Nube soberana en la empresa: guía práctica España 2026

Q: ¿Qué es el ENS Alto y cómo se relaciona con la soberanía?

El Esquema Nacional de Seguridad (ENS), regulado por el RD 311/2022, establece tres niveles (Bajo, Medio, Alto). ENS Alto es exigible para sistemas que tratan datos especialmente protegidos o servicios esenciales. ENS es ortogonal a la soberanía: certifica seguridad técnica, no soberanía jurídica. La verdadera soberanía requiere ENS Alto + jurisdicción europea + ausencia de control extraterritorial.

Q: ¿Qué nube soberana elegir para una pyme española?

OVHcloud Madrid para amplitud de catálogo (VPS, Hosted Private Cloud, GPU, AI Endpoints, infraestructura dedicada) y presencia física en Madrid. Stackscale para infraestructura dedicada y bare metal con datacenter en España. Arsys (Logroño, propiedad 1&1/IONOS) para hosting clásico y mediana empresa. Acens (filial Telefónica) para integración con servicios Telefónica Empresas. Gigas para cloud-native pyme.

Q: ¿Puede una nube soberana alojar IA generativa?

Sí. OVHcloud Madrid ofrece en 2026 instancias GPU H100/H200 y AI Endpoints con Mistral y otros modelos open-weight. Para casos sensibles, desplegar Mistral vía vLLM sobre infraestructura GPU soberana sigue siendo la opción más controlada. Véase nuestra guía LLM local en empresa.

Q: ¿Cuánto tarda la migración de AWS/Azure a una nube soberana?

Variable según complejidad. Para servicios estándar (compute, almacenamiento, bases de datos SQL): 3 a 9 meses para una organización mediana, incluidos 2 a 4 meses de encuadre y 3 a 6 meses de migración progresiva. Para arquitecturas muy dependientes de servicios gestionados propietarios (DynamoDB, Lambda, Cosmos DB), la migración requiere reescritura — calcule 6 a 18 meses.

Respuesta rápida: ¿Qué es una nube soberana en España en 2026?

Una nube soberana es un proveedor de infraestructura cloud:

De derecho europeo o español (sede social, residencia fiscal, capital mayoritariamente europeo o español).
No sometido a leyes extraterritoriales: ni el Cloud Act estadounidense (que obliga a toda empresa US a entregar sus datos, incluso almacenados fuera de EE.UU.), ni la FISA Section 702 (la base legal que permite a los servicios de inteligencia estadounidenses acceder a los datos en poder de empresas US).
Alojamiento físico en España o la UE con personal de operación europeo o español.
Compatible nativamente con el RGPD y la LOPDGDD, alineado con el Esquema Nacional de Seguridad (ENS) y las directrices del CCN-CERT — sin necesidad de montar un esquema contractual para transferencias fuera de la UE.

En España en 2026, los actores principales son:

OVHcloud Madrid — el líder europeo con datacenter en Madrid, catálogo más amplio incluyendo GPU e IA.
Stackscale — proveedor español, infraestructura dedicada y bare metal, datacenters en Madrid y Ámsterdam.
Arsys (1&1 / IONOS) — proveedor histórico español (Logroño), hosting y cloud para mediana empresa.
Acens (Telefónica) — filial cloud de Telefónica, foco en B2B y administraciones, integración con servicios Telefónica Empresas.
NTT Data Spain — gestión cloud y servicios profesionales, presencia en sectores regulados (banca, sanidad).
Gigas — proveedor cloud español, foco pyme cloud-native.

Diferencia con los ‘hiperescaladores’ (los gigantes estadounidenses: AWS / Azure / GCP):

Estos hiperescaladores tienen regiones en Madrid pero sus matrices son de derecho estadounidense — por tanto sometidas al Cloud Act. Tener servidores en España no es suficiente para ser soberano en sentido jurídico. Las ofertas Microsoft Cloud for Sovereignty, AWS European Sovereign Cloud y Google Cloud Sovereign Solutions intentan crear entidades jurídicas europeas dedicadas — la credibilidad sigue cuestionada en 2026, y la AEPD no ha emitido pronunciamiento favorable bajo análisis Art. 44-48 RGPD.

¿Para quién la nube soberana?

Toda organización española B2B que trate datos sensibles — servicios financieros bajo Banco de España y CNMV, sanidad bajo el Ministerio de Sanidad y CC.AA., administraciones públicas bajo el ENS, sectores regulados, infraestructuras críticas bajo CNPIC — puede migrar a una nube soberana en 2026 sin sacrificio funcional mayor. Las organizaciones que permanecen en hiperescaladores lo hacen por lock-in técnico (servicios gestionados propietarios) más que por restricción de coste o calidad.

El contexto 2026: por qué la nube soberana se vuelve estratégica en España

Tres bascules acumuladas hacen la soberanía cloud ineludible en 2026 para las organizaciones españolas.

Bascule 1 — Cloud Act activamente utilizado. Las autoridades estadounidenses han recurrido al Cloud Act en varias ocasiones sobre datos europeos, a veces mediante requerimientos secretos. Para las organizaciones españolas, este riesgo, durante mucho tiempo teórico, se ha materializado. La Agencia Española de Protección de Datos (AEPD) ha publicado desde 2024 varias guías y comunicados destacando la exposición al Cloud Act como riesgo material bajo los artículos 44 y 48 del RGPD.

Bascule 2 — Trump 2.0 y tensiones transatlánticas. El contexto geopolítico 2025-2026 ha llevado a varios CIO de IBEX 35 y a la administración pública (a través de la Secretaría General de Administración Digital) hacia estrategias de portabilidad multicloud con exigencia reforzada de fallback solo-UE. El Plan España Digital 2026 ha formalizado la preferencia por soluciones soberanas. Véase también nuestra guía soberanía digital.

Bascule 3 — Madurez técnica de los actores europeos. OVHcloud, Stackscale, Arsys, Acens han invertido masivamente entre 2023 y 2026 y proponen ya catálogos ampliamente comparables a los hiperescaladores en servicios estándar. La fricción técnica de migración se ha reducido significativamente. El CCN-CERT ha actualizado las guías STIC para clarificar las expectativas en cloud público.

Concretamente: elegir una nube soberana en 2026 ya no es una “elección por convicción al precio de un sacrificio funcional” — se ha convertido en un arbitraje racional coste / riesgo / funcionalidad.

Las 4 dimensiones de una nube realmente soberana

Para evaluar una oferta cloud, no contentarse con la mención “europea” o “Made in Spain”. Cuatro dimensiones a verificar independientemente.

1. Soberanía jurídica

Criterio más importante. Una nube soberana debe ser:

Sociedad de derecho europeo o español (sede social UE/ES, registro mercantil)
Capital mayoritariamente europeo o español (las filiales 100 % españolas de grupos US no bastan)
Compromiso contractual de inmunidad ante requerimientos extraterritoriales

Eso es precisamente lo que distingue a OVHcloud Madrid / Stackscale / Acens (soberanos) de AWS Madrid / Azure España (no soberanos a pesar del alojamiento en España).

2. Soberanía física

La infraestructura (datacenters, servidores, red) debe estar implantada en España o en la UE. Los operadores (técnicos, administradores) deben estar bajo derecho europeo. Para sistemas ENS Alto, deben ser nacionales de la UE con habilitación de seguridad, conforme al Real Decreto 311/2022.

3. Soberanía software

La organización debe poder reversibilizar: recuperar sus datos, sus configuraciones, sus snapshots, y redesplegar en otro lugar en menos de 30 días. Sin esta capacidad, la soberanía jurídica permanece teórica. La CNMC (Comisión Nacional de los Mercados y la Competencia) investiga desde 2024 las prácticas de egress fees y lock-in en cloud público — un punto a favor de los proveedores con reversibilidad transparente.

4. Soberanía económica

El proveedor no debe depender de un capital o apoyo financiero extra-europeo mayoritario. Una startup cloud española comprada por un fondo americano pierde parcialmente su carácter soberano. Seguir la estabilidad accionarial vía Registro Mercantil y comunicaciones a la CNMV.

Cartografía de los proveedores cloud soberanos en España 2026

OVHcloud Madrid

Tipo: líder europeo con presencia física en Madrid (datacenter MAD1)
Capital: mayoritariamente francés (familia Klaba), cotizado en Euronext París
Catálogo: compute (Bare Metal, Public Cloud, Hosted Private Cloud), almacenamiento, bases de datos, GPU (H100, MI300), AI Endpoints, HDS para sanidad
Certificaciones: ISO 27001/27017/27018, ENS Medio en proceso para regiones ES, SecNumCloud (regiones FR), HDS, Cyber Essentials
Fortaleza: cobertura más amplia del mercado soberano europeo, presencia física fuerte en Madrid
Límite: matriz francesa (para puristas españoles un punto — sigue siendo derecho UE e inmune al Cloud Act)

Stackscale (Grupo Aire)

Tipo: proveedor español puro de bare metal y cloud privado
Capital: español (Grupo Aire)
Catálogo: bare metal, cloud privado VMware/OpenStack, almacenamiento, conectividad, datacenter en Madrid (San Blas) y Ámsterdam
Certificaciones: ISO 27001, ISO 9001, ENS Medio
Fortaleza: infraestructura dedicada, datacenter Tier III en Madrid, especialización VMware
Límite: catálogo público cloud más reducido que OVHcloud, sin GPU/AI Endpoints

Arsys (1&1 / IONOS)

Tipo: proveedor histórico español (fundado 1996 en Logroño)
Capital: filial 1&1 / IONOS (alemán) — soberanía europea pero no puramente española
Catálogo: hosting, VPS, cloud servidores, dominios, certificados, copia de seguridad
Certificaciones: ISO 27001, ISO 27017, ENS Medio
Fortaleza: dimensión histórica para mediana empresa española, soporte en castellano
Límite: capital alemán (cuestión de matiz para puristas — sigue siendo UE)

Acens (Telefónica)

Tipo: filial cloud de Telefónica España
Capital: 100 % Telefónica (español, cotizado IBEX 35)
Catálogo: cloud público y privado, hosting, dominios, integración Telefónica Empresas, IoT, ciberseguridad
Certificaciones: ISO 27001, ENS Alto en proceso, RD 311/2022
Fortaleza: respaldo Telefónica, integración con servicios de telco, presencia en sector público
Límite: catálogo cloud puro más estrecho que OVHcloud, foco más en servicios gestionados que infraestructura cloud-native

NTT Data Spain

Tipo: integrador y operador cloud, presencia fuerte en banca y sanidad española
Capital: matriz japonesa (NTT Data) — punto de matiz: japonés no estadounidense, fuera del alcance del Cloud Act, pero no puramente europeo
Catálogo: servicios gestionados cloud, integración multicloud, ciberseguridad
Fortaleza: experiencia en proyectos regulados (banca CNMV, sanidad)
Límite: integrador más que infraestructura propia

Gigas

Tipo: proveedor cloud español, foco pyme y cloud-native
Capital: español
Catálogo: VPS, cloud servidores, copia de seguridad, datacenter en España y LATAM
Fortaleza: simplicidad, soporte local, precios competitivos para pyme
Límite: catálogo más reducido que los grandes

Iniciativas “sovereign” de hiperescaladores en 2026

Microsoft Cloud for Sovereignty y Bleu (Microsoft + Capgemini + Orange, FR): tentativas de entidades europeas dedicadas. La AEPD y el CCN-CERT mantienen reservas — la pila software sigue siendo Microsoft, lo que cuestiona la soberanía estricta.

AWS European Sovereign Cloud: anunciado para regiones europeas dedicadas (Brandenburgo principalmente, con extensión potencial a otras geografías). La cualificación ENS no se ha emitido en 2026.

Google Cloud Sovereign Solutions con Thales (S3NS en FR): pila partner-mediada. Soberanía cuestionada por los actores soberanos puros (OVHcloud, Stackscale, Acens).

Para datos ultra-sensibles españoles — sistemas ENS Alto, sanidad bajo régimen del Ministerio, banca bajo BdE/CNMV, infraestructuras críticas bajo CNPIC — OVHcloud Madrid, Stackscale, Acens y Arsys siguen siendo las opciones sin ambigüedad.

Certificaciones y cumplimiento específicos de España

El paisaje regulatorio español combina varias capas que deben evaluarse en conjunto.

ENS (Esquema Nacional de Seguridad) — RD 311/2022: marco obligatorio para administraciones públicas y proveedores que les prestan servicios. Tres niveles (Bajo, Medio, Alto) según la criticidad. ENS Alto es exigible para servicios esenciales y datos especialmente protegidos.

CCN-CERT y guías STIC: el Centro Criptológico Nacional emite guías técnicas (serie STIC, especialmente STIC 884 sobre cloud) que detallan las expectativas de seguridad cloud. Marco de referencia para evaluar proveedores.

RGPD + LOPDGDD (LO 3/2018): marco europeo + adaptación española. La AEPD es la autoridad nacional de control. Sus inspecciones cloud han aumentado desde 2024.

Esquema Nacional de Interoperabilidad (ENI): complementario al ENS, foco interoperabilidad sector público.

Directiva NIS2 (transpuesta en España): refuerza las obligaciones de ciberseguridad para operadores esenciales. Aplicación operativa 2024-2026.

Sectoriales: Banco de España (Circular 3/2014), CNMV (guía sobre externalización cloud), Ministerio de Sanidad (Acuerdo 2023 sobre uso de cloud para datos sanitarios).

España no tiene un equivalente directo a SecNumCloud francés (una calificación combinada de soberanía y seguridad en un único paso). El equivalente más próximo es la combinación ENS Alto + RD 311/2022 + Guías STIC del CCN-CERT + capital UE.

Nube soberana e IA: el reto 2026

Con la explosión de la IA en empresa, la pregunta “¿se puede hacer IA seria en cloud soberano?” se ha vuelto central en 2026.

Respuesta: sí, sin compromiso funcional mayor:

OVHcloud Madrid AI Endpoints: servicios de IA gestionada incluyendo Mistral, Llama y otros modelos open-weight, alojados en datacenters europeos incluido Madrid.
Mistral on-premise sobre OVHcloud / Stackscale: desplegar el propio Mistral vía vLLM sobre instancias GPU soberanas. Máximo control. Véase nuestra guía LLM local en empresa.
NTT Data + Mistral: ofertas de IA gestionada para banca y sanidad, encuadre regulatorio reforzado.

El argumento “hace falta absolutamente AWS / Azure para hacer IA en 2026” ya no se sostiene. Es un argumento de inercia, no de capacidad.

Para entidades financieras españolas, hospitales o administraciones públicas, la guía IA conforme al RGPD recorre las expectativas de EIPD y guías AEPD.

Migrar a una nube soberana: hoja de ruta pragmática

Etapa 1 — Cartografiar el existente (2-4 semanas). Inventario de cargas de trabajo, servicios gestionados utilizados, dependencias específicas (DynamoDB, Lambda, Cosmos DB, etc.). Sin este inventario, imposible cifrar la migración.

Etapa 2 — Segmentar por criticidad y complejidad (2 semanas). Tres lotes típicos:

Lote 1: compute / almacenamiento / red estándar → migración directa posible
Lote 2: servicios gestionados con equivalente soberano → adaptación moderada
Lote 3: servicios propietarios sin equivalente → reescritura necesaria

Etapa 3 — Migrar el lote 1 (3-6 meses). Enfoque por entorno (test → preproducción → producción), con coexistencia hiperescalador + cloud soberano durante la transición.

Etapa 4 — Adaptar el lote 2 (3-9 meses según complejidad). Migración de bases de datos gestionadas a equivalentes soberanos. Adaptación de las herramientas de monitorización, de CI/CD.

Etapa 5 — Reescribir el lote 3 (según prioridad de negocio). Componentes que dependen fuertemente de servicios propietarios. A menudo, la oportunidad de un refactor arquitectónico más amplio.

Etapa 6 — Desactivar los recursos hiperescalador restantes. Verificar que no subsiste ninguna dependencia oculta antes de cortar las cuentas (planificar egress fees y plazos contractuales de preaviso).

Para una organización que quiere acelerar esta transición sin experiencia interna, DPLIANCE acompaña vía nuestras soluciones IA a medida sobre las capas IA y datos.

Lo que rechazamos prometer

Tres antipatrones recurrentes que evitamos en DPLIANCE al encuadrar una estrategia cloud soberana.

“Lo movemos todo a OVHcloud Madrid, asunto cerrado.” Falso para la mayoría de las organizaciones españolas. Las arquitecturas que dependen fuertemente de servicios gestionados AWS propietarios (DynamoDB, Lambda, EventBridge, etc.) requieren reescritura, no una simple migración. La buena segmentación: lote 1 (compute / almacenamiento estándar) en migración directa, lote 2 (servicios gestionados con equivalente) en adaptación, lote 3 (servicios propietarios) en reescritura progresiva. Calcule 12-24 meses para una gran cuenta.

“Microsoft Cloud for Sovereignty es tan soberano como OVHcloud.” Discutible. Microsoft Cloud for Sovereignty y AWS European Sovereign Cloud son entidades jurídicas europeas que explotan software estadounidense. La soberanía jurídica estricta en sentido AEPD / RGPD Art. 44-48 sigue cuestionada en 2026. Para datos ultra-sensibles, OVHcloud, Stackscale, Acens o Arsys siguen siendo las opciones sin ambigüedad.

“La nube soberana cuesta 3 veces más.” Falso para los servicios estándar. OVHcloud Madrid, Stackscale, Arsys y Acens son a menudo competitivos o más baratos que los hiperescaladores en compute / almacenamiento / red / GPU H100. El sobrecoste se ve en los servicios gestionados exóticos (DynamoDB, Cosmos DB, servicios ML muy específicos). ENS Alto cuesta más (1,5x a 3x una cloud pública estándar) — pero es otro nivel de exigencia.

DPLIANCE es editor de software. Cuando diseñamos una solución IA a medida para una organización que migra a la nube soberana, nos ocupamos de la arquitectura IA (Mistral, on-premise o vía partner certificado para sanidad), de la integración al SI objetivo, de la documentación para el cumplimiento.

FAQ

¿Qué es una nube soberana en el contexto español?

Una nube soberana es un proveedor de infraestructura cloud cuya jurisdicción legal, accionariado y operación permanecen bajo control europeo o español, sin sujeción a leyes extraterritoriales. En España en 2026: OVHcloud Madrid, Stackscale, Arsys, Acens, NTT Data Spain, Gigas.

¿Qué es el ENS Alto y cómo se relaciona con la soberanía?

El Esquema Nacional de Seguridad (RD 311/2022) establece tres niveles. ENS Alto es exigible para sistemas con datos especialmente protegidos. ENS es ortogonal a la soberanía: certifica seguridad técnica, no soberanía jurídica.

¿Pueden AWS Madrid, Azure España o Google Cloud Madrid ser soberanos?

Estrictamente no. Disponer de una región en Madrid no cambia la jurisdicción de la matriz, que sigue siendo derecho estadounidense. Las ofertas sovereign de los hiperescaladores intentan eludir este punto vía entidades europeas dedicadas — la AEPD y el CCN-CERT mantienen reservas.

¿Es realmente más cara una nube soberana?

No tanto como suele creerse. OVHcloud Madrid, Stackscale, Arsys y Acens ofrecen tarifas a menudo comparables o inferiores a los hiperescaladores en servicios estándar.

¿Qué nube soberana elegir para una pyme española?

OVHcloud Madrid para amplitud, Stackscale para bare metal, Arsys para hosting clásico, Acens para integración Telefónica, Gigas para cloud-native pyme.

¿Puede una nube soberana alojar IA generativa?

Sí. OVHcloud Madrid ofrece instancias GPU H100/H200 y AI Endpoints. Para casos sensibles, Mistral vía vLLM sobre infraestructura soberana sigue siendo la opción más controlada. Véase nuestra guía LLM local en empresa.

¿Cuánto tarda la migración de AWS / Azure a una nube soberana?

Variable. Para servicios estándar: 3 a 9 meses. Para arquitecturas muy dependientes de servicios gestionados propietarios: 6 a 18 meses incluida reescritura.

Fuentes: AEPD guías sobre cloud y RGPD (aepd.es); CCN-CERT serie STIC (ccn-cert.cni.es); RD 311/2022 sobre el ENS; documentación OVHcloud, Stackscale, Arsys, Acens, NTT Data Spain; reglamento (UE) 2016/679 (RGPD); LOPDGDD (LO 3/2018); Cloud Act estadounidense (Pub.L. 115-141); FISA Section 702; CNMC investigaciones cloud; Plan España Digital 2026.

Para encuadrar una migración a una nube soberana — elección de proveedor, plan de migración, integración IA — véase nuestra guía alojamiento de datos en Europa, nuestra guía LLM local en empresa, o contáctenos vía nuestras soluciones IA a medida.