Säkerhetsregler för medlemmar

[240215]

Grundkrav avseende en organisations medlemskap i noden

Följande grundkrav ställs på en organisation vid ansökan om medlemskap i noden.

  • Organisationen avser stödja och bidra i arbetet för att nå nodens mål.
  • Organisationen ska bedömas kunna bidra till ett bra samarbetsklimat och vara respekterad.
  • Organisationen ska ha en aktiv verksamhet inom cybersäkerhet med anställda i Sverige, som
    bidrar till svenskt näringsliv, tillväxt och hållbarhet.
    • Inte bara en säljorganisation i Sverige.
  • Organisationen ska till mer än hälften ägas av aktörer inom EES och/eller länder nära knutna till EES (t.ex. Schweiz, Storbritannien, USA och Kanada).
  • Organisationen ska ha en god utveckling av Sveriges cybersäkerhet som ett av sina mål.
    • Det ska vara uppenbart att organisationen inte prioriterar ett annat lands säkerhet
      och utveckling.
    • Enligt SÄPO är en relation till Kina, Ryssland eller Iran speciellt problematisk (*), men
      även andra länder kan bedömas som riskfyllda.
      • (*): se Säkerhetspolisens årsrapport 22/23.

Nodens och NCC-SE:s koordinatorgrupp gör kontroller via öppna källor, och samverkar vid behov med RISE eller MSB säkerhetsenhet och/eller andra relevanta myndigheter. Koordinatorgruppen fattar beslut om medlemskap och eventuella avslag avseende medlemskap kan inte överklagas

Tre olika typer av aktiviteter i nodens verksamhet

Noden arrangerar aktiviteter av tre olika typer:

  • publika event,
  • medlemsaktiviteter samt
  • temagrupper i kategorierna ”öppen”, ”känslig”, ”skyddsvärd” och ”totalförsvar”.

Medlemsaktiviteter kan vara t.ex. konferenser, rundabordssamtal, workshops eller paneldebatter.

Fyra kategorier av temagrupper

Noden organiserar temagrupper inom olika cybersäkerhetsrelaterade områden, där säkerhetsnivån i en temagrupp ska anpassas utifrån den information som gruppen förväntas hantera. Därför indelas temagrupperna i fyra kategorier: öppen, känslig, skyddsvärd respektive totalförsvar.

Kategori ”Öppen”

  • I denna grupp hanteras endast öppen publik information inom det teknikområde som gruppen arbetar.

Kategori ”Känslig”

  • I denna grupp kan känslig information om svensk forskning och innovation komma att hanteras. Gruppen ska ge informationen ett skydd mot utländsk insyn, framför allt från länder utanför EU och EES.

Kategori ”Skyddsvärd”

  • I denna grupp kan mycket känslig information om svensk forskning och innovation komma att hanteras, vilken gruppen ska skydda mot all utländsk insyn. I gruppen kan även skyddsvärd information om svensk samhällsviktig verksamhet komma att hanteras.

Samhällsviktig verksamhet – Verksamhet, tjänst eller infrastruktur som upprätthåller eller säkerställer samhällsfunktioner som är nödvändiga för samhällets grundläggande behov, värden eller säkerhet. /MSB 2020

Kategori ”Totalförsvar”

  • I denna grupp kan försvarssekretess komma att hanteras, bl.a. information om säkerhetskänslig verksamhet. Gällande krav för säkerhetsskydd ska uppfyllas.

Krav på personer som vill delta i nodens olika verksamheter

Cybernoden har olika typer av verksamhet, i vilka det ställs olika krav på de personer som vill delta.

Nodens publika event

Inga specifika krav ställs – alla kan delta.

Nodens medlemsaktiviteter

Följande grundkrav gäller.

  • Personen ska vara yrkesverksam (varaktigt anställd eller motsvarande) i ett företag/organisation som är nodmedlem.
  • Personen avser stödja och bidra i arbetet för att nå nodens mål.
  • Personen ska ha en god utveckling av Sveriges cybersäkerhet som ett av sina mål.
    • Det ska vara uppenbart att personen inte prioriterar ett annat lands säkerhet och utveckling.
    • Enligt SÄPO är en relation till Kina, Ryssland eller Iran speciellt problematisk (*) , men även andra länder kan bedömas som riskfyllda.
      • (*): se Säkerhetspolisens årsrapport 22/23.

En viktig aspekt avseende ett beroende till ett tidigare hemland är att en person kan utsättas för påtryckningar från detta hemlands säkerhetstjänst. Noden vill inte bidra till att denna typ av risk uppstår.

När anmälan inkommer avseende deltagande i en medlemsaktivitet bedömer koordinatorgruppen om deltagaren uppfyller de ställda kraven för deltagande.

  • Koordinatorgruppen gör kontroller via öppna källor, och samverkar vid behov med RISE eller MSB säkerhetsenhet och/eller andra relevanta myndigheter.
  • Det är koordinatorgruppen som beslutar om deltagande, och gruppen kan i vissa fall ta stöd av chefen för NCC-SE innan beslut fattas.
  • Eventuella avslag avseende en persons deltagande i nodens medlemsaktiviteter kan inte överklagas.

Vissa ytterligare restriktioner kan förekomma vid medlemsaktiviteter och meddelas då i samband med inbjudan till mötet. Ett exempel är möten där det av nationella säkerhetsskäl endast är svenska medborgare som får delta.

Nodens ”öppna” temagrupper

I en ”öppen” grupp kan alla intresserade meddela intresse för att delta, förutsatt att personen är yrkesverksam (varaktigt anställd eller motsvarande) i ett företag/organisation som är nodmedlem.

  • Temagruppen etableras utifrån en svensk kontext, genom beslut av koordinatorgruppen.
  • Den etablerade gruppen väljer därefter in nya medlemmar (med majoritetsbeslut), utifrån grundprincipen att alla som uppfyller kravet ovan är välkomna i en öppen temagrupp.
    • Eventuella avslag avseende en persons deltagande i en öppen temagrupp kan inte överklagas.

Nodens ”känsliga” temagrupper

Endast medborgare i EES-länder samt länder nära knutna till EES (typ Schweiz, Storbritannien, USA och Kanada) kan meddela intresse för denna kategori av grupp.

  • Temagruppen etableras utifrån en svensk kontext, genom beslut av koordinatorgruppen.
  • Den etablerade gruppen avgör därefter i konsensus vilka nya medlemmar (dvs. personer) som kan komma med. Här används kraven i avsnitt ”Nodens medlemsaktiviteter” (se ovan) som stöd för beslut. Gruppledaren leder dessa eventuella konsensusbeslut, med stöd av Cybernodens koordinator.

Nodens ”skyddsvärda” temagrupper

Samma krav på deltagande som för ”känslig” temagrupp, se ovan.

Nodens temagrupper i kategorin ”totalförsvar”

Endast svenska medborgare kan meddela intresse för denna kategori av grupp.

  • Gruppen etableras av en försvarsleverantör och i enlighet med gällande krav för säkerhetsskydd, där bl.a. säkerhetsprövning kan bli aktuell.

Representant/kontaktperson för en nodmedlem

En person som är representant ska uppfylla kraven i avsnitt ”Nodens medlemsaktiviteter” (se ovan).

Konsortium som skapar en ansökan till t.ex. en Horisont Europa-utlysning

Ett konsortium som skapas för att utforma en EU-ansökan har full frihet att själva välja och engagera de personer man vill ha med. Cybernoden ställer alltså inga krav på deltagande personer.

  • Cybernoden avser bidra till att initiera konsortier, men har inte ansvar för de konsortier som sedan skapas, t.ex. för en ansökan till Horisont Europa.
  • Med andra ord, när deltagare i en av nodens temagrupper skapar ett konsortium för att utforma en EU-ansökan tar konsortiets deltagare själva ansvar för eventuella säkerhetsfrågor, inklusive vilka som ska delta i gruppen (på samma sätt som skett hittills i EU-arbetet).
  • Om konsortiet senare mottager EU-medel och påbörjar ett projektarbete så gäller regler enligt EU och det aktuella programmet, t.ex. Horisont Europa eller DIGITAL.

Bilaga 1 och bilaga 2

I bilaga 1 resp. 2 finns ytterligare information, se dokumentet ”Säkerhetsregler för deltagande i nodens verksamhet – 231127 v1.4” vilket finns i medlemsbiblioteket.

  • Bilaga 1: Ytterligare säkerhetsregler för de fyra kategorierna av arbetsgrupper
  • Bilaga 2: Arbetsgången vid start av en ny arbetsgrupp

Bli medlem

Ni som vill bidra i arbetet för att stärka svensk cybersäkerhet är välkomna att ansöka om medlemskap! Läs mer här!

Följ oss på LinkedIn

Ni som vill få uppdateringar från oss på LinkedIn om nodens arbete och andra intressanta nyheter i ämnet cybersäkerhet, klicka nedan!

Klicka här!