Ley de Ciberseguridad El Salvador 2024: lo que las empresas deben saber
El Salvador aprobó su Ley de Ciberseguridad y Seguridad de la Información el 12 de noviembre de 2024, estableciendo un marco regulatorio nacional con principios, directrices y la creación de la Agencia Estatal de Ciberseguridad (ACE). Antes de esta ley, las entidades financieras ya estaban obligadas a cumplir las Normas de Ciberseguridad de la SSF (Superintendencia del Sistema Financiero), que exigen gestión de seguridad de la información con roles definidos y programas anuales de cumplimiento.
El Salvador: sin ley marco de protección de datos
A diferencia de países como Colombia, Perú o Ecuador, El Salvador no cuenta con una ley marco de protección de datos personales. La regulación parcial existe a través de jurisprudencia constitucional y protecciones en la Sala de lo Constitucional, pero no hay una normativa específica ni una autoridad técnica designada para proteger los datos de los ciudadanos.
Esta ausencia afecta a empresas que manejan datos sensibles: sin una ley específica, los límites del cumplimiento son difusos y las organizaciones deben basarse en marcos internacionales para definir sus controles.
Ley de Ciberseguridad y Seguridad de la Información (aprobada 12-11-2024)
La nueva ley aprobada en noviembre de 2024 establece el primer marco regulatorio nacional de ciberseguridad para El Salvador. Sus pilares principales son:
- Marco regulatorio nacional: principios, directrices y políticas de protección aplicables a entidades públicas y privadas.
- Supervisión de instituciones públicas: la ley define los mecanismos para que el Estado exija medidas de seguridad en el sector público.
- Agencia Estatal de Ciberseguridad (ACE): nueva entidad responsable de coordinar la implementación de la política nacional y supervisar el cumplimiento.
- Política Nacional de Ciberseguridad e Información: la ACE debe elaborar y actualizar una política nacional que oriente a los sectores público y privado.
El alcance exacto sobre el sector privado depende del reglamento de desarrollo que debe publicarse tras la aprobación de la ley, pero el marco ya establece las bases para una supervisión más amplia que las normas sectoriales actuales.
SSF — Normas de Ciberseguridad vigentes
Antes de la nueva ley, las entidades financieras salvadoreñas ya estaban bajo la supervisión de la Superintendencia del Sistema Financiero (SSF). Sus Normas de Ciberseguridad exigen:
- Gestión obligatoria de seguridad de la información y ciberseguridad: las entidades deben implementar controles activos, no solo políticas documentadas.
- Estructuras organizacionales con roles definidos: se requieren responsabilidades claras, con facultades asignadas a roles específicos de seguridad y gestión de riesgos.
- Programa anual de seguridad de la información: cada entidad debe presentar ante la SSF un programa anual que describa sus objetivos, controles y plan de trabajo.
- Función efectiva de gestión de riesgos de ciberseguridad: no basta con identificar riesgos; la SSF exige que exista un proceso activo de evaluación y mitigación.
- Proporcionalidad según tamaño y complejidad: la SSF considera la estructura, el tamaño, el volumen de transacciones y el número de clientes al evaluar el cumplimiento, lo que da cierta flexibilidad a entidades más pequeñas.
La gestión de vulnerabilidades es uno de los procesos que las entidades financieras deben demostrar ante la SSF como parte de su función efectiva de gestión de riesgos.
Qué deben hacer las empresas salvadoreñas
Las organizaciones del sector financiero deben alinear sus programas de seguridad con las Normas de Ciberseguridad de la SSF, que ya están vigentes. Para el resto del sector privado, la Ley de Ciberseguridad de 2024 y sus reglamentos marcarán el camino.
Las acciones prioritarias incluyen:
- Revisar la estructura organizacional de seguridad: verificar que existan roles definidos con responsabilidades claras de ciberseguridad.
- Establecer un programa anual de seguridad: documentar objetivos, controles, presupuesto y plan de trabajo para el año.
- Implementar gestión activa de riesgos: no solo identificar amenazas, sino gestionarlas con procesos medibles y auditables.
- Fortalecer la cultura de ciberseguridad: la SSF reconoce que los controles técnicos no son suficientes sin una organización sensibilizada ante las amenazas.
- Monitorear el reglamento de la nueva ley: a medida que la ACE publique directrices, las empresas deberán adaptar sus controles.
Seguir el NIST Cybersecurity Framework es una práctica recomendada para estructurar el programa de seguridad con base en estándares internacionales reconocidos, especialmente mientras el reglamento de la nueva ley define los requisitos específicos del sector privado. En la región, Guatemala también avanza en su marco regulatorio: la Resolución JM-98-2025 de la SIB establece requisitos de IA y resiliencia para bancos guatemaltecos.
¿Tu empresa en El Salvador necesita alinear su programa de seguridad con las normas de la SSF o con la nueva Ley de Ciberseguridad? Contáctanos para estructurar un programa de seguridad auditado y proporcional a tu organización.