Las dependencias y entidades de la Administración Pública Federal estarán obligadas a reportar cualquier incidente grave de ciberseguridad en un plazo máximo de 24 horas, una vez que haya sido detectado, conforme a la nueva Política General de Ciberseguridad para la APF.
Los reportes deberán enviarse al CSIRT Nacional de la APF, que fungirá como instancia central de recepción, análisis y coordinación de la respuesta ante ciberataques que comprometan sistemas, información o servicios públicos.
La medida busca acortar los tiempos de reacción del Estado, evitar la propagación de ataques entre dependencias y reducir el impacto sobre datos sensibles y la operación gubernamental.
El documento establece que las instituciones deberán detectar, evaluar y clasificar los incidentes conforme a su nivel de severidad. Aquellos considerados críticos, por afectar infraestructura esencial, bases de datos sensibles o la continuidad de servicios, deberán notificarse de inmediato y en ningún caso después de 24 horas.
El reporte permitirá al CSIRT Nacional coordinar acciones técnicas, emitir alertas preventivas y, en su caso, apoyar la contención del ataque.
La política no crea una nueva autoridad, pero refuerza la centralización de la respuesta en el CSIRT Nacional de la APF, que concentrará la información de incidentes, identificará patrones de ataque y coordinará respuestas interinstitucionales.
Esto busca evitar respuestas aisladas y mejorar la visibilidad del riesgo cibernético a nivel federal.
Cada institución deberá designar un Responsable Institucional de Ciberseguridad, quien será el encargado de asegurar la detección oportuna, el reporte en tiempo y la coordinación interna ante incidentes.
La figura elimina ambigüedades sobre quién debe actuar y rendir cuentas en caso de ataques.
La política obliga a implementar controles mínimos de seguridad, como respaldos, control de accesos, actualización de sistemas y planes de recuperación, con el objetivo de reducir la frecuencia y severidad de los incidentes que deban ser reportados.
Las dependencias deberán realizar evaluaciones periódicas de madurez en ciberseguridad, lo que permitirá identificar brechas, priorizar inversiones y anticipar riesgos antes de que deriven en incidentes críticos.
El documento reconoce al factor humano como un riesgo clave y establece programas continuos de capacitación obligatoria para servidores públicos, especialmente para prevenir ataques como phishing y robo de credenciales.
Comenta y síguenos en X: @Adri_Telecom / @Energy21Mx
