Säkerhetsregler för nodens arbetsgrupper

[210610]

Fyra kategorier av arbetsgrupper

Noden organiserar arbetsgrupper inom olika cybersäkerhetsrelaterade områden, där säkerhetsnivån i en arbetsgrupp ska anpassas utifrån den information som gruppen förväntas hantera. Därför indelas arbetsgrupperna i fyra kategorier: öppen, känslig, skyddsvärd respektive totalförsvar.

Kategori ”Öppen”

  • I denna grupp hanteras endast öppen publik information inom det teknikområde som gruppen arbetar. 

Kategori ”Känslig”

  • I denna grupp kan känslig information om svensk forskning och innovation komma att hanteras. Gruppen avser ge informationen ett skydd mot utländsk insyn, framför allt från länder utanför EU och EES.

Kategori ”Skyddsvärd”

  • I denna grupp kan mycket känslig information om svensk forskning och innovation komma att hanteras, vilken gruppen avser skydda mot all utländsk insyn. I gruppen kan även skyddsvärd information om svensk samhällsviktig verksamhet komma att hanteras.

Kategori ”Totalförsvar”

  • I denna grupp hanteras försvarssekretess, bl.a. information om säkerhetskänslig verksamhet. Informationen ska hanteras i enlighet med gällande krav för säkerhetsskydd.

Krav på personer som vill delta i en arbetsgrupp

För samtliga personer gäller att de ska vara yrkesverksamma i ett företag/organisation som är nodmedlem.

Person som vill delta i en ”öppen” arbetsgrupp

  • I denna grupp hanteras endast öppen publik information inom det teknikområde som gruppen arbetar. 
  • I denna kategori kan alla intresserade meddela intresse för att delta.
    • Gruppen etableras utifrån en svensk kontext, genom beslut av RISE interna koordineringsgrupp.
    • Den etablerade gruppen avgör därefter i konsensus vilka nya medlemmar (dvs. personer) som kan komma med. Gruppledaren leder dessa eventuella konsensusbeslut, med stöd av nodens koordinator.
    • Observera – en öppen grupp kan vid behov och i speciella fall göra undantag från ”Grundkrav på en person som deltar i nodens verksamhet – en sammanfattning”, om och när gruppen tar ett konsensusbeslut om ny medlem.

Person som vill delta i en ”känslig” arbetsgrupp

  • I denna grupp kan känslig information om svensk forskning och innovation komma att hanteras. Gruppen avser ge informationen ett skydd mot utländsk insyn, framför allt från länder utanför EU och EES.
  • Endast medborgare i EES-länder samt länder nära knutna till EES (typ Schweiz, Storbritannien, USA och Kanada) kan meddela intresse för denna kategori av grupp.
    • Gruppen etableras utifrån en svensk kontext, genom beslut av RISE interna koordineringsgrupp.
    • Den etablerade gruppen avgör därefter i konsensus vilka nya medlemmar (dvs. personer) som kan komma med. Här används ”Grundkrav på en person som deltar i nodens verksamhet – en sammanfattning” som stöd för beslut.

Person som vill delta i en ”skyddsvärd” arbetsgrupp

  • I denna grupp kan mycket känslig information om svensk forskning och innovation komma att hanteras, vilken gruppen avser skydda mot all utländsk insyn. I gruppen kan även skyddsvärd information om svensk samhällsviktig verksamhet komma att hanteras.
    • Samma krav på deltagande som för ”känslig” arbetsgrupp, se ovan.

Person som vill delta i en arbetsgrupp av kategorin ”totalförsvar”

  • I denna grupp hanteras försvarssekretess, bl.a. information om säkerhetskänslig verksamhet. Informationen ska hanteras i enlighet med gällande krav för säkerhetsskydd, där bl.a. säkerhetsprövning kan bli aktuell.
  • Endast svenska medborgare kan meddela intresse för denna kategori av grupp.
    • Gruppen etableras av den aktuella försvarsleverantören med stöd av RISE interna koordineringsgrupp.

Arbetsgången vid start av en ny arbetsgrupp

Nedan beskrivs de olika steg som normalt bör tas vid etableringen av en ny arbetsgrupp.

  • En ny arbetsgrupp föreslås.
    • Vem som helst kan föreslå en ny arbetsgrupp.
    • Arbetsgruppens mål och syfte beskrivs, inklusive preliminärt bedömd kategori.
  • Arbetsgruppen bedöms både intressant och möjlig att starta.
    • Den nya gruppen annonseras för nodens medlemmar.
  • Intresserade personer lämnar in intresseanmälningar (innan ett angivet datum).
  • En gruppledare utses av noden.
  • Noden initierar en säkerhetsskyddsanalys (om det inte är uppenbart att detta inte behövs).
    • Gruppledaren ansvarar för analysens genomförande.
    • Baserat på analysen beslutar noden vilken kategori som är aktuell.
  • Arbetsgruppen etableras genom beslut av noden, med medlemmar utifrån en svensk kontext.
  • Ytterligare medlemmar kan vid behov väljas in i konsensus. Gruppledaren leder denna process, med stöd av nodens koordinator.
  • Säkerhetsregler utformas, och samverkansavtal utformas vid behov.
    • Gruppledaren ansvarar för detta, med stöd av noden.
  • Gruppens arbete påbörjas.
  • Säkerhetsskyddsanalysen följs upp av noden regelbundet (varje halvår).