La norma reglamenta procedimientos con requisitos mínimos de continuidad operativa y resiliencia digital para organizaciones del Sector Público Nacional que utilicen centros de datos o infraestructura tecnológica.
El Gobierno fijó un plazo de 180 días para que los organismos del Sector Público Nacional preparen sus sistemas tecnológicos frente a ciberataques, fallas graves, desastres e incidentes informáticos.
La medida fue establecida por el Centro Nacional de Ciberseguridad a través de su primera disposición, publicada en el Boletín Oficial.
La norma aprueba un reglamento técnico con requisitos mínimos de continuidad operativa y resiliencia digital para organismos estatales que utilicen centros de datos o infraestructura tecnológica.
El objetivo es que los sistemas críticos del Estado puedan sostener sus servicios o recuperarlos dentro de plazos definidos ante una interrupción. Para eso, cada organismo alcanzado deberá contar con políticas de contingencia, inventarios de sistemas clasificados por criticidad y centros de procesamiento alternativos.
Qué deberán presentar los organismos estatales
Cada organismo deberá presentar un informe de cumplimiento de su Plan de Recuperación ante Desastres. Ese documento tendrá que incluir, cuando corresponda, la ubicación del centro alternativo, sus características técnicas y los resultados de al menos una prueba inicial de conmutación al sitio de respaldo.
De acuerdo a la nueva normativa, para sistemas de criticidad alta, el tiempo de recuperación (RTO) deberá ser menor a 4 horas y la pérdida máxima de información (RPO) no podrá superar una hora. Para sistemas de criticidad media, el RTO será menor a 24 horas y el RPO menor a 4 horas. En los sistemas de criticidad baja, la recuperación podrá ubicarse entre 1 y 5 días, con copias de seguridad verificadas por muestreo.
El reglamento también exige que cada organismo elabore una política formal de planes de contingencia. Ese documento deberá definir propósito, alcance, roles, responsabilidades, procedimientos de implementación, mecanismos de actualización y una autoridad responsable.
Además, los organismos deberán realizar un inventario de sistemas, aplicaciones, datos, infraestructura y proveedores. Ese relevamiento tendrá que actualizarse al menos una vez por año o antes si se producen cambios relevantes en la arquitectura tecnológica.
Centros de respaldo, pruebas y clasificación de sistemas
Uno de los puntos más exigentes del reglamento es la obligación de contar con un Centro de Datos de Respaldo dentro del territorio argentino y a no menos de 1500 kilómetros del centro principal. La medida apunta a evitar que un mismo evento afecte al mismo tiempo al sitio principal y al alternativo.
La norma también establece que el centro de respaldo deberá certificarse y tener altos niveles de disponibilidad, redundancia eléctrica, climatización duplicada, protección contra incendios, seguridad física y lógica, y posibilidad de mantenimiento sin interrumpir las operaciones.
El reglamento incorpora, además, exigencias de conectividad. El sitio principal y el de respaldo deberán estar unidos por al menos dos enlaces independientes, preferentemente con fibra óptica por rutas físicas distintas y contratados a proveedores diferentes. También se recomienda un tercer enlace satelital o por radioenlace para escenarios extremos.
Del plan escrito a las pruebas reales
La nueva disposición también obliga a probar los planes. Los sistemas de alta criticidad deberán realizar una prueba completa anual del Plan de Recuperación ante Desastres, ejercicios tabletop semestrales, pruebas de recuperación desde backups offline y tests de conmutación de redes.
Para los sistemas de criticidad media, el reglamento prevé una prueba completa anual, ejercicios tabletop trimestrales y pruebas de backups offline. En los sistemas de baja criticidad, se deberán hacer pruebas de consistencia de copias de seguridad por muestreo.
Después de cada ejercicio, los organismos tendrán que elaborar un informe con métricas y un plan de remediación. La planificación de contingencia pasa así de una exigencia documental a un proceso operativo con evidencia, seguimiento y mejora continua.
La norma también menciona la necesidad de contar con playbooks específicos por tipo de incidente, incluidos escenarios de ransomware y destrucción física. Ese punto incorpora al reglamento una distinción importante: no todos los incidentes se responden de la misma manera ni requieren las mismas decisiones técnicas.
El nuevo esquema abre una etapa de implementación compleja para el Estado. La adecuación exigirá presupuesto, infraestructura, coordinación entre áreas técnicas, definición de responsables, contratación o construcción de centros de respaldo y entrenamiento sostenido.
El plazo de 180 días marca el primer vencimiento operativo. El de 20 meses para la certificación Tier 3 fija una segunda meta de mayor exigencia. Entre ambos, los organismos públicos deberán demostrar que sus servicios digitales pueden resistir mejor los ataques, las fallas y los eventos que amenacen su continuidad.
