9 min de lectura

El 90 % de las empresas alemanas utilizan servicios en la nube. Al mismo tiempo, el 78 % afirma: «Dependemos demasiado de proveedores estadounidenses». Esta disonancia cognitiva condiciona las estrategias en la nube de las pymes como ningún otro tema. El año 2026 será decisivo para determinar si la soberanía digital europea pasa de ser un leitmotiv político a una realidad operativa. La infraestructura necesaria para ello está en plena construcción.

En resumen

• AWS European Sovereign Cloud en producción: disponible desde enero de 2026 en Brandeburgo, inversión de 7 800 millones de euros, unos 90 servicios disponibles al inicio
• El mercado explota: los gastos europeos en nubes soberanas aumentarán, según Gartner, de 6 900 millones de USD (2025) a 12 600 millones de USD (2026), un incremento del 83 %
• Todos los hyperscalers siguen el ritmo: Microsoft Sovereign Public Cloud, Google Sovereign Cloud Hub en Múnich, Delos Cloud (T-Systems/SAP) ya en producción
• Alternativas alemanas en expansión: STACKIT se consolida como hyperscaler alemán, OVHcloud gestiona la infraestructura del euro digital del BCE
• EUCS bloqueado: la certificación europea para la nube lleva estancada más de cuatro años. El BSI C5 sigue siendo el estándar de facto en Alemania

El mercado cambia de rumbo: la soberanía se convierte en una cuestión de miles de millones

Lo que hace tres años se desestimaba como una exigencia política es hoy, en 2026, un mercado con cifras concretas. Gartner estima los gastos globales en IaaS soberanos en la nube en 80 000 millones de dólares estadounidenses para 2026, un aumento del 35,6 % respecto al año anterior. La parte europea crece especialmente rápido: de 6 900 millones de USD (2025) a 12 600 millones de USD (2026), y se prevé alcanzar los 23 100 millones de USD en 2027.

Lo que significan estas cifras: Europa superará probablemente a Norteamérica en gastos en nubes soberanas en 2027. El continente ya no invierte únicamente en la nube, sino en un tipo distinto de nube.

Los impulsores son conocidos: la Directiva NIS2, el Reglamento DORA (Digital Operational Resilience Act) para el sector financiero, la Ley de Cadena de Suministro y, por último pero no menos importante, la inestabilidad geopolítica desde la toma de posesión de la segunda administración Trump. El Informe Bitkom sobre la nube 2025 traduce esta atmósfera en números: la mitad de las empresas encuestadas afirma estar reajustando su estrategia en la nube debido al nuevo gobierno estadounidense. Y ante la pregunta sobre qué proveedor prefieren, el 100 % responde: uno alemán. Solo el 6 % prefiere un proveedor estadounidense.

«Los responsables de decisiones – no solo los CIO, sino todo el nivel directivo – se preguntan si aún pueden confiar en la infraestructura digital de proveedores estadounidenses».

René Buest, Director Analista Senior de Gartner, febrero de 2026

AWS European Sovereign Cloud: el hyperscaler se vuelve europeo

El 15 de enero de 2026 entró en producción la AWS European Sovereign Cloud en Brandeburgo. Este concepto difiere fundamentalmente de las regiones anteriores de AWS en Europa: infraestructura propia, gobernanza propia y personal propio. Organizativamente, técnicamente y jurídicamente separada de las regiones globales de AWS.

AWS ha creado para ello una organización europea independiente: una nueva sociedad matriz y tres filiales, todas registradas bajo derecho alemán. Todos los empleados operativos son ciudadanos de la UE con residencia en la UE. Al frente están Stephane Israel como Managing Director (desde octubre de 2025) y Stefan Hoechbauer (desde enero de 2026).

La inversión total asciende a 7 800 millones de euros durante varios años. Al inicio están disponibles unos 90 de los más de 240 servicios de AWS; el catálogo se ampliará progresivamente. Se prevén nuevas regiones en los Países Bajos, Bélgica y Portugal.

Para las empresas, esto modifica la base misma del debate sobre la nube: la pregunta ya no es «¿Puede un hyperscaler estadounidense ser soberano?», sino «¿Me basta este grado de soberanía?». Porque hay algo que permanece invariable: AWS como empresa es y seguirá siendo estadounidense. La European Sovereign Cloud aborda la soberanía operativa y jurídica, no la dependencia económica respecto a un único proveedor. Los responsables de TI deben comprender esta distinción antes de firmar cualquier contrato.

«Europa necesita acceso a la tecnología más robusta en materia de nube e inteligencia artificial. Los clientes quieren lo mejor de ambos mundos: aprovechar el catálogo completo de AWS y, al mismo tiempo, cumplir sus estrictos requisitos de soberanía».

Stephane Israel, Managing Director de AWS European Sovereign Cloud, enero de 2026 (traducción adaptada)

Microsoft, Google y Delos: los competidores siguen el paso

AWS no actúa sola. Microsoft ha anunciado su Sovereign Public Cloud para todas las regiones europeas, incluyendo cifrado controlado por el cliente, un consejo de supervisión europeo y un Data Guardian para las operaciones europeas. Para cargas de trabajo altamente sensibles, Azure Local ofrece desde diciembre de 2025 una opción on-premises con controles soberanos.

Delos Cloud, el proyecto conjunto de T-Systems, SAP y Microsoft, está en producción desde enero de 2026. Su modelo consiste en que T-Systems opera tecnología de Microsoft en centros de datos alemanes como fideicomisario, completamente separado de la red global de Microsoft. A cambio, el precio es un 10-20 % superior al de la nube pública de Microsoft. Destacable: Delos y Microsoft han firmado un acuerdo que garantiza la continuidad operativa en caso de que sanciones estadounidenses restrinjan los servicios de nube europeos.

Google Cloud inauguró en noviembre de 2025 un Sovereign Cloud Hub en Múnich, combinado con un Security & Privacy Engineering Hub. En colaboración con T-Systems, Thales, el Grupo Schwarz y otros socios europeos, Google está construyendo una red que cubre distintos niveles de soberanía: desde Data Boundary (los datos permanecen en Europa), pasando por Dedicated Cloud (infraestructura dedicada con operación europea), hasta la variante totalmente aislada Air-Gapped, destinada a las cargas de trabajo más sensibles.

Lo que llama la atención en los tres hyperscalers es que la soberanía no se comercializa como un producto aislado, sino como un espectro. Según la sensibilidad de la carga de trabajo y los requisitos regulatorios, las empresas pueden elegir el nivel de control adecuado. Este es un cambio fundamental respecto a los primeros debates, cuando la «nube soberana» era un concepto binario: o completamente europea o nada.

La alternativa europea: STACKIT, OVHcloud y el sueño del hyperscaler propio

Paralelamente a las ofertas soberanas de los hyperscalers estadounidenses, crecen las alternativas europeas. STACKIT, la plataforma en la nube del Grupo Schwarz (Lidl/Kaufland), se está transformando desde mayo de 2025 en el «hyperscaler alemán»: cuatro centros de datos en Alemania y Austria, un quinto en construcción en Lübbenau, certificada según BSI C5 e ISO 27001, basada en OpenStack.

OVHcloud opera una de las pocas plataformas europeas en la nube con el más alto nivel de seguridad gracias a su certificación SecNumCloud (la rigurosa certificación francesa ANSSI). Un testimonio particular de confianza: el Banco Central Europeo ha seleccionado a OVHcloud como proveedor de infraestructura para el euro digital. Además, IONOS (certificada según BSI C5 desde 2023) representa otra alternativa completamente europea que gana terreno especialmente entre las pymes.

Una evaluación sincera: ninguno de estos proveedores europeos puede sustituir hoy en día el catálogo de servicios de un AWS o Azure. Quien necesite más de 200 servicios gestionados a nivel empresarial no podrá prescindir de los hyperscalers. Pero para cargas de trabajo definidas – especialmente IaaS, Kubernetes, almacenamiento y bases de datos – STACKIT, OVHcloud e IONOS están técnicamente maduros y cuentan con ventajas regulatorias.

EUCS: cuatro años de debate, cero resultados

Mientras el mercado genera hechos, la regulación se encuentra estancada. El EU Cloud Certification Scheme (EUCS), debatido desde diciembre de 2020, sigue sin aprobarse. El núcleo del conflicto: ¿deben los hyperscalers estadounidenses poder obtener el nivel más alto de certificación («High»), o exige este nivel una propiedad mayoritaria europea?

Algunos Estados miembros de la UE y los propios hyperscalers bloquean el requisito de soberanía. Como consecuencia, existe un vacío regulatorio: las empresas que deben tomar decisiones sobre la nube para los próximos cinco a diez años carecen de un marco europeo vinculante de certificación como referencia.

En Alemania, el BSI cubre esta laguna. El Catálogo de Criterios de Cumplimiento para Computación en la Nube (Cloud Computing Compliance Criteria Catalogue, C5), con sus 121 controles distribuidos en 17 dominios, es obligatorio desde julio de 2025 para el sector sanitario y partes de la administración pública. La actualización C5:2025 introduce nuevos requisitos para gestión de contenedores, gestión de riesgos en la cadena de suministro y criptografía postcuántica. AWS, Microsoft, Google, SAP, STACKIT, OVHcloud e IONOS ya cuentan con la acreditación C5.

GAIA-X: ambición frente a realidad

Y luego está GAIA-X, el proyecto europeo en la nube más ambicioso. El balance sincero tras cinco años: su impacto práctico ha quedado por debajo de las promesas iniciales. Con el Trust Framework 3.0 y más de 180 espacios de datos en desarrollo, GAIA-X ha generado cierta sustancia, especialmente para ecosistemas de datos transversales en movilidad, energía y salud.

No obstante, la incorporación de AWS, Google y Microsoft como miembros ha planteado dudas sobre si GAIA-X sigue siendo creíble respecto a su objetivo original de lograr la independencia europea. Hasta la fecha, GAIA-X no ofrece una respuesta operativamente relevante a la pregunta concreta: «¿Qué nube debo utilizar?». Su valor radica más bien en el ecosistema: marcos de confianza para espacios de datos intersectoriales que podrían resultar relevantes en el futuro para cadenas de suministro, movilidad y datos sanitarios.

Otro proyecto destacado merece mención: SAP y OpenAI anunciaron en marzo de 2026 «OpenAI para Alemania», un servicio soberano de inteligencia artificial dirigido a autoridades, administraciones y centros de investigación. Esto demuestra que el debate sobre la soberanía ya trasciende ampliamente la infraestructura en la nube y abarca también los servicios de IA.

Qué deben hacer ahora los responsables de TI

En 2026, el panorama de la nube soberana es más diverso que nunca. Esto crea opciones, pero también complejidad. Cinco recomendaciones prácticas:

Clasificar las cargas de trabajo. No toda carga de trabajo requiere un entorno soberano. La pregunta no es «¿soberano o no?», sino «¿para qué datos y procesos necesito qué nivel de control?».

Establecer el BSI C5 como mínimo. Mientras el EUCS no se apruebe, el C5 sigue siendo el marco orientativo más fiable en Alemania. Los proveedores sin acreditación C5 no deberían figurar en la lista corta para cargas de trabajo reguladas.

Planificar escenarios híbridos. La nube soberana no sustituirá a la nube pública, sino que la complementará. Las arquitecturas multi-nube con zonas de cumplimiento diferenciadas se convertirán en el estándar.

Garantizar contractualmente las estrategias de salida. Delos demuestra, con su cláusula de continuidad operativa, cómo mitigar contractualmente los riesgos geopolíticos. Tales cláusulas deberían figurar en todos los contratos de nube.

Evaluar alternativas europeas. STACKIT, OVHcloud e IONOS han alcanzado un nivel técnico comparable. Para cargas de trabajo no críticas y de nivel medio, constituyen una opción seria que reduce las dependencias.

Conclusión: la soberanía no es un producto, sino una decisión arquitectónica

La buena noticia para los responsables de TI: se acerca el fin de la época en la que la soberanía era un compromiso, en la que había que elegir entre innovación y control. En 2026, por primera vez, existe una oferta real en ambos frentes: hyperscalers estadounidenses con gobernanza europea y proveedores europeos con un catálogo de servicios en expansión.

La mala noticia: no existe una solución universal. La soberanía digital no es una casilla que marcar, sino una decisión arquitectónica que atraviesa toda la estrategia de TI. Quien la tome en serio deberá clasificar cargas de trabajo, revisar contratos, simular escenarios de salida y desarrollar competencias multi-nube. La infraestructura ya está lista. La pregunta es si las empresas también lo están.

Preguntas frecuentes

¿En qué se diferencia la AWS European Sovereign Cloud de una región normal de AWS en Europa?

La European Sovereign Cloud está separada organizativa, técnica y jurídicamente de las regiones globales de AWS. Tiene su propia sociedad matriz bajo derecho alemán, su propio personal (solo ciudadanos de la UE) y su propia infraestructura. En una región normal de AWS en Fráncfort, la gobernanza se ejerce desde la sociedad matriz estadounidense.

¿Es más cara una nube soberana que la nube pública normal?

Sí, generalmente lo es. Según informes, Delos Cloud (T-Systems/SAP/Microsoft) cuesta un 10-20 % más que la nube pública de Microsoft. El recargo refleja el esfuerzo adicional derivado de la infraestructura separada, el personal europeo y las estructuras de gobernanza. Para cargas de trabajo reguladas, este recargo suele ser más económico que la alternativa: una infraestructura on-premises propia.

¿Necesita mi empresa una nube soberana?

No de forma generalizada. Lo decisivo es la clasificación de los datos: los datos personales, los secretos comerciales y las cargas de trabajo reguladas (KRITIS, sanidad, servicios financieros) se benefician de entornos soberanos. Las cargas de trabajo estándar, como alojamiento web, entornos de desarrollo o aplicaciones SaaS no críticas, pueden seguir ejecutándose en regiones normales de la nube.

¿Cuál es la diferencia entre BSI C5 y EUCS?

BSI C5 es un esquema de auditoría alemán con 121 controles, ya aplicado operativamente y obligatorio desde julio de 2025 para ciertos sectores. EUCS pretende convertirse en el estándar europeo, pero lleva más de cuatro años sin aprobarse. Hasta que entre en vigor, el C5 seguirá siendo el marco orientativo más relevante para las empresas alemanas.

¿Qué proveedores europeos de nube son alternativas a AWS, Microsoft y Google?

STACKIT (Grupo Schwarz) se está consolidando como hyperscaler alemán, está certificada según BSI C5 e ISO 27001 y se basa en OpenStack. OVHcloud ofrece, con SecNumCloud, el nivel de seguridad más alto de Francia y fue seleccionada por el BCE para el euro digital. IONOS cuenta con la certificación BSI C5 desde 2023. Para cargas de trabajo específicas, estos proveedores están técnicamente maduros.

 

Fuente de imagen: Unsplash / ALEXANDRE LALLEMAND