6 Min. de lectura
El 3 de junio de 2026, la Comisión Europea presentó una propuesta que hace medible la soberanía en la nube por primera vez. La Ley de Desarrollo de Nube y IA la clasifica en cuatro niveles. Ya en el segundo nivel, se cuenta la independencia de terceros países; a partir del tercer nivel, se vuelve prácticamente imposible para los proveedores controlados por EE. UU. Aún es un borrador, pero quien planea contratos públicos debería entender los niveles ahora.
Lo más importante en resumen
- La soberanía se convierte en un nivel verificable: CADA define cuatro niveles de aseguramiento para servicios en la nube para la administración pública, desde el nivel 1 como requisito mínimo hasta el nivel 4 con control total sobre la cadena de suministro sin influencia de terceros países.
- A partir del nivel 3, se cuenta el origen: Los proveedores deben ser poseídos y controlados desde la UE, con criterios para la nacionalidad del personal. Esto excluye prácticamente a los hyperscalers controlados por EE. UU.
- Aún es una propuesta: El borrador data del 3 de junio de 2026, aún está pendiente su aprobación. Quien planea adquisiciones públicas gana ahora si incorpora la lógica de niveles en la arquitectura desde el principio.
Relacionado:El Deutschland-Stack se vuelve operativo / NIS2 y DORA se separan limpiamente
Qué regula la Ley de Desarrollo de Nube y IA
¿Qué es CADA? La Ley de Desarrollo de Nube y IA es una propuesta de reglamento de la Comisión Europea del 3 de junio de 2026, que pretende fortalecer la soberanía en la nube y la IA en Europa. Aún no es una ley vigente, sino que se encuentra al comienzo del proceso legislativo. Su núcleo son dos elementos clave.
El primero es la infraestructura. La Comisión ve un déficit estructural en la capacidad de centros de datos en la UE y quiere triplicarla en cinco a siete años. Este objetivo debe ser soportado principalmente por inversiones privadas, y la Comisión estima el monto necesario en alrededor de 200 mil millones de euros. Es importante la separación: la triplicación es el objetivo de capacidad, los 200 mil millones son la suma de inversión necesaria para lograrlo, no un presupuesto de fomento.
El segundo elemento clave es la dependencia. Una gran parte del uso de la nube en Europa se realiza a través de un pequeño número de proveedores fuera de la UE. CADA quiere oponer un marco verificable a esta concentración, y aquí es donde entran en juego los niveles de aseguramiento.
Cuatro niveles que hacen que la soberanía sea verificable
La palanca de CADA es que la soberanía esté vinculada a criterios verificables. De una palabra clave se convierte en una clasificación. La propuesta define cuatro niveles de aseguramiento que el sector público puede exigir según la evaluación de riesgos. La clasificación sigue criterios como el control sobre el servicio, el control sobre la cadena de suministro, el tratamiento de los datos, la ubicación de la infraestructura y la ciberseguridad.
| Nivel | Requisito principal | Quién lo cumple |
|---|---|---|
| Nivel 1 | Estándar mínimo para cada servicio en la nube para la administración pública | Prácticamente todos los proveedores |
| Nivel 2 | Independencia de terceros países, transparencia sobre la cadena de suministro de software | Proveedores sin vínculos con terceros países |
| Nivel 3 | Propiedad y control desde la UE, criterios de nacionalidad del personal | Proveedores de la UE, controlados por EE. UU. apenas |
| Nivel 4 | Control total sobre la cadena de suministro sin influencia de terceros países | Pilas puramente europeas |
La clasificación no obliga a nadie a optar por una solución europea de manera general. Deja la clasificación en manos de la evaluación de riesgos de cada organismo. Para una administración con datos sensibles, el Nivel 3 o 4 será un requisito obvio, y de esta manera se reduce la elección de proveedores antes de que se cree el primer esbozo de arquitectura.
Qué significan los niveles para la adquisición
Aquí, de una propuesta reguladora se convierte en una pregunta de adquisición concreta. Los proveedores serán reconocidos por los estados miembros bajo el marco después de una auditoría. Quien no cumpla con el Nivel 3 o 4 no podrá participar en las licitaciones que requieran este nivel, lo que no es una prohibición de ciertos proveedores, pero en la práctica se acerca a una exclusión, ya que un proveedor de hiperescala controlado por EE. UU. difícilmente podrá cumplir con los criterios de propiedad y personal.
Para los arquitectos, esto significa que el nivel de soberanía debe estar al principio de la planificación. Quien diseña un sistema para el sector público y solo más tarde se da cuenta de que la autoridad objetivo requiere el Nivel 3, está rehaciendo la mitad del almacenamiento de datos. La consecuencia sobria es una pregunta preliminar en cada proyecto de adquisición: ¿Qué nivel se requiere y qué parte de la pila ya lo cumple hoy?
En concreto, esto afecta más que la ubicación del servidor. El Nivel 3 requiere propiedad y control desde la UE, lo que ya falla en la estructura corporativa de un proveedor con una empresa matriz estadounidense, independientemente de dónde estén ubicados los servidores. También incluye la administración de claves. Quién posee las claves criptográficas y bajo qué jurisdicción lo hace, decide la clasificación también. Y los criterios de personal llegan hasta la cuestión de quién tiene acceso administrativo a la infraestructura. Una mera residencia de datos en un centro de datos de Fráncfort solo cumple una parte de esto, y precisamente esta confusión es común en las presentaciones de soberanía.
Por qué la decisión de arquitectura se toma ahora
Es tentador posponer el tema mientras CADA solo sea una propuesta. Sin embargo, esta estrategia rara vez funciona. No se puede reforzar una pila soberana en el trimestre en que se publica la convocatoria. La gestión de datos, la administración de claves y la cadena de suministro son decisiones con una larga vida útil.
Quien construye o vende cloud para el sector público debería realizar hoy una autoevaluación honosa: ¿Qué nivel alcanza su propia pila, y dónde se encuentra la próxima influencia de un tercer país que impida el nivel 3? Esta pregunta cuesta poco y ahorba más adelante la costosa remodelación bajo presión de tiempo.
Preguntas frecuentes
¿Ya está vigente CADA?
No. CADA es una propuesta de la Comisión de la UE desde el 3 de junio de 2026 y está en proceso legislativo. El texto puede cambiar durante las negociaciones con el Parlamento y el Consejo.
¿Cuáles son los cuatro niveles de Assurance?
Cuatro niveles de soberanía graduados para servicios en la nube para la administración pública. El nivel 1 es el estándar mínimo, el nivel 2 requiere independencia de terceros países y transparencia en la cadena de suministro, el nivel 3 propiedad de la UE con criterios de personal, y el nivel 4 control total sobre la cadena de suministro.
¿Excluye CADA a los proveedores estadounidenses?
No mediante una prohibición, pero en efecto. Para licitaciones que requieren el nivel 3 o 4, un proveedor de hiperescala controlado por EE. UU. difícilmente puede cumplir con los criterios de propiedad y personal y, por lo tanto, no puede participar.
¿Qué significa la triplicación de la capacidad de los centros de datos?
La Comisión quiere triplicar la capacidad de los centros de datos de la UE en cinco a siete años. Esto se llevará a cabo principalmente mediante inversiones privadas por un monto de alrededor de 200 mil millones de euros, lo que no debe confundirse con un presupuesto de promoción.
¿Qué deberían hacer los arquitectos de la nube ahora?
Realizar una autoevaluación honesta de su propia pila y verificar qué nivel de Assurance alcanza. El almacenamiento de datos, la administración de claves y la cadena de suministro tienen largos tiempos de entrega y no se pueden elevar al nivel 3 a corto plazo.
Consejos de lectura de la redacción
- Modelo Frontier fuera de línea por orden de la autoridad: la enseñanza de la arquitectura
- Corriente continua de 800 voltios en el centro de datos: el giro de NVIDIA para la nube
- Respaldo en la nube con IaC: resiliencia en lugar de riesgo de restauración
Más del network de MBF Media
Fuente de la imagen: generada por IA (junio de 2026)
Imágenes en el artículo: generadas por IA (mayo de 2026)
