Syfte: Samla, definiera och kunna följa upp de fragmenteringsrisker som lyfts i samverkan.
Not: Inledningsvis utan värdering (ingen sannolikhet/konsekvens/risknivå).
Detta är ett sätt att få en mer strukturerad hantering av en delmängd som diskuterats och sammanfattats på Om Federationsområdesansvarig 2026-02-05 - RU Identitet & Behörighet - Confluence
| Risk-ID | Risknamn | Beskrivning | Orsaker | Konsekvens (om risken realiseras) | Indikatorer / triggers | Åtgärder |
|---|
1 |
| Fragmentering i behörighetsattribut | Olika sektorer/aktörer definierar behörighetsattribut på olika sätt (semantik, format, struktur), vilket gör att samma behov uttrycks med olika attribut. | Majoriteten av attribut |
kommer ägas ; | , otydlig styrning för hur nya attribut tas fram/harmoniseras |
; | , avsaknad av gemensamma spelregler för överlapp och återanvändning. | Ökad integrationsbörda |
; fler specialfall; risk för feltolkning i auktorisation; ökade kostnader och längre ledtider| utan harmonisering, särskilt för kommuner |
med många verksamhetsdomäner| som verkar inom flera olika domäner. | Flera parallella attribut för “samma sak” |
; | , ökande antal undantag per sektor. | Nationell katalogstruktur (infrastruktur, inte innehåll): Tillhandahålla teknisk infrastruktur för nationell attribut-/behörighetskatalog, gemensam struktur, standardiserade format och samlad publiceringsplats. |
'Tydlig uppdelning ägande: SIB/Digg står för struktur och publiceringsyta; sektorer/datakällor äger innehåll och värdemängder; Digg kan äga en mindre delmängd nationella behörighetsattribut. Feedbackloop: Etablera ordnad återföring från sektorsspecifika delar till det gemensamma för att fånga generiska mönster och minska överlapp. Samverkansarena: Använd forum för dialog/lärande/återkoppling som primär mekanism för harmonisering snarare än att centralisera innehåll. |
| 2 | Fragmentering i tillitskrav och efterlevnad | Tillitskrav uttrycks eller tillämpas olika (och/eller kontrolleras på olika sätt), vilket gör att liknande anslutningar får olika kravbilder. | Olika "riskaptit" och sektorsförutsättningar |
; | , otydlighet kring vad tillitsmärke innebär och vem som ansvarar för definition och uppföljning |
; rekommendationer | , ökad risk utan tydlig mekanism för harmonisering. | Fler varianter att uppfylla |
; | vilket medför ökad mängd bilaterala lösningar |
; | , sämre möjligheter att återanvända genomfört "anslutningsarbete |
; | ", ökade kostnader och trösklar för mindre aktörer. | Flera |
“basnivåer” som inte täcker brett; kravtexter | krav divergerar utan gemensam bas |
; | , ökande behov av kompletteringar utanför |
infrastrukturen| "det gemensamma". | Central kravkatalog: Digg tillhandahåller central kravkatalog för att öka harmonisering. |
Tydlig avgränsning kontrollansvarFärdiga "kravpaket" (Tillitsmärken): Digg |
ska avser inte bedriva operativ revision/tillsyn (av typen platsbesök, kontinuerlig krävande compliance-audit) men kan |
ange stå bakom rekommenderade tillitsmärken och kravnivåer |
. som utgör färdiga "kravpaket" som kan användas som utgångspunkt för aktörer - bedöms öka sannolikheten för harmonisering. |
| 3 | Fragmentering i teknisk interoperabilitet under övergång | Befintliga federationer och tekniker |
samexisterar med SIB:s tekniska grund. Utan tydlig övergång kan aktörer behöva bygga och drifta dubbla lösningar under lång | kommer behöva samexistera (SAML/Oauth2). Utan gemensam syn och tydlig plan för hur dessa lösningar ska förhålla sig till varandra under övergångsperiod riskerar teknisk förflyttning att kompliceras/ta tid. | Olika förändringstakt per sektor |
; många | /aktörer, små aktörer/leverantörer |
med låg omställningsförmåga| har sämre förutsättningar för snabb omställning; otydlighet om bryggor/proxy är strategi, undantag eller mål. | Fördröjt införande |
; ; ; | , risk att ekosystemet inte samlas och att nyttor uteblir. | Återkommande krav på parallell drift “tills vidare” |
; | , ad hoc-bryggor/proxy-lösningar; pilotfall som kräver legacy-stöd. |
|
| 4 | Fragmentering i juridisk tolkning och avtalsmönster | Olika juridiska tolkningar leder till olika krav på behörighetskontroll, spårbarhet och ansvar, vilket driver bilaterala lösningar och kompletterande avtal som splittrar tillämpningen. | Sektorslagstiftning och varierande "riskaptit |
; | ", avsaknad av tydlig gemensam juridisk baslinje |
; | , otydlighet i gränssnitt mellan vad infrastrukturen löser och vad parter måste lösa själva. | Ökad avtals- och processkomplexitet |
; ; ; | , risk att samverkan sker via sidospår snarare än via gemensamma mönster. | Återkommande krav på “extra avtal” |
; | , olika processkrav för likartade utbyten |
; | , ökande mängd specialvillkor per sektor eller aktör. | Basutbud + grundläggande avtal: Digg bär basutbudet inklusive regelverk för basnivån och grundläggande federationsavtal. Tydlig gränsdragning: Skilj på “släppas in” (basnivå) och “nå saker” (tillämpningskrav/profil) så att juridiska tillägg hamnar där de hör hemma och inte förvränger basen. Förvaltningsbarhet: Säkerställ att baskrav och juridiska minimikrav kan uppdateras över tid via versionering/giltighet och ordnad process. Samverkansarena som harmoniseringsmekanism: Använd arenor för dialog och återkoppling för att minska tolkningsglidning och förankra gemensamma minimimönster innan bilaterala sidolösningar etableras. Vägledningar för juridisk tillämpning. |