Tu dependencia de la nube es ahora un riesgo regulado. La mayoría de las empresas ni siquiera puede ver la suya.

¿Qué ha cambiado realmente?

Durante años, la cuestión de la nube fue práctica: qué proveedor, a qué precio. El European Technological Sovereignty Package de 2026, y la Cloud and AI Development Act que contiene, cambia la pregunta. Introduce un marco de soberanía de cuatro niveles que califica cuán independiente es tu infraestructura de cualquier proveedor extranjero concreto. Dónde se ejecutan tus sistemas, y quién los controla en última instancia, es ahora un asunto regulado, no solo una decisión de arquitectura.

No llega sola. Se asienta sobre DORA, NIS2, la Data Act y la AI Act, cada una con sus propias obligaciones en torno a la continuidad, la seguridad y la rendición de cuentas. Para una empresa que opera en Europa, el resultado es un entorno de cumplimiento en el que la concentración en un solo hyperscaler ya no es simplemente cómoda. Es una exposición documentada.

¿Por qué la mayoría de las empresas no puede ver su propia exposición?

Porque la dependencia está enterrada. Pocas organizaciones dependen de una sola nube de una forma que puedan ver en una sola página. La dependencia real discurre a través de los servicios gestionados, las herramientas de cumplimiento, los sistemas de IA que han adoptado, las plataformas de analítica, la infraestructura de identidad y los flujos de desarrollo, muchos de los cuales se resuelven silenciosamente de vuelta a los mismos uno o dos proveedores.

Así que cuando un consejo pregunta si la empresa podría seguir funcionando si su proveedor principal fallara o fuera declarado no conforme, la respuesta honesta suele ser que nadie lo ha cartografiado. Esa es la brecha que las nuevas normas están a punto de exponer, y la que DORA ya exige cerrar a las firmas reguladas.

¿Qué debería hacer ahora una empresa seria?

Cartografía la cadena de dependencia antes de que un regulador o una caída la cartografíen por ti. Identifica qué funciones críticas se resuelven en un solo proveedor, dónde no tienes un mecanismo de conmutación por error probado y dónde un nivel de soberanía te dejaría fuera de juego. Esto no es una llamada a abandonar a los hyperscalers. Es una llamada a saber exactamente qué harías sin ellos, y a ser capaz de demostrarlo.

La resiliencia siempre ha tenido que ver con la dependencia que no puedes reemplazar. Las nuevas normas simplemente convierten esa dependencia en algo que ahora tienes que ver, documentar y defender. Las empresas que la cartografíen pronto tratarán los plazos como rutina. Las que esperen descubrirán la forma de su dependencia en el peor momento posible.

Leer a continuación: ¿Por que la IA esta subiendo el precio de un hardware que nunca compraste?  ·  Por qué el mayor coste de la IA es ahora una factura mensual de alquiler?