Nyhetsbrev från eSam
Oktober 2024
Det digitala decenniet - nya regelverk att förhålla sig till
Visste du att EU-kommissionen har utnämnt åren fram till 2030 som EU:s digitala decennium? Som ett led i att nå de mål som man ställt upp för detta, ser vi nu en våg av nya och kommande regelverk som medlemsländerna ska införa. Du har säkert hört om flera av regelverken, eller förkortningarna av dem; NIS2, CER, AI-förordningen, Data Governance Act och eIDAS, för att nämna några exempel. Det är minst sagt en utmaning att hålla sig uppdaterad och förstå hur de påverkar organisationens – eller mina egna – förutsättningar men misströsta inte, det finns en hjälpande hand!
Sedan ett par år ger eSam ut det vi kallar Radarbilden som visar de kommande initiativen som påverkar just digitaliseringsarbetet. Som komplement till det ger eSams medlemmar också ut en rapport som beskriver hur en myndighet kan arbeta proaktivt utifrån alla förändringar som nu kommer – Roadmap för datahantering. Den utgår från de stora trenderna som påverkar oss och pekar på vad vi kan göra för att vara bättre rustade inför de förändringar som kommer. Läs mer om detta i nyhetsbrevet nedan.
Ny iteration i piloten för AI-regulatoriska sandlådan
AI-regulatoriska sandlådor ger leverantörer möjlighet att utveckla, träna och testa AI-system i en kontrollerad miljö innan de tas i bruk. I den här iteration tittar arbetsgruppen på ett tilltänkt AI-system som Ekonomistyrningsverket utvecklar för remissammanställningar.
Nu är arbetet med nästa iteration i piloten för en AI-regulatorisk sandlåda, i full gång. I iterationen tittar arbetsgruppen bland annat på bestämmelserna om AI-modeller för allmänna ändamål och krav på AI-system som innehåller sådana modeller.
Pierre Mesure på Ekonomistyrningsverket berättar:
- Under de senaste åren har Ekonomistyrningsverket tagit betydande steg framåt i användningen av AI. I takt med att teknologin integreras i fler delar av vår verksamhet blir det allt viktigare att säkerställa att våra AI-lösningar möter våra kvalitetskrav och följer regelverket, inte minst den nya AI-förordningen. - Det känns tryggt att kunna dra nytta av expertis från andra myndigheter, och sandlådeformatet ger oss en värdefull möjlighet att ställa väldigt konkreta frågor samt applicera lärdomarna direkt i vårt arbete, avslutar Pierre.
Piloter ökar kännedomen om AI-förordningen
Piloten startade som ett initiativ inom ramen för eSam, med Bolagsverket, Skatteverket och Arbetsförmedlingen, tillsammans med Integritetsskyddsmyndigheten. Förhoppningen är att piloten ska öka kunskapen om hur AI-regulatoriska sandlådor bör inrättas och fungera i Sverige och vilka förutsättningar som krävs för att aktörer ska kunna nyttja dem. Piloten förväntas också leda till fördjupad kunskap om AI-förordningen.
Temamöte: NATO - en introduktion för myndigheter
NATO-medlemskapet ställer tydliga krav på hur myndigheter får ta del av och skapa NATO-information, en nyordning som svenska myndigheter nu behöver implementera.
I oktober bjöds eSams medlemmar in till ett lite hemligare temamöte än vanligt. Sveriges nationella säkerhetsmyndighet - UD NSA - höll en uppskattad första NATO introduktionsutbildning för myndigheter.
Först och främst omfattar svensk lag, t.ex. OSL och säkerhetsskyddslagen, även NATO-information. Kortfattat kan man säga att NATO-medlemskapet ställer tydliga krav på hur myndigheter får ta del av och skapa NATO-information. Arbetssätt och tekniska lösningar måste hanteras enligt tydliga regler, exempelvis ska information betraktas som ”need to know” även för allmänt behörig personal.
Den som skapat NATO-information, äger den och fattar beslut om delning och klassning enligt NATOs egen informationsklassningsmodell, där det ställs olika krav på hur informationen i de olika klasserna måste hanteras. Det finns stora likheter med hanteringen av säkerhetsskyddad information; certifikat tilldelas på visst sätt, arbetsrum märks upp tydligt, bara viss it-utrustning får användas osv.
En lite okänd utmaning för myndigheter blir separationen mellan det vanliga myndighetsutövandet och hanteringen av NATO-information, vilket ledde till diskussion mellan deltagarna i temamötet; hur ska man separera och isolera information eller måste vissa verksamhetssystem bli en del av NATO hanteringen och därmed blir en del av den tvingande NATO-informationshanteringen? Nya, spännande frågeställningar alltså!
Frågorna var många och vid behov kommer det fler tillfällen för eSams medlemmar.
NIS2 och CER - direktiv för ökad motståndskraft
EUs direktiv har trätt ikraft och det svenska regelverket dröjer ännu nästan ett år – men eSams medlemmar är i full gång med förberedelser.
Under oktober infördes en gemensam, lägsta cybersäkerhetsnivå i hela EU. I NIS2-direktivet - Network and Information Security Directive - finns exempelvis krav på att ledningen ska genomgå säkerhetsutbildning. Nära sammanlänkat med NIS2 är CER-direktivet - Critical Entities Resilience Directive - som syftar till att stärka kritiska verksamhetsutövares motståndskraft och förmåga, att tillhandahålla samhällsviktiga tjänster på den inre marknaden. Gemensamt för direktiven är bland annat krav på riskanalys, riskåtgärder och incidentrapportering, samt ett tydligt fokus på ledningens ansvar för frågorna.
Även om båda direktiven började gälla i oktober så dröjer den svenska implementeringen. Den nya cybersäkerhetslagen som nu är ute på remiss, förväntas komma till sommaren 2025 och lagen om motståndskraft hos kritiska verksamhetsutövare, föreslås träda i kraft den 1 augusti 2025.
– Det är en speciell situation för myndigheterna att navigera i just nu – att ha EU-regler som gäller men varken nationell lagstiftning eller implementeringsstöd på plats, säger Erik Enocksson som ansvarar för eSams säkerhetsarbete.
Att nya direktiv skulle komma har dock varit klart länge. I april 2024 startade eSam en tvärfunktionell grupp med deltagare från flera kompetensområden, för omvärldsbevakning av NIS2 och CER. Syftet är att dela erfarenheter och upptäckter rörande EU-direktiven.
– Alla eSams medlemmar påverkas på något sätt av NIS2 och CER, så det finns ett uppenbart värde av att samarbeta i dessa frågor, säger Michiko Muto på Pensionsmyndigheten. Michiko bistår med att leda gruppens arbete och just nu tar de fram en promemoria som syftar till att ge eSams medlemmar en överblick över krav och stöd för hur myndigheterna kan förbereda sig för NIS2 och CER, i väntan på att nya regelverk är på plats. Varje myndighet behöver därutöver göra sitt eget arbete och mer i detalj analysera hur den egna verksamheten påverkas.
Gruppens arbete visar att det finns många gemensamma nämnare och sådant som myndigheterna kan och bör göra redan nu, vilket ska framgå i den kommande promemorian. Det handlar ju inte ”bara” om att leva upp till regelverket; en säker verksamhet utan avbrott och incidenter, är en förutsättning för effektivitet och i förlängningen även för medborgarnas tillit till myndigheterna.
- Säkerhetsfrågornas angelägenhet märks i deltagarnas engagemang och gör gruppens arbete både stimulerande och meningsfullt, avslutar Michiko.
eSam, Nacka kommun och Safespring i panelsamtal om molnfrågan
Ämnet har under åren skiftat fokus från en strikt juridisk fråga för myndigheter, till ett större säkerhetsfokus - vilka typer av krav ska myndigheten ställa vid anskaffning av tjänster?
I slutet av oktober anordnade Tele2 ett panelsamtal om digitala molnbaserade samarbetstjänster för offentlig sektor, tillsammans med Telekom idag. Erik Enocksson från eSams kansli, Jakob Söderbaum från Nacka kommun och Daniel Melin från Safespring, samtalade om varför molnfrågan fortfarande inte är löst och hur offentlig förvaltning bäst kan analysera molntjänster.
Ämnet har under åren skiftat fokus från en strikt juridisk fråga för myndigheter, till ett större säkerhetsfokus - vilka typer av krav ska myndigheten ställa vid anskaffning? Ytterst; vilka delar borde ingå i en lämplighetsprövning? Panelen tipsar om att föra dialog med leverantörer kring molnfrågan och föreslår samverkan för att hitta hållbara lösningar över tid.
Efter paneldiskussionen reflekterar Erik Enocksson:
- Jag fick en fråga om panelen hade pratat ihop sig innan webbinariet men svaret är; nej. Det här är personer som har jobbat i många år med de här frågorna, vilket gör att man ofta landar i liknande slutsatser på vissa utmaningar, säger Erik. - Molnfrågan är fortsatt svårhanterad och vi behöver stötta varandra i hur myndigheter bäst matchar sitt myndighetsuppdrag mot lämpliga risker och krav vid anskaffning av publika tjänster.
Om arbetet med moln på esamverka.se Länk till annan webbplats.
Panelsamtalet går att se på Telekom idag, webbinarium Länk till annan webbplats, öppnas i nytt fönster., det börjar 10 min och 36 sekunder in i klippet.
Temamöte - arkivering by design
Målet är en europeisk grund för elektroniskt långtidsbevarande och att säkerställa att digitalt född information, lagras och bevaras på ett hållbart och tillgängligt sätt.
Sofia Särdquist från Riksarkivet gav en inblick i arbetet inom EU för området elektronisk arkivering och e-arkiv. Målet med arbetet är att lägga en gemensam europeisk grund för elektroniskt långtidsbevarande och säkerställa att digitalt född information lagras och bevaras på ett hållbart och tillgängligt sätt.
Arkivering by design, är ett analysverktyg som syftar till att förbättra kvaliteten i organisationers digitala arkivering av sin verksamhetsinformation. Det kan tillämpas oberoende av vilken regelmiljö man som arkivbildare befinner sig i. Verktyget berör informationsförvaltningens fem stora områden: arkivering, personuppgifter, informationssäkerhet, återanvändning/vidareutnyttjande samt ordning och reda/registratur.
En viktig fråga som diskuterades under temamötet, var hantering av informationen i ett livscykelperspektiv, med bibehållen autencitet över hela livscykeln. Sammantaget är tillgången till data och en hållbar informationshantering en avgörande faktor för myndigheternas digitalisering.
Läs vad Riksarkivet skriver om arkivering by design Länk till annan webbplats, öppnas i nytt fönster..
Metodstöd för omvärldsanalys
Ett stöd för att stärka myndigheters förmåga att omsätta en trendanalys i konkret handling och förmåga att möta framtida förändringar.
Inom eSam finns en grupp med fokus på att stärka medlemmarnas arbete med omvärldsanalys och det som kallas framsyn; utvecklad strategisk planering för att lyfta blicken mot längre tidshorisonter och förstå hur osäkerheter, trender och utvecklingar idag, kommer att påverka framtiden.
Arbetsgruppen, med deltagare från Skatteverket, DIGG, Kronofogden, Tullverket, Statens tjänstepensionsverk, Bolagsverket och Skolverket, har publicerat en gemensam omvärldsanalys: Trender som påverkar digitaliseringen av offentlig förvaltning - eSam omvärldsanalys mot år 2034, som beskriver trender på digitaliseringsområdet som myndigheter behöver förhålla sig till och ha beredskap för. Syftet är att kunna använda det som underlag för en strategisk diskussion om samverkansområden inom eSam. Den gemensamma analysen hjälper dessutom myndigheter som saknar egen förmåga till systematiskt arbete med omvärldsanalys, att öka förutsättningarna att möta framtida förändringar.
Arbetsgruppen har även lett flera workshops och webbinarier om metoder för att arbeta med trendanalysen. Det har i sin tur lett fram till det stöd som nu finns med en kort introduktion till hur rapporten kan användas samt exempel på metodstöd som stärker myndighetens förmåga att omsätta en trendanalys i konkret handling. Metodstödet har presenterats på innovationsveckan 2024 och på en workshop med eSams medlemmar.
Ny rapport: Roadmap för datahantering
EUs koncept för dataområden skapar förutsättningar för ett effektivt och säkert datautbyte som bygger på tillit mellan såväl offentliga som privata aktörer inom respektive område.
Det sker ett omfattande förändringsarbete på EU-nivå avseende digitalisering i allmänhet och datahantering i synnerhet. Därför behöver eSams medlemmar dels en bättre överblick över policyinitiativ som kommer att påverka myndigheternas digitaliseringsarbete avseende data, dels en analys över hur myndigheterna kan bli mer proaktiva, utifrån de pågående förändringarna på digitaliseringsområdet.
Överblicken över kommande policyinitiativ hittar du i eSams rapport Radarbilden, som uppdateras varje halvår. För att möta behovet av att kunna vara proaktiv inför de kommande förändringarna, finns nu även Roadmap för datahantering. Den vänder sig huvudsakligen till de ledande funktionerna i myndigheten.
EUs koncept för dataområden skapar förutsättningar för ett effektivt och säkert datautbyte som bygger på tillit mellan såväl offentliga som privata aktörer inom respektive område. Att arbeta med dataområden ger även möjlighet att i samverkan, fokusera på utvecklingsaktiviteter både utifrån nyttor och effekter för myndigheterna och deras målgrupper, samt för näringslivet. Genom att skapa konsoliderade och centraliserade nationella dataområden, får myndigheterna bättre förutsättningar att åstadkomma effektiv datadelning och verksamhetsutveckling.
Även om ett fullt utvecklat arbete med nationella dataområden behöver initieras och ledas av regeringen, finns det anledning för myndigheter att både enskilt och i samverkan initiera arbete utifrån befintliga förutsättningar för att bli mer proaktiva.
Rapporten Roadmap för datahantering, lyfter fram lämpliga områden att arbeta vidare med såväl i den enskilda myndigheten som i samverkan mellan myndigheter.