Inicio » Ley de Ciberseguridad en México 2026: la iniciativa Colosio-MORENA y obligaciones del CISO

Senado · LXVI Legislatura Iniciativa · S2-2026

Ley de Ciberseguridad en México

Iniciativa Colosio-MORENA · 64 artículos · 10 títulos · Agencia Nacional · RICI · publicación esperada en el DOF durante el segundo semestre de 2026.

La primera ley federal de ciberseguridad de México llegará en S2-2026

Presentada en el Senado el 30 de abril de 2025 por Luis Donaldo Colosio Riojas (Movimiento Ciudadano) y la senadora Lucía Trasviña Waldenrath (Morena), la iniciativa Ley de Ciberseguridad crea la Agencia Nacional de Ciberseguridad y el Registro de Infraestructuras Críticas de la Información, obliga a operadores y sujetos regulados a designar un responsable formal de ciberseguridad, y establece un régimen administrativo sancionable con multas, suspensión de operaciones e inhabilitación para prestar servicios esenciales.

Esta guía analiza los 64 artículos, los 9 transitorios y la hoja de ruta operativa que un CISO mexicano debe activar en los próximos doce meses para anticipar el cumplimiento.

Símbolo editorial de la Ley de Ciberseguridad: documento legal con overlay digital

Qué necesita saber en 2 minutos

  • Iniciativa bipartidista. Firmada por Luis Donaldo Colosio Riojas (Movimiento Ciudadano) y Lucía Trasviña Waldenrath (Morena). No es un proyecto de oposición — tiene piso político en el grupo mayoritario.
  • Reglamenta los artículos 1, 6 y 28 de la Constitución. Encuadra ciberseguridad como derecho humano digital y como condición de las áreas estratégicas de la Nación.
  • Crea la Agencia Nacional de Ciberseguridad (ANCS). Organismo descentralizado civil, autonomía técnica y operativa. No invade competencias de SEDENA/SEMAR en ciberdefensa militar. Director nombrado por el Presidente y ratificado por el Senado.
  • Designar un responsable de ciberseguridad es obligatorio. El artículo 18 lo aplica a las cinco categorías de sujetos obligados; el artículo 36 fr III lo exige específicamente para operadores con poder de coordinar respuesta y comunicación con la Agencia.
  • Tres niveles de criticidad con obligaciones diferenciadas (art 30): alta criticidad obliga a evaluación continua de riesgos, auditorías anuales y notificación inmediata; media y baja, escalado proporcional.
  • El plazo de “72 horas” no está en el texto. La Ley fija “notificación oportuna y proporcionada” (art 26) y delega el plazo concreto a protocolos secundarios que emitirá la propia Agencia. El único plazo en horas dentro de la Ley es de 24 horas — pero es de la Agencia hacia los tres órdenes de gobierno (art 41), no de empresas hacia la Agencia.

Status legislativo: lo que ya pasó y lo que viene

Esta tabla se actualiza conforme avanza el proceso en el Senado.

HitoFechaEstatus
Presentación de la iniciativa en el Senado30 abril 2025✓ Realizado
Turno a comisiones (Justicia · Derechos Digitales · Estudios Legislativos Segunda)mayo 2025✓ Realizado
Dictamen en comisionesQ3-Q4 2025En curso
Votación en pleno del SenadoQ1-Q2 2026 (estimado)Pendiente
Cámara revisora (Diputados)Q2-Q3 2026 (estimado)Pendiente
Publicación en el DOFSegundo semestre 2026 (esperado)Pendiente
Designación Director General ANCS (Transitorio 2°-3°)Hasta 180 días post-publicaciónPendiente
Publicación del RICI (Transitorio 4°)+90 días post-DirectorPendiente
Programa de implementación gradual (Transitorio 5°)+180 días post-DirectorPendiente
Reglamentación, lineamientos y protocolos (Transitorio 8°)12 meses post-vigenciaPendiente

Lectura para CISOs: entre publicación del DOF y exigibilidad operativa hay entre 12 y 18 meses. Si la Ley publica en S2-2026, las obligaciones operativas mordieron tu organización en algún punto de S2-2027 a Q1-2028. Ese es el plazo real de preparación.

¿Qué es la Ley de Ciberseguridad?

Es la primera ley federal mexicana que ordena de forma integral la gobernanza de ciberseguridad: crea una autoridad nacional, define infraestructuras críticas, distribuye obligaciones entre sectores y establece un régimen sancionatorio administrativo. Su nombre exacto en la gaceta del Senado es Ley de Ciberseguridad — no “Federal” ni “General” como circula en algunos medios.

Origen y autoría

La iniciativa fue presentada el 30 de abril de 2025 en el Salón de Sesiones del Senado por Luis Donaldo Colosio Riojas (Grupo Parlamentario de Movimiento Ciudadano) y la senadora Lucía Trasviña Waldenrath (Grupo Parlamentario de Morena). La construcción técnica reconoce explícitamente el apoyo de la Dra. Anahiby Becerril, de la Academia Mexicana de Ciberseguridad, y del Lic. Ricardo Navarrete. Esta combinación — oposición moderada + grupo mayoritario + academia especializada — explica por qué la propuesta tiene una probabilidad de avance sustancialmente mayor a las cinco iniciativas previas que fracasaron entre 2015 y 2024.

Fundamento constitucional

La Ley reglamenta los artículos 1, 6 y 28 de la Constitución Política de los Estados Unidos Mexicanos:

  • Artículo 1: deber del Estado de respetar, proteger y garantizar los derechos humanos — extendido al entorno digital.
  • Artículo 6: derecho al acceso a Internet y a las TIC — no se agota en provisión, exige disponibilidad segura.
  • Artículo 28: protección de las áreas estratégicas de la Nación (energía, telecomunicaciones, transporte, financiero, salud).

Lo que la Ley deliberadamente excluye

La iniciativa no incorpora tipos penales de ciberdelincuencia. La razón es técnica: el derecho penal es de reserva estricta y los delitos informáticos ya están tipificados en los artículos 211 bis 1 al 211 bis 7 del Código Penal Federal. El Transitorio Noveno ordena armonizar el CPF en un plazo de 180 días, ampliando el catálogo con conductas que hoy no están penalizadas: ciberacoso escolar y laboral, ataques a infraestructura crítica, suplantación en sistemas biométricos, criptominería no autorizada, secuestro de información mediante uso ilícito de cifrado, y uso no ético de IA para fabricar imágenes o videos.

Anatomía de la Ley: 10 títulos, 64 artículos

Título I — Disposiciones Generales

Arts 1-4. Objeto, glosario de 41 términos (incluye Activo crítico, ICI, RICI, Operadores, Sujetos Obligados) y 20 principios rectores. El principio de respuesta mesurada y no ofensiva (art 4 fr XVI) prohíbe represalias o intervenciones ofensivas en sistemas ajenos.

Título II — Agencia Nacional de Ciberseguridad

Arts 5-14. Naturaleza, atribuciones, Consejo Nacional, Dirección General, patrimonio, profesionalización del personal y régimen de incompatibilidades.

Título III — Promoción de la Ciberseguridad

Arts 15-23. Estrategia Nacional, intercambio de información crítica, designación del enlace especializado en ciberseguridad (art 18), auditorías técnicas a entes del RICI, protocolos de respuesta.

Título IV — Derechos Digitales

Arts 24-26. Doce derechos digitales: privacidad y datos biométricos, infancia, libertad de expresión con neutralidad de red, cifrado y anonimato no negables, divulgación responsable de vulnerabilidades, protección frente a vigilancia masiva, decisiones algorítmicas equitativas y derecho al olvido. Art 26: obligación de notificación de incidentes.

Título V — Prevención en el Ámbito Digital

Arts 27-42. Núcleo regulatorio. Clasificación de operadores (OSE, ICI, SDR), tres niveles de criticidad con obligaciones diferenciadas, medidas mínimas, planes de respuesta, auditorías bienales, formación continua y notificación temprana de ciberamenazas (24 h Agencia → gobierno).

Título VI — CERT

Arts 43-46. Crea el CERT Nacional y obliga a los sectores de alta y media criticidad a constituir CERT sectoriales coordinados, con auditorías técnicas externas cada dos años y cooperación con FIRST y CSIRT Américas.

Título VII — Sistema Nacional de Ciberseguridad

Arts 47-49. Mecanismo de coordinación entre los tres órdenes de gobierno, sector privado, academia y sociedad civil.

Título VIII — Cooperación Internacional y Ciberdiplomacia

Arts 50-53. Marca el ingreso formal de México al Convenio de Budapest y a la Convención ONU contra la Ciberdelincuencia (aprobada por la Asamblea General en diciembre de 2024).

Título IX — Alfabetización Digital

Arts 54-58. Cierre de brecha digital, programas de certificación y profesionalización en gestión de riesgos digitales.

Título X — Supervisión y Sanciones

Arts 59-64. Régimen sancionatorio administrativo: cuatro tipos de infracción, cuatro tipos de sanción (amonestación, multa proporcional, suspensión temporal, inhabilitación por reincidencia grave). Sin montos en pesos — quedan a reglamentación secundaria.

La Agencia Nacional de Ciberseguridad (ANCS)

Es la pieza central de la arquitectura institucional. La ANCS será un organismo público descentralizado, con personalidad jurídica y patrimonio propios, dotado de autonomía técnica, operativa, administrativa y de gestión. Opera estrictamente en el ámbito civil: no invade competencias de las Fuerzas Armadas en seguridad nacional ni en ciberdefensa militar — esta distinción explícita es lo que diferencia esta iniciativa de propuestas previas que generaron fricción institucional.

Gobernanza

La instancia normativa será el Consejo Nacional de Ciberseguridad, presidido por la Secretaría de Seguridad y Protección Ciudadana (SSPC) e integrado por nueve dependencias: Gobernación, Infraestructura/Comunicaciones/Transportes, Anticorrupción y Buen Gobierno, SEDENA, SEMAR, Relaciones Exteriores, FGR y la Agencia de Transformación Digital y Telecomunicaciones. Sociedad civil, sector privado y academia participan con voz pero sin voto. Sesionará al menos dos veces al año.

Director General

Propuesto por la persona Presidente y ratificado por el Senado de la República (art 8). Requisitos mínimos (art 9): nacionalidad mexicana por nacimiento, entre 35 y 70 años, mínimo diez años de experiencia en ciberseguridad, gestión de riesgos tecnológicos, ICI o gobernanza digital, y conocimientos acreditados en estándares internacionales y derechos humanos. Dedicación exclusiva con excepción de cargos docentes hasta 12 horas semanales.

Atribuciones críticas para el sector privado

  • Establecer y mantener el RICI (Registro de Infraestructuras Críticas de la Información) — su inclusión convierte a una organización en operador de alta criticidad con obligaciones reforzadas.
  • Solicitar información a operadores y, en incidentes de impacto significativo, solicitar acceso a redes y sistemas mediante resolución fundada y motivada del Director General (art 7 fr VIII).
  • Proponer sanciones administrativas tras inspecciones y auditorías de cumplimiento.
  • Cooperar técnicamente con el Ministerio Público en preservación de evidencia digital y asistencia a investigaciones de delitos cibernéticos.

Sujetos obligados y tres niveles de criticidad

El artículo 3 fracción XXXIX define cinco categorías de sujetos obligados. El artículo 30 las cruza con tres niveles de criticidad. Esta es la tabla más importante del marco regulatorio:

¿Quiénes son sujetos obligados? (art 3 fr XXXIX)

  1. Operadores de Servicios Esenciales (OSE): entidades públicas o privadas indispensables para funciones sociales, económicas, sanitarias, financieras o de seguridad pública.
  2. Administradores de Infraestructuras Críticas de Información: entidades que operan sistemas estratégicos cuya vulneración compromete estabilidad, seguridad nacional u orden público.
  3. Proveedores de Servicios Digitales Relevantes: plataformas tecnológicas, servicios en la nube, motores de búsqueda, redes sociales y servicios de alojamiento con impacto significativo.
  4. Dependencias de los tres órdenes de gobierno.
  5. Entidades privadas con información estratégica o datos personales sensibles en volúmenes o niveles de riesgo relevantes — aunque no operen servicios esenciales.

Niveles de criticidad y obligaciones (art 30)

NivelQuiénesObligaciones operativas
Alta criticidadICI + OSE estratégicos
  • Evaluación continua de riesgos
  • Auditorías anuales de ciberseguridad
  • Planes de contingencia y recuperación
  • Notificación inmediata de incidentes a la ANCS
  • CERT sectorial obligatorio
Criticidad mediaOSE no estratégicos + SDR grandes
  • Políticas internas de ciberseguridad
  • Evaluación periódica de riesgos
  • Notificación de incidentes significativos en plazos razonables
  • CERT sectorial obligatorio
Baja criticidadOtros SDR de menor escala
  • Medidas básicas
  • Protocolos de notificación simplificados

La clasificación se revisa cada dos años o ante cambios significativos (art 31). Esto convierte la criticidad en una variable activa: una empresa que crece su huella de datos puede saltar de baja a media y quedar sujeta a auditorías externas que antes no tenía.

Obligaciones del CISO mexicano bajo la nueva Ley

La Ley designa formalmente dos figuras: el enlace especializado en ciberseguridad (art 18, aplicable a las cinco categorías de sujetos obligados) y la persona responsable de ciberseguridad (art 36 fr III, específico de operadores). Funcionalmente convergen en el rol del CISO, con responsabilidad escalonada por criticidad.

Checklist operativo derivado de la Ley

  1. Designación formal del CISO con acta o policy interna citando art 18 y/o art 36 fr III.
  2. Determinación de criticidad de la organización (alta · media · baja) según el art 30 — antes de que la Agencia la determine por usted.
  3. Evaluación de riesgos documentada (anual para alta y media criticidad; autoevaluación anual para baja — art 37).
  4. Auditoría externa de ciberseguridad al menos cada dos años, conforme a estándares internacionales (ISO 27001, NIST CSF, equivalentes), con resultados remitidos a la ANCS.
  5. Plan de respuesta a incidentes con procedimientos de notificación y recuperación documentados (art 36 fr I).
  6. Canales seguros de comunicación con la ANCS para reportar incidentes (art 36 fr II).
  7. Capacitación continua del personal con foco en cultura, ética digital y gestión de riesgos (art 33 fr II.a y art 38).
  8. Procedimiento de análisis post-incidente con identificación de causa raíz y mejora de medidas preventivas (art 36 fr IV).
  9. Plan de continuidad operativa y resiliencia conforme a estándares internacionales (art 23, art 30 fr I).
  10. Interoperabilidad segura con otros operadores y con el CERT Nacional / CERT sectorial (art 39).
  11. Mecanismo de divulgación responsable de vulnerabilidades con confidencialidad del notificante (art 29, art 25 fr VIII).
  12. Procedimiento de notificación a personas afectadas tras incidente significativo (art 7 fr V, art 25 fr IX).

El mito de las “72 horas”

Varias publicaciones afirman que la Ley fija un plazo de 72 horas para reportar incidentes. Eso no está en el texto. El artículo 26 obliga a notificar de forma oportuna y proporcionada conforme a los protocolos que emita la Agencia. El único plazo en horas dentro del articulado es el del artículo 41 — 24 horas — pero corre en sentido inverso: de la Agencia hacia las autoridades de los tres órdenes de gobierno, no de las empresas hacia la Agencia. Cuando algún consultor le venda preparación para “el plazo de 72 horas de la Ley”, verifique. El plazo concreto vendrá en la reglamentación secundaria, que la propia ANCS publicará dentro de los doce meses siguientes a la entrada en vigor (Transitorio Octavo).

RICI: el Registro de Infraestructuras Críticas de la Información

El RICI es uno de los instrumentos más consecuentes de toda la Ley. Es la base de datos administrada por la Agencia que identifica, clasifica y mantiene actualizado el inventario de activos, sistemas, redes y servicios cuyo funcionamiento es esencial para la prestación de servicios esenciales y la seguridad nacional (art 3 fr XXXI). Su inclusión convierte a una organización en sujeto de auditorías técnicas y organizativas periódicas a cargo de la propia Agencia (art 22).

Plazo de creación

El Transitorio Cuarto fija 90 días naturales, contados desde la designación de la Dirección General de la ANCS, para que el RICI quede elaborado. Esto significa que en términos prácticos, asumiendo publicación DOF en S2-2026 y designación de Director en los primeros 180 días posteriores, el RICI debe estar operativo aproximadamente en Q1-Q2 de 2027.

Criterios de inclusión (art 28)

  • Volumen e importancia del servicio o sistema.
  • Grado de interdependencia con otros sectores críticos.
  • Potencial impacto económico, social, sanitario o de seguridad pública.
  • Sensibilidad de los datos o información gestionada.
  • Posición de mercado y dependencia poblacional respecto al servicio.
  • Áreas estratégicas definidas en el artículo 28 constitucional.

Si su organización opera en energía, telecomunicaciones, transporte, sistema financiero o salud, asuma que está en el RICI y empiece a documentar los controles que la ANCS pedirá durante una auditoría técnica. La determinación final será de la Agencia, pero el costo de no estar listo es asimétrico.

Régimen sancionatorio (arts 59-64)

El Título X delimita un régimen estrictamente administrativo. Las sanciones penales correspondientes a delitos cibernéticos quedan reservadas al Código Penal Federal y son competencia exclusiva del Ministerio Público y los tribunales.

Cuatro infracciones administrativas (art 61)

  1. Incumplir las obligaciones de ciberseguridad previstas en la Ley.
  2. Omitir la notificación de incidentes en los términos y plazos establecidos.
  3. Obstaculizar las labores de supervisión de la Agencia.
  4. No implementar las medidas de seguridad requeridas.

Cuatro sanciones graduables (art 62)

  1. Amonestación pública o privada.
  2. Multa económica proporcional al daño o riesgo generado.
  3. Suspensión temporal de operaciones relativas a servicios críticos.
  4. Inhabilitación para prestar servicios esenciales en caso de reincidencia grave.

Las sanciones se imponen atendiendo a gravedad de la infracción, nivel de riesgo y daño generado para infraestructura crítica o derechos fundamentales, reincidencia y grado de colaboración con las autoridades (art 63). Las resoluciones son impugnables mediante los medios de defensa previstos en la legislación administrativa aplicable (art 64).

La iniciativa no fija montos en pesos ni en UMAs — toda cuantificación pasa a la reglamentación secundaria. Cualquier publicación que afirme “multas de X a Y pesos” está extrapolando. La sanción operativamente más severa para un operador no es la multa: es la inhabilitación para prestar servicios esenciales, equivalente a una expulsión del mercado regulado.

Plan Nacional 2025-2030 × Ley de Ciberseguridad: cómo convergen

Son piezas complementarias, no competidoras. La Política General de Ciberseguridad para la APF, publicada en el Diario Oficial el 18 de diciembre de 2025, ya es vinculante. La Ley, una vez publicada, la convertirá de marco aspiracional en exigible — y la extenderá del sector público al sector privado regulado.

DimensiónPlan Nacional 2025-2030Ley de Ciberseguridad
NaturalezaPolítica pública (Acuerdo en DOF)Ley federal con régimen administrativo sancionable
VigenciaDesde 18 dic 2025Esperada S2-2026
AudienciaAdministración Pública FederalAPF + sector privado regulado + dependencias 3 órdenes
Eje rector4 ejes macro · 8 ejes de implementación APF10 títulos · 64 artículos · ANCS + RICI
AutoridadDistribuida entre dependenciasAgencia Nacional de Ciberseguridad
Designación CISORecomendadaObligatoria (art 18, art 36 fr III)
AuditoríasInternas según madurezExternas bienales para alta y media criticidad (art 37)
Reporte de incidentesVía mecanismos APFA la ANCS conforme a protocolos secundarios (art 26)
SancionesRégimen de responsabilidades administrativasRégimen propio: amonestación · multa · suspensión · inhabilitación

Si su organización ya está alineada al Plan Nacional, parte con ventaja sustancial frente a la Ley. La guía CISO del Plan Nacional 2025-2030 cubre los ocho ejes operativos que la Ley convertirá en obligatorios para el sector regulado.

Hoja de ruta del CISO: 12 meses para la Ley de Ciberseguridad

Tomando como referencia publicación esperada DOF en S2-2026, este es el plan secuencial que recomendamos a CISOs y direcciones de tecnología en operadores regulados.

Mes 0 a 3 — Diagnóstico estructural

  • Mapeo de activos críticos y candidatos a inclusión en RICI.
  • Auto-clasificación de criticidad (alta · media · baja) según art 30.
  • Gap analysis contra ISO 27001 / NIST CSF 2.0 como base mínima de medidas (art 32-33).
  • Identificación del responsable CISO de jure y su línea de reporte al consejo.

Mes 3 a 6 — Plan IR y políticas internas

  • Plan de respuesta a incidentes documentado con flujos de notificación y recuperación.
  • Canal seguro de comunicación con la futura Agencia (cifrado, no público).
  • Política interna de ciberseguridad aprobada por el consejo con anclaje explícito al art 33.
  • Programa de capacitación continua del personal con calendario y métricas.

Mes 6 a 9 — Auditoría externa y certificación

  • Selección de auditor externo acreditado.
  • Auditoría de ciberseguridad conforme a estándares internacionales.
  • Plan de remediación priorizado contra los hallazgos.
  • Si aún no está, inicio de proceso de certificación ISO 27001 o equivalente sectorial.

Mes 9 a 12 — Resiliencia y simulacros

  • Pruebas de plan de continuidad con simulacros de incidente.
  • Validación de RTO / RPO contra niveles esperados de servicio esencial.
  • Mecanismo formal de divulgación responsable de vulnerabilidades (art 29).
  • Procedimiento documentado de notificación a personas afectadas (art 25 fr IX).

Profundice por tema

Estos artículos especializados se publicarán conforme avance el proceso legislativo. Suscríbase al Observatorio Legislativo más abajo para recibirlos en cuanto estén disponibles.

Preguntas frecuentes

¿La Ley de Ciberseguridad ya está vigente?

No. Está en fase de iniciativa en el Senado de la República desde el 30 de abril de 2025. La publicación en el Diario Oficial de la Federación se espera durante el segundo semestre de 2026.

¿La Ley impone un plazo de 72 horas para reportar incidentes?

No. El artículo 26 habla de notificación “oportuna y proporcionada” y delega el plazo concreto a los protocolos secundarios que emitirá la Agencia. El único plazo en horas dentro del articulado es el del artículo 41 — 24 horas — pero corre de la Agencia hacia las autoridades de gobierno, no de las empresas hacia la Agencia.

¿Cuánto pueden costar las multas?

La Ley no fija montos en pesos ni en UMAs. El artículo 62 establece “multa económica proporcional al daño o riesgo generado”, y la cuantificación queda a la reglamentación secundaria. Cualquier cifra concreta que circule hoy es especulación.

¿Aplica a PyMEs?

Depende del tipo de servicio y la sensibilidad de la información que procesen. Una PyME que opere infraestructura crítica de información o procese datos personales sensibles en volúmenes relevantes (art 3 fr XXXIX inciso e) está sujeta a la Ley, aunque con obligaciones proporcionales a su nivel de criticidad (art 30 fr III: medidas básicas y notificación simplificada).

¿Qué pasa si la Ley no se publica en 2026?

El Plan Nacional 2025-2030 sigue vigente y las obligaciones para la APF se mantienen. El sector privado conserva los marcos sectoriales preexistentes (CNBV para financiero, IFT para telecomunicaciones, CNH para hidrocarburos, LFPDPPP para datos personales). La Ley unifica y eleva el estándar, pero no es la única norma aplicable.

¿Mi organización quedará automáticamente en el RICI?

No. La Agencia construirá el RICI en los 90 días posteriores a la designación del Director General, conforme a los criterios del artículo 28. Las organizaciones en sectores estratégicos del artículo 28 constitucional (energía, telecomunicaciones, transporte, financiero, salud) son candidatas naturales, pero la determinación final es de la Agencia.

¿La Agencia puede acceder a mis sistemas?

Solo bajo condiciones específicas. El artículo 7 fracción VIII permite a la Agencia solicitar acceso a redes y sistemas en casos de incidentes de impacto significativo, mediante resolución fundada y motivada del Director General y con notificación inmediata a la entidad requerida. Aplica exclusivamente a infraestructuras críticas y operadores de servicios esenciales, y respeta las competencias de las autoridades judiciales.

¿Hay sanciones penales por incumplir la Ley?

No directamente. La Ley es un régimen administrativo. Las sanciones penales corresponden al Código Penal Federal y son competencia del Ministerio Público y los tribunales. La armonización con el CPF (Transitorio Noveno) ampliará el catálogo de delitos cibernéticos.

¿Su organización está lista para la Ley de Ciberseguridad?

Suscríbase al Observatorio Legislativo de Ciberseguridad de QMA. Recibirá una actualización cada dos semanas con el avance del proceso, análisis de las modificaciones que vaya sufriendo el texto y nuevas guías operativas para CISOs mexicanos.

Descargue gratis: Checklist Art-18/36 — Readiness del CISO mexicano (PDF, 12 puntos).

Fuentes y referencias oficiales

  • Gaceta del Senado de la República, LXVI Legislatura, 30 de abril de 2025 — Iniciativa con proyecto de decreto por el que se expide la Ley de Ciberseguridad, presentada por el senador Luis Donaldo Colosio Riojas (MC) y la senadora Lucía Trasviña Waldenrath (Morena). PDF, 47 páginas
  • Diario Oficial de la Federación, 18 de diciembre de 2025 — Acuerdo por el que se expide la Política General de Ciberseguridad para la Administración Pública Federal. (Ya vigente.) Cobertura QMA: Plan Nacional de Ciberseguridad 2025-2030 — Guía APF.
  • Convenio de Budapest sobre Ciberdelincuencia, Consejo de Europa, 2001. México participa actualmente como observador.
  • Convención de las Naciones Unidas contra la Ciberdelincuencia, aprobada por la Asamblea General en diciembre de 2024.
  • Resoluciones A/HRC/20/L.13 y A/HRC/32/L.20 del Consejo de Derechos Humanos de la ONU, sobre acceso a Internet como extensión de derechos humanos.

Última revisión: 14 de mayo de 2026. Esta página se actualiza conforme avanza el proceso legislativo en el Senado.

Scroll al inicio