El comunicado llegó el viernes 17 de abril de 2026, tres días antes de que abriera la Hannover Messe. Rolf Schumann y Christian Müller, los co-CEOs de Schwarz Digits, presentaron el European Sovereign Stack Standard — ES³ — con la ambición explícita de convertirse en la medida europea de soberanía digital. El formato: un modelo de madurez en cuatro niveles — Basic, Initial, Advanced, Future-Proof. El mecanismo: un catálogo de más de 100 criterios. La marca de credibilidad: verificación independiente por BDO AG, cuyo Presidente del Consejo de Administración Parwäz Rafiqpoor firmó la atestación.

Schumann resumió la propuesta: «Estamos transformando la necesidad de soberanía digital en un estándar mensurable para empresas industriales, pymes y sectores regulados.» Siguió la declaración de verificación de BDO: «La auditoría del modelo de madurez de soberanía por BDO confirma: El modelo de madurez ES³ proporciona una base independiente y práctica para fortalecer la soberanía digital en Europa.»

Esta es la primera hoja de puntuación de soberanía europea que llega con infraestructura de auditoría. También está escrita por una empresa que compite en el mercado que ahora puntúa.

Lo que propone ES³

Los cuatro niveles de madurez pretenden ser progresivos. Basic cubre afirmaciones mínimas de residencia de datos. Initial establece independencia operativa del control no-UE. Advanced exige separación arquitectónica completa de dependencias no-UE. Future-Proof afirma continuidad verificable bajo condiciones geopolíticas hostiles.

El catálogo, según el resumen público, abarca jurisdicción, propiedad, control operativo, cadena de suministro y custodia de claves. La verificación de BDO cubre la metodología en lugar de evaluaciones individuales de producto — una distinción significativa. Una metodología verificada no es lo mismo que una puntuación de producto verificada; ES³ certifica cómo puntuar, no quién ha puntuado bien.

Los compradores del sector público pueden redactar condiciones de licitación referenciando un nivel ES³ específico y rechazar ofertas por debajo de ese nivel. Eso por sí solo cambia las estructuras de incentivos. Hasta ES³, la soberanía en la contratación pública europea era o bien una afirmación binaria o una puntuación de tipo vibes. Ahora existe un número.

Argumentos a favor

Tres cosas que ES³ hace que nada hace actualmente.

Pone un número a la soberanía. Antes de ES³, la soberanía en el lenguaje de las licitaciones era una palabra de marketing sin contenido definido. Un modelo de madurez con auditoría significa que un comprador público puede rechazar una oferta que no cumpla un nivel declarado. El marco europeo comparable más cercano — el etiquetado de Gaia-X — ha sido criticado por vaguedad y ejecución lenta. ES³ es más rápido y más concreto.

Establece una capa de verificación que los competidores deben abordar. Una vez que existe un estándar mensurable, las alternativas deben o bien igualar sus criterios o explicar públicamente por qué han elegido criterios distintos. Así es como los marcos regulatorios se vuelven operativos.

Llegó en un momento en que la contratación pública europea buscaba activamente criterios. La Vergabebeschleunigungsgesetz alemana, aprobada seis días más tarde, hizo de la soberanía un criterio de adjudicación admisible. ES³ suministra los criterios que la ley hace admisibles. El timing no es accidental.

El conflicto en el centro

Schwarz Digits es el brazo de TI y digital del Schwarz Gruppe — la matriz de Lidl y Kaufland — y opera StackIT, un gran proveedor europeo de nube que compite directamente con AWS, Azure y Google Cloud en licitaciones europeas. Bernd Wagner, el CSO de Schwarz Digits que presentó el detalle técnico en el stand de la Hannover Messe, dirige una arquitectura de seguridad diseñada contra los criterios que la matriz también ha escrito ahora. Schwarz Digits no es un organismo neutral de estándares. Es un participante del mercado que escribe las reglas de su propio mercado.

Esto no es, por sí solo, descalificador. Los estándares de ISO, IEEE e IETF se originan rutinariamente en proveedores con intereses en juego. Pero es estructuralmente idéntico a Microsoft escribiendo el estándar contra el que se evalúa Microsoft Sovereign Cloud, o AWS publicando los criterios para la certificación European Sovereign Cloud. El mismo escepticismo debería aplicarse aquí que el que obviamente se aplicaría a aquellos.

Se ofrecen rutinariamente dos defensas, y cada una se queda corta.

La primera defensa: alguien tenía que hacerlo, y el mercado no esperaría a un organismo neutral. Esto es genuinamente cierto. El trabajo formal europeo de estándares avanza a escala temporal de CEN-CENELEC y ETSI — años a décadas. Un estándar viable liderado por un proveedor ahora es plausiblemente más útil que uno neutral lento en 2032. Pero «plausiblemente más útil» no es «neutral». La adopción del estándar debe discutirse en consecuencia.

La segunda defensa: la verificación de BDO mitiga el conflicto de intereses. Parcialmente. El lenguaje de la atestación de Rafiqpoor es específico — confirma la metodología, no las evaluaciones individuales de producto. Una metodología escrita por un proveedor que se audita bien sigue siendo una metodología escrita por un proveedor. El conflicto de intereses está en la selección de criterios, no en la corrección procedimental de la auditoría.

La pregunta cui-bono se simplifica. Schwarz Digits y StackIT se benefician si ES³ se convierte en la hoja de puntuación de soberanía por defecto, porque su oferta está diseñada contra criterios que ellos mismos escribieron. BDO se beneficia de ser la autoridad de verificación de lo que podría convertirse en un estándar europeo ampliamente citado. El ecosistema germanófono de nube soberana se beneficia en general si los criterios de sabor alemán se convierten en el estándar europeo de facto. Los proveedores franceses de nube soberana — Outscale, OVHcloud, Atos, Linagora — no han codiseñado los criterios; pierden marginalmente si ES³ se adopta ampliamente.

Lo que los criterios no abordan — y dónde no están visibles

Los más de 100 criterios cubren jurisdicción, operaciones, cadena de suministro y custodia de claves según el resumen público. Tres capas arquitectónicas están conspicuamente ausentes de toda la cobertura que hemos visto.

Los canales de actualización para los componentes open source subyacentes — la mayoría siguen fluyendo a través de alojamiento controlado por EE. UU., principalmente GitHub. La confianza criptográfica raíz — qué autoridades de certificación se sitúan en la cadena de verificación. Las garantías de continuidad bajo sanciones — qué ocurre si BDO, una firma global de servicios profesionales con exposición comercial en EE. UU., fuera ella misma sancionada por verificar la soberanía europea.

El nivel Future-Proof afirma abordar la continuidad geopolítica. Los criterios para ese nivel no se han enumerado públicamente. El comunicado de Schwarz Digits no enlaza con el catálogo. La cobertura de la prensa especializada describe el modelo pero no reproduce el texto de los criterios. Hasta que se publique el catálogo completo, el nivel más alto de ES³ es una aspiración con etiqueta en lugar de una propiedad verificada.

Este problema de visibilidad no es incidental. El escrutinio público es el mecanismo que separa un estándar de soberanía de un instrumento de marketing. Un estándar que vive detrás de resúmenes y casos de estudio es más difícil de escrutar que uno que publica su texto completo. ES³ se ha posicionado en un mercado sin haberse sometido todavía al tipo de inspección que la posición justifica.

Lo que este artículo no es

No es una afirmación de que ES³ sea malo. La contratación pública europea necesita urgentemente criterios, y un estándar liderado por un proveedor con infraestructura de auditoría es significativamente mejor que el estado actual.

No es una afirmación de que Schumann o Müller actuaran de mala fe. El conflicto de intereses es estructural, no motivacional.

No es una afirmación de que el estándar fracasará. ES³ puede convertirse en la referencia europea dominante; también puede ser superado por el sistema regulatorio de cuatro niveles de CADA. Ambos resultados son posibles.

Qué preguntar antes de adoptarlo

La pregunta para los compradores del sector público que consideran ES³ como criterio de contratación pública es corta y vale la pena decirla en voz alta: ¿adoptaría usted un modelo de madurez de soberanía escrito por Microsoft y verificado por KPMG, en los mismos términos?

Si la respuesta es no, el estándar correspondiente para ES³ requiere el mismo escrutinio crítico. El conflicto de intereses no desaparece porque el proveedor que escribe sea europeo en lugar de estadounidense. Se reduce — la exposición jurisdiccional cambia entre proveedores — pero el problema de selección de criterios es idéntico.

La próxima señal a observar es el propio catálogo de criterios. En el momento de escribir esto, el texto completo no es público. La nueva cláusula de la ley de contratación pública del Bundestag necesita criterios concretos para anclarse. Si ES³ se convierte en ese ancla antes de que se publique el catálogo, la contratación pública alemana habrá externalizado su definición de soberanía a una filial de Lidl. Eso no es necesariamente erróneo. Es estructuralmente idéntico a externalizar las definiciones de soberanía a Microsoft, solo que con el acento de una jurisdicción diferente.

Fuentes

Visión general del tema: Soberanía Digital en Europa Artículos relacionados: Lavado de soberanía explicado, La soberanía como ley de contratación