Las instituciones obligadas por la LMC deberán aplicar de manera permanente las medidas para prevenir, reportar y resolver incidentes de ciberseguridad, las cuales podrán ser de naturaleza tecnológica, organizacional, física o informativa, según sea el caso, debiendo cumplir con los protocolos y estándares establecidos por la Agencia, así como los estándares particulares dictados de conformidad a la regulación sectorial respectiva.
Para ello se establecen deberes específicos de los operadores vitales (artículo 8°) y se establece un listado de casos en que las instituciones públicas y privadas tendrán la obligación de reportar al Equipo de Respuesta a Incidentes de Ciberseguridad Informática Nacional (“CSIRT Nacional”) los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos (artículo 9°), disponiendo diversas clases de reportes cuyo contenido será regulado por un reglamento.
“El presente documento no constituye asesoría legal y el estudio Guerrero Olivos no será responsable por actos u omisiones de terceros basados en la información contenida en él”.