8 min de lectura

El 82 % de las empresas alemanas ya no desea depender técnicamente de proveedores estadounidenses de nube. Al mismo tiempo, el 78 % sigue siendo dependiente en la práctica. La brecha entre deseo y realidad constituye el principal reto para los consejos de administración en 2026. Porque la soberanía digital ya no es un tema de TI. Es una decisión del consejo de administración con dimensiones geopolíticas, regulatorias y económicas. GAIA-X aporta el marco normativo. El Sovereign Cloud Stack (pila de nube soberana) proporciona la base técnica. Y el Grupo Schwarz invierte 11 000 millones de euros en STACKIT. Pero el CLOUD Act estadounidense sigue vigente. Para los consejos de administración que no actúen ahora, dicha dependencia se convertirá en un riesgo estratégico.

Por qué la soberanía digital es ahora un tema estratégico

Según una encuesta reciente, el 78 % de los directivos europeos afirma que la dirección de su empresa está más preocupada por la soberanía digital que hace un año. En Alemania, este porcentaje asciende al 81 %. Ya no se trata de un debate abstracto. Son decisiones concretas del consejo de administración sobre estrategia en la nube, soberanía de los datos y cumplimiento normativo.

Tres factores han situado este tema en la agenda estratégica. En primer lugar: el CLOUD Act estadounidense permite a las autoridades estadounidenses exigir datos a empresas estadounidenses, independientemente de dónde se almacenen físicamente esos datos. Para las empresas europeas que utilizan AWS, Azure o Google Cloud, esto genera un conflicto jurídico directo con el Reglamento General de Protección de Datos (RGPD). El Marco de Privacidad de Datos UE-EE.UU. ofrece un puente temporal, pero el conflicto fundamental permanece sin resolver.

En segundo lugar: la situación geopolítica ha cambiado. La política comercial estadounidense bajo distintas administraciones demuestra que las dependencias políticas tienen consecuencias económicas. Según Bitkom, el 50 % de las empresas alemanas afirma que la política del gobierno estadounidense las obliga a replantearse su estrategia en la nube.

En tercer lugar: la regulación convierte la soberanía en una obligación. El Reglamento sobre los datos de la UE (vigente desde septiembre de 2025), DORA para el sector financiero y NIS2 para infraestructuras críticas establecen un marco regulatorio en el que la soberanía de los datos ya no es opcional. El CIO federal, Dr. Markus Richter, lo resume así: «La soberanía digital es absolutamente esencial».

GAIA-X: del concepto a la implementación

GAIA-X ha dejado atrás una fase en la que su mayor producción era papel. Eso ha cambiado. En noviembre de 2025, la iniciativa publicó el marco de confianza 3.0 «Danube», que permite estructuras federadas de confianza transfronterizas y transdominio. Más de 15 espacios de datos europeos están operativos y se basan en los estándares GAIA-X. Cloud Temple fue la primera empresa certificada con el sello GAIA-X Nivel 3, el nivel más alto.

El CEO Ulrich Ahle lo expresa con estas palabras: GAIA-X ha pasado del concepto a la implementación. La confianza, la interoperabilidad y la innovación ya no son pilares teóricos, sino la base operativa de ecosistemas digitales que funcionan realmente.

Para los consejos de administración, GAIA-X no es un producto que se adquiere, sino un marco que garantiza la interoperabilidad. Quien desee cambiar de proveedor de nube necesita interfaces estandarizadas. GAIA-X ofrece precisamente eso: estándares comunes que evitan el bloqueo (lock-in) con un único proveedor. El Sovereign Cloud Stack (SCS), respaldado por 24 empresas y definido como estándar de cumplimiento por la iniciativa «Germany Stack», proporciona la base técnica para ello.

El panorama de la nube europea: quién invierte

Las cuotas de mercado son desalentadoras: según Synergy Research, los proveedores europeos poseen solo el 15 % del mercado europeo de la nube. AWS, Microsoft y Google controlan el 70 %. Sin embargo, la dinámica de inversión está cambiando.

STACKIT (Grupo Schwarz): El conglomerado matriz de Lidl invierte 11 000 millones de euros en su división de nube. En Lübbenau se construirá uno de los mayores centros de datos europeos, con hasta 100 000 GPUs. Schwarz Digits (la división digital, a la que pertenece STACKIT) genera ingresos anuales de aproximadamente 1 900 millones de euros. La asociación con Google es notable: Google Workspace se aloja en centros de datos operados por Schwarz, con residencia de datos en Alemania. El modelo: software estadounidense sí, pero sobre infraestructura europea y bajo control europeo.

Deutsche Telekom / T Cloud: Más de 4 000 empresas cliente utilizan T Cloud Public, incluidos consorcios del índice DAX. En noviembre de 2025 se anunció la Industrial AI Cloud en Múnich: inversión superior a mil millones de euros con hasta 10 000 GPUs, gestionada exclusivamente por personal europeo. La Telekom planea cerrar la brecha funcional respecto a los proveedores estadounidenses antes de finales de 2026.

AWS European Sovereign Cloud: Incluso los proveedores estadounidenses responden. El 15 de enero de 2026 entró en funcionamiento la AWS European Sovereign Cloud en Brandeburgo: inversión de 7 800 millones de euros, una sociedad limitada alemana propia (AWS European Sovereign Cloud GmbH) con directivos europeos y una infraestructura física y lógicamente separada de la infraestructura global de AWS. Se trata de una concesión ante la presión europea por la soberanía. Si es suficiente, sigue siendo una pregunta abierta: la sociedad matriz sigue siendo estadounidense y el CLOUD Act sigue vigente.

El Reglamento sobre los datos de la UE: por qué cambiar será más fácil

El Reglamento sobre los datos de la UE ha estado plenamente vigente desde septiembre de 2025 y modifica de forma fundamental las relaciones de poder entre los proveedores de nube y sus clientes. El Capítulo VI regula la migración a otra nube (cloud-switching): los clientes pueden rescindir sus contratos de nube con un preaviso de dos meses en cualquier momento. Hasta enero de 2027, solo se podrán cobrar costes directos de migración. A partir de enero de 2027: ya no habrá tarifas de cambio. Los proveedores de IaaS deben garantizar la «equivalencia funcional» durante la migración. Otros proveedores deben ofrecer gratuitamente interfaces abiertas para facilitar la migración.

Para los consejos de administración que debaten sobre la soberanía en la nube, el Reglamento sobre los datos cambia los cálculos: el bloqueo (lock-in), hasta ahora el argumento más fuerte contra un cambio («no podemos salir, los costes de migración serían demasiado altos»), se debilitará claramente a partir de 2027. Quien hoy planifique una estrategia multi-nube o una migración a un proveedor europeo sabe que los costes de salida estarán limitados por la normativa.

Quién ya está migrando

El movimiento es real, aunque sea lento. Airbus publicó en diciembre de 2025 una licitación para la migración de sistemas críticos para sus misiones a una nube europea soberana: más de 50 millones de euros, contrato de diez años, inicio a principios de enero de 2026. Schleswig-Holstein ha migrado 40 000 cuentas de correo electrónico de Microsoft Exchange/Outlook a Open-Xchange/Thunderbird. Las Fuerzas Armadas alemanas firmaron en abril de 2025 un contrato de siete años con ZenDiS para openDesk (como sustituto de Microsoft 365). Varios estados federados han ordenado la migración desde Microsoft 365 en las administraciones públicas.

En el sector privado, el movimiento es más matizado. Los datos de Bitkom muestran: el 100 % preferiría un proveedor alemán si la funcionalidad fuera adecuada. El 61 % aceptaría un proveedor de la UE. Solo el 6 % prefiere un proveedor estadounidense. Pero la preferencia no es la realidad: la brecha funcional entre AWS/Azure/Google y las alternativas europeas sigue siendo considerable, especialmente en servicios de inteligencia artificial, bases de datos gestionadas y escalabilidad global.

BSI C5: el sello de calidad alemán para la seguridad en la nube

El Catálogo de Criterios de Cumplimiento para la Computación en la Nube (Cloud Computing Compliance Criteria Catalogue, C5) del BSI está evolucionando de estándar especializado a referencia transversal. Más de 60 proveedores ya cuentan con la certificación C5, entre ellos AWS, Microsoft, Cisco, Deepl y Doctolib. Desde julio de 2025, la certificación C5 Tipo 2 es obligatoria en el sector sanitario. Una nueva versión, C5:2025, se encuentra actualmente en borrador comunitario y será obligatoria para las evaluaciones a partir de 2027.

Para la ubicación Alemania, el C5 es un éxito exportable: un estándar de seguridad en la nube más riguroso que el SOC 2 y aplicable transversalmente a todos los sectores. Los proveedores europeos que puedan exhibir la certificación C5 tendrán una ventaja de confianza frente a competidores no certificados, incluso frente a proveedores estadounidenses que no priorizan el C5.

La postura honesta: la soberanía tiene un precio

La soberanía digital suena bien. Pero tiene un coste. Los proveedores europeos de nube son más caros que AWS y Azure. La brecha funcional es real: quien necesite cargas de trabajo de inteligencia artificial en clústeres de GPU no encontrará en STACKIT ni en T Cloud (todavía) la misma oferta que en AWS SageMaker o Azure OpenAI. Y la migración de una compleja arquitectura multi-servicio desde AWS a un proveedor europeo es un proyecto que puede durar meses o años y costar millones, incluso cuando el Reglamento sobre los datos elimine las tarifas de migración.

Además, existe un problema conceptual: la residencia de datos (almacenar los datos en Alemania) no equivale a la soberanía de los datos (tener el control sobre los datos). Si AWS crea una sociedad limitada europea y almacena los datos en Brandeburgo, pero su sociedad matriz sigue radicada en Seattle, el CLOUD Act sigue aplicándose. La AWS European Sovereign Cloud es un avance, pero no una solución completa al conflicto de jurisdicciones.

Y la cuota de mercado del 15 % de los proveedores europeos no ha aumentado desde 2022. El mercado absoluto sí crece (36 000 millones de euros en el primer semestre de 2025, +24 %), pero los proveedores europeos crecen solo proporcionalmente, no de forma desproporcionada. Esto significa que, pese a todos los debates sobre soberanía, los hiperscalers estadounidenses siguen ganando cuota de mercado. La cuestión es si las inversiones en nubes soberanas (STACKIT: 11 000 millones, AWS Sovereign: 7 800 millones, DT: más de 1 000 millones) modificarán de forma duradera el equilibrio de fuerzas o simplemente consolidarán el statu quo.

Qué deben decidir ahora los consejos de administración

1. Vincular la estrategia en la nube a niveles de soberanía. No todos los datos requieren el mismo grado de soberanía. Sitios web públicos y SaaS no críticos pueden seguir alojándose en nubes estadounidenses. Los datos personales, financieros y los flujos de trabajo críticos para la propiedad intelectual deben alojarse en infraestructura europea o soberana. La clasificación de los datos según su nivel de protección es la base de toda decisión.

2. Establecer la multi-nube como principio estratégico. La dependencia de un único proveedor es el mayor riesgo. La multi-nube (utilizar conscientemente dos o tres proveedores) reduce el bloqueo (lock-in) y crea poder de negociación. GAIA-X y el Sovereign Cloud Stack ofrecen los estándares de interoperabilidad que hacen esto posible.

3. Utilizar el Reglamento sobre los datos de la UE como opción de salida. A partir de enero de 2027 ya no habrá tarifas de cambio. Los consejos de administración que hayan preparado una estrategia de salida para entonces podrán ejecutarla sin penalización financiera. Quien no la tenga para entonces seguirá atrapado en el mismo bloqueo que antes, solo sin la excusa de que «es demasiado caro».

4. Exigir la certificación C5 de los proveedores de nube. Todo proveedor de nube que trabaje para la empresa debe presentar una certificación C5 o tener un calendario definido para obtenerla. A partir de 2027, el C5 será el estándar transversal a todos los sectores. Quien firme contratos ahora sin cláusulas C5 tendrá que renegociarlos.

Conclusión

La soberanía digital ha dejado de ser una aspiración para convertirse en un tema estratégico. El 82 % de las empresas alemanas quiere liberarse de su dependencia, pero el 78 % sigue atrapado en ella. GAIA-X aporta el marco normativo, el Sovereign Cloud Stack la tecnología y las inversiones multimillonarias de STACKIT, Telekom y AWS la infraestructura. El Reglamento sobre los datos de la UE y el CLOUD Act intensifican la urgencia. Gartner pronostica que Europa superará a Norteamérica en gastos en nubes soberanas en 2027. Para los consejos de administración, el mensaje es claro: la estrategia en la nube ya no es una decisión de TI. Es una cuestión de independencia empresarial. Y esa pregunta no se responde el año que viene, sino ahora.

Preguntas frecuentes

Lectura complementaria

CIO Reboot: 245 000 millones y la pregunta sobre hacia dónde fluye el dinero (Digital Chiefs)

Gobernanza del consejo: competencia digital en el consejo de administración (Digital Chiefs)

Zero Trust como factor de ubicación (SecurityToday)

Reboot Germany: 735 000 millones de inversiones (MyBusinessFuture)

Fuente de imagen: Pexels / Christina Morillo (px:1181467)