El 13 de mayo de 2026 se publicó en el Boletín Oficial la Disposición 1/2026
del Centro Nacional de Ciberseguridad (CNC), la primera norma emitida por el
organismo desde su creación a fines de 2025. En una publicación anterior
compartimos un resumen de los principales aspectos de esta medida, incluyendo
el plazo de 180 días que tienen los organismos públicos para adecuarse — si
aún no lo leíste, te recomendamos empezar por ahí:
Disposición AR 1/2026 da 180 días a organismos públicos para reforzar su
ciberseguridad.
En este post nos enfocamos en el Anexo I, el Reglamento Técnico que da
cuerpo a la norma. Está organizado en tres capítulos y define con precisión
qué debe hacer cada organismo en materia de políticas de contingencia, planes
de recuperación y centros de datos de respaldo.
Capítulo 1: Política de Planes de Contingencias
Cada organismo debe elaborar una
Política de Planes de Contingencias: un documento institucional que
defina su propósito, alcance, roles, responsabilidades y cómo se coordinan las
áreas. También debe establecer un mecanismo de actualización que sea tanto
periódico como reactivo ante eventos previamente definidos.
El Anexo señala que un activo clave para esto es el
inventario de sistemas: la política debe contemplar cómo generarlo,
cómo clasificar cada sistema por criticidad y cómo mantenerlo actualizado.
Además, debe designar un responsable formal (autoridad designada) del
desarrollo de esta política.
1.1. El inventario de sistemas
El inventario debe enumerar todos los sistemas en un único formato
estandarizado, actualizarse al menos una vez por año y también ante eventos
relevantes (adquisiciones, cambios significativos). Para cada sistema, debe
incluir:
Nivel de criticidad
|
Campo |
Descripción |
|
Descripción del sistema |
Funcionalidades de negocio y su rol en la misión del organismo |
|
Dependencias |
Aplicaciones, datos, infraestructura y proveedores asociados |
|
Impacto de interrupción |
Por dimensiones: seguridad/vida, servicios al ciudadano, |
Alto, Medio o Bajo (según la metodología de la sección 1.2)
RTO y RPO
Tiempo y punto de recuperación objetivo, consistentes con los valores de la
Tabla 2
Prioridad de recuperación
Orden de restauración y recursos necesarios
El inventario debe ser aprobado por la autoridad designada.
1.2. Categorización de sistemas por niveles de criticidad
El Anexo establece tres niveles de criticidad basados en el impacto que
tendría una interrupción del sistema, siguiendo criterios inspirados en la
norma federal FIPS 199 de EE.UU.:
|
Nivel |
¿Cuándo aplica? |
Ejemplos |
|
🔴 Alto |
Sistemas cuya indisponibilidad tendría efectos severos o catastróficos |
Centros de cómputos de ministerios clave, sistemas bancarios de pago |
|
🟡 Medio |
Sistemas que, si fallan, generarían efectos adversos graves en |
Organismos descentralizados, hospitales de referencia, registros |
|
🟢 Bajo |
Sistemas cuya caída prolongada tendría impacto limitado y acotado, |
Funciones administrativas internas, bases de datos de consulta pública |
Importante: incluso los sistemas de nivel Bajo deben contar con un plan
de recuperación, aunque simplificado.
Capítulo 2: Plan de Contingencia y Plan de Recuperación ante Desastres (PRD)
El Plan de Contingencia describe
cómo se recuperarán los sistemas, datos y servicios críticos ante un
evento adverso, garantizando la continuidad operativa y minimizando el impacto
en la misión del organismo. El Plan de Recuperación ante Desastres (PRD) es
parte integral de esta planificación.
2.1. Componentes mínimos obligatorios
Todo Plan de Contingencia, independientemente del organismo o su nivel de
criticidad, debe incluir los siguientes componentes:
|
Componente |
Qué debe contener |
|
Alcance |
Declaración formal del compromiso institucional con la continuidad de |
|
Análisis de Impacto al Negocio (BIA) |
Procesos críticos, sistemas de apoyo, consecuencias de interrupción, |
|
Estrategia de respaldo y recuperación |
Tipo de solución adoptada (sitio espejo, caliente, tibio o frío), |
|
Organización, roles y responsabilidades |
Personas autorizadas a declarar un desastre, responsables de |
|
Procedimientos de activación y recuperación (playbooks) |
Guías paso a paso para: activación del PRD, conmutación al sitio |
|
Coordinación con otras áreas |
Interacciones con otras áreas: reporte de incidentes, comunicaciones, |
|
Medidas de seguridad en la recuperación |
Controles lógicos (autenticación, firewalls, cifrado, monitoreo) y |
|
Registro y documentación |
Bitácora cronológica de eventos, decisiones y medidas durante una |
|
Programa de pruebas |
Tipo y frecuencia de pruebas (failover, simulacros, tabletop), con |
|
Revisión y aprobación |
Mecanismo formal de revisión y aprobación de los planes |
|
Actualización y mejora continua |
Objetivos de actualización periódica y ante eventos como fallas en |
2.2. Requisitos adicionales según nivel de criticidad
Sobre la base común anterior, el Reglamento establece exigencias adicionales,
los sistemas deberán cumplir requisitos técnicos adicionales acordes al
potencial impacto mayor de un incidente, diferenciadas por nivel de
criticidad:
|
Aspecto |
🔴 Alto |
🟡 Medio |
🟢 Bajo |
|
Centro de respaldo |
Tier 3 (certificado en 20 meses), a ≥1.500 km del centro principal |
Tier 3 (certificado en 20 meses), a ≥1.500 km del centro principal |
Sin requisito específico de Tier |
|
Estrategia de recuperación |
Sitio caliente (hot site) o tibio (warm site) |
Sitio frío (cold site), operativo mediante procesos manuales |
Copias de seguridad |
|
RTO objetivo |
Menos de 4 horas |
Menos de 24 horas |
Entre 1 y 5 días |
|
RPO objetivo |
Menos de 1 hora |
Menos de 4 horas |
No especificado |
|
Pruebas periódicas |
Al menos 1 prueba completa anual + tabletops semestrales + pruebas de |
Al menos 1 prueba completa anual + tabletops trimestrales + pruebas de |
Pruebas de consistencia de copias de seguridad por muestreo |
Sitio caliente:
operativo casi en tiempo real, con replicación continua y conmutación rápida
automática o semi-automática.
Sitio tibio: copias incrementales con snapshots e infraestructura
configurada por software. Sitio frío: infraestructura disponible pero
que requiere configuración manual antes de operar.
Capítulo 3: Requisitos técnicos mínimos para el Centro de Datos de Respaldo
El Capítulo 3 especifica las condiciones que debe cumplir la infraestructura
de respaldo. A continuación, un resumen de cada requisito:
|
Requisito |
Detalle |
|
Ubicación geográfica |
Dentro del territorio argentino, a al menos 1.500 km del centro |
|
Conectividad |
Al menos dos enlaces independientes (preferentemente fibra óptica por |
|
Suministro eléctrico |
Doble acometida energética, UPS adecuadas y generadores con autonomía |
|
Climatización |
Sistemas HVAC redundantes; en ubicaciones frías puede implementarse |
|
Hardware |
Compatible con el centro principal (arquitecturas, hipervisores, SO, |
|
Seguridad física |
Accesos por capas, CCTV, perímetro, detección y extinción de incendios |
|
Seguridad lógica |
Firewalls, IDS/IPS, autenticación multifactor, segmentación de red, |
|
Certificación Tier 3 |
Debe cumplir los requisitos Tier 3 desde el inicio de las operaciones |
|
Seguridad física y lógica |
Accesos multicapa, CCTV, MFA, segmentación de red, monitoreo continuo |
El Reglamento Técnico no deja margen para la ambigüedad: define qué documentos
hay que tener, qué información debe contener cada uno, qué infraestructura se
requiere y cómo debe probarse. Para los organismos del Sector Público
Nacional, el camino está trazado con claridad. El desafío ahora es ejecutarlo
dentro del plazo.
Fuente:
Boletín Oficial de la República Argentina — Disposición 1/2026, CNC
(13/05/2026)