Soberanía digital europea, de la intención a la ejecución
La cuestión en sí no es si Europa debe perseguir soberanía digital, sino cómo traducirla en decisiones operativas. La premisa de partida es clara, pues con el 80% (265.000 millones de euros) del gasto en software y cloud yendo a proveedores estadounidenses, la UE asume riesgos de continuidad, de cumplimiento normativo y costes.
PARA REVERTIR esta inercia hacen falta tres palancas: criterios de decisión maduros, certificaciones exigentes y una política industrial que conecte defensa, formación y mercado. Las analizamos a continuación.
Criterios de decisión
Toda elección tecnológica debería balancear, de forma explícita, seguridad, origen e interoperabilidad. No existe una jerarquía rígida válida para todos los casos, ya que, en sectores de alto riesgo como defensa, energía o industria, la seguridad y la residencia/jurisdicción de datos pueden primar; en servicios horizontales, la interoperabilidad puede ser el factor crítico para evitar bloqueos de proveedor.
La clave está en poner en valor la decisión estratégica, es decir, los riesgos geopolíticos, la dependencia de la cadena de suministro y la exposición a normativas extraterritoriales deben ponderarse junto al coste total de propiedad y a los planes de salida.
Certificación que genera confianza
El uso de productos cualificados por autoridades nacionales, como el CCN-CERT en España, ofrece una base objetiva de confianza. Esta cualificación se basa en un proceso de evaluación riguroso y multidimensional. Incluye una auditoría del código fuente para comprobar la calidad del desarrollo, identificar vulnerabilidades y garantizar el cumplimiento de las buenas prácticas. También comprueba la ausencia de puertas traseras.
No debe existir ninguna función oculta que proporcione acceso no autorizado al sistema, una condición esencial para garantizar la confidencialidad y la confianza en la solución, y evitar cualquier riesgo de espionaje. Este enfoque, alineado con esquemas europeos como el EUCC, eleva el listón de mercado y reduce asimetrías de información entre comprador y proveedor.
Política industrial más cohesionada
España y la UE necesitan instrumentos que cierren la brecha entre reconocimiento y adopción. Hoy, aunque el 78% de los decisores valora la tecnología local, solo el 32% la prioriza. ¿Soluciones? Criterios de contratación pública que ponderen jurisdicción, certificación y portabilidad; ayudas vinculadas a resultados (por ejemplo, porcentaje de componentes europeos certificados); y sandbox regulatorios para acelerar la transición a criptografía poscuántica, nube soberana e IA confiable.
En este sentido, la cooperación europea ya financia el I+D, que cuenta con un presupuesto de 7.300 millones de euros, con 1.600 millones para IA, según el programa Horizon Europe 2025, pero el reto es escalar a mercado.
España: foco y ejecución práctica
España puede especializarse donde la dualidad civil-militar aporta más tracción: ciberdefensa, cifrado soberano y protección de infraestructuras críticas. Para ello, la agenda debe incluir alianzas tecnológicas (codesarrollo, licencias, M&A) entre pymes de ciberseguridad y grandes integradores; inversión sostenida en universidades y startups para retener talento con salarios competitivos; infraestructuras certificadas que faciliten cumplimiento de GDPR, Cyber Resilience Act y otros esquemas europeos; y gobernanza de datos que priorice trazabilidad, minimización y reversibilidad contractual.
La hoja de ruta pasa por definir marcos de decisión soberanos, exigir certificaciones y transparencia de cadena de suministro, condicionar el gasto público a estándares de seguridad y portabilidad, y medir resultados (reducción de dependencia, tiempo de recuperación, coste de cambio). No hablamos de levantar muros, sino de crear alternativas. Solo así la soberanía digital dejará de ser un lema y se transformará en resiliencia, competitividad y autonomía real para España y Europa.
Por Pierre-Yves Hentzen, presidente y CEO de Stormshield
«España y la UE necesitan instrumentos que cierren la brecha entre reconocimiento y adopción: criterios de contratación pública que ponderen jurisdicción, certificación y portabilidad; ayudas vinculadas a resultados; y sandbox regulatorios para acelerar la transición a criptografía poscuántica, nube soberana e IA confiable» (Pierre-Yves Hentzen, Stormshield)
