C3A: Cómo el BSI mide la soberanía en la nube
La soberanía en la nube se vuelve medible: el BSI (Oficina Federal de Seguridad de la Información) la desglosa con C³A en seis dimensiones…
El 27 de abril de 2026, el BSI publicó junto con el C3A un catálogo de criterios que hace medible la soberanía en la nube por primera vez. La herramienta desglosa la soberanía en seis dimensiones verificables, desde el acceso jurídico hasta la cadena de suministro. Para las compras de TI, es el primer catálogo que traduce la soberanía en requisitos concretos de adquisición. Y ya está disponible, mientras la UE todavía trabaja en la legislación del Cloud and AI Development Act.
Lo más importante en resumen
- La soberanía se vuelve medible: El C3A del BSI evalúa los servicios en la nube a lo largo de seis dimensiones de soberanía. La intuición es reemplazada por una matriz verificable.
- El C3A se basa en el C5: Mientras el C5 certifica la seguridad técnica, el C3A evalúa la autonomía. Un proveedor debe cumplir los criterios del C5 antes de que el C3A entre en vigor.
- Voluntario e inmediatamente aplicable: El C3A es una herramienta de adquisición voluntaria sin efecto regulatorio que el departamento de compras de TI puede utilizar de inmediato. El Cloud and AI Development Act de la UE como marco jurídico, en cambio, aún se encuentra en tramitación.
Relacionado:Soberanía en la nube: C5, residencia de datos, control de claves / Los certificados C5 obligan a las pymes a revertir su estrategia en la nube
Qué distingue al C3A del C5 y del CADA
Tres siglas giran actualmente en torno al mismo tema, pero significan cosas distintas. Quien adquiere servicios en la nube debería distinguirlos con claridad.
¿Qué es el C3A? El C3A (Criteria enabling Cloud Computing Autonomy) es un catálogo de criterios del BSI que hace transparentes y comparables las propiedades de soberanía de un servicio en la nube. Los proveedores acreditan su cumplimiento mediante auditoría, los usuarios evalúan sus escenarios de uso frente a los criterios y establecen un nivel objetivo de soberanía para sus cargas de trabajo.
El reparto de funciones es claro. El C5 responde a si un servicio en la nube se opera con seguridad técnica. El C3A va más allá y evalúa si puede utilizarse de forma autónoma en el contexto de riesgo correspondiente. El Cloud and AI Development Act de la UE, por su parte, es el marco jurídico que pretende convertir la soberanía en una obligación de adquisición, pero aún se encuentra en proceso legislativo. El C3A proporciona la herramienta de medición que podrá operacionalizar esa obligación en el futuro y que ya está disponible hoy.
Las seis dimensiones de la soberanía en la nube
El C3A sigue el European Cloud Sovereignty Framework y traslada sus factores a criterios verificables. El resultado son seis dimensiones que, en conjunto, conforman un perfil de soberanía. El BSI omite deliberadamente dos áreas del marco europeo: la soberanía en materia de seguridad y cumplimiento normativo ya está cubierta por C5, y la sostenibilidad ecológica queda fuera del mandato del BSI.
| Dimensión | A qué apunta |
|---|---|
| Soberanía estratégica | Independencia de la propia estrategia en la nube respecto a proveedores individuales y sus hojas de ruta. |
| Soberanía de datos | Control sobre la ubicación de almacenamiento, el acceso y el cifrado de los propios datos. |
| Soberanía jurídica | Protección frente al acceso de Estados extranjeros mediante la jurisdicción y el derecho contractual. |
| Soberanía operativa | Capacidad de mantener el funcionamiento incluso sin el proveedor. |
| Soberanía de la cadena de suministro | Transparencia y control sobre los proveedores técnicos previos del servicio. |
| Soberanía tecnológica | Disponibilidad de estándares abiertos y posibilidad de sustituir componentes. |
Fuente: BSI C3A, estructurado según el EU Cloud Sovereignty Framework; clasificación cloudmagazin
El atractivo de esta división reside en que descompone una pregunta genérica en seis cuestiones concretas. Ya nadie tiene que responder si una nube es soberana en términos absolutos. En su lugar, es posible fijar y verificar un nivel objetivo por cada dimensión.
Qué cambia el C3A en la contratación de servicios en la nube
Para el departamento de compras de TI, esto desplaza las bases de la conversación. Hasta ahora, la soberanía era una palabra que aparecía en todos los pliegos de licitación y no era medible en ninguno. Con C3A es posible definir un nivel de soberanía objetivo por carga de trabajo y compararlo con el perfil de un proveedor.
Tres pasos son recomendables con independencia del estatus jurídico. Primero, clasificar las cargas de trabajo: no toda aplicación necesita el nivel de soberanía más alto; un entorno de pruebas interno requiere un tratamiento diferente al de un procedimiento especializado con datos personales. Segundo, solicitar el perfil del proveedor: los proveedores que toman en serio el C3A pueden acreditar su clasificación por dimensión. Tercero, evaluar la brecha: donde el nivel objetivo y el nivel real divergen, surge la necesidad de negociar o elaborar un plan de salida.
Que el C3A sea voluntario lo debilita menos de lo que parece. Precisamente porque no existe ninguna obligación detrás, puede incorporarse de inmediato a la próxima licitación sin necesidad de un marco político. Y cuando llegue el marco jurídico europeo, la herramienta ya contará con una prueba práctica a sus espaldas.
Preguntas frecuentes
¿Cuál es la diferencia entre C3A y C5?
C5 certifica si un servicio en la nube se opera de forma técnicamente segura. C3A va más allá y evalúa si puede utilizarse de manera autónoma, es decir, soberana, en el contexto de riesgo correspondiente. C3A presupone que el proveedor cumple los criterios C5.
¿Qué seis dimensiones examina el C3A?
Soberanía estratégica, de datos, jurídica, operativa, de cadena de suministro y tecnológica. El BSI ha omitido deliberadamente los ámbitos de seguridad y sostenibilidad del marco europeo, dado que C5 ya cubre la seguridad y la sostenibilidad queda fuera del mandato.
¿Es obligatoria la aplicación del C3A?
No. El C3A es una herramienta de evaluación voluntaria sin efecto regulatorio directo. No obstante, puede servir de base si el Cloud and AI Development Act de la UE convierte la soberanía en requisito obligatorio de contratación en el futuro.
¿Cómo utiliza concretamente el departamento de compras de TI el C3A?
Los usuarios definen un nivel objetivo de soberanía por carga de trabajo y lo comparan con el perfil de un proveedor. Los proveedores acreditan su clasificación en cada dimensión mediante auditoría. Donde el objetivo y la situación real difieren, surge la necesidad de negociación o de buscar alternativas.
¿Cuándo estará disponible el C3A?
El BSI publicó el C3A el 27 de abril de 2026 inicialmente como documento en inglés. Se había anunciado una versión en alemán para el segundo trimestre de 2026.
Más de la red MBF Media
Digital ChiefsCloud and AI Development Act: la soberanía se convierte en criterio obligatorio de contrataciónMyBusinessFuturePor qué los proyectos piloto de GovTech fracasan antes de la implantación regularSecurityTodayCloud Security como producto de exportación alemán: C5, Sovereign Cloud y la ventaja europeaFuente imagen de portada: Pexels / Sergei Starostin (px:6466141)

