La nube soberana se ha convertido en una de las grandes palabras de moda del mercado tecnológico europeo. Gobiernos, empresas reguladas y proveedores cloud la utilizan para hablar de control de datos, independencia operativa y protección frente a legislaciones extranjeras. El problema es que no siempre significa lo mismo. CISPE, la asociación que agrupa a proveedores europeos de infraestructura cloud, quiere poner orden en ese debate con el lanzamiento de su Sovereign and Resilient Cloud Services Framework.
El nuevo marco, presentado en Bruselas durante el encuentro EU Tech Sovereignty 2026 por Francisco Mingorance, secretario general de CISPE, busca ofrecer una forma auditable de distinguir entre servicios realmente soberanos, servicios resilientes y ofertas que utilizan el reclamo de la soberanía sin aportar garantías verificables. La asociación lo resume con una expresión cada vez más utilizada en el sector: evitar el “sovereignty washing”, o lavado de soberanía.
Una respuesta al uso confuso de la palabra “soberano”
El lanzamiento llega en un momento especialmente sensible para la infraestructura digital europea. La dependencia de grandes proveedores extracomunitarios, la presión regulatoria, el avance de la inteligencia artificial y el crecimiento del gasto público en cloud han convertido la soberanía digital en una cuestión estratégica. Pero, al mismo tiempo, el mercado se ha llenado de ofertas que se presentan como soberanas por operar en Europa, usar centros de datos europeos o cumplir estándares de ciberseguridad, sin que eso garantice por sí solo independencia jurídica, operativa o técnica.
CISPE sostiene que los clientes necesitan saber si un servicio cloud puede estar expuesto a interferencias de jurisdicciones extranjeras, riesgos de interrupción, bloqueo de acceso o dependencia de proveedor. En su comunicación pública, la asociación incluso recurre a la idea de servicios “Trump Proof”, una forma llamativa de aludir al temor a decisiones políticas o legales de terceros países que puedan afectar a servicios digitales usados por organizaciones europeas.
El marco no se limita a preguntar dónde están los datos. Su objetivo es evaluar el control efectivo sobre datos, infraestructura, cargas de trabajo y operaciones. Esa distinción es importante porque una certificación de ciberseguridad puede demostrar que un servicio está bien protegido frente a ataques o vulnerabilidades, pero no necesariamente que esté libre de riesgos de dependencia jurídica, bloqueo comercial o falta de reversibilidad.
Servicios soberanos y servicios resilientes: dos caminos distintos
La propuesta de CISPE introduce dos categorías complementarias. Por un lado, los servicios soberanos, que buscan garantizar el control por diseño. Por otro, los servicios resilientes, que aceptan que pueden existir elementos no plenamente soberanos, pero exigen mecanismos técnicos y operativos para que el cliente mantenga el control si aparece un problema.
| Categoría | Qué significa | Ejemplos de controles |
|---|---|---|
| Servicio soberano | Control por diseño dentro de una jurisdicción determinada | Propiedad, gobierno y operación dentro de la jurisdicción; protección frente a acceso, interferencia o interrupción por poderes extranjeros |
| Servicio resiliente | Control por capacidad, aunque existan dependencias no soberanas | Cifrado gestionado por el cliente, portabilidad, copias independientes, reversibilidad y posibilidad de cambiar de proveedor o redesplegar cargas |
| Criterios opcionales | Señales adicionales sobre el servicio | Uso de código abierto y medidas de sostenibilidad ambiental indicadas mediante distintivos adicionales |
Esta diferencia intenta resolver una tensión habitual en el mercado. No todas las organizaciones pueden contratar hoy servicios plenamente soberanos para todas sus necesidades, especialmente cuando requieren escala global, determinadas capacidades de inteligencia artificial, ecosistemas de software concretos o integración con plataformas existentes. En esos casos, CISPE plantea que la resiliencia puede ser una alternativa válida, siempre que el cliente conserve capacidad real de reacción.
La asociación utiliza una comparación sencilla: la soberanía sería como montar neumáticos antipinchazo, porque evita el riesgo desde el diseño; la resiliencia sería más parecida a los neumáticos run-flat, que permiten seguir circulando aunque aparezca una incidencia. La metáfora tiene intención comercial, pero ayuda a entender el enfoque: no todas las cargas requieren el mismo nivel de soberanía, pero todas deberían poder evaluarse con criterios claros.
Certificación por servicio, no solo por proveedor
Uno de los puntos relevantes del marco es que la certificación se aplica a servicios cloud concretos, no a la empresa en su conjunto. Esto significa que un proveedor no podrá presentarse de forma genérica como “soberano” si solo algunos de sus servicios cumplen los requisitos. Cada servicio deberá pasar su propio proceso, con auditoría formal realizada por un tercero acreditado.
CISPE indica que los servicios conformes podrán recibir distintivos específicos y aparecer en un registro público, lo que facilitaría a clientes y administraciones identificar qué ofertas han sido evaluadas. Según la asociación, más de 40 servicios ya han sido declarados frente al nuevo marco, entre ellos propuestas vinculadas a asistentes de inteligencia artificial, nube pública, Kubernetes y almacenamiento. La palabra “declarados” es importante: la verdadera prueba del sistema estará en la profundidad de las auditorías, la transparencia del registro y la confianza que genere entre compradores públicos y privados.
El marco también incorpora medidas opcionales para reflejar sostenibilidad ambiental y uso de software de código abierto. No son elementos menores. En Europa, la soberanía digital suele ir ligada a otros objetivos políticos e industriales: reducción de dependencia tecnológica, interoperabilidad, transparencia, eficiencia energética y fortalecimiento del ecosistema local.
La nube soberana entra en la batalla regulatoria europea
El movimiento de CISPE no surge en el vacío. La Comisión Europea ya ha trabajado en su propio Cloud Sovereignty Framework para procesos de contratación, con objetivos relacionados con soberanía estratégica, jurídica, de datos e inteligencia artificial, operativa, de cadena de suministro, tecnológica, de seguridad y de sostenibilidad ambiental. Ese enfoque utiliza niveles de garantía y puntuaciones para evaluar ofertas cloud.
CISPE, sin embargo, lleva meses reclamando que Europa defina la soberanía por control real y no solo por presencia en territorio europeo o cumplimiento de requisitos de seguridad. En marzo de 2026, la asociación ya pidió que el futuro Cloud and AI Development Act situara la soberanía, la resiliencia y la competencia justa en el centro de la política cloud europea. Su postura es clara: si el concepto de nube soberana se diluye demasiado, las grandes plataformas no europeas podrían seguir dominando el mercado bajo nuevas etiquetas.
Esa posición tiene también una lectura industrial. CISPE representa a proveedores europeos de infraestructura cloud y defiende un marco que, previsiblemente, favorece a empresas con propiedad, control operativo y cadena de decisión dentro de Europa. Eso no invalida sus argumentos, pero obliga a leer la iniciativa como parte de una pugna más amplia entre proveedores europeos, hiperescalares estadounidenses y administraciones que buscan equilibrar seguridad, coste, innovación y autonomía estratégica.
El impacto potencial del marco dependerá de su adopción. Si administraciones públicas, empresas reguladas y grandes compradores lo incorporan a sus procesos de contratación, podría convertirse en una referencia relevante para diferenciar ofertas cloud. Si se queda en una iniciativa sectorial sin tracción real, su efecto será más limitado.
Lo que sí parece claro es que la etapa de las declaraciones vagas sobre nube soberana empieza a agotarse. En un mercado marcado por la inteligencia artificial, la concentración de proveedores y la incertidumbre geopolítica, los clientes van a exigir algo más que promesas. Querrán saber quién opera el servicio, bajo qué jurisdicción, con qué dependencia tecnológica, qué ocurre si se interrumpe el acceso y cómo pueden recuperar o mover sus cargas de trabajo.
La novedad de CISPE apunta precisamente a eso: convertir la soberanía digital en algo medible, auditable y comparable. El reto será demostrar que el marco no añade otra capa de complejidad al mercado, sino una herramienta útil para tomar mejores decisiones.
Preguntas frecuentes
¿Qué es el CISPE Sovereign and Resilient Cloud Services Framework?
Es un marco creado por CISPE para evaluar, auditar y distinguir servicios cloud soberanos y resilientes. Su objetivo es ayudar a empresas y administraciones a comprobar si un servicio ofrece control real sobre datos, infraestructura, cargas de trabajo y operaciones.
¿Cuál es la diferencia entre nube soberana y nube resiliente?
Un servicio soberano busca evitar el riesgo desde el diseño, con propiedad, gobierno y operación dentro de la jurisdicción correspondiente. Un servicio resiliente admite posibles dependencias externas, pero exige controles como cifrado gestionado por el cliente, portabilidad, copias independientes y capacidad de cambiar de proveedor.
¿Una certificación de ciberseguridad garantiza soberanía cloud?
No necesariamente. La ciberseguridad puede acreditar protección técnica frente a amenazas, pero la soberanía digital también incluye jurisdicción, control operativo, independencia tecnológica, reversibilidad, cadena de suministro y protección frente a interferencias externas.
¿Por qué CISPE habla de “sovereignty washing”?
CISPE utiliza esa expresión para criticar ofertas que se presentan como soberanas sin aportar garantías verificables de control real. El marco pretende reducir esa confusión mediante auditorías, distintivos y un registro de servicios evaluados.
vía: cispe cloud
