Saltar al contenido
APEX GRC CYBER RISK & COMMAND
Volver a Insights
Regulación LATAM 5 min de lectura

Argentina ya exige probar que tu recuperación ante desastres funciona. Si le vendés al Estado, también te alcanza.

El 13 de mayo de 2026, el Centro Nacional de Ciberseguridad publicó la Disposición 1/2026: el primer reglamento técnico obligatorio de continuidad y recuperación ante desastres para el Sector Público Nacional. Ya está vigente, con 180 días para cumplir. Y baja por la cadena de proveedores.

Argentina acaba de publicar algo importante, y el silencio alrededor es llamativo. El 13 de mayo de 2026, el Centro Nacional de Ciberseguridad publicó en el Boletín Oficial la Disposición 1/2026: el primer reglamento técnico obligatorio para todo el Sector Público Nacional sobre planes de contingencia y recuperación ante desastres.

No es una guía. No es una recomendación. Es norma, y ya está vigente.

Qué exige, concretamente

La Disposición no se conforma con buenas intenciones. Exige:

  • Planes de contingencia formales.
  • Centros de Procesamiento de Datos alternativos.
  • Métricas de recuperación definidas: RTO (cuánto podés tardar en volver) y RPO (cuántos datos podés permitirte perder).
  • Y lo que me parece clave: pruebas de conmutación al sitio de respaldo. No alcanza con tenerlo; hay que demostrar que funciona.

El plazo para cumplir es de 180 días.

Los estándares de referencia son NIST SP 800-184, NIST SP 800-34, ISO/IEC 27031, ISO 22301 y los lineamientos de ENISA. Argentina no inventó nada nuevo: se alineó con las mejores prácticas globales. Y eso, en sí mismo, ya es una señal positiva.

El contexto que conviene leer

El CNC fue creado por el Decreto 941/2025 a fines del año pasado, separando formalmente las funciones de ciberseguridad operativa de las de ciberinteligencia. La Disposición 1/2026 es su primera acción normativa concreta.

Dicho de otro modo: Argentina está construyendo, en tiempo real, una arquitectura regulatoria de ciberseguridad. Lo que hoy alcanza al Estado suele ser el borrador de lo que mañana alcanza al resto.

El efecto cascada al sector privado

Acá está el punto que casi nadie está mirando. Las exigencias no se quedan dentro del Estado. Los proveedores tecnológicos, los integradores y las empresas que operan con organismos públicos van a empezar a recibir estos requisitos en cascada, vía contratos y pliegos.

Si tu empresa le vende servicios al Estado, el plan de continuidad de tu cliente ya es parte de tu ecuación de riesgo. Su RTO se convierte en tu SLA; su prueba de conmutación, en la evidencia que vas a tener que mostrar.

Las preguntas que le haría a tu directorio

  • ¿Tenemos un plan de recuperación ante desastres probado, con RTO y RPO definidos? ¿O tenemos un documento que nadie abre hace dos años?
  • Si un cliente, público o privado, nos exige hoy una prueba de conmutación al sitio de respaldo, ¿la pasamos?
  • ¿Sabemos qué parte de nuestros ingresos depende de contratos que pronto van a pedir esto por pliego?
  • ¿Estamos tratando la continuidad como un trámite de cumplimiento, o como lo que es: la diferencia entre un mal día y el fin del negocio?

La regulación no espera a que estemos listos. Y la continuidad tiene una particularidad incómoda: solo sabés si tu plan servía el día en que ya es tarde para escribirlo.

Este análisis hace referencia a normativa vigente al momento de su publicación. La regulación cambia: verificá la vigencia y los plazos con la fuente oficial antes de tomar decisiones.

Fuentes

¿Esto le aplica a tu organización?

Si esta pregunta te quedó dando vueltas, hablemos. En 30 minutos te ayudo a ubicar tu exposición real.

Agendá una conversación