El Centro Nacional de Ciberseguridad publicó un reglamento técnico que obliga a los organismos públicos a tener políticas y planes de contingencia, inventarios de sistemas clasificados por criticidad, sitios de procesamiento de datos de respaldo a más de 1.500 kilómetros del principal, y certificación Tier 3 en un plazo máximo de 20 meses.
Para escribirlo, tomaron como referencia estándares internacionales bastante conocidos en el rubro: FIPS 199, NIST SP 800-34, ISO 22301 y las guías del Uptime Institute.
Es la primera vez que la administración pública argentina enfrenta exigencias técnicas formales en esta materia y con parámetros medibles más que buenas intenciones.
Un punto de inflexión que pasó casi desapercibido
La transformación digital del Estado argentino avanzó durante años apoyada en la voluntad política de cada gestión, en presupuestos que aparecían y desaparecían, y en estándares que cada organismo definía como podía. El resultado fue una infraestructura muy desigual: ministerios con sistemas modernos y procesos resilientes conviviendo con organismos que ante una caída de servicio podían tardar días en volver a operar.
El nuevo reglamento cambia esa lógica. Define exigencias técnicas precisas, plazos medibles y mecanismos de prueba obligatorios para la propia infraestructura digital del Estado. No es una guía orientativa, es un texto con parámetros operativos y obligaciones de certificación.
Qué establece el reglamento
El documento se estructura en cuatro capítulos que cubren todo el ciclo de la planificación de contingencia: política, plan, infraestructura y rol de la autoridad de aplicación.
Política de Planes de Contingencias
Cada organismo alcanzado debe elaborar una política formal que defina propósito, alcance, roles, responsabilidades y mecanismos de actualización. La política también tiene que contemplar los procedimientos para implementarla y designar una autoridad responsable de su desarrollo.
La política tiene que incluir mecanismos de actualización tanto periódica como reactiva ante eventos relevantes. Y sirve como marco para elaborar el inventario de sistemas y los planes de contingencia particulares de cada uno.
Inventario obligatorio y clasificación por criticidad
El reglamento exige que cada organismo enumere todos sus sistemas con sus dependencias: aplicaciones, datos, infraestructura y proveedores. El inventario hay que actualizarlo por lo menos una vez al año, o antes si hay eventos significativos como adquisiciones o cambios de arquitectura.
Cada sistema tiene que clasificarse en uno de tres niveles de criticidad: Alto, Medio o Bajo. La clasificación se inspira en el estándar federal estadounidense FIPS 199 y considera el impacto potencial de una interrupción en cinco dimensiones: seguridad y vida, continuidad de servicios al ciudadano, impacto económico u operativo, legal o regulatorio, y reputacional.
El propio reglamento da ejemplos que ayudan a entender qué cae en cada nivel:
- Alto: plataformas de autenticación ciudadana, centros de cómputo centrales de ministerios importantes, proveedores de energía o telecomunicaciones, sistemas bancarios nacionales.
- Medio: organismos descentralizados, registros provinciales, hospitales de referencia, operadores logísticos de transporte público.
- Bajo: sistemas administrativos internos, bases de datos de consulta pública no crítica, sistemas duplicados que no afectan al ciudadano de manera directa.
Esta clasificación es la base sobre la que se monta todo lo demás. Los objetivos de recuperación, la estrategia de respaldo, la frecuencia de pruebas y los requisitos de infraestructura dependen del nivel asignado a cada sistema.
Plan de Contingencia y Plan de Recuperación ante Desastres
Todo plan debe incluir, como mínimo: alcance formal, análisis de impacto al negocio (BIA), estrategia de respaldo y recuperación, roles y responsabilidades con contactos de emergencia 24×7, playbooks paso a paso, coordinación con otras áreas, medidas de seguridad durante la recuperación, registro documental, programa de pruebas, mecanismo de revisión y aprobación, y proceso de mejora continua.
Un detalle importante: los playbooks tienen que ser específicos por tipo de incidente. El reglamento menciona explícitamente la diferenciación entre ransomware y destrucción física, alineado con NIST SP 800-184. Es un reconocimiento normativo de algo que en el ámbito técnico ya estaba claro: el ransomware dejó de ser una amenaza emergente para volverse una categoría que requiere protocolo propio.
Descargá el Reglamento para la Implementación de Planes de Contingencia
Los tres ejes técnicos que cambian las reglas del juego
1. Distancia geográfica mínima de 1.500 km
El Centro de Datos de Respaldo tiene que estar dentro del territorio argentino, a no menos de 1.500 kilómetros del centro de datos principal. La razón es evitar la exposición simultánea a eventos disruptivos como terremotos, inundaciones, cortes regionales prolongados o ataques físicos coordinados.
Para una infraestructura principal en Buenos Aires, esto implica buscar ubicaciones en el norte del país o en la Patagonia. Es una decisión que mezcla ingeniería de resiliencia con una idea de soberanía digital: la replicación no puede salir del territorio nacional.
El reglamento también exige al menos dos enlaces de comunicaciones independientes entre el sitio principal y el de respaldo, preferentemente con fibra óptica por rutas físicas distintas y contratados a proveedores diferentes. Además recomienda un tercer enlace satelital o radioenlace para contingencias extremas.
2. Certificación Tier 3 en 20 meses
Esta es la exigencia más demandante. El Centro de Datos de Respaldo tiene que certificarse como Tier 3 según ANSI/TIA-942 y las guías del Uptime Institute, dentro de un plazo máximo de 20 meses desde la entrada en vigencia.
¿Qué implica Tier 3?
- Disponibilidad anual del 99,982%, lo que equivale a menos de 1,6 horas de caída tolerada por año.
- Mantenibilidad concurrente: cualquier componente crítico tiene que poder aislarse o retirarse para mantenimiento sin interrumpir las operaciones.
- Redundancia eléctrica N+1 con múltiples rutas de distribución, UPS y generadores.
- Redundancia de climatización N+1 con sistemas HVAC duplicados.
- Protección contra incendios con detección temprana (por ejemplo VESDA) y supresión automática con agentes limpios o agua nebulizada, según NFPA 75/76.
- Seguridad física y lógica equivalente al sitio principal: control de accesos por capas, CCTV, autenticación multifactor, segmentación de red y monitoreo continuo.
Hoy la cantidad de centros de datos certificados Tier 3 en territorio argentino es bastante limitada y se concentra mayormente en el sector privado y en pocas jurisdicciones. La norma genera, por la vía técnica, una demanda concentrada sobre un tipo de infraestructura muy específico.
3. Objetivos de recuperación medibles
El reglamento establece RTO (Recovery Time Objective) y RPO (Recovery Point Objective) diferenciados por criticidad:
| Criticidad | RTO | RPO |
|---|---|---|
| Alta | Menos de 4 horas | Menos de 1 hora |
| Media | Menos de 24 horas | Menos de 4 horas |
| Baja | Entre 1 y 5 días | (Copias de seguridad por muestreo) |
Estos parámetros dejan de ser aspiracionales para volverse exigibles. Para un sistema de criticidad Alta, esto quiere decir que ante un incidente el organismo tiene menos de 4 horas para volver a estar operativo y no puede perder más de una hora de información.
Estrategias de recuperación obligatorias por nivel
El reglamento también define la arquitectura mínima del sitio de respaldo según la criticidad:
- Alta: sitio alternativo en caliente (hot site), con replicación continua y conmutación automática o semi-automática.
- Media: sitio en caliente o tibio (warm site), con copias incrementales y snapshots.
- Baja: sitio en frío (cold site), operativo mediante procesos manuales, o un esquema de copias de seguridad.
Para datos críticos se exige replicación sincrónica cuando el RPO es cercano a cero. Si no resulta viable, se admite replicación asincrónica con RPO documentado y formalmente aceptado por el organismo.
Pruebas obligatorias: del PDF al simulacro
Acá hay un cambio cultural importante. Tener el plan ya no alcanza, hay que probarlo.
- Alta criticidad: prueba completa anual del PRD, ejercicios tabletop semestrales, pruebas de recuperación desde backups offline y tests de failover de redes.
- Media criticidad: prueba completa anual, tabletop trimestrales y pruebas de backups offline.
- Baja criticidad: pruebas de consistencia de copias de seguridad por muestreo de archivos.
Después de cada ejercicio, el organismo tiene que labrar un informe con métricas y plan de remediación. Esto transforma la planificación de contingencia, que durante años fue un ejercicio documental anual, en un proceso operativo continuo, con evidencia y trazabilidad.
Implicancias políticas y de gestión
Más allá de la lectura técnica, hay tres consecuencias políticas que conviene mirar con atención.
Primero, el reglamento instala un piso común. Hasta ahora, la madurez en continuidad operativa dependía mucho de la voluntad de cada gestión. Con esta norma, todos los organismos alcanzados comparten un mínimo verificable, lo que reduce la asimetría entre jurisdicciones y entre niveles de gobierno.
Segundo, redefine la conversación sobre presupuesto. La certificación Tier 3, la redundancia eléctrica, los enlaces diversificados y los programas de prueba tienen un costo concreto. Los gobiernos van a tener que decidir si construyen infraestructura propia, contratan colocación o adoptan modelos híbridos. La discusión presupuestaria sobre ciberseguridad pasa de ser opcional a ser estructural.
Tercero, posiciona al Centro Nacional de Ciberseguridad como autoridad técnica. El reglamento le otorga funciones concretas: emitir guías y formularios BIA estandarizados, dictar resoluciones complementarias, publicar un calendario de entrenamientos y acompañar a los organismos en la implementación. Es un rol activo, no meramente normativo.
Qué tiene que mirar un decisor público hoy
Si gestionás o asesorás a un organismo alcanzado, hay cinco acciones inmediatas que el reglamento vuelve difíciles de postergar:
- Identificar al responsable formal (autoridad designada) de la política de planes de contingencia.
- Empezar o auditar el inventario de sistemas con sus dependencias.
- Clasificar cada sistema en Alto, Medio o Bajo según impacto.
- Evaluar el estado actual del sitio de respaldo: ubicación, distancia, nivel Tier, conectividad y seguridad.
- Diseñar el programa de pruebas anuales y los playbooks por tipo de incidente.
El reloj de los 20 meses para certificar Tier 3 empieza a correr desde la entrada en vigencia (11/06/2026) La diferencia entre los organismos que llegan a tiempo y los que no va a definirse en estos primeros meses, no en el tramo final.
El reglamento cambia el piso normativo de la infraestructura pública digital argentina. Por primera vez hay parámetros medibles, plazos concretos y obligaciones de certificación para algo que hasta ahora quedaba librado al criterio de cada gestión.
La pregunta interesante no pasa tanto por si la norma se va a cumplir, sino por cómo cada jurisdicción va a financiar, planificar y ejecutar la adecuación. Los organismos que empiecen ahora van a llegar con margen. Los que esperen al último tramo probablemente lleguen con costos más altos y riesgo de incumplimiento.
Hay una lectura adicional que no se debería pasar por alto: poner orden en la infraestructura crítica del Estado es una oportunidad concreta para construir un Estado más confiable y mejor preparado para lo que viene.
