El Gobierno nacional estableció nuevos requisitos obligatorios de continuidad operativa y recuperación ante incidentes para todos los organismos del Sector Público Nacional que utilicen infraestructura tecnológica o centros de datos. Entre las medidas más relevantes, el nuevo reglamento técnico dispone que los centros de procesamiento de datos alternativos deberán ubicarse “a una distancia mínima de 1500 kilómetros” del datacenter principal.
El Centro Nacional de Ciberseguridad (CNC), organismo descentralizado creado el año pasado en el ámbito de la Secretaría de Innovación, Ciencia y Tecnología, dictó un reglamento técnico que establece estándares mínimos obligatorios en materia de continuidad operativa y resiliencia digital.
El Reglamento Técnico para la Elaboración e Implementación de Políticas de Planes de Contingencias, Planes de Contingencia y Centros de Procesamiento de Datos de Respaldo, según su nombre completo, se aprobó por disposición 1/2026 del organismo -publicada en el Boletín Oficial el 11 de mayo pasado- y los entes alcanzados tienen 180 días para adecuarse a lo dispuesto.
La la exigencia de contar con un data center de respaldo a 1500 km del principal -la mayoría de los cuales está en el Área Metropolitana de Buenos Aires-, es especialmente relevante porque obligará a instalar sitios de contingencia en regiones alejadas para cumplir la normativa, principalmente en la Patagonia donde el clima es naturalmente más benigno para este tipo de instalaciones.
«El Centro de Datos de Respaldo (DRP) deberá estar ubicado dentro del territorio de la República Argentina, a una distancia geográfica significativa del centro de datos principal -al menos mil quinientos (1.500) kilómetros-, con el objetivo de evitar la exposición simultánea a eventos disruptivos o desastres que afecten la región del sitio primario. La selección de la ubicación deberá considerar criterios de independencia geográfica y de infraestructura, sin que ello implique excluir regiones por la sola presencia de riesgos naturales, sino gestionarlos adecuadamente mediante análisis de vulnerabilidad y medidas de mitigación documentadas. Asimismo, deberá garantizar disponibilidad de energía eléctrica, telecomunicaciones y transporte de datos que aseguren la operación continua del DRP», sostiene el reglamento en su capítulo 3.
La decisión generó controversia entre especialistas, que consideran excesiva la distancia entre el datacenter principal y el de respaldo. Además, surgen dudas respecto del futuro de la estatal Arsat, que tiene su centro de datos en su estación de Benavídez, a sólo 35 km del Obelisco (aunque, para muchos organismos este es el centro principal, no el secundario).
La medida alcanza a todos los organismos comprendidos en el artículo 8 de la Ley 24.156 de Administración Financiera, incluyendo administración central, organismos descentralizados y otras entidades estatales que operen sistemas críticos.
Además de la distancia mínima, el reglamento establece obligaciones sobre:
- políticas formales de planes de contingencia;
- clasificación de activos críticos;
- pruebas periódicas de recuperación;
- redundancia de comunicaciones;
- procedimientos documentados de restauración;
- controles de acceso físico y lógico;
- monitoreo y auditoría continua.
La regulación toma criterios internacionales de ciberseguridad y continuidad operativa utilizados por organismos y grandes empresas, como los estándares de National Institute of Standards and Technology (NIST) y International Organization for Standardization (ISO). Estos marcos recomiendan separar físicamente los centros de datos críticos, establecer sitios alternativos y definir protocolos de recuperación para reducir el riesgo de caídas simultáneas ante desastres, fallas masivas o ciberataques.
El nuevo marco regulatorio también fija requisitos diferenciados según el nivel de criticidad de cada sistema estatal. Los organismos deberán definir tiempos máximos tolerables de interrupción y objetivos de recuperación de datos y servicios.
La disposición se publica en un contexto de creciente preocupación por la ciberseguridad y la resiliencia de infraestructuras críticas. Según estimaciones citadas recientemente por medios especializados, Argentina registró miles de millones de intentos de ciberataques durante el último año.
Primera decisión del flamante CNC
El Centro Nacional de Ciberseguridad, un organismo orientado a fortalecer las capacidades estatales de prevención, protección y respuesta frente a amenazas cibernéticas sobre infraestructuras críticas y sistemas digitales estratégicos, fue presentado formalmente el pasado 21 de mayo en el Centro Cultural de la Ciencia (C3) durante un acto presidido por el secretario de Innovación, Ciencia y Tecnología, Darío Genua, y el director del CNC, Ariel Waissbein.
El CNC fue creado mediante el decreto 941/2025 y tendrá entre sus funciones la planificación, ejecución y supervisión de políticas y acciones vinculadas con la ciberseguridad estatal. El organismo buscará coordinar estrategias para proteger redes, sistemas y activos digitales considerados estratégicos para el funcionamiento del Estado.
La creación del Centro se produce en un contexto de creciente preocupación por la seguridad de infraestructuras críticas, el aumento de los ciberataques y la necesidad de desarrollar capacidades de resiliencia digital y continuidad operativa en organismos públicos.
Ayudanos a seguir pensando, buscando y elaborando información para conectar a la sociedad. Si valoras lo que hacemos....
Hacé tu comentario