...
Det finns en tydlig avgränsning i ansvar för kontroller. DIGG genomför inte efterlevnadskontroller( det gör vi i vissa fall redan idag så detta är inte helt sant)har inte för avsikt att bedriva operativ revision/tillsyn (platsbesök, verksamhetsgranskning, kontinuerlig compliance-audit) av anslutna aktörer, bland annat på grund av det i bedöms i praktiken kräva förutsättningar som kommer vara svåra/omöjliga att realisera - ekonomiskt, kompetensmässigt och juridiskt.
Däremot är Digg positivaatt tillhandahålla en central kravkatalog och ge uttryck för rekommenderade "tillitsmärken" i syfte att öka sannolikheten till en hög grad av harmonisering svårigheter och koppling till myndighetsutövande. Däremot är det acceptabelt att tillhandahålla en kravkatalog. En central fråga för fortsatt arbete är därför att definiera vilka krav som ska efterlevas inom basutbudet, vilka kontroller som behövs, vem som ska utföra dem och hur långt de ska gå, utan att hamna i orimliga eller felaktigt mandatdrivna kontrollformer. Det uttrycktes även en syn att säkerhet inte enbart uppnås genom kontroller, utan också genom lärande, kultur och förmågehöjning hos anslutna parter, vilket bör ses som en del av den samlade säkerhetsstrategin.
Anslutningsoperatör – ansvar, etablering och likformighet i anslutningen
En central del i resonemanget är anslutningsperspektivet och frågan om vem som bär ansvaret för att det finns anslutningsoperatörer som anslutande parter kan använda. Frågan kopplas direkt till FOA-idén: om en FOA eller annan funktion behövs handlar det i praktiken om att någon behöver ta ansvar för att det finns en fungerande anslutningskapacitet, så att alla kan ansluta på ett bra sätt när antalet aktörer är stort, exempelvis vårdgivare.
Samtidigt är inriktningen att etablering av anslutningsoperatörer inte passar i en sektorsindelad logik. Anslutningsoperatörer behöver fungera tvärgående och det fungerar inte att lägga etableringsansvaret på en “mellannivå”. Det finns aktörer som räcker upp handen för en sådan roll, där Internetstiftelsen och Inera nämns, men ansvarsfördelningen och etableringsmodellen behöver fortfarande tydliggöras.
Frågan kopplas också till likformighet i basnivån. Om det finns en gemensam basnivå (“golvet”) innebär det att samtliga anslutningsoperatörer kontrollerar basnivån med samma kvalitet. I detta hänger anslutningsoperatörens arbete ihop med de gemensamma artefakterna: DIGG ansvarar för regelverk/reglering av basnivån och grundläggande federationsavtal, och anslutningsprocessen knyts till att vissa delar kan kontrolleras via anslutningsoperatör utifrån det gemensamma regelverket.
Sammanfattningsvis är anslutningsoperatörernas etablering och ansvar en tydlig kärnfråga som fortfarande kräver klargörande, särskilt vad gäller vem som ansvarar för etableringen, hur rollfördelningen ser ut och hur likformig kontroll av basnivå säkerställs.
Attribut och kataloger: gemensam struktur, sektorsägt innehåll
En tydlig princip är uppdelningen mellan infrastruktur och innehåll. SIB ansvarar för att tillhandahålla teknisk infrastruktur för en nationell attribut-/behörighetskatalog, gemensam struktur och standardiserade format samt en samlad publiceringsplats där aktörer kan hitta definitioner och profiler. Däremot ska SIB inte fylla katalogen med innehåll eller definiera värdemängder; detta ägs av respektive datakälla/sektor. DIGG tar inte ansvar för attributdefinitioner, men kan tillhandahålla katalog/struktur för definitionerna. Såklart kan det finnas en delmängd som är nationella behörighetsattribut och dessa bör Digg ta ansvar för.
Kopplat till detta diskuterades behovet av en feedbackloop: sektorsspecifika delar ska kunna utvecklas där de hör hemma, men generiska delar och gemensamma mönster ska kunna återföras till det gemensamma på ett ordnat sätt. Detta är en nyckel för att undvika fragmentering utan att centralisera sektorsinnehåll. Det här är strukturer vi bygger på lång sikt, behovet blir större i takt med att vi får en högre anslutningsgrad.
EHDS/NDI och gap: vad som saknas och var det ska lösas
...
Det kvarstår behov av fördjupning kring ägandeskap och mandat för tillit, krav och efterlevnad samt hur relaterade artefakter ska förvaltas. Basutbudets exakta definition och avgränsning behöver fastställas, inklusive hur baskrav kan förändras över tid och hur versionering/giltighet ska hanteras. Det behöver också tydliggöras vilka krav som ska efterlevas och vilka kontroller operatörer ska utföra, med särskild vikt vid att undvika orimliga kontrollformer och mandatproblem. Därutöver behöver jämförelsen mellan vad infrastrukturen erbjuder och vad EHDS/NDI kräver konkretiseras genom gap-analysen.
En särskild öppen fråga gäller anslutningsperspektivet och anslutningsoperatörernas etablering och ansvar. Det behöver klargöras vem som ansvarar för att det finns anslutningsoperatörer som kan nyttjas av anslutande parter, hur etableringsmodellen ser ut och hur anslutningsoperatörer fungerar tvärgående utan att bli sektorsindelade. I detta ingår att tydliggöra rollfördelning och ansvarskedja, samt hur det säkerställs att samtliga anslutningsoperatörer kontrollerar basnivån med samma kvalitet utifrån gemensamma regelverk och avtal. Aktörer som Internetstiftelsen och Inera nämns som intresserade, men ansvarsfördelning och modell behöver fastställas.
Slutligen finns ett särskilt utredningsbehov kring egenskapsintyg och ägarskap: vem är utgivare, vem garanterar riktighet och hur livscykeln hanteras i en federativ miljö.
...