Säkerhetsregler för deltagande i nodens verksamhet

[211005]

Grundkrav avseende en organisations medlemskap i noden

Följande grundkrav ställs på en organisation vid ansökan om medlemskap i noden.

  • Organisationen avser stödja och bidra i arbetet för att nå nodens mål.
  • Organisationen ska bedömas kunna bidra till ett bra samarbetsklimat och vara respekterad.
  • Organisationen ska ha en aktiv verksamhet inom cybersäkerhet med anställda i Sverige, som
    bidrar till svenskt näringsliv, tillväxt och hållbarhet.
    • Inte bara en säljorganisation i Sverige.
  • Organisationen ska ha en god utveckling av Sveriges cybersäkerhet som ett av sina mål.
    • Det ska vara uppenbart att organisationen inte prioriterar ett annat lands säkerhet
      och utveckling.
    • Enligt SÄPO är en relation till Kina, Ryssland eller Iran speciellt problematisk, men
      även andra länder kan bedömas som riskfyllda.

Nodens interna koordineringsgrupp gör kontroller via öppna källor, och samverkar vid behov med RISE säkerhetsenhet och/eller relevanta myndigheter. Styrgruppen tar (from 2022) beslut om medlemskap och eventuella avslag avseende medlemskap kan inte överklagas

Tre olika typer av aktiviteter i nodens verksamhet

Noden arrangerar aktiviteter av tre olika typer:

  • publika event,
  • medlemsaktiviteter samt
  • arbetsgrupper i kategorierna ”öppen”, ”känslig”, ”skyddsvärd” och ”totalförsvar”.

Medlemsaktiviteter kan vara t.ex. konferenser, rundabordssamtal, workshops eller paneldebatter.

Fyra kategorier av arbetsgrupper

Noden organiserar arbetsgrupper inom olika cybersäkerhetsrelaterade områden, där säkerhetsnivån i en arbetsgrupp ska anpassas utifrån den information som gruppen förväntas hantera. Därför indelas arbetsgrupperna i fyra kategorier: öppen, känslig, skyddsvärd respektive totalförsvar.

Kategori ”Öppen”

  • I denna grupp hanteras endast öppen publik information inom det teknikområde som gruppen arbetar.

Kategori ”Känslig”

  • I denna grupp kan känslig information om svensk forskning och innovation komma att hanteras. Gruppen ska ge informationen ett skydd mot utländsk insyn, framför allt från länder utanför EU och EES.

Kategori ”Skyddsvärd”

  • I denna grupp kan mycket känslig information om svensk forskning och innovation komma att hanteras, vilken gruppen ska skydda mot all utländsk insyn. I gruppen kan även skyddsvärd information om svensk samhällsviktig verksamhet komma att hanteras.

Samhällsviktig verksamhet – Verksamhet, tjänst eller infrastruktur som upprätthåller eller säkerställer samhällsfunktioner som är nödvändiga för samhällets grundläggande behov, värden eller säkerhet. /MSB 2020

Kategori ”Totalförsvar”

  • I denna grupp kan försvarssekretess komma att hanteras, bl.a. information om säkerhetskänslig verksamhet. Gällande krav för säkerhetsskydd ska uppfyllas.

Krav på personer som vill delta i nodens olika verksamheter

Noden har olika typer av verksamhet, i vilka det ställs olika krav på de personer som vill delta.

Nodens publika event

Inga specifika krav ställs – alla kan delta.

Nodens medlemsaktiviteter

Följande grundkrav gäller.

  • Personen ska vara yrkesverksam (varaktigt anställd eller motsvarande) i ett företag/organisation som är nodmedlem.
  • Personen avser stödja och bidra i arbetet för att nå nodens mål.
  • Personen ska ha en god utveckling av Sveriges cybersäkerhet som ett av sina mål.
    • Det ska vara uppenbart att personen inte prioriterar ett annat lands säkerhet och utveckling.
    • Enligt SÄPO är en relation till Kina, Ryssland eller Iran speciellt problematisk, men även andra länder kan bedömas som riskfyllda.

En viktig aspekt avseende ett beroende till ett tidigare hemland är att en person kan utsättas för påtryckningar från detta hemlands säkerhetstjänst. Noden vill inte bidra till att denna typ av risk uppstår. När anmälan inkommer avseende deltagande i en medlemsaktivitet bedömer interna koordineringsgruppen om deltagaren uppfyller de ställda kraven för deltagande.

  • Koordineringsgruppen gör kontroller via öppna källor, och samverkar vid behov med RISE säkerhetsenhet och/eller relevanta myndigheter.
  • Det är interna koordineringsgruppen som beslutar om deltagande, men gruppen kan i vissa fall ta stöd av styrgruppen innan beslut fattas.
  • Eventuella avslag avseende en persons deltagande i nodens medlemsaktiviteter kan inte överklagas.

Vissa ytterligare restriktioner kan förekomma vid medlemsaktiviteter och meddelas då i samband med inbjudan till mötet. Ett exempel är möten där det av nationella säkerhetsskäl endast är svenska medborgare som får delta.

Nodens ”öppna” arbetsgrupper

I en ”öppen” grupp kan alla intresserade meddela intresse för att delta, förutsatt att personen är yrkesverksam (varaktigt anställd eller motsvarande) i ett företag/organisation som är nodmedlem.

  • Gruppen etableras utifrån en svensk kontext, genom beslut av RISE interna koordineringsgrupp.
  • Den etablerade gruppen väljer därefter in nya medlemmar (med majoritetsbeslut), utifrån grundprincipen att alla som uppfyller kravet ovan är välkomna i en öppen arbetsgrupp.
    • Eventuella avslag avseende en persons deltagande i en öppen arbetsgrupp kan inte överklagas.

Nodens ”känsliga” arbetsgrupper

Endast medborgare i EES-länder samt länder nära knutna till EES (typ Schweiz, Storbritannien, USA och Kanada) kan meddela intresse för denna kategori av grupp.

  • Gruppen etableras utifrån en svensk kontext, genom beslut av RISE interna koordineringsgrupp.
  • Den etablerade gruppen avgör därefter i konsensus vilka nya medlemmar (dvs. personer) som kan komma med. Här används kraven i avsnitt ”Nodens medlemsaktiviteter” (se ovan) som stöd för beslut. Gruppledaren leder dessa eventuella konsensusbeslut, med stöd av nodens koordinator.

Nodens ”skyddsvärda” arbetsgrupper

Samma krav på deltagande som för ”känslig” arbetsgrupp, se ovan.

Nodens arbetsgrupper i kategorin ”totalförsvar”

Endast svenska medborgare kan meddela intresse för denna kategori av grupp.

  • Gruppen etableras av en försvarsleverantör och i enlighet med gällande krav för säkerhetsskydd, där bl.a. säkerhetsprövning kan bli aktuell.

Representant/kontaktperson för en nodmedlem

En person som är representant ska uppfylla kraven i avsnitt ”Nodens medlemsaktiviteter” (se ovan).

Konsortium som skapar en ansökan till t.ex. en Horisont Europa-utlysning

Ett konsortium som skapas för att utforma en EU-ansökan har full frihet att själva välja och engagera de personer man vill ha med. Innovationsnoden ställer alltså inga krav på deltagande personer.

  • Innovationsnoden avser bidra till att initiera konsortier, men har inte ansvar för de konsortier som sedan skapas, t.ex. för en ansökan till Horisont Europa.
  • Med andra ord, när deltagare i en av nodens arbetsgrupper skapar ett konsortium för att utforma en EU-ansökan tar konsortiets deltagare själva ansvar för eventuella säkerhetsfrågor, inklusive vilka som ska delta i gruppen (på samma sätt som skett hittills i EU-arbetet).
  • Om konsortiet senare mottager EU-medel och påbörjar ett projektarbete så gäller regler enligt EU och Horisont Europa.

Bilaga 1 och bilaga 2

I bilaga 1 resp. 2 finns ytterligare information, se dokumentet ”Säkerhetsregler för deltagande i nodens verksamhet – 210923 v1.0” vilket finns i medlemsbiblioteket.

  • Bilaga 1: Ytterligare säkerhetsregler för de fyra kategorierna av arbetsgrupper
  • Bilaga 2: Arbetsgången vid start av en ny arbetsgrupp