Introducción
En junio de 2025, Microsoft admitió bajo juramento en un tribunal francés que no podía garantizar la soberanía digital cuando autoridades estadounidenses exigieran acceso a datos almacenados en servidores europeos. Este testimonio no fue un caso aislado: es el síntoma de una tensión geopolítica que ya lleva años cocinándose. Según datos de Eurostat, solo el 15% de la infraestructura cloud en Europa es provista por actores locales, mientras que el 85% restante depende de proveedores estadounidenses sujetos a leyes como el CLOUD Act (2018), que permite a Washington requisar datos almacenados en cualquier jurisdicción. La respuesta de Bruselas llegó en junio de 2026 con el European Technological Sovereignty Package (ETSP), un conjunto de leyes y políticas diseñadas para triplicar la capacidad de data centers en Europa en 5 a 7 años y reducir la dependencia de actores externos en cloud, IA, semiconductores y open source.
Para equipos de DevOps e infraestructura, esto no es un problema abstracto: implica replantear arquitecturas, certificaciones y modelos de procurement en plazos concretos. El ETSP introduce un sistema de control de cuatro niveles llamado Union Assurance Levels (UAL), que se sumará a certificaciones existentes como SEAL (Sovereignty Effectiveness Assurance Levels) y SecNumCloud (de ANSSI). Gartner advierte que esta «sopa de letras» de regulaciones aumentará la complejidad operativa en un 30% para compradores del sector público europeo, especialmente en cloud soberano.
Qué ocurrió
El ETSP se lanzó con un comunicado de Ursula von der Leyen que dejó claro el objetivo: «No podemos depender de otros para las tecnologías que mantienen nuestros hospitales funcionando, nuestras redes energéticas estables y nuestros servicios seguros». La estrategia tiene tres ejes principales:
- Cloud soberano y regulaciones UAL:
– Control: quién gestiona la infraestructura (proveedor europeo vs. extranjero).
– Jurisdicción: si el proveedor está sujeto a leyes no europeas (ej.: CLOUD Act).
– Procesamiento de datos: dónde y cómo se almacenan los datos sensibles.
– Cadena de suministro: dependencia de componentes extranjeros (ej.: chips de Taiwán).
Según el borrador del CADA (versión 0.9.3, publicada en mayo de 2026), los niveles UAL-1 a UAL-4 determinarán qué cargas de trabajo pueden alojarse en qué proveedores. Por ejemplo:
– UAL-1: Permite proveedores no europeos si cumplen con auditorías trimestrales de soberanía.
– UAL-4: Exige infraestructura 100% europea, con hardware fabricado en la UE y open source auditado.
- Open source como pilar estratégico:
– Mantenimiento a largo plazo: La UE destinará €400M anuales a proyectos críticos como Kubernetes o OpenStack, según el European Open Source Fund (aprobado en abril de 2026).
– Guías de procurement: Se exigirá que el 60% de las licitaciones públicas europeas en 2028 incluyan componentes open source en su pila tecnológica (frente al 25% actual).
– Certificaciones: Se desarrolla el EU Open Source Assurance Mark (EUOSAM), un sello que evaluará la seguridad y sostenibilidad de proyectos open source.
- Chips Act 2.0 y autonomía en semiconductores:
– Simplificación de permisos: Reducirá un 40% los plazos para construir fábricas de semiconductores en la UE (actualmente, 36 meses en promedio).
– Fondos combinados: Se destinarán €20.000M en fondos públicos-privados para proyectos como EU Chip Alliance, que busca fabricar el primer chip europeo de 5nm en 2029.
Contexto legal: El ETSP debe ser aprobado por el Parlamento Europeo y el Consejo de la UE antes de finales de 2026. Sin embargo, el Digital Services Act (DSA) ya demostró que Bruselas no negocia con proveedores extranjeros: en 2024 multó a Meta con €1.200M por incumplir regulaciones de transparencia, y en 2025 sancionó a TikTok con €345M por no proteger datos de menores. Esta postura sugiere que el ETSP tendrá dientes.Impacto para DevOps / Infraestructura / Cloud / Seguridad
Para equipos de DevOps e infraestructura
El ETSP obliga a un cambio de paradigma en cómo se diseñan, despliegan y certifican sistemas:
| Área afectada | Impacto concreto | Plazo clave |
|---|---|---|
| **Cloud público** | Proveedores no europeos deberán someterse a auditorías UAL. Por ejemplo, AWS tendrá que demostrar que sus regiones europeas (ej.: Frankfurt) cumplen con UAL-2. | Q1 2027 (entrada en vigor CADA) |
| **Infraestructura privada** | Empresas con data centers propios deberán cumplir con UAL-3 si manejan datos críticos (salud, energía). | Q3 2027 (primeras auditorías obligatorias) |
| **Open source en producción** | Se exigirá que el 30% de las dependencias críticas en sistemas públicos sean de código abierto auditado (ej.: *Rust* para componentes de seguridad). | 2028 (meta del EU Open Source Fund) |
| **Hardware** | Los equipos deberán reemplazar componentes con chips no europeos en un 20% anual (ej.: pasar de NVIDIA a AMD Instinct para IA). | 2030 (objetivo Chips Act 2.0) |
- Migrar a AWS Europe (Frankfurt) o a un proveedor europeo certificado UAL-2.
- Reemplazar componentes con dependencias de Java (vulnerable a Log4j en entornos no auditados) por alternativas en Rust o Go.
- Documentar la cadena de suministro de cada contenedor en SBOM (Software Bill of Materials) bajo el estándar SPDX 2.3.
Para equipos de seguridad
Las regulaciones UAL amplían el alcance de las auditorías de seguridad:
- Datos sensibles: Los UAL-3 y UAL-4 exigen cifrado en tránsito y en reposo con claves gestionadas en la UE. Proveedores como HashiCorp Vault ya ofrecen integraciones con HSM (Hardware Security Modules) europeos como Thales payShield.
- Dependencias: El EU Open Source Assurance Mark exigirá escaneo continuo de vulnerabilidades en dependencias open source. Herramientas como Trivy o Grype deberán configurarse para alertar sobre CVEs en paquetes como log4j-core (CVE-2021-44228, score CVSS 10.0).
- Incidentes: El CADA obliga a reportar brechas de datos en 24 horas (frente a los 72 actuales bajo GDPR). En 2025, el 68% de las empresas europeas no cumplieron este plazo, según un informe de ENISA.
Para equipos de cloud y procurement
La «preferencia europea» en licitaciones redefinirá el mercado:
- Proveedores afectados:
– Microsoft Azure: Deberá demostrar que sus Azure Government en la UE no están sujetos a CLOUD Act. En mayo de 2026, la Corte de Justicia de la UE falló en contra de Microsoft por no garantizar soberanía en un caso de datos de la OTAN.
– Open source: Proyectos como OpenStack (usado por el 35% de los data centers europeos) recibirán fondos para mejorar su mantenimiento. En 2024, solo el 12% de sus contribuyentes eran europeos.
- Nuevos actores:
– Scaleway: Enfocado en cloud soberano, ofrece instancias con chips RISC-V (alternativa a x86/ARM) fabricados en la UE.
Detalles técnicos
Union Assurance Levels (UAL): cómo funcionan
Los UAL se basan en un sistema de scoring acumulativo que evalúa cinco dimensiones:
| Nivel | Control | Jurisdicción | Datos | Cadena de suministro | Seguridad | Ejemplo de cumplimiento |
|---|---|---|---|---|---|---|
| **UAL-1** | Proveedor europeo o no europeo con auditoría trimestral | Proveedor sujeto a leyes no europeas (ej.: *CLOUD Act*) | Datos pueden estar en cualquier jurisdicción, pero con cifrado | 30% de componentes no europeos | Auditorías básicas (ISO 27001) | AWS Frankfurt con IAM restringido a usuarios UE |
| **UAL-2** | Proveedor europeo con mayoría de capital UE | Proveedor no sujeto a leyes no europeas | Datos deben residir en la UE | 20% de componentes no europeos | Auditorías avanzadas (ISO 27017) | OVHcloud con nodos en París |
| **UAL-3** | Proveedor 100% europeo con sede en la UE | Proveedor no sujeto a leyes no europeas | Datos deben residir en la UE y ser procesados por personal europeo | 10% de componentes no europeos | Auditorías con pruebas de pentesting | Scaleway con chips AMD Instinct |
| **UAL-4** | Proveedor 100% europeo con accionistas europeos | Proveedor no sujeto a leyes no europeas | Datos deben residir en la UE y ser procesados por personal europeo con clearance de seguridad | 0% de componentes no europeos | Auditorías con pruebas de red teaming | Data center francés con *HSM* Thales |
- Open Policy Agent (OPA): Usado por proveedores como Styra para evaluar políticas de acceso en IAM (ej.: restringir acceso a APIs de AWS a IPs europeas).
- Kyverno: Para validar que los PodSecurityPolicies en Kubernetes cumplan con UAL-2 (ej.: no permitir nodos con imágenes de Docker Hub no auditadas).
Open source y su papel en la soberanía
La EU Open Source Strategy prioriza componentes con:
- Licencias permisivas: MIT, Apache 2.0 (frente a GPL en casos críticos).
- Mantenimiento activo: Proyectos con al menos 3 contribuyentes principales y roadmap público (ej.: Kubernetes 1.31 incluye mejoras en eBPF para seguridad en cloud).
- Auditorías independientes: El EU Open Source Assurance Mark exige certificaciones como SLSA (Supply-chain Levels for Software Artifacts) para proyectos como Rustls (alternativa a OpenSSL).
# Antes: Dependencia de Java en un microservicio
dependencies:
- log4j-core:2.14.1 # CVE-2021-44228
- spring-boot-starter-web:2.7.0
# Después: Versión segura con Rust
dependencies:
- rustls:0.22.0 # Auditado por EUOSAM
- actix-web:4.4.0- Grype: Escanea dependencias en SBOM (formato CycloneDX) y alerta sobre CVEs.
- Sigstore: Firma criptográfica de imágenes de contenedores para garantizar integridad (requerido en UAL-3).
Chips Act 2.0: tecnología y plazos
El Chips Act 2.0 se centra en fabricación de semiconductores sub-10nm con:
- Tecnología: Procesos de EUV lithography (usados por TSMC y Intel) para chips de 5nm.
- Ubicaciones prioritarias: Alemania (Infineon), Países Bajos (ASML), y Francia (STMicroelectronics).
- Fondos: €20.000M en fondos públicos-privados para 2026-2030, con un 30% destinado a RISC-V (arquitectura abierta alternativa a ARM).
- Compatibilidad: Los chips europeos tendrán un 15% menos rendimiento que los de NVIDIA/AMD en IA, según un benchmark de MLPerf (2025).
- Cadena de suministro: Europa depende del 90% de EUV machines de ASML (Holanda), que a su vez depende de componentes de Taiwán.
Qué deberían hacer los administradores y equipos técnicos
1. Auditar y clasificar cargas de trabajo (Q3 2026)
Pasos accionables:- Inventariar sistemas:
# Usar herramientas como Trivy para generar SBOM en formato CycloneDX
trivy fs --format cyclonedx --output sbom.json /path/to/app
– Identificar dependencias con licencias restrictivas (ej.: GPL).
– Clasificar datos según sensibilidad (ej.: datos de salud = UAL-3).
- Evaluar proveedores:
– Hardware: Reemplazar componentes con chips no europeos en un 20% anual (priorizar RISC-V o AMD Instinct).
– Open source: Migrar dependencias críticas a proyectos auditados por EUOSAM (ej.: Rustls en lugar de OpenSSL).
- Documentar:
– Matriz de proveedores vs. UAL requerido.
– Plan de migración para componentes no conformes.
2. Implementar controles de seguridad (Q1 2027)
Recomendaciones técnicas:- IAM:
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Deny",
"Principal": "*",
"Action": "s3:GetObject",
"Condition": {"NotIpAddress": {"aws:SourceIp": ["192.0.2.0/24"]}}
}]
}
- Cifrado:
- Auditorías:
trivy image --severity CRITICAL --exit-code 1 my-registry/my-app:latest
3. Planificar migración a proveedores europeos (2027-2030)
Proveedores recomendados por caso de uso:| Caso de uso | Proveedor | Certificación | Notas |
|---|---|---|---|
| Cloud general | OVHcloud | SecNumCloud | Soporte para *Kubernetes* y *OpenStack* |
| IA/ML | Scaleway | UAL-2 | Nodos con *AMD Instinct* y *Rust* para inferencia |
| Bases de datos | CrateDB | UAL-3 | Alternativa a PostgreSQL con soporte para *RISC-V* |
| Almacenamiento | Hetzer | UAL-2 | Block storage con cifrado en reposo |
# Configuración de Terraform para OVHcloud
provider "ovh" {
endpoint = "ovh-eu"
application_key = var.ovh_app_key
application_secret = var.ovh_app_secret
}
resource "ovh_cloud_project_kube" "sovereign_k8s" {
service_name = "your-service-name"
region = "GRA9" # Gravelines, Francia
version = "1.28"
}4. Capacitar equipos en open source y UAL (2026-2028)
Contenidos clave:- Open source:
– «Auditoría de dependencias con Grype y Sigstore».
– «Mantenimiento de proyectos open source a largo plazo».
- UAL:
– «Cómo aplicar UAL en arquitecturas serverless».
– «Gestión de riesgos en cadenas de suministro de hardware».
Conclusión
El European Technological Sovereignty Package no es un ejercicio de retórica: es un cambio estructural en cómo Europa consume y produce tecnología. Para DevOps, infraestructura y seguridad, esto significa:
- Replantear arquitecturas para priorizar proveedores europeos y open source auditado.
- Automatizar controles con herramientas como OPA, Kyverno y Trivy.
- Invertir en habilidades en open source, UAL y soberanía de datos.
El plazo para actuar es corto: el CADA entrará en vigor en 2027, y las primeras auditorías UAL comenzarán en 2028. Empresas como OVHcloud o Scaleway ya están posicionadas para capitalizar este cambio, pero las que no actúen a tiempo quedarán fuera del mercado público europeo. La pregunta no es si habrá que adaptarse, sino cuándo.