Ley de infraestructuras críticas en México 2026: marco real

En México no existe una ley única de infraestructuras críticas, y esa es la primera realidad que un operador debe asumir antes de diseñar su programa de cumplimiento.

Lo que sí existe es un mosaico de competencias, regulaciones sectoriales y figuras administrativas dispersas entre la Secretaría de Seguridad y Protección Ciudadana, el Centro Nacional de Inteligencia, la Guardia Nacional, los reguladores sectoriales de energía y telecomunicaciones, y un conjunto de lineamientos que rara vez se citan juntos en una sola página. El operador que llega desde Europa esperando algo equivalente a la transposición de NIS2 o al catálogo español de operadores designados por el CNPIC se encuentra con un marco que funciona, pero que funciona por capas. Quien no entiende esas capas, cumple parcialmente y queda expuesto a la peor de las situaciones: la sensación de estar regulado sin estarlo de forma operativa.

El mosaico mexicano frente al modelo europeo

La diferencia estructural entre el modelo mexicano y el europeo no es de severidad sino de arquitectura. España opera bajo la Ley 8/2011 y su reglamento, con un catálogo nacional de operadores críticos administrado por el CNPIC, planes de seguridad del operador y planes de protección específicos por instalación. Un director de seguridad en Madrid sabe a quién llamar, qué plantilla rellenar y en qué plazo. El operador mexicano, en cambio, se mueve en un terreno donde la designación como infraestructura crítica puede provenir de varias fuentes a la vez y donde la coordinación entre autoridades depende más de relaciones institucionales que de un procedimiento normativo unificado.

La Secretaría de Seguridad y Protección Ciudadana, creada en 2018 al separarse de la antigua Secretaría de Gobernación, concentra hoy buena parte de la coordinación en materia de seguridad nacional aplicada a activos estratégicos. El Centro Nacional de Inteligencia, sucesor del CISEN, mantiene funciones de análisis y de alerta temprana. La Guardia Nacional, por su parte, asume tareas de protección física en instalaciones estratégicas designadas, particularmente en el sector energético. Cada una de estas instituciones opera con marcos legales propios, y la intersección entre ellas no siempre se traduce en una ventanilla única para el operador.

A esto se suma la dimensión sectorial. Pemex y la Comisión Federal de Electricidad operan bajo regímenes específicos que combinan la Ley de Hidrocarburos, la Ley de la Industria Eléctrica, los lineamientos de la Comisión Reguladora de Energía y los acuerdos internos de seguridad física. El sector telecomunicaciones responde al Instituto Federal de Telecomunicaciones y a los lineamientos de continuidad operativa que se han ido construyendo a lo largo de la última década. Los puertos y aeropuertos, regulados por la Secretaría de Marina y la Agencia Federal de Aviación Civil, tienen sus propios códigos de protección. El operador que pretende cumplir con todos estos marcos a la vez descubre rápidamente que no hay una checklist nacional, sino tantas checklists como sectores en los que opera.

Esta arquitectura tiene ventajas y desventajas. La ventaja es flexibilidad: los reguladores sectoriales conocen su industria y adaptan sus exigencias. La desventaja es la fragmentación, que multiplica los puntos de contacto, las auditorías y las interpretaciones divergentes sobre qué constituye una medida razonable de protección. En la práctica, el director de seguridad de una empresa industrial en Monterrey o de un operador logístico en el Bajío trabaja con un mapa mental de obligaciones que ha construido a base de experiencia, no de un texto legal único.

Lo que sí está escrito y vincula

A pesar de la fragmentación, hay normas concretas que vinculan al operador y que conviene no confundir con recomendaciones. La Ley de Seguridad Nacional de 2005, todavía vigente con sus reformas, define el concepto de instalaciones estratégicas en su artículo 5 y faculta al Consejo de Seguridad Nacional para coordinar la protección de activos cuyo daño afecte la integridad, estabilidad o permanencia del Estado mexicano. Esta definición es amplia y se ha aplicado en la práctica a refinerías, ductos, centrales eléctricas, presas, instalaciones de telecomunicaciones, puertos, aeropuertos, nodos de transporte ferroviario y centros de datos que prestan servicios a la administración pública.

La Ley General del Sistema Nacional de Seguridad Pública complementa este marco al establecer mecanismos de coordinación entre los tres niveles de gobierno. La Ley de la Guardia Nacional, en su artículo 9, fracción XXXVI, atribuye explícitamente a esta institución la función de proteger instalaciones estratégicas. Esto significa que, en determinadas circunstancias, la fuerza pública federal puede asumir tareas de protección perimetral o de respuesta, lo cual cambia la lógica de planificación del operador privado. No se diseña la seguridad de una refinería de la misma manera cuando la respuesta de tercer anillo es la Guardia Nacional que cuando es una empresa de seguridad privada local.

En materia de ciberseguridad, México no cuenta todavía con una ley federal específica, aunque desde hace años circulan iniciativas en el Congreso. Lo que existe es la Estrategia Nacional de Ciberseguridad publicada en 2017, los lineamientos del Comité Especializado en Seguridad de la Información del Sistema Nacional de Seguridad Pública, y las disposiciones sectoriales para el sistema financiero emitidas por la Comisión Nacional Bancaria y de Valores. Para el resto de los sectores, la referencia operativa son los estándares internacionales adoptados de forma voluntaria, en particular las familias ISO 27001, NIST e IEC 62443. Un operador serio en 2026 no espera la ley para implementar estos marcos. Los implementa porque la ausencia de norma no equivale a ausencia de riesgo, y porque su contraparte aseguradora se lo exige.

La protección de datos personales sí cuenta con marco propio, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su contraparte para el sector público, supervisadas hasta hace poco por el INAI. La reciente reforma constitucional que ha replanteado el órgano garante ha generado incertidumbre operativa que los responsables de cumplimiento están todavía digiriendo. El operador de infraestructura crítica que maneja datos personales, lo cual incluye prácticamente a todos los que tienen empleados, proveedores o clientes identificables, debe sostener su programa de protección de datos en paralelo a su programa de seguridad física y lógica.

Quién decide qué es crítico en la práctica

La pregunta de qué instalación es crítica y cuál no lo es no se resuelve con un certificado emitido por una sola autoridad. Se resuelve en la intersección de varias decisiones administrativas. La SSPC, a través de sus áreas de coordinación con el gabinete de seguridad, mantiene un registro interno de instalaciones estratégicas que no es público en su totalidad. La Secretaría de Energía, en coordinación con Pemex y la CFE, mantiene su propio inventario de activos relevantes para la cadena de suministro energético. La Secretaría de Comunicaciones y Transportes, ahora reconfigurada, identifica nodos críticos en sus ámbitos. Cada una de estas listas se cruza con la otra, y el operador termina apareciendo en varias a la vez, o en ninguna, sin que el criterio sea siempre transparente.

Esta opacidad administrativa tiene una consecuencia práctica importante. Un operador puede no haber sido formalmente notificado como crítico y aún así estar bajo escrutinio en caso de incidente. Cuando ocurre un sabotaje a un ducto o un ataque a una subestación, las preguntas que hace la autoridad no se limitan a lo que la empresa estaba obligada a hacer por ley. Se extienden a lo que un operador razonable hubiera hecho dado el valor de su instalación para la cadena de servicios públicos. El estándar de diligencia, en ausencia de norma específica, se construye por referencia a las mejores prácticas del sector y a los precedentes administrativos. Quien no documenta su programa de seguridad con esta lógica en mente queda en una posición frágil ante cualquier requerimiento posterior.

Lo que un operador debe cumplir hoy

Cumplir en 2026 significa, en términos operativos, atender de manera simultánea cuatro frentes que rara vez se gestionan desde una sola dirección dentro de la empresa. El primero es la protección física, con sus implicaciones de control de accesos, vigilancia perimetral, gestión de visitantes y coordinación con la fuerza pública. El segundo es la ciberseguridad, con su componente de protección de redes industriales, separación de entornos OT e IT, gestión de identidades y respuesta a incidentes. El tercero es la continuidad operativa, con sus planes de contingencia, redundancias y ejercicios periódicos. El cuarto es la protección de datos personales, con su régimen específico bajo la legislación federal.

Para un operador industrial o logístico mediano, estos cuatro frentes suelen estar repartidos entre distintos responsables sin una coordinación central. El director de planta supervisa la seguridad física a través de un proveedor externo. El director de sistemas atiende la ciberseguridad con el apoyo de un MSSP. El responsable de calidad gestiona la continuidad operativa como parte de la certificación ISO. El responsable jurídico atiende la protección de datos. Cuando ocurre un incidente que cruza varios frentes, lo cual es casi siempre el caso en infraestructura crítica, la respuesta es desordenada porque la planificación lo fue. La consolidación de estos cuatro frentes bajo un programa integrado de seguridad es el paso que distingue a los operadores que cumplen formalmente de los que cumplen operativamente.

La documentación es el siguiente nivel. Un programa de seguridad que no está documentado es un programa que no existe ante la autoridad. Esto incluye la identificación de activos críticos, el análisis de amenazas, las medidas implementadas, los responsables designados, los procedimientos de respuesta, los registros de ejercicios y las actas de revisión. La documentación no es un fin en sí misma, sino la única evidencia disponible cuando el operador necesita demostrar diligencia. En un país donde el marco normativo se construye por capas, la documentación es el ancla que permite al operador navegar entre regulaciones sin perder coherencia interna.

El tercer elemento es la tecnología, y aquí entra la pregunta sobre qué nivel de inversión es razonable para qué tipo de instalación. La respuesta no está en el catálogo de productos sino en el análisis de riesgo. Un nodo logístico en una zona con incidencia de robo de mercancía requiere una arquitectura distinta a una subestación eléctrica en una zona con baja conflictividad. La videovigilancia con analítica, los sistemas de detección perimetral, los robots de patrullaje y las plataformas de gestión integrada de incidentes son herramientas, no soluciones. Su valor depende del diseño del programa que las contiene. Una torre móvil de video con analítica desplegada sin un protocolo claro de respuesta es un dispositivo que graba, no un sistema que protege.

El error de esperar a la ley

Una conducta frecuente entre operadores que llegan al mercado mexicano o que están reevaluando su exposición es la de esperar a que se publique una ley federal de ciberseguridad o una ley general de infraestructuras críticas antes de comprometer inversiones significativas. Este cálculo es comprensible y casi siempre equivocado. La razón no es jurídica sino económica. Los incidentes que un programa robusto previene ocurren ahora, no después de que la ley se publique. La factura de un sabotaje, una intrusión cibernética o un robo de gran escala se paga con los flujos operativos del año en curso, no con los del año en que la legislación entre en vigor.

Adicionalmente, la legislación que llega rara vez introduce obligaciones que un operador serio no estuviera ya implementando. Lo que la ley aporta es el marco sancionador, el régimen de notificación obligatoria y, en algunos casos, la coordinación interinstitucional. Las medidas técnicas que la norma exigirá son, en la práctica, las que el estándar internacional ya recomienda. Esperar a la ley para implementar lo que la diligencia ya pide es construir el plan de cumplimiento sobre la base del incidente futuro, no de la protección presente.

El operador que llega a la fecha de publicación de la nueva legislación con su programa ya consolidado tiene una ventaja triple. Primero, no necesita improvisar bajo presión regulatoria. Segundo, dispone de datos históricos sobre incidentes y respuestas que le permiten ajustar finamente sus medidas. Tercero, su relación con la autoridad parte de una posición de cumplimiento, no de remediación. Esta tercera ventaja, intangible pero real, es la que diferencia a los operadores que viven la regulación como oportunidad de los que la viven como castigo.

Cómo se ordena un programa de cumplimiento real

El punto de partida de un programa de cumplimiento real no es la lectura de la ley sino el inventario de la realidad. Qué activos posee la empresa, qué función cumplen en la cadena de servicios, qué consecuencia tendría su pérdida o degradación, qué amenazas son plausibles dado el contexto operativo, qué medidas existen ya y cuál es la brecha respecto al nivel que el operador considera defendible. Este ejercicio, que en la práctica toma entre tres y cinco días bien organizados, produce un documento que es a la vez diagnóstico y mapa de ruta.

A partir de ese inventario se construye la arquitectura del programa. Las decisiones de tecnología vienen después, no antes. Esto contradice la lógica habitual del proveedor de equipos, que ofrece soluciones antes de conocer los problemas, pero es la única secuencia que produce inversiones sostenibles. Un sistema de detección perimetral elegido antes del análisis de amenazas es un sistema que probablemente está sobredimensionado en algunas zonas e infradimensionado en otras. La eficiencia del gasto en seguridad depende más de la calidad del diagnóstico que del precio del equipo.

El siguiente paso es la integración con los procesos existentes. Un programa de seguridad que vive en paralelo a la operación es un programa que se ignora cuando la operación tiene prisa. La integración significa que las decisiones de seguridad están incrustadas en los flujos de trabajo de la planta, del centro logístico o de la red, no que se gestionan en una oficina aparte. Significa que el supervisor de turno tiene un protocolo claro y los medios para ejecutarlo, no que existe un manual en un cajón. Esta integración es la que diferencia un programa de papel de un programa operativo.

El último paso es la revisión periódica. Las condiciones de amenaza cambian, los activos se transforman, las regulaciones evolucionan. Un programa de cumplimiento que no se revisa al menos una vez al año envejece más rápido que las normas que lo regulan. La revisión no es una auditoría externa, aunque esta puede ser parte del ciclo. Es un ejercicio interno de constatación: lo que dijimos que íbamos a hacer, lo estamos haciendo; lo que estamos haciendo, sigue siendo lo correcto.

Lo que permanece

Cumplir con el marco mexicano de infraestructuras críticas en 2026 no consiste en localizar la ley correcta y rellenar sus formularios. Consiste en construir un programa que sea defendible ante cualquier autoridad que lo examine, en cualquier momento, bajo cualquier régimen futuro. Esa defendibilidad nace del análisis de riesgo, se materializa en medidas técnicas y organizativas integradas, y se sostiene mediante documentación y revisión. La ley, cuando llegue en su forma definitiva, será el contexto en el que ese programa se inscribe, no el motor que lo crea.

Para un operador que opera entre México y otros mercados, la lección práctica es que la disciplina de cumplimiento se construye una sola vez y se adapta a múltiples marcos. Quien ya cumple con NIS2 europeo, con los lineamientos del CNPIC español, o con los estándares de la SSPC, descubre que la mayor parte del trabajo es común. Lo que cambia son los formatos, los plazos de notificación y los interlocutores. Lo que permanece es la arquitectura del programa.

En el manuscrito BOSWAU + KNAUER. Del oficio constructor a la tecnología de seguridad se argumenta que la seguridad seria nace de la práctica, no de la norma. Esta posición no es una crítica al derecho, es una afirmación sobre el orden de prioridades. Quien construye su programa esperando la regulación termina con un cumplimiento formal. Quien construye su programa atendiendo al riesgo termina con una protección real, y la regulación llega después como confirmación de lo ya hecho.

Para los operadores que reconocen estar en alguna de estas situaciones, el siguiente paso natural es una auditoría estructurada de tres a cinco días en sitio, con entregables definidos antes del comienzo. No una consultoría abierta, sino un diagnóstico delimitado del que el operador sale con un informe utilizable, un mapa de medidas priorizadas por impacto y esfuerzo, y una decisión clara sobre qué hacer en los próximos doce meses. Quien prefiere un paso previo más ligero, una conversación confidencial de sesenta minutos con un miembro de la dirección de BOSWAU + KNAUER es el formato adecuado para situar la conversación antes de comprometer recursos.

Preguntas frecuentes

¿Qué ley regula infraestructuras críticas en México?

No existe una ley federal única que regule infraestructuras críticas en México. El marco se construye por capas. La Ley de Seguridad Nacional de 2005 define el concepto de instalaciones estratégicas. La Ley de la Guardia Nacional atribuye la protección física de algunas de ellas. Las leyes sectoriales de hidrocarburos, electricidad, telecomunicaciones, puertos y aviación civil establecen obligaciones específicas. La protección de datos personales se rige por su propia ley federal. El operador real cumple con un mosaico de regulaciones, no con un texto único, y construye su programa sobre estándares internacionales reconocidos.

¿Quién supervisa?

La supervisión está distribuida. La Secretaría de Seguridad y Protección Ciudadana coordina la dimensión de seguridad nacional. El Centro Nacional de Inteligencia aporta análisis y alerta temprana. La Guardia Nacional asume protección física de instalaciones estratégicas designadas. Los reguladores sectoriales como la Comisión Reguladora de Energía, el Instituto Federal de Telecomunicaciones, la Comisión Nacional Bancaria y de Valores supervisan sus ámbitos. La protección de datos personales tenía al INAI como órgano garante, ahora en proceso de reconfiguración. El operador trata con varias autoridades simultáneamente.

¿Qué sectores aplican?

Los sectores tradicionalmente considerados infraestructura crítica en México son energía con énfasis en hidrocarburos y electricidad, agua, telecomunicaciones, transporte incluyendo puertos, aeropuertos y nodos ferroviarios, sistema financiero, salud, alimentación y servicios gubernamentales esenciales. La industria pesada y la logística de gran escala se incorporan cuando su interrupción afecta cadenas de suministro estratégicas. La definición es funcional, no taxativa. Una instalación se considera crítica cuando su daño afectaría la continuidad de servicios esenciales para la población o la operación del Estado, criterio que en la práctica se aplica caso por caso.

¿Qué sanciones existen?

Las sanciones varían según el régimen aplicable. Las violaciones a obligaciones de protección de datos personales pueden derivar en multas administrativas significativas bajo la ley federal correspondiente. Las infracciones a regulaciones sectoriales energéticas o de telecomunicaciones tienen sus propios catálogos de sanciones administrativas. Los actos que afecten instalaciones estratégicas pueden derivar en responsabilidad penal bajo el Código Penal Federal. Más allá de la multa formal, el operador enfrenta consecuencias indirectas relevantes: pérdida de cobertura aseguradora, deterioro reputacional, exclusión de licitaciones públicas, y revisión administrativa de permisos. El costo real del incumplimiento rara vez es solo la multa.