El gobierno federal presentó el Plan Nacional de Ciberseguridad 2025–2030, una estrategia que busca unificar criterios, elevar capacidades federales y fortalecer la coordinación entre dependencias, academia e industria. El plan operará bajo la rectoría de la Agencia de Transformación Digital y Telecomunicaciones (ATDT) e incluye la creación del Consejo Nacional de Ciberseguridad, un Centro de Operaciones de Seguridad Cibernética (CSOC) nacional y un CSIRT federal.
Para empresas tecnológicas, integradores, mayoristas y proveedores TIC, esta hoja de ruta marca un nuevo piso institucional y operativo que impactará estándares de seguridad, esquemas de interoperabilidad y procesos de cumplimiento, tanto en proyectos públicos como privados.
Primera etapa (2025–2026): marco federal y bases regulatorias
Durante los primeros dos años, la prioridad será construir un marco federal homologado de ciberseguridad, que incluirá inventarios de infraestructura crítica, mecanismos de alerta temprana, notificación de vulnerabilidades y lineamientos de coordinación interinstitucional.
En este periodo se prevé la presentación de la Política General de Ciberseguridad, cuya exposición pública fue anunciada para las próximas semanas, mientras que la Política Nacional de Ciberseguridad se publicará posteriormente, durante el cuarto trimestre de 2026, como documento de largo alcance. La distinción entre ambos instrumentos es clave para evitar confusiones regulatorias.
Asimismo, la ATDT confirmó el envío al Congreso de una Ley General de Ciberseguridad, que integrará un sistema de sanciones proporcionales, obligaciones de notificación y capacitación obligatoria de funcionarios públicos, con efectos indirectos en proveedores de telecomunicaciones, nube, seguridad administrada y servicios digitales que atienden al sector público.
Segunda etapa (2027–2028): gestión de riesgos e IA operativa
Entre 2027 y 2028, el plan contempla la consolidación de la gestión de riesgos cibernéticos a nivel federal, con simulacros anuales, entrenamiento avanzado y una segunda fase de operación del CSOC y CSIRT.
En esta etapa se habilitará el uso cotidiano de herramientas de inteligencia artificial para la protección de activos públicos, lo que incrementará la demanda de soluciones de automatización, monitoreo y detección avanzada. Aunque la adopción se plantea para el sector público, este enfoque crea oportunidades para proveedores y mayoristas que ofrezcan tecnologías compatibles, servicios profesionales y esquemas de integración certificados.
Tercera etapa (2029–2030): operación 24/7 y ecosistema institucional
Para el periodo 2029–2030, la estrategia prevé una infraestructura más robusta y automatizada, incluyendo la Ventanilla Única de Información en Ciberseguridad, un Observatorio de la Administración Pública Federal en materia de ciberseguridad, esquemas de certificación nacional y una operación 24/7 con procesos más autonomizados.
Si bien la certificación en ciberseguridad está contemplada, aún no se ha definido si será obligatoria para empresas privadas, ni su alcance exacto. No obstante, su existencia anticipa mayores exigencias técnicas y documentales para proveedores que participen en proyectos estratégicos o cadenas de suministro digitales.
Riesgos geopolíticos y presión sobre telecomunicaciones
La ATDT advirtió que México incrementará su exposición a amenazas geopolíticas en 2026, en el contexto del Mundial de Fútbol, lo que podría derivar en ataques dirigidos a infraestructuras críticas, organismos institucionales y empresas de telecomunicaciones.
Actualmente se registran 155 víctimas de ransomware a nivel internacional, con un crecimiento anual superior al 25%, un contexto que refuerza la necesidad de adoptar seguridad por diseño, esquemas de reporte de incidentes y defensa multilínea.
Implicaciones para mayoristas e integradores
Para mayoristas e integradores TIC, el plan anticipa impactos concretos, como:
- Requerimientos más estrictos de reporte de incidentes en proyectos públicos.
- Posible adopción de certificaciones y estándares técnicos como criterio de elegibilidad.
- Mayor demanda de servicios administrados, monitoreo continuo y cumplimiento normativo.
En conjunto, el Plan Nacional de Ciberseguridad 2025–2030 redefine el entorno operativo para el sector tecnológico en México, elevando la relevancia de la ciberseguridad como componente estructural de la transformación digital.