La **Comisión Europea** presentó esta semana un conjunto transformador de leyes y estrategias diseñadas para disminuir la dependencia de la **Unión Europea** (UE) de la tecnología extranjera, abordando dependencias tecnológicas de larga data que ahora se perciben como vulnerabilidades críticas de seguridad. **Henna Virkkunen**, líder de tecnología de la Comisión, describió las propuestas como "un cambio importante en la forma en que Europa aborda la soberanía tecnológica". El paquete incluye la **Chips Act 2.0** y una **Cloud and AI Development Act (CADA)**, junto con una **Estrategia de Código Abierto** y una hoja de ruta para la digitalización del sistema energético. Estas iniciativas tienen como objetivo "ayudar a ampliar la elección en tecnologías clave para las empresas, ciudadanos y administraciones públicas de la UE". **Virkkunen** enfatizó el vínculo inseparable entre la geopolítica y la tecnología, afirmando: "Es hora de que Europa tenga el control de sus datos, de sus cadenas de suministro y de su futuro de una manera limpia y sostenible". Según la Comisión, la UE depende actualmente de países extranjeros para más del 80% de sus productos, servicios, infraestructura y propiedad intelectual digital clave. Este giro estratégico tiene como objetivo aflojar el control de los principales proveedores estadounidenses y chinos, impulsado por la preocupación de que dicha dependencia pueda ser utilizada como arma. ## Seguridad de Código Abierto a la Vanguardia La **Estrategia de Código Abierto** es una piedra angular de las nuevas propuestas, y promete escalar las alternativas europeas de código abierto en áreas prioritarias, incluyendo explícitamente la ciberseguridad. Un componente clave es la financiación para el mantenimiento y la seguridad a largo plazo de la infraestructura crítica de código abierto de Europa. Esta financiación aborda la vulnerabilidad de los componentes con pocos recursos, destacada por incidentes como el **XZ Utils backdoor**. La estrategia tiene como objetivo aprovechar los más de 3 millones de contribuyentes europeos de código abierto y alentar a las administraciones públicas a adoptar herramientas de código abierto a través de nuevas directrices de adquisición. El proveedor de código abierto **SUSE** dio la bienvenida al enfoque, validando su argumento de que el software inspeccionable y mantenido abiertamente se adapta mejor a los objetivos de soberanía que las pilas propietarias, aunque advirtió que la implementación sería la verdadera prueba. **Alexandra Paulus**, del **Instituto Alemán de Asuntos Internacionales y de Seguridad**, ha argumentado previamente que fomentar alternativas europeas de ciberseguridad está intrínsecamente ligado a la promoción del código abierto. Esto convierte la financiación de la seguridad de código abierto de la estrategia en una plataforma de lanzamiento potencial, aunque no probada, para los proveedores europeos. ## Fortalecimiento de la Soberanía de Chips En cuanto a los semiconductores, la Comisión reconoce la gran dependencia de Europa de terceros países para la producción avanzada y el diseño de chips. Si bien la dependencia de **Taiwan Semiconductor Manufacturing Company (TSMC)** para la fabricación avanzada es casi universal, afectando tanto a Estados Unidos como a la UE, la estrategia omite notablemente mencionar a **ASML**, el fabricante holandés de litografía que tiene un cuasi monopolio en las máquinas esenciales para producir chips avanzados a nivel mundial. El diseño de chips presenta una debilidad más clara para Europa. Empresas estadounidenses como **Nvidia**, **AMD**, **Qualcomm**, **Apple** y **Broadcom** dominan el diseño lógico avanzado, y **Arm** del Reino Unido controla la licencia de IP de procesadores en todo el mundo. La **Chips Act 2.0** introduce herramientas concretas para abordar la brecha de fabricación. Obliga a los gobiernos nacionales a completar la planificación, las aprobaciones ambientales y regulatorias para nuevas plantas de fabricación en un plazo de 12 meses. También extiende la ayuda estatal para instalaciones "únicas en su tipo" que aún no existen en la UE. La **Chips Act** original de 2023 movilizó más de 52.000 millones de euros (60.300 millones de dólares) en inversiones públicas y privadas, pero no alcanzó su objetivo del 20% de la producción mundial de semiconductores para 2030, en gran parte porque la capacidad global creció más rápido que la participación de Europa. Las inversiones recientes aún no han dado resultados. La planta de fabricación avanzada planificada por **Intel** en Magdeburgo, Alemania, fue cancelada en febrero. Otra empresa conjunta con **TSMC** en Dresde tiene como objetivo la producción a finales de 2027, aunque se centrará en chips maduros de 28 nm y 16 nm, no en los chips avanzados de IA centrales para las ambiciones del paquete. Para el diseño, la Comisión planea una estrategia de "tirón de la demanda", utilizando pedidos de centros de datos financiados por la UE y gigafábricas de IA para atraer diseñadores de chips a Europa. Anticipa que los componentes relacionados con la IA constituirán más del 70% del mercado de semiconductores para 2030. **Erik Rein**, presidente de la **Asociación Europea de la Industria de Semiconductores**, comentó: "Europa no puede regularse para convertirse en líder en semiconductores". La Comisión espera lanzar una convocatoria para gigafábricas de IA en julio y consultará con los estados miembros y el **Grupo del Banco Europeo de Inversiones** para construir una "capacidad de capital europea a escala" para financiar sus objetivos. ## Soberanía en la Nube y la IA: Una Frontera Disputada El elemento más debatido del paquete es la prueba de soberanía en la nube de **CADA**. Este marco define cuatro niveles de garantía para los organismos públicos, que van desde el Nivel 1, que requiere el procesamiento y almacenamiento de datos dentro de la UE, hasta el Nivel 4, que exige un control total de la cadena de suministro sin interferencia de terceros países. Las reacciones de la industria han estado fuertemente divididas. **CCIA Europe**, que representa a las grandes empresas tecnológicas estadounidenses, criticó a **CADA** por ser discriminatorio y una "receta peligrosa para el cierre progresivo del mercado", argumentando que los requisitos de Nivel 3 y Nivel 4 son condiciones de mercado cerrado que ningún proveedor internacional podría cumplir. Por el contrario, los proveedores de nube europeos en su mayoría acogieron con satisfacción la dirección, pero advirtieron sobre posibles lagunas. El organismo comercial **CISPE** lo aclamó como "un paso adelante para la autonomía estratégica de Europa", pero señaló su fracaso en obligar a los compradores públicos a verificar las alternativas europeas antes de contratar proveedores extranjeros. **CISPE** había advertido previamente contra el "soberanía-lavado", donde la mera presencia en la UE o el cumplimiento de la ciberseguridad se tergiversan como un control europeo genuino. Mientras tanto, el **Centre for European Policy Network** advirtió que la soberanía perseguida a través de preferencias de adquisición a menudo "produce industrias protegidas, no competitivas", instando a los legisladores a reservar requisitos estrictos para sistemas genuinamente sensibles. Las propuestas surgen en medio de un debate más amplio sobre si la soberanía ofrece inherentemente seguridad. El analista **Josh Gold**, en un ensayo galardonado, argumentó que la resiliencia cibernética europea depende más del diseño que del control. Abogó por una soberanía "delgada y específica" combinada con "autonomía gruesa", priorizando la transparencia, la portabilidad y la recuperabilidad sobre la propiedad de la UE y los requisitos de ubicación. **Gold** citó la problemática iniciativa de nube **Gaia-X**, que un participante describió como "un fracaso aplastante, una pérdida colosal de tiempo y, en cambio, tantos años ganados para los hiperscaladores; en otras palabras, un desastre industrial", como una advertencia contra la duplicación de infraestructura a gran escala. Según el estándar de **Gold**, el paquete es más fuerte donde financia la resiliencia, como la preparación para crisis de semiconductores, el mantenimiento de código abierto y la interoperabilidad, y más expuesto donde se basa en la propiedad de la UE y la ubicación. Su beneficio de seguridad final dependerá de cómo los estados miembros apliquen los diversos niveles. Todas las propuestas requieren la aprobación del **Parlamento Europeo** y el **Consejo Europeo**, donde los criterios de soberanía, las obligaciones de adquisición y la financiación estarán sujetos a negociación política.