Public institutions are constantly affected by cyber incidents capable of affecting critical infrastructure and the exercise of citizens’ rights. Informing the citizens of every cyber incident would be unfeasible, therefore a standard is proposed to decide in which cases a cyber incident in a public institution must be communicated to society, and how they should be made aware in order to comply with the right to information. For this reason, the Mexican legal framework regarding cybersecurity and the right to information is presented, and thus sustaining the argument against considering public attribution of cyberattacks as a substitute to the obligation to inform society. Finally, emblematic cyber incidents in Mexican public institutions are analyzed according to the proposed standard.Las instituciones públicas sufren constantemente ciberincidentes que pueden afectar la infraestructura crítica y el ejercicio de derechos de la ciudadanía. Informar a esta sobre cada ciberincidente sería impráctico, por lo que se propone un estándar para decidir en qué supuestos un ciberincidente sufrido por una institución pública debe comunicarse a la sociedad, y cómo debe ser la información para colmar el derecho a la información. Para ello se presenta el marco jurídico mexicano de ciberseguridad y de derecho a la información, sustentando la razón de por qué la atribución pública de ciberataques no sustituye al deber de informar a la sociedad. Finalmente, se analizan casos emblemáticos de ciberincidentes en instituciones públicas mexicanas aplicando el estándar propuesto.