Disposición 1/2026 del CNC: qué exige técnicamente y cómo prepararse para cumplirla ~ Segu-Info

El 13 de mayo de 2026 se publicó en el Boletín Oficial la Disposición 1/2026 del Centro Nacional de Ciberseguridad (CNC), la primera norma emitida por el organismo desde su creación a fines de 2025. En una publicación anterior compartimos un resumen de los principales aspectos de esta medida, incluyendo el plazo de 180 días que tienen los organismos públicos para adecuarse — si aún no lo leíste, te recomendamos empezar por ahí: Disposición AR 1/2026 da 180 días a organismos públicos para reforzar su ciberseguridad.

La fuente del presente post es el Boletín Oficial de la República Argentina en su Disposición 1/2026, CNC (13/05/2026) y nos enfocamos en el Anexo I, el Reglamento Técnico que da cuerpo a la norma. Está organizado en tres capítulos y define con precisión qué debe hacer cada organismo en materia de políticas de contingencia, planes de recuperación y centros de datos de respaldo.

Capítulo 1: Política de Planes de Contingencias

Cada organismo debe elaborar una Política de Planes de Contingencias: un documento institucional que defina su propósito, alcance, roles, responsabilidades y cómo se coordinan las áreas. También debe establecer un mecanismo de actualización que sea tanto periódico como reactivo ante eventos previamente definidos.

El Anexo señala que un activo clave para esto es el inventario de sistemas: la política debe contemplar cómo generarlo, cómo clasificar cada sistema por criticidad y cómo mantenerlo actualizado. Además, debe designar un responsable formal (autoridad designada) del desarrollo de esta política.

1.1. El inventario de sistemas

El inventario debe enumerar todos los sistemas en un único formato estandarizado, actualizarse al menos una vez por año y también ante eventos relevantes (adquisiciones, cambios significativos). Para cada sistema, debe incluir:

Nivel de criticidad

Campo	Descripción
Descripción del sistema	Funcionalidades de negocio y su rol en la misión del organismo
Dependencias	Aplicaciones, datos, infraestructura y proveedores asociados
Impacto de interrupción	Por dimensiones: seguridad/vida, servicios al ciudadano, económico/operativo, legal/regulatorio y reputacional

Alto, Medio o Bajo (según la metodología de la sección 1.2)

RTO y RPO

Tiempo y punto de recuperación objetivo, consistentes con los valores de la Tabla 2

Prioridad de recuperación

Orden de restauración y recursos necesarios

El inventario debe ser aprobado por la autoridad designada.

1.2. Categorización de sistemas por niveles de criticidad

El Anexo establece tres niveles de criticidad basados en el impacto que tendría una interrupción del sistema, siguiendo criterios inspirados en la norma federal FIPS 199 de EE.UU.:

Nivel	¿Cuándo aplica?	Ejemplos
🔴 Alto	Sistemas cuya indisponibilidad tendría efectos severos o catastróficos en seguridad, orden público, economía, salud pública o bienestar general	Centros de cómputos de ministerios clave, sistemas bancarios de pago nacional, proveedores de energía o telecomunicaciones
🟡 Medio	Sistemas que, si fallan, generarían efectos adversos graves en sectores económicos, sanitarios o regionales importantes, pero manejables a corto plazo	Organismos descentralizados, hospitales de referencia, registros provinciales, operadores de transporte público
🟢 Bajo	Sistemas cuya caída prolongada tendría impacto limitado y acotado, tolerable mediante medidas alternativas temporales	Funciones administrativas internas, bases de datos de consulta pública no crítica, sistemas duplicados

Importante: incluso los sistemas de nivel Bajo deben contar con un plan de recuperación, aunque simplificado.

Capítulo 2: Plan de Contingencia y Plan de Recuperación ante Desastres (PRD)

El Plan de Contingencia describe cómo se recuperarán los sistemas, datos y servicios críticos ante un evento adverso, garantizando la continuidad operativa y minimizando el impacto en la misión del organismo. El Plan de Recuperación ante Desastres (PRD) es parte integral de esta planificación.

2.1. Componentes mínimos obligatorios

Todo Plan de Contingencia, independientemente del organismo o su nivel de criticidad, debe incluir los siguientes componentes:

Componente	Qué debe contener
Alcance	Declaración formal del compromiso institucional con la continuidad de TI
Análisis de Impacto al Negocio (BIA)	Procesos críticos, sistemas de apoyo, consecuencias de interrupción, RTO y RPO por función esencial, priorización de sistemas
Estrategia de respaldo y recuperación	Tipo de solución adoptada (sitio espejo, caliente, tibio o frío), ubicación y características del Centro de Datos de Respaldo, recursos redundantes, mecanismos de replicación
Organización, roles y responsabilidades	Personas autorizadas a declarar un desastre, responsables de recuperación, equipos técnicos, datos de contacto de emergencia 24x7, lista de escalamiento
Procedimientos de activación y recuperación (playbooks)	Guías paso a paso para: activación del PRD, conmutación al sitio alternativo, recuperación de sistemas y datos, retorno a la normalidad. Deben ser específicos por tipo de incidente (ej: ransomware vs. destrucción física)
Coordinación con otras áreas	Interacciones con otras áreas: reporte de incidentes, comunicaciones, actualizaciones y configuración de sistemas
Medidas de seguridad en la recuperación	Controles lógicos (autenticación, firewalls, cifrado, monitoreo) y físicos; coordinación con el plan de respuesta a incidentes; cuidado de evidencia forense
Registro y documentación	Bitácora cronológica de eventos, decisiones y medidas durante una conmutación; resultados de pruebas y evidencias (informes de backup, reportes de replicación)
Programa de pruebas	Tipo y frecuencia de pruebas (failover, simulacros, tabletop), con periodicidad mínima anual para pruebas integrales; informe de resultados tras cada ejercicio con métricas y plan de remediación
Revisión y aprobación	Mecanismo formal de revisión y aprobación de los planes
Actualización y mejora continua	Objetivos de actualización periódica y ante eventos como fallas en pruebas; incorporación de lecciones aprendidas

2.2. Requisitos adicionales según nivel de criticidad

Sobre la base común anterior, el Reglamento establece exigencias adicionales, los sistemas deberán cumplir requisitos técnicos adicionales acordes al potencial impacto mayor de un incidente, diferenciadas por nivel de criticidad:

Aspecto	🔴 Alto	🟡 Medio	🟢 Bajo
Centro de respaldo	Tier 3 (certificado en 20 meses), a ≥1.500 km del centro principal	Tier 3 (certificado en 20 meses), a ≥1.500 km del centro principal	Sin requisito específico de Tier
Estrategia de recuperación	Sitio caliente (hot site) o tibio (warm site)	Sitio frío (cold site), operativo mediante procesos manuales	Copias de seguridad
RTO objetivo	Menos de 4 horas	Menos de 24 horas	Entre 1 y 5 días
RPO objetivo	Menos de 1 hora	Menos de 4 horas	No especificado
Pruebas periódicas	Al menos 1 prueba completa anual + tabletops semestrales + pruebas de recuperación de backups offline + tests de failover de redes	Al menos 1 prueba completa anual + tabletops trimestrales + pruebas de recuperación de backups offline	Pruebas de consistencia de copias de seguridad por muestreo

Sitio caliente: operativo casi en tiempo real, con replicación continua y conmutación rápida automática o semi-automática. Sitio tibio: copias incrementales con snapshots e infraestructura configurada por software. Sitio frío: infraestructura disponible pero que requiere configuración manual antes de operar.

Capítulo 3: Requisitos técnicos mínimos para el Centro de Datos de Respaldo

El Capítulo 3 especifica las condiciones que debe cumplir la infraestructura de respaldo. A continuación, un resumen de cada requisito:

Requisito	Detalle
Ubicación geográfica	Dentro del territorio argentino, a al menos 1.500 km del centro principal, para evitar exposición simultánea a eventos disruptivos regionales
Conectividad	Al menos dos enlaces independientes (preferentemente fibra óptica por rutas físicas distintas), contratados con diferentes proveedores; se recomienda un enlace adicional satelital o por radioenlace para contingencias extremas
Suministro eléctrico	Doble acometida energética, UPS adecuadas y generadores con autonomía mínima de 24 a 48 horas
Climatización	Sistemas HVAC redundantes; en ubicaciones frías puede implementarse free cooling; control de humedad para evitar condensación o estática
Hardware	Compatible con el centro principal (arquitecturas, hipervisores, SO, middleware); capacidad suficiente para soportar los servicios críticos; replicación sincrónica para RPO cercano a cero, asincrónica o por backups periódicos en los otros niveles
Seguridad física	Accesos por capas, CCTV, perímetro, detección y extinción de incendios (VESDA + agentes limpios o agua nebulizada, conforme NFPA 75/76)
Seguridad lógica	Firewalls, IDS/IPS, autenticación multifactor, segmentación de red, cifrado y monitoreo continuo (SIEM); equivalentes a los controles del centro principal (NIST SP 800-53, control CP-7(3))
Certificación Tier 3	Debe cumplir los requisitos Tier 3 desde el inicio de las operaciones y certificarse formalmente dentro de los 20 meses desde la entrada en vigencia del Reglamento. Garantiza disponibilidad anual de 99,982% y mantenimiento concurrente sin interrupción
Seguridad física y lógica	Accesos multicapa, CCTV, MFA, segmentación de red, monitoreo continuo de incidentes

El Reglamento Técnico no deja margen para la ambigüedad: define qué documentos hay que tener, qué información debe contener cada uno, qué infraestructura se requiere y cómo debe probarse. Para los organismos del Sector Público Nacional, el camino está trazado con claridad. El desafío ahora es ejecutarlo dentro del plazo, objetivo que sin duda no será sencillo.

Por Lic. Bernardita Götte

Compliance Consultant en Segu-Info

Jun 3, 2026