Syfte: Samla, definiera och kunna följa upp de fragmenteringsrisker som lyfts i samverkan.
Not: Inledningsvis utan värdering (ingen sannolikhet/konsekvens/risknivå).
Detta är ett sätt att få en mer strukturerad hantering av en delmängd som diskuterats och sammanfattats på Om Federationsområdesansvarig 2026-02-05 - RU Identitet & Behörighet - Confluence
| Risk-ID | Risknamn | Beskrivning | Orsaker | Konsekvens (om risken realiseras) | Indikatorer / triggers | Åtgärder |
|---|---|---|---|---|---|---|
| 1 | Fragmentering i behörighetsattribut | Olika sektorer/aktörer definierar behörighetsattribut på olika sätt (semantik, format, struktur), vilket gör att samma behov uttrycks med olika attribut. | Majoriteten av attribut ägs inte centralt; otydlig styrning för hur nya attribut tas fram/harmoniseras; avsaknad av gemensamma spelregler för överlapp och återanvändning. | Ökad integrationsbörda fler specialfall; risk för feltolkning i auktorisation; ökade kostnader och längre ledtider, särskilt för kommuner med många verksamhetsdomäner. | Flera parallella attribut för “samma sak”; ökande antal undantag per sektor. | Nationell katalogstruktur (infrastruktur, inte innehåll): Tillhandahålla teknisk infrastruktur för nationell attribut-/behörighetskatalog, gemensam struktur, standardiserade format och samlad publiceringsplats. ' Tydlig uppdelning ägande: SIB/Digg står för struktur och publiceringsyta; sektorer/datakällor äger innehåll och värdemängder; Digg kan äga en mindre delmängd nationella behörighetsattribut. Feedbackloop: Etablera ordnad återföring från sektorsspecifika delar till det gemensamma för att fånga generiska mönster och minska överlapp. Samverkansarena: Använd forum för dialog/lärande/återkoppling som primär mekanism för harmonisering snarare än att centralisera innehåll. |
| 2 | Fragmentering i tillitskrav och efterlevnad | Tillitskrav uttrycks eller tillämpas olika (och/eller kontrolleras på olika sätt), vilket gör att liknande anslutningar får olika kravbilder. | Olika riskaptit och sektorsförutsättningar; otydlighet kring vad tillitsmärke innebär och vem som ansvarar för definition och uppföljning; rekommendationer utan tydlig mekanism för harmonisering. | Fler varianter att uppfylla; ökad mängd bilaterala lösningar; sämre möjligheter att återanvända anslutningsarbete; ökade kostnader och trösklar för mindre aktörer. | Flera “basnivåer” som inte täcker brett; kravtexter divergerar utan gemensam bas; ökande behov av kompletteringar utanför infrastrukturen. | Central kravkatalog: Digg tillhandahåller central kravkatalog för att öka harmonisering. Tydlig avgränsning kontrollansvar: Digg ska inte bedriva operativ revision/tillsyn (platsbesök, kontinuerlig compliance-audit) men kan ange rekommenderade tillitsmärken och kravnivåer. |
| 3 | Fragmentering i teknisk interoperabilitet under övergång | Befintliga federationer och tekniker samexisterar med SIB:s tekniska grund. Utan tydlig övergång kan aktörer behöva bygga och drifta dubbla lösningar under lång tid. | Olika förändringstakt per sektor; många små aktörer/leverantörer med låg omställningsförmåga; otydlighet om bryggor/proxy är strategi, undantag eller mål. | Fördröjt införande; ökad teknisk skuld; ökade kostnader; risk att ekosystemet inte samlas och att nyttor uteblir. | Återkommande krav på parallell drift “tills vidare”; ad hoc-bryggor/proxy-lösningar; pilotfall som kräver legacy-stöd. | |
| 4 | Fragmentering i juridisk tolkning och avtalsmönster | Olika juridiska tolkningar leder till olika krav på behörighetskontroll, spårbarhet och ansvar, vilket driver bilaterala lösningar och kompletterande avtal som splittrar tillämpningen. | Sektorslagstiftning och varierande riskaptit; avsaknad av tydlig gemensam juridisk baslinje; otydlighet i gränssnitt mellan vad infrastrukturen löser och vad parter måste lösa själva. | Ökad avtals- och processkomplexitet; minskad skalbarhet; ökade kostnader; risk att samverkan sker via sidospår snarare än via gemensamma mönster. | Återkommande krav på “extra avtal”; olika processkrav för likartade utbyten; ökande mängd specialvillkor per sektor eller aktör. | Basutbud + grundläggande avtal: Digg bär basutbudet inklusive regelverk för basnivån och grundläggande federationsavtal. Tydlig gränsdragning: Skilj på “släppas in” (basnivå) och “nå saker” (tillämpningskrav/profil) så att juridiska tillägg hamnar där de hör hemma och inte förvränger basen. Förvaltningsbarhet: Säkerställ att baskrav och juridiska minimikrav kan uppdateras över tid via versionering/giltighet och ordnad process. Samverkansarena som harmoniseringsmekanism: Använd arenor för dialog och återkoppling för att minska tolkningsglidning och förankra gemensamma minimimönster innan bilaterala sidolösningar etableras. |