{"id":3141,"date":"2026-05-15T12:55:37","date_gmt":"2026-05-15T15:55:37","guid":{"rendered":"https:\/\/wai.global\/?p=3141"},"modified":"2026-05-15T12:57:02","modified_gmt":"2026-05-15T15:57:02","slug":"reglamento-de-ciberseguridad-del-estado-argentino-180-dias-para-adecuarse","status":"publish","type":"post","link":"https:\/\/wai.global\/en\/reglamento-de-ciberseguridad-del-estado-argentino-180-dias-para-adecuarse\/","title":{"rendered":"Reglamento de ciberseguridad del Estado argentino: 180 d\u00edas para adecuarse"},"content":{"rendered":"<p>The <strong><a href=\"https:\/\/www.argentina.gob.ar\/jefatura\/innovacion-ciencia-y-tecnologia\/centro-nacional-de-ciberseguridad\" target=\"_blank\" rel=\"noreferrer noopener\">Centro Nacional de Ciberseguridad<\/a><\/strong> public\u00f3 un reglamento t\u00e9cnico que obliga a los organismos p\u00fablicos a tener p<strong>ol\u00edticas y planes de contingencia, inventarios de sistemas clasificados por criticidad, sitios de procesamiento de datos de respaldo a m\u00e1s de 1.500 kil\u00f3metros del principal, y certificaci\u00f3n Tier 3<\/strong> en un plazo m\u00e1ximo de 20 meses.<\/p>\n\n\n\n<p>Para escribirlo, tomaron como referencia est\u00e1ndares internacionales bastante conocidos en el rubro: FIPS 199, NIST SP 800-34, ISO 22301 y las gu\u00edas del <a href=\"https:\/\/uptimeinstitute.com\/\" target=\"_blank\" rel=\"noreferrer noopener\">Uptime Institute<\/a>.<\/p>\n\n\n\n<p>Es la primera vez que la administraci\u00f3n p\u00fablica argentina enfrenta exigencias t\u00e9cnicas formales en esta materia y con par\u00e1metros medibles m\u00e1s que buenas intenciones.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Un punto de inflexi\u00f3n que pas\u00f3 casi desapercibido<\/h2>\n\n\n\n<p>La transformaci\u00f3n digital del Estado argentino avanz\u00f3 durante a\u00f1os apoyada en la voluntad pol\u00edtica de cada gesti\u00f3n, en presupuestos que aparec\u00edan y desaparec\u00edan, y en <strong>est\u00e1ndares que cada organismo defin\u00eda como pod\u00eda<\/strong>. El resultado fue una infraestructura muy <strong>desigual<\/strong>: ministerios con sistemas modernos y procesos resilientes conviviendo con organismos que ante una ca\u00edda de servicio pod\u00edan tardar d\u00edas en volver a operar.<\/p>\n\n\n\n<p>El nuevo reglamento cambia esa l\u00f3gica. Define exigencias t\u00e9cnicas precisas, plazos medibles y mecanismos de prueba obligatorios para la propia infraestructura digital del Estado. No es una gu\u00eda orientativa, es un texto con par\u00e1metros operativos y obligaciones de certificaci\u00f3n.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Qu\u00e9 establece el reglamento<\/h2>\n\n\n\n<p>El documento se estructura en cuatro cap\u00edtulos que cubren todo el ciclo de la planificaci\u00f3n de contingencia: pol\u00edtica, plan, infraestructura y rol de la autoridad de aplicaci\u00f3n.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Pol\u00edtica de Planes de Contingencias<\/h3>\n\n\n\n<p>Cada organismo alcanzado debe elaborar una pol\u00edtica formal que defina prop\u00f3sito, alcance, roles, responsabilidades y mecanismos de actualizaci\u00f3n. La pol\u00edtica tambi\u00e9n tiene que contemplar los procedimientos para implementarla y designar una autoridad responsable de su desarrollo.<\/p>\n\n\n\n<p>La pol\u00edtica tiene que incluir mecanismos de actualizaci\u00f3n tanto peri\u00f3dica como reactiva ante eventos relevantes. Y sirve como marco para elaborar el inventario de sistemas y los planes de contingencia particulares de cada uno.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Inventario obligatorio y clasificaci\u00f3n por criticidad<\/h3>\n\n\n\n<p>El reglamento exige que cada organismo enumere todos sus sistemas con sus dependencias: aplicaciones, datos, infraestructura y proveedores. El inventario hay que actualizarlo por lo menos una vez al a\u00f1o, o antes si hay eventos significativos como adquisiciones o cambios de arquitectura.<\/p>\n\n\n\n<p>Cada sistema tiene que clasificarse en uno de tres niveles de criticidad: Alto, Medio o Bajo. La clasificaci\u00f3n se inspira en el est\u00e1ndar federal estadounidense <a href=\"https:\/\/csrc.nist.gov\/pubs\/fips\/199\/final\" target=\"_blank\" rel=\"noreferrer noopener\">FIPS 199<\/a> y considera el impacto potencial de una interrupci\u00f3n en cinco dimensiones: <strong>seguridad y vida, continuidad de servicios al ciudadano, impacto econ\u00f3mico u operativo, legal o regulatorio, y reputacional.<\/strong><\/p>\n\n\n\n<p>El propio reglamento da ejemplos que ayudan a entender qu\u00e9 cae en cada nivel:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Alto:<\/strong> plataformas de autenticaci\u00f3n ciudadana, centros de c\u00f3mputo centrales de ministerios importantes, proveedores de energ\u00eda o telecomunicaciones, sistemas bancarios nacionales.<\/li>\n\n\n\n<li><strong>Medio:<\/strong> organismos descentralizados, registros provinciales, hospitales de referencia, operadores log\u00edsticos de transporte p\u00fablico.<\/li>\n\n\n\n<li><strong>Bajo:<\/strong> sistemas administrativos internos, bases de datos de consulta p\u00fablica no cr\u00edtica, sistemas duplicados que no afectan al ciudadano de manera directa.<\/li>\n<\/ul>\n\n\n\n<p>Esta clasificaci\u00f3n es la base sobre la que se monta todo lo dem\u00e1s. Los objetivos de recuperaci\u00f3n, la estrategia de respaldo, la frecuencia de pruebas y los requisitos de infraestructura dependen del nivel asignado a cada sistema.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/wai.global\/wp-content\/uploads\/2026\/05\/plan-contingencia-ciberseguridad-estatal-gobierno-argentino.png\"><img fetchpriority=\"high\" decoding=\"async\" width=\"1024\" height=\"576\" src=\"https:\/\/wai.global\/wp-content\/uploads\/2026\/05\/plan-contingencia-ciberseguridad-estatal-gobierno-argentino-1024x576.png\" alt=\"\" class=\"wp-image-3145\" srcset=\"https:\/\/wai.global\/wp-content\/uploads\/2026\/05\/plan-contingencia-ciberseguridad-estatal-gobierno-argentino-1024x576.png 1024w, https:\/\/wai.global\/wp-content\/uploads\/2026\/05\/plan-contingencia-ciberseguridad-estatal-gobierno-argentino-300x169.png 300w, https:\/\/wai.global\/wp-content\/uploads\/2026\/05\/plan-contingencia-ciberseguridad-estatal-gobierno-argentino-768x432.png 768w, https:\/\/wai.global\/wp-content\/uploads\/2026\/05\/plan-contingencia-ciberseguridad-estatal-gobierno-argentino-1536x864.png 1536w, https:\/\/wai.global\/wp-content\/uploads\/2026\/05\/plan-contingencia-ciberseguridad-estatal-gobierno-argentino-18x10.png 18w, https:\/\/wai.global\/wp-content\/uploads\/2026\/05\/plan-contingencia-ciberseguridad-estatal-gobierno-argentino.png 1672w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/a><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Plan de Contingencia y Plan de Recuperaci\u00f3n ante Desastres<\/h3>\n\n\n\n<p>Todo plan debe incluir, como m\u00ednimo: alcance formal, an\u00e1lisis de impacto al negocio (BIA), estrategia de respaldo y recuperaci\u00f3n, roles y responsabilidades con contactos de emergencia 24&#215;7, playbooks paso a paso, coordinaci\u00f3n con otras \u00e1reas, medidas de seguridad durante la recuperaci\u00f3n, registro documental, programa de pruebas, mecanismo de revisi\u00f3n y aprobaci\u00f3n, y proceso de mejora continua.<\/p>\n\n\n\n<p>Un detalle importante: los playbooks tienen que ser espec\u00edficos por tipo de incidente. El reglamento menciona expl\u00edcitamente la diferenciaci\u00f3n entre ransomware y destrucci\u00f3n f\u00edsica, alineado con NIST SP 800-184. Es un reconocimiento normativo de algo que en el \u00e1mbito t\u00e9cnico ya estaba claro: <strong>el ransomware dej\u00f3 de ser una amenaza emergente para volverse una categor\u00eda que requiere protocolo propio.<\/strong><\/p>\n\n\n\n<p><em>Descarg\u00e1 el <a href=\"https:\/\/wai.global\/wp-content\/uploads\/2026\/05\/Anexo-1-Disposicion-1-2026-Centro-Nacional-de-Ciberseguridad.pdf\" target=\"_blank\" rel=\"noreferrer noopener\"><strong>Reglamento para la Implementaci\u00f3n de Planes de Contingencia<\/strong><\/a><\/em><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Los tres ejes t\u00e9cnicos que cambian las reglas del juego<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">1. Distancia geogr\u00e1fica m\u00ednima de 1.500 km<\/h3>\n\n\n\n<p>El Centro de Datos de Respaldo tiene que estar dentro del territorio argentino, a no menos de 1.500 kil\u00f3metros del centro de datos principal. La raz\u00f3n es evitar la exposici\u00f3n simult\u00e1nea a eventos disruptivos como terremotos, inundaciones, cortes regionales prolongados o ataques f\u00edsicos coordinados.<\/p>\n\n\n\n<p>Para una infraestructura principal en Buenos Aires, esto implica buscar ubicaciones en el norte del pa\u00eds o en la Patagonia. Es una decisi\u00f3n que mezcla ingenier\u00eda de resiliencia con una idea de soberan\u00eda digital: la replicaci\u00f3n no puede salir del territorio nacional.<\/p>\n\n\n\n<p>El reglamento tambi\u00e9n exige al menos dos enlaces de comunicaciones independientes entre el sitio principal y el de respaldo, preferentemente con fibra \u00f3ptica por rutas f\u00edsicas distintas y contratados a proveedores diferentes. Adem\u00e1s recomienda un tercer enlace satelital o radioenlace para contingencias extremas.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2. Certificaci\u00f3n Tier 3 en 20 meses<\/h3>\n\n\n\n<p>Esta es la exigencia m\u00e1s demandante. El Centro de Datos de Respaldo tiene que certificarse como Tier 3 seg\u00fan ANSI\/TIA-942 y las gu\u00edas del Uptime Institute, dentro de un plazo m\u00e1ximo de 20 meses desde la entrada en vigencia.<\/p>\n\n\n\n<p>\u00bfQu\u00e9 implica Tier 3?<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Disponibilidad anual del 99,982%, lo que equivale a menos de 1,6 horas de ca\u00edda tolerada por a\u00f1o.<\/li>\n\n\n\n<li>Mantenibilidad concurrente: cualquier componente cr\u00edtico tiene que poder aislarse o retirarse para mantenimiento sin interrumpir las operaciones.<\/li>\n\n\n\n<li>Redundancia el\u00e9ctrica N+1 con m\u00faltiples rutas de distribuci\u00f3n, UPS y generadores.<\/li>\n\n\n\n<li>Redundancia de climatizaci\u00f3n N+1 con sistemas HVAC duplicados.<\/li>\n\n\n\n<li>Protecci\u00f3n contra incendios con detecci\u00f3n temprana (por ejemplo VESDA) y supresi\u00f3n autom\u00e1tica con agentes limpios o agua nebulizada, seg\u00fan NFPA 75\/76.<\/li>\n\n\n\n<li>Seguridad f\u00edsica y l\u00f3gica equivalente al sitio principal: control de accesos por capas, CCTV, autenticaci\u00f3n multifactor, segmentaci\u00f3n de red y monitoreo continuo.<\/li>\n<\/ul>\n\n\n\n<p>Hoy la cantidad de centros de datos certificados Tier 3 en territorio argentino es bastante limitada y se concentra mayormente en el sector privado y en pocas jurisdicciones. La norma genera, por la v\u00eda t\u00e9cnica, una demanda concentrada sobre un tipo de infraestructura muy espec\u00edfico.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3. Objetivos de recuperaci\u00f3n medibles<\/h3>\n\n\n\n<p>El reglamento establece RTO (Recovery Time Objective) y RPO (Recovery Point Objective) diferenciados por criticidad:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Criticidad<\/th><th>RTO<\/th><th>RPO<\/th><\/tr><\/thead><tbody><tr><td>Alta<\/td><td>Menos de 4 horas<\/td><td>Menos de 1 hora<\/td><\/tr><tr><td>Media<\/td><td>Menos de 24 horas<\/td><td>Menos de 4 horas<\/td><\/tr><tr><td>Baja<\/td><td>Entre 1 y 5 d\u00edas<\/td><td>(Copias de seguridad por muestreo)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>Estos par\u00e1metros dejan de ser aspiracionales para volverse exigibles. Para un sistema de criticidad Alta, esto quiere decir que <strong>ante un incidente el organismo tiene menos de 4 horas para volver a estar operativo<\/strong> y no puede perder m\u00e1s de una hora de informaci\u00f3n.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Estrategias de recuperaci\u00f3n obligatorias por nivel<\/h2>\n\n\n\n<p>El reglamento tambi\u00e9n define la arquitectura m\u00ednima del sitio de respaldo seg\u00fan la criticidad:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Alta:<\/strong> sitio alternativo en caliente (hot site), con replicaci\u00f3n continua y conmutaci\u00f3n autom\u00e1tica o semi-autom\u00e1tica.<\/li>\n\n\n\n<li><strong>Media:<\/strong> sitio en caliente o tibio (warm site), con copias incrementales y snapshots.<\/li>\n\n\n\n<li><strong>Baja:<\/strong> sitio en fr\u00edo (cold site), operativo mediante procesos manuales, o un esquema de copias de seguridad.<\/li>\n<\/ul>\n\n\n\n<p>Para datos cr\u00edticos se exige replicaci\u00f3n sincr\u00f3nica cuando el RPO es cercano a cero. Si no resulta viable, se admite replicaci\u00f3n asincr\u00f3nica con RPO documentado y formalmente aceptado por el organismo.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Pruebas obligatorias: del PDF al simulacro<\/h2>\n\n\n\n<p>Ac\u00e1 hay un cambio cultural importante. Tener el plan ya no alcanza, hay que probarlo.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Alta criticidad:<\/strong> prueba completa anual del PRD, ejercicios tabletop semestrales, pruebas de recuperaci\u00f3n desde backups offline y tests de failover de redes.<\/li>\n\n\n\n<li><strong>Media criticidad:<\/strong> prueba completa anual, tabletop trimestrales y pruebas de backups offline.<\/li>\n\n\n\n<li><strong>Baja criticidad:<\/strong> pruebas de consistencia de copias de seguridad por muestreo de archivos.<\/li>\n<\/ul>\n\n\n\n<p>Despu\u00e9s de cada ejercicio, el organismo tiene que labrar un informe con m\u00e9tricas y plan de remediaci\u00f3n. Esto transforma la planificaci\u00f3n de contingencia, que durante a\u00f1os fue un ejercicio documental anual, en un proceso operativo continuo, con evidencia y trazabilidad.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Implicancias pol\u00edticas y de gesti\u00f3n<\/h2>\n\n\n\n<p>M\u00e1s all\u00e1 de la lectura t\u00e9cnica, hay <strong>tres consecuencias pol\u00edticas<\/strong> que conviene mirar con atenci\u00f3n.<\/p>\n\n\n\n<p>Primero, el reglamento instala un piso com\u00fan. Hasta ahora, la madurez en continuidad operativa depend\u00eda mucho de la voluntad de cada gesti\u00f3n. Con esta norma, todos los organismos alcanzados comparten un m\u00ednimo verificable, lo que reduce la asimetr\u00eda entre jurisdicciones y entre niveles de gobierno.<\/p>\n\n\n\n<p>Segundo, redefine la conversaci\u00f3n sobre presupuesto. La certificaci\u00f3n Tier 3, la redundancia el\u00e9ctrica, los enlaces diversificados y los programas de prueba tienen un costo concreto. Los gobiernos van a tener que decidir si construyen infraestructura propia, contratan colocaci\u00f3n o adoptan modelos h\u00edbridos. La discusi\u00f3n presupuestaria sobre ciberseguridad pasa de ser opcional a ser estructural.<\/p>\n\n\n\n<p>Tercero, posiciona al Centro Nacional de Ciberseguridad como autoridad t\u00e9cnica. El reglamento le otorga funciones concretas: emitir gu\u00edas y formularios BIA estandarizados, dictar resoluciones complementarias, publicar un calendario de entrenamientos y acompa\u00f1ar a los organismos en la implementaci\u00f3n. Es un rol activo, no meramente normativo.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Qu\u00e9 tiene que mirar un decisor p\u00fablico hoy<\/h2>\n\n\n\n<p>Si gestion\u00e1s o asesor\u00e1s a un organismo alcanzado, hay cinco acciones inmediatas que el reglamento vuelve dif\u00edciles de postergar:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Identificar al responsable formal (autoridad designada) de la pol\u00edtica de planes de contingencia.<\/li>\n\n\n\n<li>Empezar o auditar el inventario de sistemas con sus dependencias.<\/li>\n\n\n\n<li>Clasificar cada sistema en Alto, Medio o Bajo seg\u00fan impacto.<\/li>\n\n\n\n<li>Evaluar el estado actual del sitio de respaldo: ubicaci\u00f3n, distancia, nivel Tier, conectividad y seguridad.<\/li>\n\n\n\n<li>Dise\u00f1ar el programa de pruebas anuales y los playbooks por tipo de incidente.<\/li>\n<\/ol>\n\n\n\n<p><strong>El reloj de los 20 meses para certificar Tier 3 empieza a correr desde la entrada en vigencia <a href=\"https:\/\/www.boletinoficial.gob.ar\/detalleAviso\/primera\/341893\/20260513\" target=\"_blank\" rel=\"noreferrer noopener\">(11\/06\/2026)<\/a><\/strong> La diferencia entre los organismos que llegan a tiempo y los que no va a definirse en estos primeros meses, no en el tramo final.<\/p>\n\n\n\n<p>El reglamento cambia el piso normativo de la infraestructura p\u00fablica digital argentina. Por primera vez hay par\u00e1metros medibles, plazos concretos y obligaciones de certificaci\u00f3n para algo que hasta ahora quedaba librado al criterio de cada gesti\u00f3n.<\/p>\n\n\n\n<p>La pregunta interesante no pasa tanto por si la norma se va a cumplir, sino por c\u00f3mo cada jurisdicci\u00f3n va a financiar, planificar y ejecutar la adecuaci\u00f3n. Los organismos que empiecen ahora van a llegar con margen. Los que esperen al \u00faltimo tramo probablemente lleguen con costos m\u00e1s altos y riesgo de incumplimiento.<\/p>\n\n\n\n<p>Hay una lectura adicional que no se deber\u00eda pasar por alto: poner orden en la infraestructura cr\u00edtica del Estado es una oportunidad concreta para construir un Estado m\u00e1s confiable y mejor preparado para lo que viene.<\/p>","protected":false},"excerpt":{"rendered":"<p>El Centro Nacional de Ciberseguridad public\u00f3 un reglamento t\u00e9cnico que obliga a los organismos p\u00fablicos a tener pol\u00edticas y planes de contingencia, inventarios de sistemas clasificados por criticidad, sitios de procesamiento de datos de respaldo a m\u00e1s de 1.500 kil\u00f3metros del principal, y certificaci\u00f3n Tier 3 en un plazo m\u00e1ximo de 20 meses. Para escribirlo, [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":3143,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[31],"tags":[37,38],"class_list":["post-3141","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad","tag-ciberseguridad-en-el-estado","tag-ciberseguridad-en-los-gobiernos"],"_links":{"self":[{"href":"https:\/\/wai.global\/en\/wp-json\/wp\/v2\/posts\/3141","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/wai.global\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wai.global\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wai.global\/en\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/wai.global\/en\/wp-json\/wp\/v2\/comments?post=3141"}],"version-history":[{"count":2,"href":"https:\/\/wai.global\/en\/wp-json\/wp\/v2\/posts\/3141\/revisions"}],"predecessor-version":[{"id":3147,"href":"https:\/\/wai.global\/en\/wp-json\/wp\/v2\/posts\/3141\/revisions\/3147"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/wai.global\/en\/wp-json\/wp\/v2\/media\/3143"}],"wp:attachment":[{"href":"https:\/\/wai.global\/en\/wp-json\/wp\/v2\/media?parent=3141"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wai.global\/en\/wp-json\/wp\/v2\/categories?post=3141"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wai.global\/en\/wp-json\/wp\/v2\/tags?post=3141"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}