incidents registrats. El servei gratuït d'atenció 'Tu Ayuda en Ciberseguridad' (línia 017) va atendre 142.767 consultes al llarg de l'any, un 44,9% més que el 2024. No és sols que hi hagi més atacs: és que més empreses i ciutadans els pateixen i necessiten ajuda urgent.
El que és rellevant per a qui decideix és l'asimetria. Un atacant necessita encertar una sola vegada; el teu proveïdor ha d'encertar sempre. Quan l'INCIBE-CERT va detectar i notificar 237.028 sistemes vulnerables rellevants susceptibles de ser explotats durant el 2025, el que estava descrivint és la superfície d'exposició real de les organitzacions espanyoles. Si el teu partner de seguretat no és capaç de descobrir, prioritzar i corregir vulnerabilitats a aquesta escala, el seu contracte és paper mullat.
A això s'afegeix una bona notícia: hi ha on triar. Segons l'Estudi sobre la Indústria de la Ciberseguretat a Espanya 2025, elaborat per l'INCIBE i CONETIC i presentat el març de 2026, Espanya compta amb 3.431 empreses de ciberseguretat —el 4,47% de les companyies tecnològiques del país—, un sector que va facturar 6.351 milions d'euros el 2024 i empra prop de 165.000 professionals, el 25,5% de l'ocupació TIC espanyola. Espanya és, a més, el quart mercat europeu de ciberseguretat, amb el 12% de la facturació continental, i el sector preveu créixer a una mitjana anual del 14,25% entre el 2026 i el 2029.
La conclusió és incòmoda: l'oferta és enorme i heterogènia. Hi ha des de grans integradors fins a consultores de nínxol i revenedors que a penes aporten valor. Tenir 3.431 proveïdors on triar no facilita la decisió, la complica. Per això necessites un mètode.
Quines certificacions ha de tenir una empresa de ciberseguretat fiable (ENS, ISO 27001, ENAC)?
La primera barrera d'entrada per descartar candidats és objectiva i comprovable: les certificacions. No són un segell decoratiu, són la prova que un tercer independent ha auditat els processos del proveïdor. A Espanya, tres referències concentren gairebé tota la conversa seriosa.
ISO/IEC 27001: l'estàndard de gestió de la seguretat
La certificació ISO/IEC 27001:2022 acredita que l'empresa opera un Sistema de Gestió de Seguretat de la Informació (SGSI), no que faci servir bones eines. La versió vigent de 2022 incorpora 93 controls de l'Annex A organitzats en quatre dominis (organitzatiu, persones, físic i tecnològic). A Espanya, l'emet una entitat de certificació acreditada per l'ENAC (Entitat Nacional d'Acreditació) d'acord amb la norma ISO/IEC 17021-1, segons el marc operat per organismes com AENOR.
Dos detalls que molts compradors passen per alt:
- La certificació es renova cada tres anys i exigeix auditories de vigilància anuals. Una empresa que et mostra un certificat de fa quatre anys sense auditoria intermèdia no està realment certificada.
- El que importa no és sols que el proveïdor estigui certificat, sinó l'abast declarat al seu certificat. Una ISO 27001 l'abast de la qual cobreix únicament "administració interna" no cobreix el servei que et prestaran.
Si la teva organització aspira a certificar-se —o a exigir aquella maduresa al teu proveïdor— convé entendre en detall què implica el procés. A Technova ho abordem al nostre servei d'implantació i certificació ISO 27001, on acompanyem des de l'anàlisi de bretxes fins a l'auditoria final.
Esquema Nacional de Seguretat (ENS): obligatori si treballes amb el sector públic
El Reial Decret 311/2022, de 3 de maig, regula l'Esquema Nacional de Seguretat. És de lectura obligada si la teva empresa presta —o vol prestar— serveis a l'Administració pública, perquè en aquest cas el compliment de l'ENS deixa de ser opcional.
El RD estableix tres categories de seguretat amb exigències diferents:
| Categoria ENS | Forma d'acreditació | Quan s'aplica |
|---|---|---|
| Bàsica | Declaració de conformitat per autoavaluació | Sistemes de menor impacte |
| Mitjana | Certificació formal per entitat acreditada per l'ENAC | Impacte apreciable en serveis o dades |
| Alta | Certificació formal per entitat acreditada per l'ENAC | Impacte molt greu; serveis essencials |
La distinció és crítica a l'hora d'avaluar proveïdors: una declaració de conformitat per autoavaluació (categoria bàsica) no equival a una certificació auditada per un tercer (categories mitjana i alta). Si un proveïdor et diu que "compleix l'ENS" sense precisar la categoria ni qui l'ha certificat, pregunta. La diferència entre autoavaluar-se i ser certificat per una entitat acreditada per l'ENAC és enorme.
El paper de l'ENAC com a garant
Tant en l'ISO 27001 com en l'ENS de categoria mitjana i alta, el nom que atorga credibilitat real és l'ENAC. L'acreditació de l'ENAC és el que garanteix que l'entitat certificadora és competent i imparcial. Un certificat emès per un organisme no acreditat té un valor de mercat molt menor. Comprova sempre que darrere del segell hi ha una entitat acreditada per l'ENAC, no sols un logotip.
Criteris d'avaluació: SOC/MDR 24x7, experiència sectorial i referències verificables
Superat el filtre de certificacions, arriba la part que distingeix un proveïdor que defensa d'un que sols factura. Aquí avalues capacitats operatives reals.
Detecció i resposta contínua: SOC i MDR 24x7
Els atacs no respecten el teu horari laboral. Molts es llancen deliberadament divendres a la tarda, festius o a l'agost, quan els equips interns estan sota mínims. Per això la capacitat de detecció i resposta 24x7 és, avui, el criteri que més separa els proveïdors seriosos de la resta.
Convé distingir conceptes:
- SOC (Security Operations Center): el centre d'operacions que monitora, correlaciona esdeveniments i detecta amenaces de forma contínua.
- MDR (Managed Detection and Response): el servei gestionat que no sols detecta, sinó que respon i conté l'incident en nom teu, amb temps compromesos.
La pregunta clau no és "¿teniu SOC?", sinó "¿què feu a les 3 de la matinada d'un diumenge quan salta una alerta crítica?". Un proveïdor madur respon amb temps de detecció i contenció compromesos per contracte (SLA), no amb bones intencions. Si vols aprofundir en com funciona un servei d'aquest tipus, ho descrivim a la nostra pàgina de SOC i MDR gestionat 24x7.
Experiència sectorial i alineament amb NIS2
Un proveïdor que ha defensat empreses del teu sector coneix les teves amenaces específiques: no és el mateix protegir una indústria amb sistemes OT que una entitat financera o un operador de serveis essencials. Aquesta experiència es demostra amb casos, no amb frases genèriques.
La dada de l'INCIBE reforça la importància d'aquest punt: durant el 2025, l'INCIBE-CERT va atendre 401 incidents en l'àmbit d'operadors essencials i importants, alineats amb el marc de la Directiva NIS2. Si la teva empresa pertany a un dels sectors afectats, necessites un partner que ja operi sota aquella lògica regulatòria, no un que l'estigui descobrint amb tu.
Referències verificables, no testimonis de fullet
Demana referències i, sobretot, verifica-les. No et conformis amb logotips en una web. Sol·licita parlar amb un client real del mateix perfil que el teu, pregunta per la resposta del proveïdor durant un incident concret i comprova la continuïtat de la relació. Un proveïdor que rota de clients cada any té un problema que tard o d'hora serà el teu problema.
Com a resum, aquests són els criteris d'avaluació que recomanem puntuar:
| Criteri | Què verificar | Per què importa |
|---|---|---|
| Cobertura 24x7 | SOC/MDR amb SLA de detecció i resposta | Els atacs no tenen horari |
| Certificacions | ISO 27001 vigent i ENS (si escau), via ENAC | Prova de processos auditats |
| Experiència sectorial | Casos en la teva indústria i sota NIS2 si escau | Amenaces específiques, no genèriques |
| Referències | Clients verificables del mateix perfil | Evidència, no màrqueting |
| Transparència | SLA, escalada i informes per escrit | Defineix què passa en un incident |
| Equip | Perfils i rotació del personal tècnic | La seguretat la fan persones |
NIS2 i ENS: com el marc normatiu condiciona qui pots contractar
Aquí hi ha un punt que moltes empreses descobreixen tard: la normativa no sols t'obliga a tu, també condiciona quins proveïdors són vàlids.
La Directiva NIS2 de la Unió Europea amplia de forma notable el nombre de sectors i entitats obligats a complir requisits de ciberseguretat, classificant-los en entitats "essencials" i "importants". El termini comunitari per a la seva transposició va expirar el 17 d'octubre de 2024 sense que Espanya completés la seva norma de transposició. Per cobrir aquest buit, el Consell de Ministres va aprovar el gener de 2025 l'Avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat, segons va informar el Departament de Seguretat Nacional (DSN) i han analitzat despatxos com ECIJA i associacions com ASEPEC.
El que aquell avantprojecte planteja té conseqüències directes en la selecció de proveïdor: obligarà les entitats essencials a disposar de certificació, i les importants a certificar-se o a realitzar una autoavaluació. Dit d'una altra manera, si la teva empresa cau sota el paraigua NIS2, no podràs externalitzar la teva seguretat en un proveïdor que no pugui demostrar el nivell de maduresa que la llei t'exigirà a tu.
La intersecció amb l'ENS també és rellevant. Si treballes amb l'Administració i gestiones sistemes de categoria mitjana o alta, ja hem vist que el RD 311/2022 exigeix certificació per entitat acreditada per l'ENAC. Combinant tots dos marcs, el missatge per al comprador és clar: comprova que la maduresa certificable del teu proveïdor és igual o superior a la que la normativa t'exigeix a tu. Contractar algú per sota del teu propi nivell de compliment trasllada el risc legal a la teva organització.
Per a una visió integral de com encaixar compliment, detecció i resposta en una estratègia coherent, pots revisar el nostre enfocament global de serveis de ciberseguretat per a empreses.
Preguntes clau que has de fer abans de signar el contracte
Una bona reunió comercial de ciberseguretat hauria d'incomodar lleugerament el proveïdor: si totes les respostes són fàcils, no estàs preguntant prou. Aquestes són les preguntes que millor revelen la maduresa real d'un candidat.
- Quines certificacions teniu vigents i quin n'és l'abast exacte? Demana el certificat, la data de l'última auditoria de vigilància i l'entitat acreditada per l'ENAC que l'emet.
- Com és el vostre SOC i quin SLA de detecció i resposta signeu? Que el compromís de temps quedi per escrit en el contracte, no en la proposta comercial.
- Què passa exactament quan detecteu un incident greu fora d'horari? Demana el procediment d'escalada i qui pren decisions a les 3 de la matinada.
- Qui forma part de l'equip que atendrà el meu compte i quina és la seva rotació? La seguretat l'executen persones; saber qui són i si es queden importa.
- Podeu donar-me una referència verificable d'un client del meu sector? I, després, truca-la.
- Com m'ajudeu a complir NIS2 i/o l'ENS segons el meu cas? Una resposta concreta demostra que coneixen el teu marc regulatori.
- Quins informes rebo, amb quina periodicitat i en quin format? La visibilitat contínua és part del servei, no un extra.
- Què passa en acabar el contracte amb les meves dades, logs i configuracions? La portabilitat i la sortida ordenada han d'estar pactades des del principi.
Si un proveïdor respon a aquestes vuit preguntes amb concreció i per escrit, estàs davant d'un candidat seriós. Si respon amb generalitats, màrqueting o evasives, ja tens informació valuosa.
Senyals d'alarma: quan descartar un proveïdor de ciberseguretat
Tan important com saber què buscar és saber què ha de fer-te sortir corrents. Aquestes són les senyals d'alarma més fiables que veiem en auditar contractes de seguretat.
- Certificacions imprecises o caducades. "Estem en procés de certificació" repetit durant anys, certificats sense auditoria de vigilància o segells d'entitats no acreditades per l'ENAC.
- Promeses de seguretat total. Ningú seriós garanteix el 100% de protecció. Qui promet que "mai patirà un atac" no entén el problema o t'està enganyant.
- Manca d'SLA per escrit. Si els temps de detecció i resposta no apareixen al contracte, no existeixen. Les bones intencions no es reclamen davant d'un jutge.
- Opacitat sobre l'equip i la subcontractació. Si no volen dir-te qui operarà la teva seguretat ni si subcontracten el SOC a un tercer, assumeix el pitjor.
- El preu com a únic argument. En ciberseguretat, el barat sovint significa monitoratge automatitzat sense analistes al darrere. L'estalvi s'evapora en el primer incident real.
- Absència de referències verificables. Logotips a la web però cap client amb qui puguis parlar. El silenci és una resposta.
- Desconeixement del marc normatiu. Un proveïdor que no sap explicar-te com l'afecten NIS2 o l'ENS no podrà ajudar-te a complir-los.
Cadascuna d'aquestes senyals, per separat, justifica una conversa incòmoda. Dues o més juntes justifiquen descartar el candidat.
Conclusió: converteix l'elecció en un procés, no en una corazonada
Amb 122.223 incidents gestionats per l'INCIBE el 2025 i més de 3.400 proveïdors competint al mercat espanyol, triar empresa de ciberseguretat no pot dependre d'una bona reunió comercial ni del preu més baix. La decisió correcta neix d'un mètode: filtrar per certificacions verificables (ISO 27001 i ENS via ENAC), avaluar capacitats operatives reals (SOC/MDR 24x7, experiència sectorial i referències contrastades), alinear la maduresa del proveïdor amb les teves obligacions sota NIS2 i l'ENS, i fer les preguntes que separen qui defensa de qui sols factura.
Si estàs iniciant aquest procés i vols una base de treball, descarrega la nostra checklist de preparació per a la ISO 27001: t'ajudarà a mesurar la teva pròpia maduresa abans d'exigir-la a un tercer. I si prefereixes que t'acompanyem a avaluar, contractar o auditar el teu partner de seguretat, parla amb l'equip de Technova Partners: t'ajudarem a convertir una decisió de risc en una decisió informada.
