El 13 de mayo de 2026 se publicó la Disposición N° 1/2026 del Centro Nacional de Ciberseguridad (CNC), mediante la cual se aprueba el “Reglamento Técnico para la Elaboración e Implementación de Políticas de Planes de Contingencias, Planes de Contingencia y Centros de Procesamiento de Datos de Respaldo”, aplicable a organismos del Sector Público Nacional.
El Reglamento establece requisitos técnicos y organizacionales que deberán implementar los organismos alcanzados para asegurar la continuidad de servicios críticos frente a un evento adverso, alineados con estándares internacionales de continuidad de TI. ⚙️
Principales aspectos del Reglamento: 📌
• Identificación y clasificación de activos y sistemas críticos;
• Requisitos mínimos que deben incluir los Planes de Contingencias.
• Requisitos técnicos adicionales para sistemas acordes al potencial impacto mayor de un incidente según el nivel de criticidad definido, y
• Requisitos Técnicos Mínimos para los Centros de Procesamiento de Datos de Respaldo.
En este sentido, se establece que los Planes de Contingencia deberán incluir como mínimo: 🧩
- Alcance del Plan;
- Análisis de Impacto al Negocio (BIA) donde se documentarán Objetivos de Tiempo de Recuperación (RTO) máximos permitidos para cada función esencial, y el Objetivo de Punto de Recuperación (RPO) o pérdida máxima de datos tolerable;
- Identificación de equipos de respuesta y recuperación, listando nombres y cargos de personas autorizadas a declarar un desastre y coordinar tares de recuperación;
- Programa de pruebas con periodicidad mínima anual;
- Estrategias de respaldo y recuperación de datos;
- Registro, documentación y análisis de incidentes;
- Procesos de monitoreo, auditoría y mejora continua
Estándares internacionales de referencia 🌐
El Reglamento adopta lineamientos basados en las normas internacionales NIST SP 800-34 Rev.1; NIST SP 800-184; ISO/IEC 27031:2011; ISO/IEC 22301:2019 e ISO 22300:202, lo que evidencia la tendencia hacia la armonización de los estándares de resiliencia digital del Estado con el marco internacional de ciberseguridad.
Adecuación y cumplimiento ⏳
Los organismos alcanzados tendrán un plazo de 180 días para adecuar sus políticas, infraestructura y procedimientos internos, debiendo además presentar documentación técnica e informes de cumplimiento ante la autoridad competente.
Autoridad de aplicación 🏛️
El Centro Nacional de Ciberseguridad será la autoridad de aplicación que dictará resoluciones complementarias y aclaraciones para la eficaz implementación de las políticas y planes desarrollados por los organismos, así como guías y formularios BIA para ayudar a categorizar la criticidad de los sistemas.