Juni 2025

Radarbilden USA beskriver de mest relevanta, USA-relaterade händelser, utspel och initiativ som kan påverka svenska myndigheters digitaliserings-arbete och kan utgöra underlag för myndigheters egna analyser och riskbedömningar.

Under våren 2025 har den amerikanska administrationen snabbt ändrat kurs i frågor som
teknikreglering, cybersäkerhet och handel. Landet kritiserar EU:s lagar som Digital Markets Act och AI-förordningen och hotar med handelstullar. Samtidigt drar USA ned på internationellt cybersäkerhets-samarbete och ökar den politiska styrningen. Ett nytt organ - DOGE - centraliserar kontrollen över federala it-system och inkluderingsprogram förbjuds.

Det är svårt att bedöma vilka konsekvenser den amerikanska politiken kan få för svenska myndigheters digitaliseringsarbete. Ökad osäkerhet kan medföra kostnader i form av fördyrade varor och tjänster samt utebliven effektivisering – men kan också skapa incitament för nya samarbeten och innovation inom EU.

Det finns inga enkla svar på hur svenska myndigheter bör agera för att möta utvecklingen i USA – utan varje myndighet behöver göra sin egen analys utifrån den egna verksamheten. En reflektion är dock att händelseutvecklingen i USA aktualiserar värdet av att svenska myndigheter analyserar sina beroenden, diversifierar sin datahantering och stärker sin digitala beredskap.

Läs Radarbilden USA Pdf, 432.7 kB.

Enskilda ska kunna ta del av myndigheters allmänna handlingar. Inom AI-utveckling genereras nya informationsmängder som exempelvis källkod och träningsdata som kan bli allmän handling. Därför behöver myndigheter ha en god ordning på sin informationshantering.

Att ha god ordning i hanteringen av myndigheternas information är viktigt för att enskilda ska ha möjlighet att ta del av allmänna handlingar. Det finns ett behov av att tolka befintliga bestämmelser om allmänna handlingar utifrån den snabba digitala utvecklingen. Detta gäller bland annat vid utveckling av artificiell intelligens (AI) där det uppstår nya informationsmängder, exempelvis källkod och tränings- och valideringsdata.

En arbetsgrupp inom eSam har tagit fram en rapport och i denna anges bland annat följande slutsatser:

• Informationsmängder från extern part kommer som huvudregel att utgöra allmänna handlingar, t.ex. insamlade datamängder eller en inköpt algoritm.
• Används kopior av allmänna handlingar kommer dessa kopior också att utgöra allmänna handlingar.
• Många gånger kommer handlingar att bli allmänna handlingar genom att de når ett slutligt skick eller omhändertas för arkivering i samband med produktionssättning av en den utvecklade AI-modellen.
• I vissa fall kan det argumenteras för att dataset samt hjälpkoder utgör ett osjälvständigt led i en bearbetning och kan betraktas mellanprodukter. Om myndigheten omhändertar dessa för arkivering blir de dock allmänna handlingar.
• Under pågående utvecklingsprocess (främst förberedelse- och träningstegen) kommer det ofta vara fråga om att framställa nya handlingar och merparten av dessa kommer inte utgöra allmänna handlingar.
• Det finns ett behov av att vissa gallringsföreskrifter ses över, för att tydliggöra när gallring av allmänna handlingar inom AI-utveckling kan ske.

Erik Petersson som är arkivarie på Skatteverket och har deltgit i arbetsgruppen, ser en stor nytta med rapporten:

- Den blir en stabil grund för alla myndigheter som ställs inför frågor om handlingsoffentlighet i samband med utveckling av AI och it-utveckling i stort. Det har varit en förmån att få vara med i en så kompetent arbetsgrupp och verkligen få tillfälle att djupdyka i ämnet, med många intressanta diskussioner. Eftersom rapportens analys av regelverk och praxis är så gedigen, skulle jag säga att den inte endast har relevans för AI-utveckling. Tvärtom är jag säker på att rapporten kan vara värdefull även i andra sammanhang där myndigheter ska göra bedömningar som rör allmänna handlingar.

Läs rapporten om Allmänna handlingar i AI-utveckling Pdf, 468.1 kB.

Nu väntar alla berörda på införandet av EU-direktiven NIS2 och CER som en uppdaterad svensk lagstiftning med tillhörande föreskrifter. Sannolikt får detta stor påverkan för vissa sektorers interna säkerhets-arbete, däribland offentlig sektor.

Förändringen har planerats och beslutats från EU-nivå sedan några år, men det har tagit lång tid att införliva kraven i svensk lagstiftning. Skälet till att EU vill införa de nya direktiven är dels för att nå en högre lägsta gemensam cybersäkerhetsnivå i hela unionen, dels för att en låg informationssäkerhets-mognad, ger höga samhällskostnader. År 2020 räknade EU med att cyberbrott kostade motsvarande ca 595 000 miljarder SEK. Brott som ökar med mellan 50-60 % varje efterföljande år. Hela EU ser dessutom förekomster av hybridkrigföring - ofta it-attacker mot samhällssystem - som syftar till att ge en bild av ett instabilt samhälle. En mätning från MSB i början av 2025, visar att 6 av 10 offentliga verksamheter inte klarar dagens minimikrav.

I oktober 2024 började NIS2 och CER gälla inom EU. Flera länder däribland Sverige, har fram till idag inte hunnit införa direktiven som egen lag men den 15 januari 2026, ska Lag om cybersäkerhet (NIS2) införas i Sverige enligt regeringsbeslut. Lagstiftningsprocessen inför ikraftträdandet har startat.

Enligt både MSB och eSams arbetsgrupp för NIS2/CER, rekommenderas myndigheter att påbörja omställningsarbetet redan nu då flera krav redan gäller sedan tidigare. Arbetgruppen inom eSam har sammanställt ett stödmaterial för beslutsfattare och strateger, i form av en första rapport om hur ledningen kan tänka och agera:

Ledningens förberedelser inför ny säkerhetslagstiftning 2025 Pdf, 1.8 MB..

Nästa steg i arbetet, blir en djupare samverkan när lag och föreskrifter är mer tydliga, t.ex. att gemensamt analysera lagrådsremissen. Förhoppningsvis kan gruppen hitta gemensamma tolkningar och komma fram till förslag på lösningar som alla eSams medlemmar kan nyttja

Administrativ kapacitet kan vara avgörande för en aktör som vill lansera ett AI-system. Den tredje iterationen i piloten, har analyserat ett tilltänkt system utifrån bestämmelserna för system med hög risk.

Ett AI-system med hög risk innebär ett stort antal tillkommande dokumentationskrav som kommer att kräva stora resurser av en aktör för att uppfylla. Det är en av lärdomarna i den tredje iterationen av AI-regulatorisk sandlåda. Möjligheten för en aktör att uppfylla kraven kommer antagligen att bero på administrativ kapacitet snarare än att kraven i sig är svåra att tolka.

Vad innebär det för en leverantör respektive en användare om det är ett AI-system med hög risk? Hur länge ska en sandlåda pågå och kommer det finnas någon teknisk infrastruktur för dessa sandlådor? Detta är exempel på några frågor som diskuterats i pilotens tredje iterationen. Arbetsgruppen har analyserat ett tilltänkt system utifrån bestämmelserna för system med hög risk. Arbetsgruppen har också haft anledning att fundera över sandlådornas innehåll och omfattning samt förutsättningar för en eventuell teknisk infrastruktur.

Per Nydén, jurist på Integritetsskyddsmyndigheten, beskriver arbetet:

- Att delta i projektet har varit väldigt lärorikt. När man verkligen går in på djupet i den juridiska analysen dyker det ofta upp nya frågor som man inte tidigare reflekterat över. Att få diskutera dessa frågor tillsammans med andra kunniga och engagerade deltagare har varit en stor förmån.

Anders Järkendal, SAFe – Release Train Engineer och Epic Owner på Skatteverket, fyller i:

- Arbetet med att tolka AI-förordningen visade verkligen kraften i samverkan mellan myndigheter. Med olika perspektiv och en gemensam vilja att göra verklig skillnad skapade vi något som inte bara hjälpte oss själva – utan också andra. Genom att utgå från våra kommande AI-tjänster för brottsutredande verksamhet har vi samlat insikter och erfarenheter som nu kan underlätta andras tolkning av AI-förordningen. Och inte minst – samarbetet stärkte också vår egen förståelse och kompetens, både som individer och organisationer. Det vi byggde tillsammans är inte bara ett resultat – det är en grund att stå på, och en inbjudan till andra att fortsätta utvecklingen med samma öppenhet, nyfikenhet och ansvar.

Lärdomar

• Bedömningen om vad som är ramen för systemet är komplex och utmanande, särskilt när systemet består av olika AI-stödtjänster som i sig kan utgöra AI-system.
• En aktör kan inneha flera roller enligt AI-förordningen, t.ex. vara både leverantör och tillhandahållare.
• Ett AI-system med hög risk innebär ett stort antal tillkommande dokumentationskrav, som kommer vara administrativt tunga att uppfylla. En insikt är att möjligheten för en aktör att uppfylla kraven många gånger kommer att bero på administrativ kapacitet snarare än att kraven i sig är svåra att tolka.
• Det är inte klart hur omfattningen för sandlådan är tänkt att vara. Om sandlådan ska bedöma hela systemet kan det bli ett omfattande projekt som pågår under lång tid, vilket kan göra det mindre attraktivt att delta i sandlådan. Å andra sidan finns en förväntansbild att ett deltagande i en sandlåda ger ett bevis på att systemet uppfyller reglerna. Är det inte tydligt att endast vissa delar kommer ingå i sandlådan kan det leda till ett missnöje hos leverantörerna.
• AI-förordningens bestämmelser ger möjlighet att tillhandahålla tekniskt stöd i sandlådan, men det finns inte några rättsliga krav på behörig myndighet att tillhandahålla en teknisk infrastruktur eller tekniskt stöd i sandlådan. En dialogbaserad sandlåda kommer att ha ett stort värde, kan den dessutom kombineras med tekniskt stöd, beräkningskraft och även andra stöd kommer värdet att bli mycket större för leverantörer och för Sverige som helhet.
• Arbetsmetoden i piloten ger stöd för att inte fastna i kniviga frågor, vilket annars lätt sker inom myndigheter i outforskade områden. Arbetssättet har också lett till en generell kompetenshöjning hos deltagarna, vilket är en vinst som sträcker sig utanför sandlådans kärnuppdrag.

Tredje iterationen läser du om här Pdf, 831.2 kB.

Fakta:

Piloten drivs inom ramen för eSam för att öka kunskapen om AI-förordningen och AI-regulatoriska sandlådor - ett begrepp för att t.ex. ge leverantörer möjlighet att utveckla, träna och testa AI-system i en kontrollerad miljö innan de tas i bruk. Målet med sandlådor är att främja AI-innovation och öka rättssäkerheten.

Piloten drivs som ett initiativ mellan Bolagsverket, Skatteverket, Riksarkivet och Arbetsförmedlingen, i samarbete med Integritetsskyddsmyndigheten. Förhoppningen är att piloten ska öka kunskapen om hur AI-regulatoriska sandlådor bör inrättas och fungera i Sverige och vilka förutsättningar som krävs för att aktörer ska kunna nyttja dem.