El Gobierno de México formalizó la Política General de Ciberseguridad para la Administración Pública Federal (APF) tras su publicación en el Diario Oficial de la Federación (DOF), con lo que el plan anunciado a finales de 2025 pasa de ser una hoja de ruta a una obligación administrativa con plazos y responsables definidos.
El acuerdo fue emitido por José Antonio Peña Merino, titular de la Agencia de Transformación Digital y Telecomunicaciones (ATDT), y establece reglas para proteger la información, los sistemas y las comunicaciones del gobierno federal.
La medida da seguimiento a lo presentado el 4 de diciembre de 2025 durante el lanzamiento del Plan Nacional de Ciberseguridad 2025-2030, encabezado por la Dirección General de Ciberseguridad.
Uno de los puntos clave es que, en un plazo máximo de 60 días naturales, todas las dependencias y entidades federales deberán designar a un Titular Institucional en Materia de Ciberseguridad y a un Responsable Institucional de Ciberseguridad (RIC), quienes fungirán como enlaces técnicos y de coordinación.
Además, en 180 días, la ATDT deberá emitir los lineamientos técnicos, criterios de cumplimiento y formatos oficiales para la implementación de la política.
La política es obligatoria para dependencias, órganos desconcentrados y entidades de la APF, con excepción de la Secretaría de la Defensa Nacional, la Secretaría de Marina y el Centro Nacional de Inteligencia, únicamente en lo relacionado con seguridad nacional.
Cada institución deberá contar con un Plan Institucional de Ciberseguridad, el cual será elaborado y actualizado por el RIC, quien también deberá monitorear y reportar incidentes, así como coordinar acciones de mejora continua.
El documento plantea un cambio hacia una arquitectura federal de ciberseguridad, organizada en ocho ejes estratégicos que incluyen gobernanza, gestión de riesgos, identidad digital, cadena de suministro, talento e innovación.
Entre las medidas destacan la adopción de enfoques como Zero Trust y el uso de autenticación multifactor para reducir riesgos por robo de credenciales.
En materia de respuesta a incidentes, se contempla la creación del CSIRT Nacional-APF, encargado de coordinar la atención de ataques y exigir que los incidentes críticos se reporten en menos de 24 horas, así como un CSOC Nacional Federado, que operará como centro de monitoreo permanente 24/7.
Con esta publicación, el gobierno federal establece un marco común para enfrentar amenazas digitales.
El reto inmediato será la emisión de los lineamientos técnicos y la capacidad de cada dependencia para demostrar su cumplimiento en futuras evaluaciones y auditorías.
