Normatividad mexicana para data centers en 2026: NOM, CFE, ISO 27001 y la realidad operativa.

01 Panorama 2026: qué cumplir y por qué

Operar un data center en México en 2026 implica cumplir simultáneamente con marcos técnicos, regulatorios y comerciales que no siempre conversan entre sí. Los que más importan para un Facility Manager son cinco: la NOM-001-SEDE (instalaciones eléctricas), las tarifas y reglas de CFE Suministro Calificado o Suministro Básico, la NOM-251 cuando aplica enfriamiento con agua de proceso, las certificaciones de Uptime Institute (Tier) y la ISO/IEC 27001:2022 para SGSI. Además de protección civil, Sener y, donde toca, LFPDPPP para protección de datos.

Este artículo no es un manual legal. Es un mapa práctico de qué revisar en cada marco y dónde aparecen las fricciones más comunes en sitios mexicanos.

02 NOM-001-SEDE y el dictamen eléctrico

La NOM-001-SEDE-2012, vigente como base, regula las instalaciones eléctricas de utilización. Para data centers, los artículos relevantes son los relacionados con tableros, transferencias automáticas, conductores en charolas, puesta a tierra, separación de circuitos críticos y obras de respaldo (generadores, UPS, baterías). La actualización posterior a 2012 que circula como propuesta y proyecto en DOF aborda cambios en sistemas fotovoltaicos, almacenamiento de energía y armonización con el NEC americano; cuándo entre en vigor formal define los plazos de cumplimiento.

El dictamen eléctrico

El dictamen eléctrico expedido por una Unidad de Verificación de Instalaciones Eléctricas (UVIE) acreditada es obligatorio para conexión nueva con CFE, para ampliaciones de carga y como entregable de protección civil. Sin dictamen, la CFE puede denegar conexión o suspender el suministro. Esto sue a a trámite, pero en data centers es ruta crítica de obra: muchos proyectos descubren tarde que la UVIE pidió correcciones y la fecha de energización se mueve semanas.

Lo que un Facility Manager debe revisar

• Selectividad de protecciones — que una falla en el branch circuit no abra el switchboard. Estudio de coordinación vigente.
• Estudio de arco eléctrico — etiquetado en cada tablero con incidente energía y EPP requerido. NOM-029-STPS lo refuerza.
• Pruebas periódicas — baterías UPS (capacidad real, no nominal), generadores en carga (no solo no carga), transferencias automáticas en ventana real.
• Bitácora de cambios — cualquier modificación al diagrama unifilar genera entrada y, si rebasa umbral, dictamen actualizado.

03 CFE: tarifas, factor de potencia y nueva regla de demanda

Un data center con demanda igual o mayor a 100 kW está típicamente en tarifa GDMTH (Gran Demanda Media Tensión Horaria) si está en suministro básico de CFE, o bajo contrato bilateral si está en suministro calificado. La estructura GDMTH tiene cargos por capacidad (kW de demanda máxima medida en horas pico), por energía por período horario (base, intermedio, punta) y por distribución.

Factor de potencia y penalidad

El factor de potencia (FP) mínimo sin penalidad es 0.90. Por debajo se aplica un porcentaje creciente sobre el monto total de la factura; por encima se otorga bonificación hasta cierto máximo. En un data center, mantener el FP arriba de 0.95 promedio es factible con UPS modernos y bancos de capacitores bien dimensionados, pero requiere monitoreo: cargas variables (IA generativa con bursts) pueden mover el FP más de lo que la mayoría de los operadores supone.

Demanda máxima y el cargo de capacidad

El cargo por capacidad se basa en la demanda máxima medida en intervalos de 15 minutos durante horas pico. Un pico de 30 minutos puede definir la factura del mes. Esto motiva estrategias de gestión de demanda: pre-enfriamiento antes de pico tarifario, programación de mantenimientos en horas valle, gestión de generadores como peak shaving cuando hace sentido económico (con cuidado de no quemar combustible más caro que la diferencia de tarifa).

Suministro calificado

Cargas arriba de 1 MW pueden ir a suministro calificado, contratando energía con un suministrador no CFE en mercado mayorista. Esto suele bajar el costá energía entre 10 y 25 %, pero traslada riesgos de mercado al operador. La decisión no es solo financiera; afecta el modelo de operación y el reporting.

04 ISO 27001:2022 en 2026

El período de transición de ISO/IEC 27001:2013 a 27001:2022 cerró el 31 de octubre de 2025. En 2026 toda auditoría de certificación se hace contra la versión 2022. Los certificados 2013 ya no son válidos.

Qué cambió en 2022 que afecta a un data center

• Anexo A reestructurado — los 93 controles agrupados en 4 temas (Organizacionales, Personas, Físicos, Tecnológicos) en lugar de los 14 dominios del 2013. La declaración de aplicabilidad debe re-mapearse.
• Nuevos controles — inteligencia de amenazas (A.5.7), continuidad TIC (A.5.30), monitoreo físico (A.7.4), gestión de la configuración (A.8.9), enmascaramiento de datos (A.8.11), prevención de fuga de información (A.8.12), filtrado web (A.8.23), codificación segura (A.8.28). Varios afectan directamente a un BMS conectado a red corporativa.
• Enfoque de auditoría — los auditores 2026 examinan más la evidencia de que los controles reducen riesgo real (tiempo de parche, frecuencia de revisión de accesos, tiempo de detección de incidentes) que la existencia de políticas en papel.

El choque con la realidad de operación

Un BMS legacy que habla BACnet sin TLS y vive en la misma red que SCADA contradice varios controles técnicos del anexo. La forma de cumplir no es necesariamente cambiar el BMS; es segmentar la red OT, registrar accesos y poder demostrar al auditor el control compensatorio. En la práctica, un programa ISO 27001 en un data center mexicano cuesta entre 6 y 14 meses desde gap analysis hasta certificación inicial.

05 Uptime Tier: clasificación vs operación

El Uptime Institute publica cuatro niveles —Tier I a Tier IV— con definiciones técnicas que llevan años siendo el lenguaje franco de la industria. La distinción fundamental es que Tier I y II son redundancia básica con interrupciones planeadas, Tier III añade mantenimiento concurrente y Tier IV añade tolerancia a fallas activa-activa.

Tres certificaciones distintas, no una

• Tier Certification of Design Documents (TCDD) — valida el diseño en papel.
• Tier Certification of Constructed Facility (TCCF) — valida que el sitio construido cumple lo diseñado y se prueba con cargas reales.
• Tier Certification of Operational Sustainability (TCOS) — valida que la operación del sitio mantiene el nivel de tier. Esta es la más exigente y la que más pocos sitios mexicanos consiguen.

Tener TCDD no es lo mismo que ser Tier III en operación. Muchos sitios anunciados como Tier III tienen TCDD sin TCCF ni TCOS, lo que significa que la promesa de mantenimiento concurrente está en el plano y no en la operación. Esto importa para clientes de colocation que están decidiendo cuál promesa pueden cumplir contra sus propios SLA.

06 La realidad operativa: cumplir 5 al mismo tiempo

El problema real no es cumplir uno de estos marcos; es cumplirlos al mismo tiempo sin equipos infinitos. Hay tres patrones que funcionan en operadores mexicanos serios:

Audit log unificado

El esfuerzo principal de NOM, ISO 27001 y Uptime se reduce mucho cuando existe un audit log inmutable que cubre cambios en BMS, accesos físicos, órdenes de trabajo y configuración. Reconstruir evidencia desde sistemas separados para tres auditorías al año consume más tiempo de ingeniería que mantener el log unificado.

Calendario de cumplimiento

Un calendario maestro con todos los vencíses, pruebas periódicas y revisiones (dictamen, prueba en carga del generador, prueba de capacidad de baterías, revisión de UVIE, auditoría interna ISO, recertificación Uptime) evita el problema clásico de descubrir 3 vencimientos en el mismo trimestre.

Documentación viva, no de auditoría

Las políticas que solo existen para auditorías son fáciles de detectar por un auditor experimentado. Las que viven en el día a día —runbooks ejecutados, MOPs revisados antes de cada cambio, listas de chequeo firmadas— no requieren reanimación previa al auditor.

Protección civil y la cara local de la regulación

Además de los cinco marcos federales, todo data center mexicano cumple con regulación municipal y estatal de protección civil. Los requisitos varían —CDMX tiene programa interno específico, Querétaro y Nuevo León tienen sus propias verificaciones— pero el denominador común es: programa interno actualizado, simulacros documentados, brigadas formadas y planos vigentes. La trampa clásica es que el programa interno se firma una vez y nunca se actualiza, hasta que llega la inspección y descubre que el diagrama unifilar es de hace tres años.

LFPDPPP cuando hay datos personales

Aunque un data center de colocation no procesa datos personales del usuario final, sí trata datos personales de empleados, visitantes (bitácora de accesos) y proveedores. La LFPDPPP aplica y exige aviso de privacidad, transferencias controladas y derechos ARCO. Esto suele cubrirse con un aviso de privacidad bien hecho y procedimientos internos. No es la parte más pesada del cumplimiento, pero olvidarla es una multa fácil.

El mapa que recomendamos a clientes

El acercamiento que vemos funcionar mejor es construir una matriz de cumplimiento: una tabla donde las columnas son los marcos (NOM-001-SEDE, CFE GDMTH, ISO 27001:2022, Uptime Tier, protección civil, LFPDPPP) y las filas son los controles operativos del sitio (cambios de setpoint, accesos físicos, mantenimientos, etc.). Cada celda muestra qué evidencia satisface el marco para ese control. Esto deja ver dónde se duplica esfuerzo y dónde hay un hueco. La primera vez que un operador construye esta matriz suele descubrir tres a cinco huecos y dos o tres duplicaciones; arreglarlas en el orden correcto baja el costo total de cumplimiento al año siguiente.