Syfte: Samla, definiera och kunna följa upp de fragmenteringsrisker som lyfts i samverkan.
Not: Inledningsvis utan värdering (ingen sannolikhet/konsekvens/risknivå).
Detta är ett sätt att få en mer strukturerad hantering av en delmängd som diskuterats och sammanfattats på Om Federationsområdesansvarig 2026-02-05 - RU Identitet & Behörighet - Confluence
| Risk-ID | Risknamn | Beskrivning | Orsaker | Konsekvens (om risken realiseras) | Indikatorer / triggers | Åtgärder |
|---|---|---|---|---|---|---|
| Fragmentering i behörighetsattribut | Olika sektorer/aktörer definierar behörighetsattribut på olika sätt (semantik, format, struktur), vilket gör att samma behov uttrycks med olika attribut. | Majoriteten av attribut ägs inte centralt, otydlig styrning för hur nya attribut tas fram/harmoniseras, avsaknad av gemensamma spelregler för överlapp och återanvändning. | Ökad integrationsbörda utan harmonisering, särskilt för kommuner som verkar inom flera olika domäner. | Flera parallella attribut för “samma sak”, ökande antal undantag per sektor. | Nationell katalogstruktur (infrastruktur, inte innehåll): Tillhandahålla teknisk infrastruktur för nationell attribut-/behörighetskatalog, gemensam struktur, standardiserade format och samlad publiceringsplats. Tydlig uppdelning ägande: SIB/Digg står för struktur och publiceringsyta; sektorer/datakällor äger innehåll och värdemängder; Digg kan äga en mindre delmängd nationella behörighetsattribut. Feedbackloop: Etablera ordnad återföring från sektorsspecifika delar till det gemensamma för att fånga generiska mönster och minska överlapp. Samverkansarena: Använd forum för dialog/lärande/återkoppling som primär mekanism för harmonisering snarare än att centralisera innehåll. | |
| 2 | Fragmentering i tillitskrav och efterlevnad | Tillitskrav uttrycks eller tillämpas olika (och/eller kontrolleras på olika sätt), vilket gör att liknande anslutningar får olika kravbilder. | Olika "riskaptit" och sektorsförutsättningar, otydlighet kring vad tillitsmärke innebär och vem som ansvarar för definition och uppföljning, ökad risk utan tydlig mekanism för harmonisering. | Fler varianter att uppfylla vilket medför ökad mängd bilaterala lösningar, sämre möjligheter att återanvända genomfört "anslutningsarbete", ökade kostnader och trösklar för mindre aktörer. | Flera krav divergerar utan gemensam bas, ökande behov av kompletteringar utanför "det gemensamma". | Central kravkatalog: Digg tillhandahåller central kravkatalog för att öka harmonisering. Färdiga "kravpaket" (Tillitsmärken): Digg avser inte bedriva operativ revision/tillsyn (av typen platsbesök, kontinuerlig krävande compliance-audit) men kan stå bakom rekommenderade tillitsmärken och kravnivåer som utgör färdiga "kravpaket" som kan användas som utgångspunkt för aktörer - bedöms öka sannolikheten för harmonisering. |
| 3 | Fragmentering i teknisk interoperabilitet under övergång | Befintliga federationer och tekniker kommer behöva samexistera (SAML/Oauth2). Utan gemensam syn och tydlig plan för hur dessa lösningar ska förhålla sig till varandra under övergångsperiod riskerar teknisk förflyttning att kompliceras/ta tid. | Olika förändringstakt per sektor/aktörer, små aktörer/leverantörer har sämre förutsättningar för snabb omställning; otydlighet om bryggor/proxy är strategi, undantag eller mål. | Fördröjt införande, ökad teknisk skuld, ökade kostnader, risk att ekosystemet inte samlas och att nyttor uteblir. | Återkommande krav på parallell drift “tills vidare”, ad hoc-bryggor/proxy-lösningar; pilotfall som kräver legacy-stöd. | |
| 4 | Fragmentering i juridisk tolkning och avtalsmönster | Olika juridiska tolkningar leder till olika krav på behörighetskontroll, spårbarhet och ansvar, vilket driver bilaterala lösningar och kompletterande avtal som splittrar tillämpningen. | Sektorslagstiftning och varierande "riskaptit", avsaknad av tydlig gemensam juridisk baslinje, otydlighet i gränssnitt mellan vad infrastrukturen löser och vad parter måste lösa själva. | Ökad avtals- och processkomplexitet, minskad skalbarhet, ökade kostnader, risk att samverkan sker via sidospår snarare än via gemensamma mönster. | Återkommande krav på “extra avtal”, olika processkrav för likartade utbyten, ökande mängd specialvillkor per sektor eller aktör. | Basutbud + grundläggande avtal: Digg bär basutbudet inklusive regelverk för basnivån och grundläggande federationsavtal. Tydlig gränsdragning: Skilj på “släppas in” (basnivå) och “nå saker” (tillämpningskrav/profil) så att juridiska tillägg hamnar där de hör hemma och inte förvränger basen. Förvaltningsbarhet: Säkerställ att baskrav och juridiska minimikrav kan uppdateras över tid via versionering/giltighet och ordnad process. Samverkansarena som harmoniseringsmekanism: Använd arenor för dialog och återkoppling för att minska tolkningsglidning och förankra gemensamma minimimönster innan bilaterala sidolösningar etableras. Vägledningar för juridisk tillämpning. |