...
Det finns en tydlig avgränsning i ansvar för kontroller. DIGG genomför inte efterlevnadskontroller( det gör vi i vissa fall redan idag så detta är inte helt sant)har inte för avsikt att bedriva operativ revision/tillsyn (platsbesök, verksamhetsgranskning, kontinuerlig compliance-audit) av anslutna aktörer, bland annat på grund av det i bedöms i praktiken kräva förutsättningar som kommer vara svåra/omöjliga att realisera - ekonomiskt, kompetensmässigt och juridiskt.
Däremot är Digg positivaatt tillhandahålla en central kravkatalog och ge uttryck för rekommenderade "tillitsmärken" i syfte att öka sannolikheten till en hög grad av harmonisering svårigheter och koppling till myndighetsutövande. Däremot är det acceptabelt att tillhandahålla en kravkatalog. En central fråga för fortsatt arbete är därför att definiera vilka krav som ska efterlevas inom basutbudet, vilka kontroller som behövs, vem som ska utföra dem och hur långt de ska gå, utan att hamna i orimliga eller felaktigt mandatdrivna kontrollformer. Det uttrycktes även en syn att säkerhet inte enbart uppnås genom kontroller, utan också genom lärande, kultur och förmågehöjning hos anslutna parter, vilket bör ses som en del av den samlade säkerhetsstrategin.
...
En tydlig princip är uppdelningen mellan infrastruktur och innehåll. SIB ansvarar för att tillhandahålla teknisk infrastruktur för en nationell attribut-/behörighetskatalog, gemensam struktur och standardiserade format samt en samlad publiceringsplats där aktörer kan hitta definitioner och profiler. Däremot ska SIB inte fylla katalogen med innehåll eller definiera värdemängder; detta ägs av respektive datakälla/sektor. DIGG tar inte ansvar för attributdefinitioner, men kan tillhandahålla katalog/struktur för definitionerna. Såklart kan det finnas en delmängd som är nationella behörighetsattribut och dessa bör Digg ta ansvar för.
Kopplat till detta diskuterades behovet av en feedbackloop: sektorsspecifika delar ska kunna utvecklas där de hör hemma, men generiska delar och gemensamma mönster ska kunna återföras till det gemensamma på ett ordnat sätt. Detta är en nyckel för att undvika fragmentering utan att centralisera sektorsinnehåll. Det här är strukturer vi bygger på lång sikt, behovet blir större i takt med att vi får en högre anslutningsgrad.
EHDS/NDI och gap: vad som saknas och var det ska lösas
...