Seguridad en la nube como producto de exportación alemán: C5, nube soberana y la ventaja europea
8 min de lectura
AWS ha ampliado en 2025 su certificación BSI-C5 a 183 servicios, incluida Singapur. Un marco de seguridad alemán se ha convertido en estándar de referencia en Asia. El Grupo Schwarz invierte 11 000 millones de euros en STACKIT; SAP destina 20 000 millones a su nube soberana. Y, según Gartner, los gastos europeos en nube soberana se triplicarán entre 2025 y 2027. La seguridad en la nube «Made in Germany» ya no es un producto de nicho. Es un artículo de exportación con un mercado mundial en expansión.
Lo más importante en resumen
- C5 como estándar de exportación: AWS utiliza su certificación C5 en 9 regiones mundiales, incluida Singapur – un marco de seguridad alemán con huella global
- La nube soberana explota: Los gastos europeos se triplican, pasando de 6 900 millones de dólares (2025) a 23 100 millones (2027); a nivel mundial alcanzarán 80 000 millones en 2026 (Gartner)
- Actores alemanes: STACKIT (inversión de 11 000 millones), Nube Soberana de SAP (20 000 millones), T-Systems (socio de Copernicus, modelo soberano con Google)
- Ventaja regulatoria: NIS2, Ley de Datos de la UE y CRA favorecen estructuralmente a los proveedores con jurisdicción europea y soberanía de datos demostrable
- Mercado de la nube en Alemania: 20 000 millones de euros en 2025 (más 17 por ciento), el 90 por ciento de las empresas utilizan la nube, el 82 por ciento no desea depender de proveedores estadounidenses (Bitkom)
La certificación C5: cómo un estándar alemán conquista el mundo
El Catálogo de Criterios de Cumplimiento para Computación en la Nube (Cloud Computing Compliance Criteria Catalogue, C5) fue introducido en 2016 por el [BSI](https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/kriterienkatalog-c5_node.html) y revisado fundamentalmente en 2020. Define requisitos mínimos para servicios seguros en la nube en 17 áreas temáticas, con aproximadamente 125 criterios individuales. Existen dos tipos de certificación: Tipo 1 evalúa el diseño e implementación en una fecha determinada; Tipo 2 evalúa la efectividad consistente durante un período definido.
Lo que distingue a C5 de otros marcos es su capacidad de exportación. En 2025, AWS completó su [certificación C5 Tipo 2 con 183 servicios](https://aws.amazon.com/blogs/security/aws-achieves-2025-c5-type-2-attestation-report-with-183-services-in-scope/) (en 2024 eran 179, en 2023 eran 170 – la tendencia es ascendente). Las regiones incluidas son: Fráncfort, Irlanda, Londres, Milán, París, Estocolmo, España, Zúrich y Singapur. Un marco de seguridad alemán que AWS utiliza como referencia para el mercado asiático. Esto no es un éxito teórico de exportación, sino una realidad documentada.
A partir del 1 de julio de 2025, la certificación C5 Tipo 2 es obligatoria por ley para los servicios en la nube que traten datos sanitarios y sociales. La actualización C5:2025 (borrador comunitario) alinea explícitamente el estándar con el marco europeo EUCS (nivel «Substantial»). Así, C5 se convierte en un puente entre el estándar nacional alemán y la armonización europea.
En comparación internacional, C5 se posiciona entre el estadounidense FedRAMP (exclusivo para contratos con organismos públicos estadounidenses, limitado a Estados Unidos) y el francés SecNumCloud (más exigente, pero más estrechamente nacional). FedRAMP se basa en NIST SP 800-53 y solo es válido para contratos con agencias federales estadounidenses. SecNumCloud, de la ANSSI francesa, establece los requisitos más rigurosos de Europa y excluye estructuralmente a los hiperscaladores estadounidenses, pues no permite exposición alguna a jurisdicciones fuera de la UE. C5 se audita mediante auditores externos independientes conforme a ISAE 3000, es tecnológicamente neutral y exportable: esto lo convierte en el marco más exitoso internacionalmente de los tres.
La prueba práctica: los hiperscalares estadounidenses tuvieron que obtener certificaciones C5 para seguir siendo competitivos en el mercado empresarial alemán y europeo. AWS invierte anualmente en ampliar su alcance C5 (de 170 servicios en 2023 a 183 en 2025). Microsoft Azure y Google Cloud también cuentan con certificaciones C5. Un estándar originariamente puramente alemán se ha convertido, de facto, en un requisito previo para acceder al mercado de la nube de la UE. Esta es la seguridad en la nube como producto de exportación en su forma más pura: no se exporta la nube alemana, sino su marco de seguridad.
Fuentes: Blog de AWS 2025, Gartner febrero 2026, Informe Cloud de Bitkom 2025
STACKIT, SAP, T-Systems: tres modelos alemanes para la nube soberana
STACKIT (Grupo Schwarz) es el proyecto más ambicioso de nube soberana en Alemania. El Grupo Schwarz (Lidl, Kaufland) invierte 11 000 millones de euros en el desarrollo de su propia plataforma en la nube. STACKIT obtuvo a finales de 2023 la certificación C5 Tipo 1 y en 2024 la Tipo 2. Además cuenta con certificaciones ISAE 3000 (SOC 2), ISAE 3402 e ISO 27001. Este paquete combinado de certificaciones permite a los clientes internacionales del Grupo Schwarz disponer de una base unificada de cumplimiento normativo. Paralelamente, STACKIT coopera con Google para ofrecer soluciones soberanas de entorno laboral: un modelo híbrido que combina el control europeo con la funcionalidad de los hiperscalares.
Nube Soberana de SAP (Delos) sigue un enfoque distinto. SAP ha creado, mediante su filial Delos, una unidad específica para la nube soberana y anunciado un programa de inversión de 20 000 millones de euros. Su propuesta: software central de SAP ejecutado sobre sistemas bajo control europeo. Para las empresas que utilizan SAP como columna vertebral de sus procesos empresariales (y eso abarca a la mayoría de las grandes empresas alemanas), una nube soberana de SAP constituye una necesidad estratégica – no porque ofrezca mejor tecnología, sino porque garantiza la seguridad regulatoria.
T-Systems opera simultáneamente con dos modelos. La Open Telekom Cloud es una plataforma OpenStack disponible internacionalmente, con clientes en 195 países y galardonada con el Premio IT Gold 2025 por nube soberana. Al mismo tiempo, T-Systems gestiona, en asociación con Google, una nube soberana específica en la que actúa como fiduciario de datos: todos los datos y el control permanecen bajo derecho alemán. Este modelo de «capacidad de hiperscaler, control alemán» se debate como patrón de referencia para otros mercados. Además, T-Systems es socio del ecosistema Data Space de Copernicus de la UE – el programa europeo de observación terrestre utiliza infraestructura en la nube alemana.
El mercado de la nube soberana explota
Las cifras de [Gartner (febrero de 2026)](https://www.gartner.com/en/newsroom/press-releases/2026-02-09-gartner-says-worldwide-sovereign-cloud-iaas-spending-will-total-us-dollars-80-billion-in-2026) revelan la magnitud: a nivel mundial, los gastos en IaaS soberana alcanzarán los 80 000 millones de dólares en 2026, un crecimiento del 35,6 por ciento respecto a 2025. Europa superará por primera vez a Norteamérica en gastos en IaaS soberana en 2027.
Los datos europeos en detalle: 6 900 millones de dólares en 2025, 12 600 millones en 2026 (+83 por ciento) y 23 100 millones en 2027. Una triplicación en dos años. Los impulsores son las tensiones geopolíticas, la incertidumbre sobre la legislación estadounidense en materia de nube (CLOUD Act) y la estrategia de soberanía digital de la Comisión Europea.
Para los proveedores alemanes de nube, esta es una oportunidad histórica. Según el [Informe Cloud de Bitkom 2025](https://bitkom-research.de/studien/cloud-report-2025-status-quo-und-trends-wirtschaft-und-politik), el mercado alemán de la nube crece un 17 por ciento hasta alcanzar los 20 000 millones de euros. Las inversiones en centros de datos en Alemania ascienden a 12 000 millones de euros solo en 2025. El 90 por ciento de las empresas alemanas utiliza aplicaciones en la nube – hace un año era el 81 por ciento. Y la demanda de soberanía es masiva: el 82 por ciento no quiere depender técnicamente de proveedores estadounidenses de nube. Sin embargo, el 78 por ciento se considera, en la práctica, dependiente. El 82 por ciento desea hiperscalares procedentes de Alemania o Europa. El título del informe de Bitkom lo resume: «La economía exige una nube alemana».
La brecha entre deseo y realidad es el mercado. El 82 por ciento quiere una nube europea, pero solo unos pocos proveedores europeos pueden ofrecer la funcionalidad de los hiperscalares estadounidenses. Precisamente aquí entran en juego los modelos alemanes: T-Systems como fiduciario de datos sobre infraestructura de Google, STACKIT como alternativa completamente europea y SAP como nube soberana sectorial para cargas de trabajo ERP. Ningún enfoque individual cubrirá todo el mercado, pero juntos abarcan los segmentos empresariales más importantes.
AWS, Microsoft y Google tuvieron que adquirir certificaciones C5 para seguir siendo competitivos en el mercado empresarial europeo. Un estándar de seguridad originalmente puramente alemán se ha convertido, de facto, en un requisito previo para acceder al mercado de la nube de la UE.
NIS2, Ley de Datos y CRA: el triángulo regulatorio
Tres regulaciones de la UE crean conjuntamente un entorno que favorece estructuralmente a los proveedores europeos de nube.
NIS2, vigente desde diciembre de 2025, regula directamente a los proveedores de nube: gestión de riesgos, notificación de incidentes, continuidad del negocio y [seguridad de la cadena de suministro](https://www.securitytoday.de/es/2026/02/26/supply-chain-security-nis2-sbom-cra-wettbewerbsvorteil-reboot-2026/) son obligatorias. Los proveedores de servicios en la nube que atienden a clientes de infraestructuras críticas (KRITIS) quedan automáticamente sujetos a esta regulación. El BSI estima que afecta a unos 30 000 empresarios – y C5 se ha convertido en la herramienta preferida para demostrar el cumplimiento de NIS2.
La Ley de Datos de la UE, aplicable desde septiembre de 2025, aborda las barreras a la portabilidad y protege contra accesos extraterritoriales a los datos. Los proveedores de nube deben garantizar que los gobiernos de terceros países no puedan acceder a los datos de la UE si ello contradice el derecho de la UE o el derecho nacional. El régimen sancionador: hasta el 4 por ciento del volumen de negocios anual global. Para los proveedores sometidos a la jurisdicción del CLOUD Act estadounidense, esto representa un problema estructural. Para los proveedores europeos con certificación C5, es una ventaja competitiva.
La Ley de Resiliencia Cibernética (Cyber Resilience Act, CRA), con obligaciones plenas a partir de diciembre de 2027, exige seguridad desde el diseño (Security by Design) y agilidad criptográfica para todos los productos con elementos digitales. El software y los servicios basados en la nube están incluidos. Junto con la [migración a la criptografía poscuántica](https://www.securitytoday.de/es/2026/03/08/post-quantum-kryptografie-deutschland-bsi-nist-migration-reboot-2026/), el CRA crea requisitos que solo podrán cumplir proveedores con una arquitectura de seguridad profunda.
GAIA-X: del tigre de papel al marco de confianza
GAIA-X ha evolucionado. La visión original de una «AWS europea» nunca se materializó. Lo que sí ha surgido es un sistema de certificación operativo para servicios en la nube de confianza. En la cumbre de 2025 en Oporto se presentó el marco de confianza 3.0 «Danube», que permite extensiones geográficas y sectoriales.
El progreso real: cinco proveedores (Cloud Temple, Thesee DataCenter, OPIQUAD, OVHcloud y Seeweb) han alcanzado el nivel más alto de etiquetado GAIA-X, el Nivel 3. CISPE se ha comprometido a ofrecer hasta 3 000 servicios etiquetados GAIA-X antes de noviembre de 2025. El Manifiesto de la Nube Soberana de CISPE, publicado en julio de 2025, formula cinco temas y veinte medidas concretas para la infraestructura de nube soberana en Europa.
GAIA-X no es un competidor de los hiperscalares, sino un marco de confianza que otorga a los proveedores europeos una etiqueta verificable de confianza. En un mundo donde el 82 por ciento de las empresas alemanas desea alternativas europeas a la nube, esto constituye una ventaja comercial tangible. La conexión estratégica: la certificación GAIA-X junto con la certificación C5 conforman el paquete de seguridad en la nube europeo más sólido que puede exhibir un proveedor. Para las empresas sujetas a [NIS2](https://www.securitytoday.de/es/2026/01/05/nis2-standortvorteil-cybersecurity-regulierung-deutschland-reboot-2026/) y que además deben cumplir el Reglamento General de Protección de Datos (RGPD), esta combinación reduce considerablemente la carga de cumplimiento.
La crítica a GAIA-X sigue siendo legítima: no se cumplieron las ambiciones originales, la complejidad de su gobernanza ha frenado el progreso y su relevancia para el director de información (CIO) individual es limitada. Pero como capa de infraestructura para la soberanía de los datos en sectores regulados (sanidad, finanzas, administración pública), GAIA-X se está consolidando cada vez más como el estándar necesario para cumplir de forma verificable los requisitos de cumplimiento europeos.
La ventaja de exportación: por qué la seguridad en la nube alemana es demandada internacionalmente
La certificación C5 muestra el mecanismo: un estándar lo suficientemente riguroso como para generar confianza y lo suficientemente flexible como para funcionar internacionalmente. SecNumCloud (Francia) es más exigente, pero excluye estructuralmente a los hiperscalares estadounidenses – lo que limita su alcance. FedRAMP (EE.UU.) solo es válido para contratos gubernamentales estadounidenses. C5 ocupa el punto medio: altos requisitos, aplicabilidad internacional y neutralidad tecnológica.
Para empresas alemanas como T-Systems, STACKIT y SAP, esto significa: su infraestructura en la nube y su arquitectura de seguridad son exportables internacionalmente, porque se basan en un estándar que incluso los hiperscalares aceptan. El modelo de T-Systems (tecnología de hiperscaler bajo fideicomiso de datos alemán) podría convertirse en un modelo de exportación para otros países que desean funcionalidad en la nube sin renunciar a su soberanía de datos.
La [iniciativa «Made-for-Germany»](https://mybusinessfuture.com/reboot-germany-735-milliarden-mittelstand-investitionen-2026/) con un volumen de inversión de 735 000 millones de euros dirigirá parte de estos fondos hacia la infraestructura en la nube. Y la cascada regulatoria (NIS2, Ley de Datos, CRA, EUCS) crea un mercado en el que el cumplimiento normativo no es un factor de coste, sino un argumento de venta. Así, la seguridad en la nube «Made in Germany» pasa de ser una medida de protección local a convertirse en un producto de exportación.
CISPE advirtió expresamente en octubre de 2025 contra los hiperscalares estadounidenses que promocionan el concepto de «soberanía en la nube» sin cumplir los requisitos estructurales. La soberanía real, según esta posición, solo puede garantizarla un proveedor con sede principal en Europa. No se trata de un debate abstracto, sino que tiene consecuencias prácticas: las empresas sujetas a la Ley de Datos de la UE deben asegurarse de que sus proveedores de nube no impliquen riesgos de acceso extraterritorial a los datos. Un proveedor estadounidense expuesto al CLOUD Act no puede ofrecer esa garantía, aunque opere su centro de datos en Fráncfort.
Para la economía alemana, esto supone una triple ventaja. En primer lugar: los proveedores alemanes de nube se benefician de una demanda inducida regulatoriamente (NIS2 más Ley de Datos más CRA generan necesidades de cumplimiento que los proveedores europeos pueden satisfacer mejor). En segundo lugar: el marco C5 se demanda internacionalmente como estándar de exportación, porque genera confianza sin excluir tecnologías. En tercer lugar: la combinación de competencia investigadora (Fraunhofer, BSI), infraestructura operativa en la nube (T-Systems, STACKIT, SAP) y rigor regulatorio (RGPD, NIS2, Ley de Datos) forma un ecosistema que ningún otro país europeo puede ofrecer con esta amplitud. Francia dispone de SecNumCloud, pero carece de una pequeña y mediana empresa (PYME) comparable con necesidades de nube. Los Países Bajos cuentan con una fuerte infraestructura de alojamiento, pero no poseen un estándar de seguridad propio con la difusión de C5. Alemania tiene ambas cosas – y solo debe comercializarlas de forma coherente.
Preguntas frecuentes
¿Qué es la certificación BSI-C5?
El Catálogo de Criterios de Cumplimiento para Computación en la Nube del BSI define requisitos mínimos para servicios seguros en la nube en 17 áreas temáticas, con aproximadamente 125 criterios individuales. Las certificaciones Tipo 2 evalúan la efectividad consistente durante un período definido y son obligatorias desde julio de 2025 para los datos sanitarios.
¿Cuál es el tamaño del mercado de la nube soberana?
Según Gartner, los gastos mundiales en IaaS soberana alcanzarán los 80 000 millones de dólares en 2026. Los gastos europeos se triplicarán, pasando de 6 900 millones de dólares (2025) a 23 100 millones (2027). Europa superará por primera vez a Norteamérica en 2027.
¿Qué proveedores alemanes de nube tienen certificaciones C5?
IONOS, PlusServer, q.beyond AG y STACKIT (Schwarz Digits) figuran entre los proveedores alemanes certificados. También AWS, Microsoft Azure y Google Cloud han obtenido certificaciones C5 para seguir siendo competitivos en el mercado europeo.
¿Cuál es la diferencia entre C5, FedRAMP y SecNumCloud?
C5 (BSI/Alemania) es tecnológicamente neutral y exportable internacionalmente. FedRAMP (EE.UU.) solo es válido para contratos con organismos públicos estadounidenses. SecNumCloud (ANSSI/Francia) es el más riguroso, pero excluye estructuralmente a los hiperscalares estadounidenses. C5 se sitúa en el punto medio: altos requisitos con amplia aplicabilidad.
¿Sigue vivo GAIA-X?
Sí, pero con un alcance más realista que en su lanzamiento. GAIA-X no es un competidor de los hiperscalares, sino un marco de confianza y sistema de certificación. El marco de confianza 3.0 «Danube» se publicó a finales de 2025. Cinco proveedores han alcanzado la etiqueta más alta, Nivel 3. CISPE se ha comprometido a ofrecer 3 000 servicios etiquetados.
Para seguir leyendo
- Seguridad de la cadena de suministro: de la obligación normativa a la ventaja competitiva
- Criptografía poscuántica: Alemania se prepara
- Reboot Germany: 735 000 millones, tres PYME y la pregunta de si la crisis es realmente tan grave
Fuente de la imagen del título: Pexels / Panumas Nikhomkhai (px:1148820)
