av övlt R.E.L
När kriget kommer ingen vänta på att en blankett ska signeras i Stockholm. Ingen soldat kommer avbryta sin uppgift för att någon på en myndighet ännu inte stämplat ett papper. Och ingen pluton kommer stanna upp och säga: “tyvärr, vi kan inte använda den här drönar-radarn, den saknar stickers från FMV.”
Men samtidigt är det här verkligheten vi lever i. Försvarsmaktens system för ackreditering, det vill säga, den process som avgör om ett system får användas eller inte, är byggd för fredstid. Det är en långsam, tung apparat konstruerad för en byråkratisk logik som fungerar när världen står stilla. Den fungerar när man har tid och kan väga varenda ord på guldvåg. Den fungerar inte i krig.
Vi måste sluta låtsas att ett krig går att styra från konferensrum. Försvarsmakten måste skapa sätt att fatta snabba beslut men utan att kasta säkerhet och ansvar överbord.
Vi ska inte ignorera reglerna men vi måste förstå dem. Och sedan använda dem på ett sätt som fungerar även när kulorna viner. Mången är den officer som försvarar ackrediteringens nuvarande form. Var inte en processens beskyddare. Vi måste bort från att MUST och andra säkorganisationer är Red Card Holders.
Varför det är som det är
För att förstå varför Försvarsmakten ackrediterar allt mellan ledningssystem och radarer måste man förstå lagrummet bakom. Det är ingen intern FM-påhittad tröghet utan det är svensk lag.
Grunden finns i Säkerhetsskyddslagen (2018:585) och Säkerhetsskyddsförordningen (2018:658). De reglerar hur staten, myndigheter och företag ska skydda information och system som rör rikets säkerhet. I 3 kap. 10 § i säkerhetsskyddsförordningen står det svart på vitt:
“Ett informationssystem får inte tas i drift förrän det har godkänts från säkerhetssynpunkt av den ansvariga verksamhetsutövaren.”
Det är en enkel formulering, men med stora konsekvenser. “Informationssystem” omfattar i praktiken det mesta som behandlar, lagrar eller kommunicerar känslig information. Och det handlar inte bara om datorer eller servrar. I Försvarsmaktens värld betyder det ledningsstödsystem, sambandsutrustning, radarer, sensorplattformar, fordon med digitala funktioner, vissa typer av hjälmar med integrerad kommunikation. Kort sagt mycket av den moderna militära verktygslådan.
I grunden är det här en sund princip. Det handlar om att skydda Sverige. Ingen vill att obehöriga ska kunna komma åt våra system, eller att ett icke godkänt system ska öppna bakdörrar för främmande makt. Och Sverige har dessutom internationella åtaganden att följa, både gentemot EU och våra allierade. Om vi slarvar kan inte bara en enskild enhet drabbas, utan hela Sveriges säkerhet och trovärdighet.
Men den här lagtexten har i praktiken tolkats på ett sätt som gör oss tröga, oförmögna att agera snabbt. Under många år har FM, FMV och andra aktörer byggt lager på lager av processer, granskningssteg, checklistor, handböcker, och signeringsled. Syftet har varit gott men resultatet är ett system som i krig blir en bromskloss.
Kriget bryr sig inte om processer
I ett snabbt föränderligt stridsfält är innovation och improvisation inte ett undantag, utan en nödvändighet. Det viktigaste i Ukraina nu är inte kvalitet eller kvantitet utan möjlighet att anpassa sig. Förbanden kommer att få utrustning direkt från allierade. De kommer att bygga egna lösningar. De kommer att sätta ihop teknik från civila leverantörer, fälttillverka sensorer, eller integrera saker på ett sätt som inte står i några manualer.
Den verkligheten går inte att hindra. Frågan är bara: ska den ske i ett vakuum, utan styrning och ansvar? Eller ska vi ge våra förband en tydlig, enkel och laglig väg att fatta snabba beslut? Vi måste agera idag som vi kommer göra i kriget.
Här blir det juridiskt intressant. För det står ingenstans i lagen att ackreditering måste ta månader. Det står ingenstans att FMV måste producera en trehundrasidig rapport innan ett system får användas. Lagen säger bara att någon ansvarig måste godkänna drift från säkerhetssynpunkt.
Det innebär i praktiken att det är fullt möjligt att:
- delegera beslut i fält,
- ge tillfälliga driftgodkännanden,
- dokumentera riskerna kortfattat,
- och göra den tunga granskningen i efterhand.
Alltså exakt det som United States Department of War och andra Nato-länder gjort i åratal med något de kallar IATO — Interim Authorization To Operate.
Vad IATO egentligen är
IATO betyder “Interim Authorization To Operate”, på svenska ungefär “tidsbegränsat driftgodkännande”. Det är ett etablerat begrepp i USA:s och flera Nato-länders försvarsorganisationer. Grundtanken är enkel: när ett system inte har hunnit genomgå hela säkerhetsprocessen, men är operativt nödvändigt, kan en beslutsfattare ge ett tidsbegränsat godkännande för drift. Riskerna dokumenteras, beslutet loggas, och efter en viss tid ska en fullständig granskning genomföras.
I USA används IATO framför allt inom ledningsstöds- och informationssystem, men också för sensorer, radarer, sambandsnoder och mjukvarumoduler i vapensystem. När ett nytt system integreras med ett befintligt nät är det ofta IATO som möjliggör den initiala driftsättningen, medan den formella certifieringen sker senare.
Det handlar alltså inte om att slopa säkerheten. Det handlar om att flytta säkerhetsgranskningens tyngdpunkt i tid. Från att vara en förutsättning för drift, till att bli något som sker parallellt eller efteråt.
Svensk verklighet och juridiskt utrymme
I Sverige finns ingen paragrafformulerad “IATO”. Men motsvarande funktion har funnits länge under namn som “interimackreditering”, “tillfälligt säkerhetsgodkännande” eller “dispans”. Problemet är att dessa lösningar ofta har omgärdats av lika mycket pappersarbete och handläggning som den ordinarie processen. Man har försökt skapa snabba vägar men ändå kört dem genom långsamma grindar.
Det behöver inte vara så. Säkerhetsskyddslagen och säkerhetsskyddsförordningen säger bara vad som ska uppnås. Det vill säga att ett system ska vara godkänt från säkerhetssynpunkt innan drift. Den säger inte hur det måste gå till, eller hur många led som måste signera ett papper.
Det betyder att Försvarsmakten kan:
- delegera mandat att fatta IATO-beslut i fält,
- införa korta, enkla beslutsmallar,
- och låta oberoende enheter (t.ex. FMV eller MUST) göra granskningen i efterhand.
Så länge ansvar och spårbarhet finns på plats uppfylls lagkravet. Det är alltså fullt förenligt med svensk lag att införa en fält-IATO-process i krig eller kris.
Hur det kan fungera i praktiken
Kriget har brutit ut och civila företag strömmar till med materiel. En ny radar rullas in till förbandet. Den kommer från en trusted supplier, är godkänd i industrins egna processer men aldrig testad i Försvarsmakten. I dag hade det kunnat ta månader. I krig kan vi inte vänta. Brigadchefen tar ett fält-IATO-beslut på plats. Systemet kopplas in i en isolerad zon, loggning slås på och en enkel incidentplan gäller: ”Om något går snett, dra ur kontakten, logga tid och rapportera.”
Det är inget juridiskt gråzonande, beslutet är formellt ett godkännande enligt säkerhetsskyddslagen. Den tunga granskningen görs senare, när det finns tid. Radarn levererar effekt direkt, utan att tumma på ansvar eller säkerhet.
Godkännande innan drift: Brigadchefens IATO-beslut är formellt ett godkännandebeslut.
Säkerhetsanalys: Analysen kan vi göra nu i fredstid för olika kategorier av system. Alternativt så görs en snabb säkerhetsanalys av förbandet.
Behörighet: Endast säkerhetsprövad personal använder systemet.
Skyddsåtgärder & incidenthantering: Isolering, loggning och enkel åtgärdsplan uppfyller lagens minimikrav.
Spårbarhet & ansvar: Vem som fattade beslutet, när och varför är tydligt dokumenterat.
Efterhandskontroll: Den tunga granskningen sker i efterhand, vilket lagen tillåter.
Det här gäller inte bara radarer eller sensorer. Samma logik gäller fordon, hjälmar, kommunikationsutrustning, logistiksystem, civila verktyg och annan teknik som i dag fastnar i långa processer. Det är högst troligt att improvisation och innovation kommer att vara en avgörande del av framtida strid. Allt kan inte vänta på ett centralt godkännande.
Förtroende och ansvar
Kärnan i detta är delegering och förtroende. Beslut måste kunna fattas av befäl i fält, inom tydligt definierade ramar. Man kan inte ha en ordning där en pluton väntar på att någon i Stockholm ska ta upp ett ärende i en vecka (eller månader).
Det är också här den svenska kulturen ibland krockar med operativ verklighet. Vi har byggt ett system där ansvar ofta trycks uppåt, där ingen vill stå som den som tog beslutet om något händer. Men i krig går det inte att bygga ansvarskedjor som är tjugo led långa.
Fält-IATO bygger på en annan logik:
En namngiven beslutsfattare på plats tar beslutet. Riskerna är kända. Allt loggas. Om något händer, vet man vem som tog beslutet och varför. Det ger inte bara tempo, det ger också spårbarhet.
Allierade gör redan så
Vi är inte först med att tänka så här. USA och flera Nato-länder har haft IATO-modeller i decennier. United States Department of Defense använder IATO som en standarddel av sitt Risk Management Framework. De har dessutom byggt vidare på det i form av “Continuous ATO”, där systemen övervakas kontinuerligt, och godkännanden inte är statiska papperslappar utan levande, uppdaterade beslut.
I praktiken är det IATO som gör att amerikanska och brittiska förband kan koppla in ny teknik i krigszoner inom timmar, utan att tumma på säkerheten.
Skillnaden är att de vågat bygga processer som litar på förbanden, i stället för att låsa fast allt i central byråkrati.
Vad som krävs av Sverige
För att Sverige ska kunna använda fält-IATO krävs ingen lagändring. Lagen är redan tillräckligt flexibel. Det som krävs är beslut och mod.
För det första måste Försvarsmakten och FMV förbereda delegering i fredstid: fastställa vem som får fatta beslut, inom vilka ramar, och vilka grundkrav som måste vara uppfyllda.
För det andra behöver vi enkla verktyg för beslutsfattande: korta mallar, snabba kontrollpunkter, digitala loggar eller radiomeddelanden som sparas och arkiveras.
För det tredje behöver vi en tydlig ordning för efterhandsgranskning. Granskningen måste skötas av oberoende instanser, exempelvis FMV, MUST eller särskilda granskningssceller, inte av de som stod i fronten. Och den måste ha rimlig tidsfrist, kanske 30–60 dagar efter stabilisering.
För det fjärde krävs internationella förberedelser. Om utrustning kommer från allierade ska det redan finnas avtal som gör att proveniens och ansvar är klara i förväg. Då slipper man en massa diskussioner i stridens hetta.
Att inte göra något är också ett beslut
Det är lätt att skjuta upp sånt här. Att tänka att “det där får vi ta när det händer”. Men det är just då det är för sent. När läget är skarpt kommer förbanden att fatta beslut ändå. Människor improviserar när liv står på spel. Skillnaden är om de gör det inom en tydlig, laglig ram, eller utanför den.
Det här är egentligen det mest centrala argumentet för fält-IATO.
Vi kan antingen:
- låtsas att verkligheten inte ser ut som den gör, och hoppas att våra ackrediteringsprocesser på något mirakulöst sätt fungerar i krig,
eller - skapa ett regelverk som erkänner verkligheten och styr den i stället för att ignorera den.
Fält-IATO är inte ett hot mot säkerheten
Det är lätt att tro att en förenklad modell betyder att man sänker säkerhetskraven. Det stämmer inte. Fält-IATO innebär inte att vem som helst får koppla in vad som helst när som helst. Det innebär att besluten tas snabbare, men under kontrollerade former, med dokumenterade risker och en definierad tidsram.
Fält-IATO handlar, än en gång, om att flytta säkerhetsarbetet i tid, inte att ta bort det. Det är fortfarande samma krav, samma lagstiftning, samma ansvar. Skillnaden är att vi litar på våra förband, i stället för att binda upp dem.
Avslutning
Fält-IATO är inget revolutionerande. Det är sunt förnuft inom en juridisk ram som redan finns. Det är ett sätt att ta det bästa från våra allierade, snabbhet, flexibilitet och delegering, och göra det till vårt eget.
Det är också ett sätt att slippa absurda situationer där livsviktig utrustning står oanvänd för att någon handbok inte är signerad. Det är ett sätt att förena tempo och ansvar, innovation och säkerhet.
Militär Debatt 
Men vi har ju redan förband som löser det? Jag har uppfattat att specialförbanden aldrig verkar ha några problem med att få införskaffa egeninitiersd utrustning till förbandet utan byråkratiskt krångel? Varför inte bara kopiera processen med delegerat budgetansvar?
Mycket bra skrivet! Du nämner specifikt ackreditering och diskuterar runt informationssäkerheten och regelverken där. Om man nu ser till ett regelrätt BOA så vilar ju det även på Centrala driftförutsättningar och Systemsäkerhetsgodkännande. Det förstnämnda är ju ganska lätt att rationalisera bort, men hur funkar det med systemsäkerhet (Safety) i IATO-fallet? Tas även den risken av beslutande chef? Och tillåter våra regelverk även att det delegeras på liknande sätt?
Du har helt rätt i att ett BOA även vilar på systemsäkerhet (safety) och centrala driftförutsättningar. Skillnaden i fält-IATO-fallet är att vi inte tar bort dessa delar utan flyttar ansvaret och tidpunkten.
För informationssäkerheten finns ett tillfälligt godkännande (IATO) med delegerat mandat. För systemsäkerheten gäller samma princip som redan står i Handbok Systemsäkerhet: ansvarig chef ska acceptera kvarvarande risker innan systemet tas i bruk. Det kan göras även i fält, med dokumenterad riskacceptans och tydlig giltighetstid.