El foco ya no está solamente en evitar ataques, sino en garantizar que el Estado pueda seguir funcionando cuando ocurran.

La ciberseguridad volvió al centro de la agenda estatal argentina tras la publicación de una nueva normativa técnica impulsada por el recién creado Centro Nacional de Ciberseguridad (CNC), que establece un plazo de 180 días para que organismos públicos adapten su infraestructura, procedimientos y capacidades de respuesta frente a incidentes informáticos.

La medida fue oficializada mediante la Disposición 1/2026 y alcanza a organismos del Sector Público Nacional que operen centros de datos o infraestructura tecnológica crítica. Entre otras exigencias, deberán desarrollar políticas de contingencia, planes de recuperación ante desastres y entornos alternativos capaces de mantener servicios esenciales frente a ataques, fallas masivas o interrupciones operativas.

Un cambio de paradigma: asumir que los ataques van a ocurrir

Durante años, gran parte de las estrategias de seguridad se construyeron alrededor de una idea: impedir que el atacante ingresara.

El problema es que la realidad terminó demostrando otra cosa.

Ransomware, explotación de vulnerabilidades de día cero, errores humanos, ataques a la cadena de suministro y campañas masivas de phishing hicieron evidente que ninguna organización puede garantizar protección absoluta. La pregunta dejó de ser si ocurrirá un incidente y pasó a ser cuánto daño causará y cuánto tiempo llevará recuperarse.

Por eso, la nueva regulación argentina pone el foco en la resiliencia operativa.

No se trata únicamente de tener firewalls, antivirus o monitoreo. Se trata de que un ministerio, un organismo recaudador, un sistema sanitario o una plataforma crítica del Estado puedan volver a operar rápidamente después de un incidente.

Qué exige la nueva normativa

Los organismos deberán identificar y clasificar sus sistemas según criticidad, definir objetivos de recuperación y documentar procedimientos específicos para distintos escenarios de crisis.

Entre los conceptos que aparecen en la regulación se encuentran:

• RTO (Recovery Time Objective): tiempo máximo aceptable para restaurar un servicio.

• RPO (Recovery Point Objective): cantidad máxima de información que puede perderse durante una interrupción.

• Planes de contingencia documentados.

• Playbooks de respuesta y recuperación.

• Pruebas periódicas de recuperación.

• Centros de procesamiento de datos alternativos.

Según análisis posteriores de la normativa, los sistemas considerados de alta criticidad deberán recuperar operaciones en menos de cuatro horas y tolerar pérdidas de datos inferiores a una hora. También se exige la realización de ejercicios periódicos y pruebas reales de restauración desde respaldos.

La influencia de estándares internacionales

El reglamento toma como referencia marcos ampliamente utilizados en entornos gubernamentales y corporativos, incluyendo recomendaciones de National Institute of Standards and Technology (NIST), estándares ISO y lineamientos de European Union Agency for Cybersecurity (ENISA).

Entre ellos aparecen las guías NIST SP 800-34 y NIST SP 800-184, enfocadas específicamente en planificación de contingencias y recuperación frente a eventos de ciberseguridad.

Esto muestra una tendencia cada vez más frecuente a nivel global: los Estados están dejando de construir normativas centradas únicamente en controles preventivos para incorporar conceptos de continuidad operativa, resiliencia y recuperación medible.

Infraestructura crítica y soberanía digital

Uno de los aspectos más interesantes del reglamento es que obliga a contemplar centros de procesamiento de respaldo dentro del territorio nacional y a diseñar arquitecturas capaces de soportar eventos que afecten simultáneamente sistemas principales y secundarios.

Más allá de los requisitos técnicos, esto toca un tema cada vez más relevante: la dependencia tecnológica de infraestructuras críticas.

Cuando servicios públicos esenciales dependen de proveedores externos, regiones específicas o arquitecturas altamente centralizadas, los riesgos dejan de ser únicamente técnicos. También pasan a ser estratégicos.

La continuidad operativa de un Estado moderno ya no depende solo de edificios, energía o telecomunicaciones. Depende también de centros de datos, plataformas digitales, sistemas de identidad, infraestructura cloud y capacidades de recuperación frente a incidentes.

En ese contexto, la nueva normativa argentina puede interpretarse como algo más amplio que una actualización técnica: es un intento de comenzar a construir capacidades estatales de resiliencia digital con criterios más cercanos a infraestructura crítica que a simples sistemas informáticos.

El desafío empieza ahora

Publicar una normativa suele ser la parte sencilla.

El verdadero desafío aparece durante la implementación.

Inventariar sistemas, clasificar activos críticos, definir RTO y RPO realistas, validar respaldos, probar recuperaciones y sostener procesos de mejora continua requiere presupuesto, personal especializado y madurez organizacional.

Los próximos 180 días mostrarán si la medida logra transformarse en una mejora real de la resiliencia estatal o si termina convirtiéndose en otro requisito formal difícil de aplicar en organismos que históricamente arrastran problemas de infraestructura, recursos y gestión tecnológica.

Lo que sí parece claro es que la conversación cambió: ya no alcanza con preguntarse cómo evitar el próximo ataque. Ahora también hay que responder qué pasa cuando ese ataque finalmente ocurre.