La discusión sobre la soberanía en la nube ha vuelto a encenderse en Bruselas. La patronal europea de proveedores de infraestructura cloud, CISPE, ha publicado un posicionamiento muy crítico con el nuevo EU Cloud Sovereignty Framework de la Comisión Europea. Su tesis es rotunda: “o un servicio cloud es soberano o no lo es”; no cabe un “75 % soberano”, del mismo modo que un alimento no puede ser “75 % ecológico”. En su opinión, el marco introduce una puntuación de soberanía que mezcla criterios inalcanzables con otros vagos y abre la puerta a “cuadrar números” sin garantizar control real, lo que podría favorecer a los grandes hiperescalares extranjeros y mantener el statu quo bajo el paraguas de la palabra “soberanía”.

Qué dice el nuevo marco de la Comisión

El Cloud Sovereignty Framework es, ante todo, una herramienta de evaluación que la Comisión ha ligado a su proceso de contratación pública. Según el Ejecutivo comunitario, el marco mide el desempeño de los proveedores en ocho objetivos de soberanía (estratégicos, legales, operativos, medioambientales, transparencia de la cadena de suministro, apertura tecnológica, seguridad y cumplimiento normativo), con una metodología de puntuación que permitiría comparar ofertas en concursos como los asociados al Cloud III DPS. El documento detalla que toma referencias de marcos como Gaia-X, CIGREF, ENISA/NIS2 y DORA. El objetivo declarado: contratar servicios más independientes y ajustados a las leyes europeas, con criterios uniformes.

Por qué CISPE considera que el “score” confunde más que aclara

Para CISPE, promediar promedios y mezclar imposibles (por ejemplo, control europeo sobre cada componente hardware) con vaguedades (“garantías frente a cambios de control”) lleva a una opacidad que permite esconder realidades incómodas. Además, alertan de un efecto perverso: muchos proveedores europeos —incluidas pymes— podrían puntuar por debajo de los grandes proveedores globales, algo que distorsionaría la competencia en nombre de una soberanía “estadística” pero no efectiva. Soberanía, recuerdan, es binaria y territorial: o se puede garantizar el control europeo y la inmunidad frente a injerencias externas, o no. Y, al mismo tiempo, la soberanía no debe ser la única opción del mercado: hay organizaciones con necesidades globales que exigen otras categorías claras pero diferenciadas.

El listón de referencia: Gaia-X Nivel 3

CISPE sugiere que Europa ya dispone de un “sello ecológico” análogo en Gaia-X Nivel 3, que fija el estándar más alto de protección de datos, seguridad, transparencia, control europeo y resiliencia, con ubicación del servicio en Europa y requisitos reforzados —por ejemplo, el cumplimiento en nivel alto de los esquemas de ciberseguridad europeos de ENISA— para reducir el riesgo de accesos no europeos. Como punto de partida, Nivel 3 serviría para identificar servicios plenamente soberanos y aportar una verificación de terceros (CAB) que evite la ambigüedad.

El catálogo y las nuevas etiquetas que propone CISPE

Para cubrir la realidad multinacional de muchas cadenas de suministro, CISPE anuncia dos etiquetas complementarias en su Cloud Services Catalogue:

• Sovereign Cloud (basada en Gaia-X Nivel 3), que garantiza inmunidad total frente a injerencias extranjeras y control 100 % europeo del servicio.
• Operationally Resilient Cloud, orientada a clientes que operan fuera de Europa y necesitan niveles verificables de control operativo y legal sobre sus datos más allá del territorio europeo.

La idea es ofrecer transparencia real: diferenciar claramente soberanía plena de resiliencia operativa en entornos globales, sin diluir conceptos. En paralelo, CISPE enmarca estas iniciativas en su Sovereign Cloud Manifesto (julio de 2025), donde pide reglas practicables que sostengan opciones europeas competitivas y seguras.

El contexto político y regulatorio importa

El debate no ocurre en el vacío. En 2024, la UE rebajó en borradores del esquema de certificación de ciberseguridad en la nube (EUCS) varios requisitos de soberanía que obligaban a joint ventures o controles estrictos de jurisdicción, una decisión que beneficiaba la entrada de proveedores no europeos en contratos sensibles, según fuentes del sector. Grandes compañías europeas —como Deutsche Telekom o Airbus— criticaron este viraje, advirtiendo de los riesgos de leyes extraterritoriales como el Cloud Act estadounidense. En 2025, el lanzamiento de marcos de contratación con “puntuaciones de soberanía” reaviva la discusión: ¿ayudan a ganarle autonomía a Europa o hacen una foto complaciente sin resolver el fondo?

Qué se juega el sector público (y quién gana con cada enfoque)

Para una administración que necesita claridad en las licitaciones, un sello binario del tipo “soberano / no soberano” puede ser más nítido que un score compuesto: reduce interpretaciones y simplifica la fiscalización a posteriori. Si el marco se apoya en etiquetas verificables por terceros (como Gaia-X Nivel 3 para soberanía), el riesgo de “cumplimiento cosmético” baja. En cambio, un sistema de ponderaciones puede premiar inversiones o compromisos genéricos sin asegurar el control jurisdiccional ni la inmunidad a injerencias que reclaman sectores sensibles (sanidad, justicia, defensa, fiscalidad).

No obstante, la Comisión subraya que su marco armoniza criterios y acelera la contratación de servicios conformes con leyes europeas. El choque no es de objetivos —más autonomía y menos dependencia— sino de método: métricas agregadas frente a etiquetas con umbrales exigentes. En esa tensión se define en buena medida el mapa competitivo: proveedores europeos reclaman reglas claras y alcanzables que valoren su control territorial; los hiperescalares despliegan ofertas “soberanas” (por ejemplo, anuncios sobre operación exclusiva por personal de la UE y separación técnica) para adaptarse.

Una lectura práctica para CIOs y CISOs

Más allá del pulso político, el responsable tecnológico necesita criterios accionables:

1. Definir el umbral: si el caso de uso exige soberanía estricta, pedir acreditación equivalente a Gaia-X Nivel 3 o sello que garantice control 100 % europeo (datos, operaciones, soporte y jurisdicción).
2. Trazar la cadena: exigir transparencia de subprocesadores y rutas de datos, incluyendo telemetría y escenarios de soporte.
3. Analizar leyes aplicables: solicitar dictámenes legales sobre extraterritorialidad (Cloud Act y equivalentes) y medidas técnicas eficaces (cifrado con gestión de claves en la UE y separación operativa).
4. Evitar el “box-ticking”: preferir etiquetas verificadas y auditorías a promesas vagas.
5. Plan de salida: asegurar portabilidad y reversibilidad con SLA verificables.

Con este enfoque, un ayuntamiento, un hospital o una empresa industrial pueden decidir conscientemente entre un servicio soberano (cuando la regulación y el riesgo lo exijan) o una opción resiliente y global (cuando el negocio lo requiera), sin confundir categorías.

¿Hacia dónde puede evolucionar el marco europeo?

El aterrizaje del Cloud Sovereignty Framework en licitaciones reales dirá hasta qué punto la puntuación de soberanía introduce transparencia o, como teme CISPE, opacidad. Una vía de convergencia razonable sería vincular los niveles superiores de la puntuación a etiquetas exigentes y verificables (p. ej., Gaia-X Nivel 3), manteniendo niveles intermedios para escenarios globales —con garantías operativas y legales— que no prometen soberanía, pero sí controles verificables y medidas de mitigación.

En paralelo, la presión competitiva seguirá creciendo. Los hiperescalares anuncian ofertas soberanas europeas con separación técnica y organizativa; los proveedores europeos piden que la contratación pública no desincentive la opción local exigiendo lo imposible en unas áreas y relajando otras. Lo que nadie discute es que, en una economía cada vez más cloud-first y en una IA que multiplica el valor de los datos, la gobernanza —quién puede ver, tocar o pedir acceso— es estratégica para Europa.

---

Preguntas frecuentes

¿Qué diferencia hay entre “Sovereign Cloud” y “Operationally Resilient Cloud” según la propuesta de CISPE?
Sovereign Cloud busca inmunidad total frente a injerencias extranjeras y control 100 % europeo del servicio (datos, operaciones, soporte y jurisdicción), tomando Gaia-X Nivel 3 como referencia. Operationally Resilient Cloud está pensada para operaciones globales: no promete soberanía estricta, pero acredita niveles verificables de control operativo y legal sobre los datos fuera de Europa.

¿Qué exige, en la práctica, Gaia-X Nivel 3 a un proveedor de nube?
Nivel 3 apunta al máximo estándar en protección de datos, seguridad, transparencia, portabilidad y control europeo, con localización en Europa y cumplimiento de esquemas de ciberseguridad de la UE en nivel alto, además de certificación por terceros (CAB). Su objetivo es blindar el servicio ante accesos no europeos y bloqueos de proveedor.

¿Por qué CISPE critica la “puntuación de soberanía” de la Comisión?
Porque, según la patronal, promedia criterios heterogéneos —algunos inalcanzables, otros difusos— y permite maquillar resultados, de modo que el valor real de “soberano” se diluiría. Piden etiquetas claras y verificables, en lugar de notas agregadas que confundan a compradores públicos y privados.

¿Cómo encaja este debate con los cambios en el esquema de ciberseguridad (EUCS) y la contratación pública de la UE?
Las revisiones de EUCS relajaron requisitos de soberanía en 2024, lo que dividió al sector. En 2025, la Comisión impulsa compras públicas con un marco de puntuación de soberanía. El resultado práctico dependerá de cómo se apliquen los criterios y qué peso se otorgue a etiquetas estrictas frente a promedios, especialmente en sectores críticos.

vía: cispe.cloud