Tras la publicación en el DOF, la Agencia de Transformación Digital y Telecomunicaciones asume la vigilancia de la nueva Política General de Ciberseguridad y obliga a dependencias federales a cumplir plazos, designar responsables y prepararse para auditorías en la APF

La política ya es obligatoria para dependencias federales, establece responsables, plazos claros y nuevos mecanismos de coordinación, las entidades deberán designar titulares de ciberseguridad y preparar planes institucionales — El Gobierno de México formalizó la Política General de Ciberseguridad para la Administración Pública Federal (APF) con su publicación en el Diario Oficial de la Federación (DOF), con lo que el plan anunciado semanas atrás se convierte en una obligación administrativa para las dependencias federales, de acuerdo con El Economista.

El acuerdo fue emitido por José Antonio Peña Merino, titular de la Agencia de Transformación Digital y Telecomunicaciones (ATDT), con base en sus atribuciones para definir protocolos de seguridad de la información y las comunicaciones, así como para emitir instrumentos normativos y operativos aplicables en el gobierno federal.

Te puede interesar: Tras la aprobación del registro de líneas celulares habrá número límite por cada usuario a menos que demuestres ante el SAT que requieres más líneas

México

¿Tienes una suscripción online? Nuevas reglas entrarán en vigor este 13 de diciembre sobre cobros automaticos, todo lo que debes saber

De anuncio a obligación oficial

La publicación en el DOF concreta lo adelantado el 4 de diciembre de 2025, durante la presentación del Plan Nacional de Ciberseguridad 2025-2030, cuando la Dirección General de Ciberseguridad, encabezada por Karla Heidy Rocha Ruiz, informó que la política general para la APF estaba “próxima a ser publicada”.

Con el acuerdo ya vigente, inicia el ciclo de implementación institucional, con responsabilidades formales, plazos definidos y mecanismos de supervisión.

Quién vigilará el cumplimiento

El acuerdo establece que la Dirección General de Ciberseguridad será la unidad responsable de:

• Dar seguimiento a ejes estratégicos, metas y acciones
• Vigilar el cumplimiento de la política
• Realizar evaluaciones y auditorías a dependencias y entidades federales

Además, se prevé una plataforma de comunicación para mantener contacto permanente entre la autoridad y los responsables institucionales de ciberseguridad.

Plazos que presionan la ejecución

La política fija dos plazos clave para su puesta en marcha:

• En un máximo de 180 días naturales, la ATDT deberá emitir lineamientos técnicos, criterios de cumplimiento y formatos oficiales
• En 60 días naturales, las dependencias y entidades deberán designar formalmente a un Titular Institucional en Materia de Ciberseguridad y a su Auxiliar, y notificarlo por escrito a la ATDT

Estos tiempos marcan el ritmo de implementación y serán determinantes para futuras revisiones y auditorías.

A quién aplica y qué cambia en la operación

La política es de observancia obligatoria para dependencias, órganos desconcentrados y entidades de la APF, con excepción de la Secretaría de la Defensa Nacional, la Secretaría de Marina y el Centro Nacional de Inteligencia, únicamente en lo que refiere a seguridad nacional y a sus actividades propias.

En el diseño operativo, cada institución deberá contar con un Responsable Institucional de Ciberseguridad (RIC), preferentemente distinto al titular del área de tecnologías de la información, quien fungirá como enlace técnico y de coordinación con la autoridad federal.

El documento establece que los titulares institucionales deberán:

México

¿Tienes una suscripción online? Nuevas reglas entrarán en vigor este 13 de diciembre sobre cobros automaticos, todo lo que debes saber

• Designar al RIC
• Aprobar un Plan Institucional de Ciberseguridad

Mientras que el RIC tendrá como funciones:

• Elaborar y actualizar el plan
• Coordinar su ejecución
• Monitorear y reportar incidentes
• Gestionar procesos de autoevaluación y mejora continua

De una defensa fragmentada a una arquitectura federal

La política plantea un marco común organizado en ocho ejes estratégicos, que van desde gobernanza y gestión de riesgos hasta identidad digital, cadena de suministro, talento e innovación.

Entre los enfoques que se impulsan destacan Zero Trust y la autenticación multifactor, con el objetivo de reducir riesgos por credenciales comprometidas y accesos no autorizados.

Respuesta a incidentes y monitoreo permanente

En materia de respuesta a incidentes, la política define dos estructuras centrales:

El CSIRT Nacional-APF, encargado de establecer protocolos de notificación, una matriz de severidad y una regla clara: los incidentes críticos deberán reportarse en menos de 24 horas. Este equipo coordinará acciones de contención y recuperación y emitirá alertas y playbooks para escenarios como ransomware o ataques DDoS.

El CSOC Nacional Federado, concebido como un centro de monitoreo 24/7, con funciones de correlación de eventos, alertamiento, caza de amenazas y emisión de boletines de inteligencia y directivas de contención.

Lo que sigue tras la publicación

Con su entrada en vigor, la política de ciberseguridad del gobierno federal deja de ser solo una guía y se convierte en una exigencia formal, con plazos, responsables y reglas técnicas por definir.

El siguiente punto crítico será la emisión de los lineamientos técnicos en 180 días y la capacidad de cada dependencia para demostrar su cumplimiento durante auditorías federales, en un entorno donde la protección de la información pública se vuelve un eje central de la operación gubernamental.

Te puede interesar: Ya es oficial: el gobierno sancionará como falta grave la intervención de servidores públicos en sindicatos, mientras entra en vigor la reforma que garantiza la autonomía sindical