Offentlige anskaffelser handler ikke bare om å få mest mulig igjen for skattebetalernes penger. Når det offentlige kjøper varer og tjenester, åpner det samtidig kanaler inn mot verdier som kan ha betydning langt utover den enkelte kontrakten — kritisk infrastruktur, skjermingsverdig informasjon, forsyningskjeder samfunnet er avhengig av, og tilgang til bygninger og systemer som må beskyttes mot uønsket innsyn eller sabotasje. Anskaffelsesprosessen er derfor ikke bare et økonomisk verktøy, men også et sikkerhetsmessig grensesnitt mellom det offentlige og private leverandører, herunder utenlandske leverandører.
Denne erkjennelsen har gradvis fått fotfeste i lovgivningen. Anskaffelsesloven bygger på et sett av grunnleggende prinsipper som skal sikre konkurranse, likebehandling, forutberegnelighet, etterprøvbarhet og forholdsmessighet. Ved siden av disse prinsippene har lovgiver de senere årene bygget ut et sett av samfunnshensyn som oppdragsgiver skal eller kan ivareta i anskaffelsesprosessen — miljø, menneskerettigheter, arbeidsvilkår, universell utforming og nå også sikkerhet og beredskap. Sikkerhet og beredskap er dermed løftet fra å være et perifert hensyn som noen oppdragsgivere tok med i kravspesifikasjonen, til å bli et uttrykkelig lovfestet samfunnshensyn på linje med de øvrige.
Bakgrunnen for denne lovgivningsutviklingen er sammensatt, men trusselbildet slik det beskrives av nasjonale sikkerhetsmyndigheter, er en sentral del av forklaringen. Trusselbildet behandles grundig i punkt 1.8. Der vises det hvordan trusselvurderinger fra Nasjonal sikkerhetsmyndighet (NSM), Politiets sikkerhetstjeneste (PST) og Etterretningstjenesten gir et faglig bakteppe for hvorfor lovgiver har funnet grunn til å regulere sikkerhet og beredskap som eget samfunnshensyn — men også hvor grensen går mellom slikt faglig bakteppe og selvstendig rettslig hjemmel.
Det er nettopp dette skillet — mellom trusselforståelse som motivasjon for regelverket og trusselforståelse som selvstendig rettsgrunnlag — som er en rød tråd gjennom hele dette kapitlet. Det rettslige svaret på trusselbildet er, som vi nå skal se, en ny bestemmelse i anskaffelsesloven: § 5 d om sikkerhet og beredskap.
Bestemmelsen lyder:
«Oppdragsgiver kan stille krav eller kriterier i alle ledd av en anskaffelsesprosess for å ivareta sikkerhets- og beredskapshensyn. Oppdragsgiver bør vurdere å stille slike krav i anskaffelser der det er relevant.»
Ordlyden har to setninger med to ulike funksjoner, og det er viktig å holde dem fra hverandre.
Første punktum er en kompetanseregel: den gir oppdragsgiver en uttrykkelig hjemmel til å stille krav eller kriterier knyttet til sikkerhet og beredskap. Ordet «kan» viser at bestemmelsen ikke i seg selv pålegger noe — den åpner en adgang som ellers kunne vært usikker, og legger samtidig et lovfestet stempel på at slike hensyn er en legitim del av anskaffelsesprosessen. Formuleringen «i alle ledd av en anskaffelsesprosess» er vid og favner om hele løpet fra kvalifikasjon, via kravspesifikasjon og tildelingskriterier, til kontraktsvilkår. Ordlyden alene tilsier dermed at sikkerhets- og beredskapshensyn ikke er begrenset til ett bestemt verktøy i anskaffelsesretten, men kan gjennomsyre hele prosessen.
Annet punktum er av en annen karakter. Her brukes «bør», som normalt signaliserer en oppfordring eller anbefaling snarere enn en ubetinget plikt. Oppdragsgiver «bør vurdere» å stille slike krav «der det er relevant». Dette er en aktsomhets- eller vurderingsnorm: lovgiver ønsker at oppdragsgivere aktivt tenker gjennom om sikkerhet og beredskap er aktuelt i den konkrete anskaffelsen, uten at unnlatelse av å gjøre dette nødvendigvis utløser en selvstendig rettslig sanksjon.
Verken § 5 d eller lovens øvrige bestemmelser inneholder en legaldefinisjon av begrepene «sikkerhet» og «beredskap». Ordlyden er vidt formulert, og det er ingen ting som tilsier at den er begrenset til én bestemt form for sikkerhet. Både fysisk sikkerhet, informasjonssikkerhet, personellsikkerhet og forsyningssikkerhet kan i prinsippet omfattes, avhengig av hva den konkrete anskaffelsen gjelder.
Tilsvarende favner «beredskap» vidt — fra leverandørens evne til å opprettholde kritiske leveranser i en krisesituasjon til konkrete vaktordninger eller reserveløsninger. Begrepene skal forstås i lys av lovens formål og den veiledningen som finnes i forarbeidene og fra DFØ og NSM, men veiledningen er ikke i seg selv en selvstendig rettskilde — den gir praktiske avklaringer av hvordan bestemmelsen kan anvendes [veileder: DFØ Veileder til anskaffelsesloven – 7.2 Begr; veileder: DFØ Veileder til anskaffelsesloven – 2.3 Sikk].
Ordlyden i § 5 d gir svar på noen spørsmål, men ikke alle. Det som klart følger av ordlyden, er:
For det første at bestemmelsen er en adgangsregel, ikke en pliktregel, når det gjelder selve innholdet i kravene. Oppdragsgiver som velger å stille et sikkerhets- eller beredskapskrav i en anskaffelse, har hjemmel for det gjennom § 5 d, forutsatt at kravet for øvrig holder seg innenfor de alminnelige anskaffelsesrettslige rammene (se punkt 1.3 og 1.6).
For det andre at bestemmelsen ikke gir hjemmel for å fravike andre deler av anskaffelsesregelverket. Den sier ingenting om unntak fra kunngjøringsplikt, terskelverdier eller konkurranseform. Unntak av hensyn til vesentlige sikkerhetsinteresser må forankres i andre bestemmelser — i EØS-avtalen artikkel 123 eller i forskriftshjemler under LOA § 2 — og faller utenfor § 5 d. Grensen mellom å stille sikkerhetskrav innenfor det alminnelige anskaffelsesregelverket (§ 5 d) og å ta en anskaffelse ut av regelverket på grunn av vesentlige sikkerhetsinteresser (LOA § 2, jf. EØS-avtalen artikkel 123), er en grensesone som krever andre hjemler enn § 5 d. Denne grensen er ikke fullt ut avklart i kildegrunnlaget, og oppdragsgivere som vurderer om en anskaffelse skal unntas helt fra regelverket, må søke veiledning i de særskilte unntaksbestemmelsene og den praksis som finnes der.
Det ordlyden derimot ikke gir et klart svar på, er hvor langt «bør vurdere»-normen i annet punktum rekker som rettslig forpliktelse. § 5 d kombinerer en «kan»-hjemmel for å stille krav med en «bør»-formulering for vurdering av relevans. Loven besvarer ikke selv spørsmålet om bruddvirkning av «bør vurdere» — dette er et åpent tolkningsspørsmål som ikke er avklart i lovteksten [LOV-2026-03-06-8]. At loven her bruker «bør» i motsetning til «skal» andre steder i samme kapittel, taler for at det dreier seg om en normativ oppfordring snarere enn en ubetinget rettsplikt, men spørsmålet vil først kunne besvares sikkert når det foreligger praksis eller klarere forarbeidsuttalelser [LOV-2026-03-06-8].
Bestemmelsen er innført ved lov 6. mars 2026 nr. 8, og innstillingen fra komiteen kan gi et bidrag til forståelsen av lovgivers formål [Innst. 38 L (2025-2026)]. Det generelle bildet som tegner seg, er at lovgiver har ønsket å signalisere en økt oppmerksomhet om sikkerhet og beredskap i offentlig sektors innkjøp, uten å gjøre dette til en ubetinget plikt i enhver anskaffelse uavhengig av relevans.
Bestemmelsen må også ses i sammenheng med plikten til å ha en anskaffelsesstrategi. Etter § 5 a skal oppdragsgiver ha en anskaffelsesstrategi for å ivareta de samfunnshensynene i §§ 5 b til 5 p — herunder sikkerhet og beredskap etter § 5 d — som er relevante for oppdragsgivers virksomhet, og strategien skal være offentlig tilgjengelig [LOV-2026-03-06-8]. Oppdragsgiver skal videre ha egnede rutiner for å ivareta de samme hensynene. Dette betyr at selv om § 5 d i seg selv ikke pålegger en ubetinget plikt til å stille konkrete krav i den enkelte anskaffelsen, forutsetter regelverket at spørsmålet om sikkerhet og beredskap er noe oppdragsgiver har tatt stilling til på et overordnet, strategisk nivå.
Fordi § 5 d er en ny bestemmelse, foreligger det per nå ingen avgjørelse fra domstolene eller Klagenemnda for offentlige anskaffelser (KOFA) som direkte tolker bestemmelsens innhold. Dette skiller § 5 d fra mange av de øvrige spørsmålene som behandles i dette kapitlet, hvor det finnes en betydelig mengde nemndspraksis å støtte seg på.
Fremstillingen av hvordan sikkerhets- og beredskapskrav skal utformes, kvalifiseres og evalueres, må derfor foreløpig bygges på analogier fra praksis knyttet til andre samfunnshensyn og til de alminnelige reglene om kravspesifikasjon, kvalifikasjon og tildeling — kombinert med veiledning fra Direktoratet for forvaltning og økonomistyring (DFØ) og Nasjonal sikkerhetsmyndighet (NSM). Denne fremgangsmåten følges gjennomgående i punkt 1.4 nedenfor.
DFØ fremhever i sin veileder til anskaffelsesregelverket at de nye bestemmelsene om sikkerhet og beredskap, sammen med formålsbestemmelsen og uttalelsene i forarbeidene, gir et tydelig signal fra lovgiver om at oppdragsgivere i større grad enn tidligere bør ta hensyn til sikkerhet og beredskap i sin anskaffelsesstrategi og i sine anskaffelsesprosesser. Denne formuleringen bør imidlertid leses med et forbehold: den rettslige forankringen i § 5 d er en «kan»-regel med en «bør»-vurdering knyttet til relevans, og spørsmålet om bruddvirkning av manglende vurdering er uavklart i kildegrunnlaget. DFØ presiserer da også at oppdragsgiver kan stille krav eller kriterier om sikkerhet og beredskap i ulike deler av anskaffelsesprosessen, og at dette bør vurderes der det er relevant — en formulering som ligger tett opptil lovens egen ordlyd.
NSM gir på sin side en anbefaling i sin veileder for ivaretakelse av sikkerhet i anskaffelser om at sikkerhet skal være en integrert del av hele anskaffelsesprosessen. NSM påpeker videre at anskaffelsesregelverket gir oppdragsgiver et stort handlingsrom for å tilpasse anskaffelsesprosessen ut fra de faktiske behov, blant annet til å stille krav og kriterier som ivaretar sikkerhets- og beredskapshensyn. Leseren bør merke seg at NSMs «skal»-formulering er en sikkerhetsfaglig anbefaling om beste praksis, ikke en gjengivelse av en ubetinget anskaffelsesrettslig plikt som gjelder i enhver anskaffelse uavhengig av relevans. Anbefalingen er faglig fornuftig og godt begrunnet i sikkerhetsfaglige hensyn, men den går lenger i språkbruk enn det den rettslige hjemmelen i § 5 d isolert sett bærer.
DFØ nevner eksempler som IT, mat, telefoni, medisiner og transport som typisk relevante kategorier for sikkerhets- og beredskapskrav. Poenget er at behovet varierer med anskaffelsens art — noen anskaffelser berører verdier som er sentrale for nasjonal sikkerhet eller grunnleggende samfunnsfunksjoner, mens andre er rutinepregede innkjøp der slike hensyn er lite eller ikke relevante. Vurderingen av om sikkerhet og beredskap er aktuelt, vil derfor alltid bero på den konkrete anskaffelsens karakter og kontekst.
Sikkerhets- og beredskapshensyn kan ikke stilles løsrevet fra det øvrige anskaffelsesregelverket. LOA § 4 fastsetter at oppdragsgiver skal opptre i samsvar med grunnleggende prinsipper om konkurranse, likebehandling, forutberegnelighet, etterprøvbarhet og forholdsmessighet. Dette er selve rammeverket som ethvert krav eller kriterium — også de som begrunnes i sikkerhet og beredskap — må holde seg innenfor.
Det bør bemerkes at § 4 etter lovendringen av 6. mars 2026 nr. 8 er vedtatt opphevet, men ikrafttredelsen av opphevelsen er overlatt til Kongen og er ennå ikke fastsatt. Inntil videre er bestemmelsen dermed gjeldende rett, og de fem prinsippene den lovfester, utgjør fortsatt selve grunnfjellet i anskaffelsesretten. Praksis knyttet til disse prinsippene beholder sin relevans uavhengig av om og når § 4 formelt oppheves, ettersom prinsippene i så fall må forventes videreført i en annen form eller plassering i regelverket.
DFØ understreker at krav og kriterier om sikkerhet og beredskap må utformes innenfor de ordinære reglene i anskaffelsesregelverket. Et sentralt praktisk poeng DFØ fremhever, er at sikkerhets- og beredskapshensyn ikke kan brukes til å skjerme nasjonale leverandører — anskaffelsen må for øvrig følge grunnprinsippene og de ordinære prosedyrene i regelverket. Sikkerhet og beredskap er et legitimt hensyn, men det kan ikke bli en bakvei til proteksjonisme eller favorisering av nasjonale aktører, noe som ville stride mot likebehandlingsprinsippet.
Sikkerhet og beredskap er ett av flere samfunnshensyn regulert i §§ 5 a til 5 p. De øvrige hensynene — miljø, menneskerettigheter, arbeidsvilkår, universell utforming med videre — har delvis andre reguleringsteknikker, med til dels sterkere pliktformuleringer enn den «kan»/«bør»-strukturen vi finner i § 5 d. Dette gjenspeiler at lovgiver har sett ulikt på hvor sterkt de ulike samfunnshensynene bør forankres som rettslig plikt kontra faglig oppfordring.
En parallell som er nyttig å ha i bakhodet, gjelder klima- og miljøhensyn. KOFA la i sak 2025/1510 (Universitetet i Stavanger) til grunn at unntaket fra plikten til å stille klima- og miljøkrav ved uvesentlig klimaavtrykk skal tolkes snevert [KOFA 2025/1510]. Ved vurderingen av om anskaffelsens art gjør at unntaket kommer til anvendelse, kan det ses hen til både generelle trekk ved anskaffelsestypen og innholdet i den konkrete leveransen [KOFA 2025/1510].
Spørsmålet er om denne snevre unntakstolkningen kan overføres analogisk til sikkerhets- og beredskapskrav etter § 5 d, slik at eventuelle unntak fra å vurdere slike krav skal tolkes tilsvarende snevert. Dette er ikke avklart i det foreliggende kildematerialet. Klimaregelen har en annen lovteknisk struktur enn § 5 d — den er utformet med en plikt og et unntak, mens § 5 d er utformet som en adgang kombinert med en oppfordring om vurdering. Analogien er derfor ikke opplagt, og rettstilstanden må her betegnes som usikker.
Et gjennomgående krav som gjelder uansett hvilket samfunnshensyn oppdragsgiver ønsker å ivareta gjennom tildelingskriterier, følger av forskriften § 18-1. Bestemmelsen fastsetter i første ledd at oppdragsgiveren skal velge tilbud på grunnlag av det beste forholdet mellom pris eller kostnad og kvalitet. Fjerde ledd stiller krav om at tildelingskriteriene skal ha tilknytning til leveransen. Tilknytning foreligger når kriteriene relaterer seg til varene, tjenestene eller bygge- og anleggsarbeidene kontrakten gjelder, herunder alle sider av og trinn i deres livssyklus, inkludert faktorer som inngår i produksjonsprosessen, leveringen eller handelen med dem eller en annen prosess i livssyklusen — også når slike faktorer ikke påvirker deres egenskaper.
Videre fastsetter femte ledd at tildelingskriteriene ikke skal være så skjønnspregede at de gir oppdragsgiveren en ubegrenset valgfrihet. Sjette ledd krever at oppdragsgiveren angir tildelingskriterienes relative vekt, og niende ledd at oppdragsgiveren angir krav til dokumentasjon for hvert tildelingskriterium.
Disse kravene utgjør selve navet i vurderingen av om et sikkerhets- eller beredskapskriterium er lovlig som tildelingskriterium, og det behandles grundig i punkt 1.4 nedenfor.
Ordlyden i § 5 d sier at oppdragsgiver kan stille krav eller kriterier «i alle ledd» av anskaffelsesprosessen. DFØs veiledning bekrefter denne systematikken: sikkerhet og beredskap kan tas i betraktning i alle ledd av anskaffelsesprosessen — kvalifikasjonskrav, kravspesifikasjon, tildelingskriterier og kontraktsvilkår [veileder: DFØ Veileder til anskaffelsesloven – 7.4 Hvil]. Forskriftene har regler for hvert av disse virkemidlene som oppdragsgiver må følge ved utforming av konkrete krav [veileder: DFØ Veileder til anskaffelsesloven – 7.4.2 Ut].
I det følgende gjennomgås hvert av disse leddene, med støtte i praksis knyttet til de alminnelige anskaffelsesreglene som § 5 d-krav må innordne seg under.
Før vi går inn i de enkelte prosessleddene, er det grunn til å fremheve det forarbeidet som bør skje allerede i planleggingsfasen. NSM anbefaler at oppdragsgiver risikovurderer anskaffelsen for å avklare sikkerhetsbehov og nødvendige tiltak. Risikovurderingen bør inneholde informasjon om hvilke av oppdragsgivers verdier anskaffelsen kan gi tilgang til, og hvilken betydning disse verdiene har for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser.
NSMs veileder i risikostyring presiserer at risikostyringsprosessen bør bestå av følgende aktiviteter: fastsetting av omfang, kontekst og kriterier; selve risikovurderingen; risikohåndtering; og overvåking og gjennomgang. Virksomheten bør avklare omfanget, konteksten og kriteriene for risikovurderingen før den igangsettes.
NSM anbefaler videre at oppdragsgiver må avklare hvilke regelverk og krav som gjelder i den konkrete anskaffelsen, og hvilket handlingsrom man har for å ta hensyn til og stille krav til sikkerhet. Dette innebærer at oppdragsgiver allerede i planleggingsfasen bør ta stilling til om anskaffelsen bare er omfattet av det alminnelige anskaffelsesregelverket med § 5 d som hjemmel, eller om det også er aktuelt med krav etter sikkerhetsloven, digitalsikkerhetsloven eller annet sektorregelverk (se punkt 1.7).
DSB anbefaler at alle virksomheter med ansvar for kritiske samfunnsfunksjoner gjennomfører helhetlig risiko- og sårbarhetsanalyse. DSB anbefaler videre bruk av kontinuitetsplanlegging for å planlegge for bortfall av innsatsfaktorer som arbeidskraft, varer og tjenester. For oppdragsgivere som er avhengige av eksterne leverandører for kritiske funksjoner, er dette en direkte relevant anbefaling: en anskaffelse bør planlegges med bevissthet om hva som skjer dersom leverandøren faller bort, og hvilke krav som kan stilles til leverandørens egen beredskap for å håndtere slike situasjoner.
OECD anbefaler at risikostyring integreres gjennom hele anskaffelsesløpet for å fange opp, vurdere og redusere risiko, og at risikostyringen ivaretar effektivitet, leveranse, kontinuitet, integritet og robusthet. NIST anbefaler at virksomheter utpeker lederansvar for risikostyring av leverandørkjeder, at slik risikostyring integreres i virksomhetens overordnede risikostyring, og at det etableres et dedikert, tverrfaglig programkontor der dette er hensiktsmessig.
Disse faglige anbefalingene gir praktisk innhold til den vurderingen som § 5 d annet punktum oppfordrer til: oppdragsgiver «bør vurdere» å stille sikkerhets- og beredskapskrav der det er relevant, og en systematisk risikovurdering i planleggingsfasen er den naturlige metoden for å avklare om — og i så fall hvilke — krav som er aktuelle.
Når sikkerhet eller beredskap formuleres som et krav i kravspesifikasjonen — for eksempel krav om en bestemt sertifisering, en teknisk sikkerhetsfunksjon eller akkreditert testing — må kravet stå i forhold til anskaffelsens formål og verdi. Krav i en kravspesifikasjon om sikkerhet og beredskap skal ha tilknytning til leveransen og stå i forhold til anskaffelsens formål og verdi, jf. anskaffelsesforskriften § 15-1 [veileder: DFØ Veileder til anskaffelsesloven – 7.4.2 Ut].
Et grunnleggende skille går mellom absolutte krav (ofte omtalt som SKAL-krav eller minstekrav) og krav som åpner for gradert oppfyllelse. Dette skillet har direkte konsekvenser for om et tilbud som ikke oppfyller kravet, skal avvises.
Oslo byfogdembete behandlet i sak 16-082523TVI-OBYF et tilfelle som illustrerer hvor strengt absolutte sikkerhetskrav håndheves [tingretten 16-082523TVI-OBYF]. Saken gjaldt en stor åpen anbudskonkurranse utlyst av Arbeids- og velferdsdirektoratet (NAV) om parallelle rammeavtaler for manuelle rullestoler og elektriske drivhjul, med en anslått verdi på i underkant av 600 millioner kroner. Kravspesifikasjonen stilte krav om at de manuelle rullestolene skulle være prøvet etter standarden NS-EN 12183:2009 eller nyere, og at prøvingslaboratoriet måtte være akkreditert for metodene i denne standarden på prøvingstidspunktet.
Leverandøren Sunrise Medical AS leverte tilbud på en rekke poster. For flere av postene var produktene testet hos TÜV Nord Cert GmbH, som var akkreditert etter den generelle laboratoriestandarden ISO/IEC 17025, men som ikke hadde akkreditering for den konkrete rullestolstandarden. NAV innhentet bekreftelse på dette fra både laboratoriet og det tyske akkrediteringsorganet, og avviste deretter tilbudet som vesentlig avvik fra kravspesifikasjonen. Sunrise begjærte midlertidig forføyning for å stanse kontraktsinngåelsen.
Retten la til grunn at begrepet «avvik fra kravspesifikasjonene» må forstås vidt, og at det avgjørende var om konkurransegrunnlaget objektivt måtte forstås slik at det oppstilte et absolutt minstekrav. Retten fant at ordlyden i konkurransegrunnlaget klart etablerte et slikt absolutt krav til akkreditering for den spesifikke standarden, selv om kravet ikke var uttrykkelig omtalt som «minstekrav». At rullestolene sannsynligvis oppfylte kravene til egenskaper, ytelser og sikkerhet i praksis, var ikke avgjørende — selve akkrediteringskravet var et formelt krav som enten var oppfylt eller ikke. Retten la også vekt på at å akseptere tilbudet kunne true likebehandlingen, fordi andre leverandører kunne ha innrettet seg annerledes dersom kravet ikke hadde vært absolutt. Avklaringsadgangen kunne heller ikke brukes til å «reparere» et absolutt avvik. Begjæringen om midlertidig forføyning ble ikke tatt til følge [tingretten 16-082523TVI-OBYF].
Saken viser at absolutte sikkerhetskrav — her krav om akkreditert testing — håndheves strengt, og at oppdragsgiver har avvisningsplikt når kravet ikke er oppfylt. Det spiller ingen rolle at den tilbudte ytelsen funksjonelt kan tenkes å oppfylle de underliggende sikkerhetskravene; er det formelle kravet i kravspesifikasjonen formulert som et absolutt vilkår, er det dette vilkåret som er styrende.
Denne strenge linjen bekreftes av klagenemnda i to nyere avgjørelser om absolutte krav. KOFA-sak 2024/1043 (Kinn kommune) gjaldt en åpen anbudskonkurranse om anskaffelse av en brann- og redningsbåt til Kinn brann og redning, med en estimert verdi på 2,8 millioner kroner [KOFA 2024/1043]. Kravspesifikasjonen inneholdt en rekke krav klassifisert som A-krav eller B-krav, og det fremgikk eksplisitt at «Alle A-krav skal oppfyllast». Leverandøren Hatløy Maritime AS hadde selv krysset av «DELVIS» på tre A-krav: kravet om ankertau (tilbød 40 meter mot krevde 75 meter), kravet om rorindikator i instrumentpanelet (kunne ikke tilby rorindikator for utenbordsmotor), og kravet om batterier (tilbød ett startbatteri i stedet for to).
Nemnda tok utgangspunkt i ordlyden «Alle A-krav skal oppfyllast» og konstaterte at A-kravene fungerte som minstekrav. At det ikke eksplisitt sto at manglende oppfyllelse ville føre til avvisning, var ikke avgjørende: kravenes karakter og plassering i kravspesifikasjonen gjorde det utvilsomt at de var absolutte. Nemnda konkluderte med at tilbudet inneholdt vesentlige avvik fra anskaffelsesdokumentene, og at avvisningsplikten i anskaffelsesforskriften § 24-8 første ledd bokstav b var rettmessig utløst. Nemnda fastslo også at sen avvisning ikke i seg selv utgjorde et selvstendig brudd på regelverket — oppdragsgiver kan avvise på ethvert tidspunkt i konkurransen når vilkårene er til stede [KOFA 2024/1043].
For en oppdragsgiver som stiller sikkerhetskrav i form av A-krav i kravspesifikasjonen, er denne saken en tydelig påminnelse: er kravet formulert som absolutt, er det absolutt. Leverandøren som krysser av for delvis oppfyllelse, har selv dokumentert avviket, og oppdragsgiver har plikt til å avvise.
KOFA-sak 2024/424 (Oslo kommune v/ Bymiljøetaten) illustrerer den samme linjen fra en noe mer teknisk vinkel [KOFA 2024/424]. Saken gjaldt en rammeavtale for kjøp av fotballmål og reservedeler til Oslo kommunes over 180 fotballbaner, med en estimert verdi på 9,6 millioner kroner. Alle krav i kravspesifikasjonen var angitt som absolutte SKAL-krav. Post 11 krevde at nettkroker skulle være «løse og utskiftbare», og i prisskjemaet ble leverandørene bedt om å prise 20 000 enkle nettkroker som reservedeler.
Klager, PST Sportsanlegg AS, tilbød et produkt kalt ComFix — et integrert, forseglet skinnesystem der nettet låses innvendig i stolpeprofilen og hele skinnen må byttes ved behov, ikke enkeltkomponenter. Klager hadde selv omtalt produktet som et «krokfritt integrert nettfeste» — altså en løsning som ifølge sin egen betegnelse var «fri for kroker». Nemnda la til grunn at en alminnelig språkforståelse av «nettkroker» betegner enkeltvis monterte kroker som kan byttes ut individuelt, og at konkurransegrunnlaget lest i sammenheng — herunder prisskjemaets krav om prising av enkle nettkroker og kravspesifikasjonens krav om reservedeler til eksisterende mål — tilsa at nettkrokene skulle kunne skiftes ut enkeltvis.
Nemnda konkluderte med at ComFix-løsningen avvek fra det absolutte SKAL-kravet, og at avvisningen var rettmessig. Det er verdt å merke seg nemndas tilnærming til dokumentasjonskrav med ordlyden «tilstrekkelig beskrivelse/dokumentasjon»: slike krav gir oppdragsgiver et visst skjønnsrom, og begrunnede faglige analogier i tilbudet — for eksempel at et større mål med større vindbelastning automatisk dekker stabilitetskravene for et mindre mål — kan oppfylle dokumentasjonskravet uten at det foreligger eksplisitt testing av hvert enkelt produkt. Men dette gjelder dokumentasjon av oppfyllelse, ikke fravikelse av absolutte krav [KOFA 2024/424].
Samme tolkningsprinsipp — objektiv og streng fortolkning av absolutte krav — finner vi allerede i KOFA-sak 2008/88 (Helse Sør-Øst RHF) [KOFA 2008/88]. Saken gjaldt en åpen anbudskonkurranse om anskaffelse av trådløst temperaturovervåkingssystem for Nye Akershus Universitetssykehus. Kravspesifikasjonen forutsatte at systemet hadde «eget lisensiert frekvensområde for sendeutstyret», slik at interferens med annet trådløst utstyr ved sykehuset ikke kunne forekomme. Kravet var plassert under seksjonen «krav som skal oppfylles», men var ikke eksplisitt merket som minstekrav.
Det viste seg at ingen av de to gjenværende tilbudene oppfylte frekvenskravet. Valgte leverandør oppga å ha «en egen lisensiert frekvens» fra Post- og teletilsynet, men dette var ikke et eksklusivt frekvensbånd slik oppdragsgiver hadde forutsatt. Klager benyttet det lisensfrie ISM-båndet. Oppdragsgiver erkjente feiltolkningen etter påpekning fra klager, men opprettholdt tildelingen med den begrunnelse at begge tilbud sto likt på dette punktet og at kravet ikke var avgjørende for evalueringen.
Nemnda avviste denne tilnærmingen. Oppdragsgiver kan ikke «reparere» en manglende avvisning ved å nedtone kravets betydning i ettertid. Kravet var av en slik sentral karakter — det gjaldt selve forutsetningen for at systemet kunne fungere trygt i et sykehusmiljø — at avvik fra det var vesentlig selv uten eksplisitt minstekravsmerking. Siden ingen av de gjenværende tilbudene oppfylte kravet, skulle oppdragsgiver ha avlyst konkurransen [KOFA 2008/88].
For praktikere som arbeider med sikkerhetskrav, er denne saken viktig av to grunner. For det første viser den at et sikkerhetskrav kan ha tilstrekkelig sentralitet til å utløse avvisningsplikt selv uten at det er formelt betegnet som et minstekrav, dersom kravets plassering og karakter gjør det klart at det dreier seg om en grunnleggende forutsetning for leveransen. For det andre illustrerer den at oppdragsgiver ikke kan redde en evaluering der et slikt krav er brutt, ved å hevde at avviket ikke var avgjørende for resultatet — er kravet vesentlig, er avvisningsplikten absolutt.
De fire sakene som er gjennomgått ovenfor, tegner opp en klar linje: absolutte sikkerhetskrav formulert i kravspesifikasjonen håndheves strengt, uavhengig av om kravet er merket som «minstekrav», «A-krav» eller «SKAL-krav», så lenge kravets karakter og plassering gjør det klart for en rimelig opplyst og normalt påpasselig leverandør at det er absolutt. Avvik medfører avvisningsplikt. Avklaringsadgangen kan ikke brukes til å reparere avviket. Oppdragsgiver kan ikke i ettertid nedtone kravets betydning for å unngå avvisning. Og der ingen tilbud oppfyller kravet, skal konkurransen avlyses.
Samtidig er utgangspunktet at oppdragsgiver som hovedregel kan stole på opplysningene i tilbudet uten ytterligere kontroll, med mindre det foreligger en særlig foranledning til å undersøke nærmere [KOFA 2024/424].
Et spørsmål som kan oppstå i praksis, er om funksjonell likeverdighet kan oppfylle et sikkerhetskrav. Svaret beror på hvordan kravet er utformet: er det formulert som et absolutt konstruksjonskrav (for eksempel krav om en bestemt sertifisering), kan ikke en annen løsning uten videre aksepteres som likeverdig. Er det derimot formulert som et funksjonskrav (for eksempel krav om at en løsning skal oppnå et bestemt sikkerhetsnivå), kan en alternativ løsning som oppnår det ønskede sikkerhetsnivået, potensielt godtas — men dette beror på en konkret vurdering av kravets ordlyd og formål [KOFA 2024/424; KOFA 2024/1043].
En praktisk konsekvens av dette systemet er at avklaringsadgangen har klare grenser. KOFA uttalte i sak 2009/243 (Statens vegvesen) at avvisningsplikt kan inntre når et tilbud inneholder et markant avvik fra konkurransegrunnlaget som skaper tvil om hvordan tilbudet skal bedømmes i forhold til øvrige tilbud, og at oppdragsgiver ikke kan avklare bort et slikt avvik på en måte som innebærer forhandling og endring av forutsetninger av betydning for konkurranseforholdet [KOFA 2009/243]. Overført til sikkerhetskrav betyr dette at oppdragsgiver ikke kan la en leverandør «etterjustere» tilbudet til å oppfylle et absolutt sikkerhetskrav etter tilbudsfristen — avklaringsadgangen skal brukes til å klargjøre, ikke til å reparere.
Kvalifikasjonskrav knyttet til sikkerhetsrelatert kompetanse, erfaring eller gjennomføringsevne følger av de alminnelige reglene om avvisning på grunn av forhold ved leverandøren. FOA § 24-2 første ledd bokstav a fastsetter at oppdragsgiveren skal avvise en leverandør som ikke oppfyller kvalifikasjonskravene. Dette er en avvisningsplikt, ikke en avvisningsadgang — møter leverandøren ikke kvalifikasjonskravet, skal leverandøren avvises.
I tillegg gir § 24-2 andre og tredje ledd en rekke avvisningsgrunner som kan ha direkte relevans for sikkerhetsvurderinger. Obligatorisk avvisning skal skje ved rettskraftige dommer for blant annet korrupsjon, bedrageri, terrorhandlinger, hvitvasking og menneskehandel (andre ledd). Frivillig avvisning kan skje ved for eksempel alvorlige brudd på bestemmelser om arbeid eller miljø, vesentlig kontraktsbrudd, grovt uriktige opplysninger, eller forsøk på å påvirke oppdragsgivers beslutninger eller skaffe seg tilgang til fortrolige opplysninger (tredje ledd). Flere av disse avvisningsgrunnene har åpenbare berøringspunkter med sikkerhetshensyn — en leverandør som er dømt for korrupsjon eller terrorfinansiering, eller som har forsøkt å få tilgang til fortrolige opplysninger, vil typisk representere en sikkerhetsrisiko utover den rene avvisningsgrunnen.
KOFA-sak 2025/1455 (Sunnfjord kommune) gir en grundig behandling av grensene for kvalifikasjonsvurderingen i en sikkerhetsrelatert anskaffelse [KOFA 2025/1455]. Saken gjaldt en åpen anbudskonkurranse for sikringstiltak mot skred for boligfeltet Vikagarden på Skei, med en estimert verdi på 28 millioner kroner. Oppdraget besto i etablering av om lag 750 meter skredvoller, sprengningsarbeider, mur- og plastringsarbeider, masseflytting og omlegging av skogsvei. Ti leverandører leverte tilbud. Tildelingskriteriene var tilbudssum (vektet 80 prosent) og kvalitet på organisering og nøkkelpersonells kompetanse (vektet 20 prosent).
Klager, Ottar Dvergsdal AS, bestred at valgte leverandør Mestas referanseprosjekter oppfylte kvalifikasjonskravet om kompetanse og erfaring. Nemnda la til grunn at kvalifikasjonskravet skal tolkes slik en rimelig opplyst og normalt påpasselig leverandør ville forstått det, og at oppdragsgiver må forholde seg strengt til det oppstilte kravet, under henvisning til Høyesteretts dom i HR-2022-1964-A (Flage Maskin). Samtidig er det dokumentasjonskravet som belyser kvalifikasjonskravets innhold — manglende dokumentasjon utløser ikke i seg selv avvisningsplikt dersom det underliggende kravet faktisk er oppfylt. Nemnda fant at valgte leverandørs referanseprosjekter lå innenfor den oppstilte tidsrammen og at oppdragsgivers vurdering av vesentlighetskravet for mur- og plastringsarbeid ikke var uriktig, og konkluderte med at det ikke forelå avvisningsplikt [KOFA 2025/1455].
Saken er imidlertid vel så viktig for det den sier om tildelingsevalueringen. Under tildelingskriteriet om nøkkelpersonells kompetanse hadde oppdragsgiver angitt at både CV med utdanning og referanseprosjekter skulle inngå som evalueringsgrunnlag. I praksis gjennomførte kommunen evalueringen «i hovudsak» gjennom referansesjekk, og innrømmet at CV-ene ikke ga grunn til å skille tilbudene. Nemnda fastslo at CV-er uansett skal inngå med en viss vekt, og at det ikke var dokumentert — verken i evalueringsnotatet eller i ettertid — at CV-ene faktisk var vektlagt. Dette utgjorde et brudd på regelverket [KOFA 2025/1455].
Et ytterligere poeng gjaldt oppdragsgivers vektlegging av egne erfaringer med klagers tilbudte prosjektleder. Nemnda aksepterte at oppdragsgiver kan vektlegge egne erfaringer, men stilte skjerpede krav til saksbehandlingen: det kreves at erfaringene dokumenteres på en måte som muliggjør etterprøving av likebehandling og objektivitet. Referanseuttalelsen i saken inneholdt en rekke generelle og delvis uspesifiserte negative karakteristikker, og kommunen hadde ikke dokumentert hvilke deler av uttalelsen som ble filtrert bort som subjektive og hvilke som ble vektlagt. Dette utgjorde et selvstendig brudd på det skjerpede saksbehandlingskravet [KOFA 2025/1455].
For praktikere som stiller kvalifikasjonskrav knyttet til sikkerhetserfaring eller -kompetanse, gir denne saken tre viktige lærdommer. For det første: kvalifikasjonskrav og dokumentasjonskrav har ulike funksjoner — dokumentasjonen belyser kravet, men manglende dokumentasjon er ikke det samme som manglende oppfyllelse av det underliggende kravet. For det andre: der tildelingskriteriet angir flere evalueringselementer (her CV og referanser), må alle elementene faktisk tillegges dokumenterbar vekt. For det tredje: egne erfaringer med leverandørens nøkkelpersonell kan lovlig vektlegges i evalueringen, men saksbehandlingen må være grundig nok til at det er mulig å etterprøve at vurderingen er objektiv og ikke farget av subjektive oppfatninger.
Borgarting lagmannsrett behandlet i sak LB-2025-26330 et tilfelle som belyser grensen mellom tilstrekkelig og utilstrekkelig dokumentasjon av gjennomføringsevne i en sikkerhetsnær kontekst [LB-2025-26330]. Saken gjaldt en åpen anbudskonkurranse om rammeavtale for levering av IKT-ansvarlige tjenester til skolene i Oslo, med en estimert verdi på 50 millioner kroner. Kvalifikasjonskravet gjaldt «god gjennomføringsevne», med krav om oversikt over personell som skulle benyttes og en beskrivelse av leverandørens samlede kompetanse.
Sagene Data ble tildelt kontrakten, men Experis, som kom på andreplass, bestred at Sagene Data oppfylte kvalifikasjonskravet. Det viste seg at flere av de oppgitte personene ikke var ansatte hos Sagene Data. Etter at kommunen ble gjort oppmerksom på dette, ba den om nærmere opplysninger. Sagene Data bekreftet at konsulentene som skulle benyttes ville være fast ansatte ved kontraktsoppstart, og at selskapet hadde et «stort arbeidsteam stående klare». Kommunen godtok dette og inngikk kontrakt.
Lagmannsretten fant at kommunen skulle ha avvist Sagene Data. Kravet måtte forstås slik at leverandøren måtte sannsynliggjøre at den ville ha tilstrekkelig kvalifisert personell tilgjengelig ved oppstart av rammeavtalen, og at leverandøren måtte ha dokumentert en form for råderett over de aktuelle ressursene allerede på tilbudstidspunktet. E-postene fra Sagene Data inneholdt verken navn, titler, kompetansebevis, fagbrev eller forpliktelseserklæringer — generelle fremtidsutsagn om bemanning var ikke tilstrekkelig.
Likevel ble kommunen frifunnet for erstatningskravet, fordi bruddet — under noe tvil — ikke ble ansett som tilstrekkelig kvalifisert etter normen i Høyesteretts dom HR-2019-1801-A (Fosen-Linjen). Lagmannsretten la særlig vekt på at kommunen hadde avventet kontraktsinngåelsen til tingretten hadde behandlet begjæringen om midlertidig forføyning og der kommet til at det ikke forelå brudd. At lagmannsretten kom til et annet resultat, betydde ikke at kommunen kunne klandres for å ha lagt tingrettens vurdering til grunn [LB-2025-26330].
Denne saken er relevant for sikkerhetsbemannede kontrakter av to grunner. For det første viser den at krav om gjennomføringsevne tolkes i lys av kontraktens karakter — er det tale om en kontrakt som krever kvalifisert personell fra dag én, holder det ikke med generelle løfter om fremtidig rekruttering. For det andre illustrerer den at selv et klart anskaffelsesbrudd ikke automatisk utløser erstatningsansvar; det kreves en kvalifiseringsvurdering der blant annet oppdragsgivers aktsom fremferd kan være utslagsgivende.
NSM anbefaler at det ved tjenesteutsetting som minimum undersøkes om leverandøren har et etablert styringssystem for informasjonssikkerhet og eventuelt sertifisering i henhold til internasjonale standarder, for eksempel ISO/IEC 27001, og om leverandøren har utviklingsplaner for fremtidig sikkerhetsfunksjonalitet i tjenestene i tråd med utviklingen i teknologi og trusselbildet over tid. Disse anbefalingene kan gi nyttig veiledning for utformingen av sikkerhetsrelaterte kvalifikasjonskrav, men oppdragsgiver må påse at kravene er forholdsmessige og ikke stenger ute leverandører som reelt sett har tilstrekkelig sikkerhetsnivå uten å ha den konkret nevnte sertifiseringen.
Et praktisk spørsmål som reiser seg i sikkerhetssensitive anskaffelser, er om oppdragsgiver kan kreve at leverandøren har sikkerhetsklarering eller autorisasjon allerede ved tilbudsfristen, og om et slikt krav kan innebære en unødvendig konkurransebegrensning.
Spørsmålet er reist i KOFA-sak 2025/1893, men er per nå ikke avgjort [KOFA 2025/1893]. Rettstilstanden er dermed usikker på dette punktet. NSM påpeker at terskelen for leverandørklarering er høy, og at det stilles strenge krav til nødvendigheten av tiltaket. Den nøyaktige terskelen for når leverandørklarering er nødvendig og forholdsmessig, er imidlertid ikke rettslig avklart i det foreliggende kildematerialet.
Det kan anføres at et slikt krav er saklig begrunnet i tilfeller der leverandøren fra dag én må ha tilgang til sikkerhetsgradert informasjon. Samtidig kan kravet virke sterkt konkurransebegrensende dersom klarering tar lang tid å oppnå, slik at bare leverandører som allerede har klarering, reelt kan delta. Oppdragsgivere bør derfor utvise særskilt aktsomhet når krav om sikkerhetsklarering stilles som vilkår allerede ved tilbudsfrist, og vurdere om kravet kan oppnås ved å sette klarering som kontraktsvilkår med rimelig frist etter tildeling i stedet.
Et beslektet spørsmål er om dokumentasjonsfristen for sikkerhetstillatelser eller autorisasjoner kan settes så kort at bare eksisterende tillatelsesinnehavere reelt kan delta [KOFA 2019/231]. Også dette er et typetilfelle der det må gjøres en konkret forholdsmessighetsvurdering med utgangspunkt i LOA § 4.
Dette er trolig det mest krevende og mest interessante spenningsfeltet i systematikken, og det er her praksis tegner de klareste linjene mellom lovlige og ulovlige beredskapskriterier. Utgangspunktet er, som nevnt i punkt 1.3, forskriften § 18-1 fjerde ledd: tildelingskriteriene skal ha tilknytning til leveransen. Det springende punktet er hvor grensen går mellom et sikkerhets- eller beredskapskriterium som er tilstrekkelig knyttet til den konkrete leveransen (og dermed lovlig), og et kriterium som i realiteten ivaretar et selvstendig samfunnsformål utenfor kontraktens gjenstand (og dermed ulovlig).
Den avgjørelsen som tydeligst trekker grensen mellom lovlig kontraktsnær beredskap og ulovlig samfunnsberedskap som tildelingskriterium, er KOFA-sak 2006/78 (Kragerø kommune) [KOFA 2006/78]. Saken gjaldt en konkurranse med forhandling om taxibåttransport for kommunens ansatte og politikere, med to års varighet og opsjon på forlengelse. Blant de uprioriterte tildelingskriteriene var, foruten pris, produktkvalitet, leveringsbetingelser, referanser, tilgjengelighet og service, kriteriet «allmennheten sikres en døgnkontinuerlig vaktordning». To tilbud ble mottatt. Klager innga tre varianter, hvorav kun det første — som inkluderte både kommunal kjøring og en fastprispakke for allmennhetens vaktordning på 602 000 kroner — ble ansett å samsvare med konkurransegrunnlaget.
Nemnda bygget på EU-domstolens uttalelse i sak C-19/00 om at oppdragsgivers valg av tildelingskriterier bare kan knytte seg til kriterier som tar sikte på å identifisere det økonomisk mest fordelaktige tilbudet. Nemnda tolket det aktuelle kriteriet slik at det hadde et selvstendig formål — å bidra til at allmennheten fikk et sammenhengende taxibåttilbud — og at dette formålet ikke var knyttet til å identifisere det beste tilbudet for kommunens eget transportbehov. Kommunen anførte at formannskapet ikke ønsket ensidig vektlegging av pris, men nemnda presiserte at «kommunens rolle som samfunnsutvikler kan ikke endre på dette» [KOFA 2006/78].
Nemnda la til grunn to sentrale prinsipper. For det første må et tildelingskriterium ha som formål å identifisere det økonomisk mest fordelaktige tilbudet sett i relasjon til kontraktens gjenstand. For det andre er et kriterium som ivaretar et selvstendig samfunnsformål utenfor kontraktens gjenstand, ulovlig som tildelingskriterium, med mindre formålet er integrert i selve kontraktsgjenstanden og klargjort for tilbyderne. Et slikt formål kan enten gjøres til en del av selve kontraktsgjenstanden eller forfølges gjennom en separat anskaffelse, men i begge tilfeller må forutsetningene klargjøres for tilbyderne [KOFA 2006/78].
I tillegg fant nemnda at kommunen hadde brutt kravene til etterprøvbarhet og gjennomsiktighet ved ikke å dokumentere evalueringen av de øvrige tildelingskriteriene — av anskaffelsesprotokollen fremgikk det ikke hvordan kriteriene utenom pris og døgnkontinuerlig vaktordning for allmennheten var evaluert [KOFA 2006/78].
Saken er selve grunnmuren i vurderingen av lovlige kontra ulovlige beredskapskriterier: spørsmålet er alltid om beredskapen oppdragsgiver ønsker å premiere, er en del av det oppdragsgiver faktisk kjøper gjennom kontrakten, eller om det egentlig er et politisk eller samfunnsmessig mål som forsøkes ivaretatt gjennom en anskaffelsesprosess det ikke naturlig hører hjemme i.
Motsetningen til Kragerø-saken er tilfeller der beredskap er formulert som en del av den leveransen oppdragsgiver faktisk kjøper. Her er kriteriet direkte knyttet til kontraktens gjenstand, og det er ingen spenning mot tilknytningskravet.
KOFA-sak 2023/545 (Kristiansund kommune) er illustrerende [KOFA 2023/545]. Saken gjaldt en konkurranse med forhandling for anskaffelse av totalentreprise for oppføring av ny brannstasjon, med en estimert verdi på 121,6 millioner kroner. Kommunen åpnet for to tilbudstyper: tilbud på kommunens egen regulerte tomt og tilbud med alternativ tomt innenfor et avgrenset geografisk område. Tildelingskriteriene var pris (60 prosent) og kvalitet (40 prosent), og under kvalitet inngikk blant annet underkriteriet «tomtens kvalitet», som skulle vurderes etter veisystem, kjøretid til riksvei, mulighet for alternativ kjørerute og tilgang til sjø og beredskapsbåt.
Klager, SH30 Eiendom AS, anførte at tildelingskriteriet om tomtens kvalitet — herunder tilgang til beredskapsbåt — manglet tilknytning til leveransen og at konkurransen måtte avlyses. Nemnda var ikke enig. Kriteriet om tomtens kvalitet — vurdert etter blant annet tilgang til sjø og beredskapsbåt — var egnet til å bedømme egenskaper ved den brannstasjonen som faktisk skulle leveres. Kriteriet hadde dermed «den nødvendige tilknytningen til leveransen», fordi det la opp til en vurdering av sterke og svake sider ved ytelsen som skulle tilbys. Nemnda presiserte også at oppdragsgiver anskaffelsesrettslig «står helt fritt» til å løse sitt behov på én bestemt måte — at det var vanskeligere å levere et konkurransedyktig tilbud med alternativ tomt, utgjorde ikke i seg selv en urimelig konkurransefordel [KOFA 2023/545].
Saken viser at beredskapshensyn — som tilgang til sjø og beredskapsbåt for en brannstasjon — faller klart innenfor når de er integrert i den ytelsen kontrakten gjelder. Det avgjørende er at beredskapen er en egenskap ved det som skal leveres, ikke et fritt flytende samfunnshensyn.
En beredskapsvakt eller døgnkontinuerlig beredskap formulert som del av den tjenesten oppdragsgiver kjøper (kontraktsnær beredskap), er dermed et typisk innenfor-tilfelle [KOFA 2006/78; KOFA 2023/545].
Kontrasterer man de to sakene, trer grensen tydelig frem. I Kragerø-saken gjaldt kontrakten taxibåttransport for kommunens egne ansatte, mens tildelingskriteriet om døgnkontinuerlig vaktordning rettet seg mot allmennhetens tilbud — et formål som lå utenfor kontraktens gjenstand. I Kristiansund-saken gjaldt kontrakten bygging av en brannstasjon, og tilgang til beredskapsbåt var en funksjonell egenskap ved den brannstasjonen som faktisk skulle bygges — en del av kontraktens gjenstand. Den ene saken endte med brudd, den andre uten.
Selv om et beredskapskriterium i utgangspunktet har tilknytning til leveransen, er det en forutsetning at det fremgår klart av konkurransegrunnlaget hva som vektlegges og hvordan. Praksis viser gjentatte ganger at ukunngjorte eller uklare tildelingskriterier fører til brudd, uavhengig av om hensynet bak kriteriet i seg selv er legitimt.
KOFA-sak 2004/189 (Nome kommune) er et tydelig eksempel på hva som skjer når kriteriene ikke er tilstrekkelig klarlagt for leverandørene [KOFA 2004/189]. Saken gjaldt en åpen anbudskonkurranse om forprosjektering av nytt vannverk. Konkurransegrunnlaget opplyste at tildelingskriteriene ville følge en bransjemal «med noen endringer», og fremhevet utvalgte kriterier som kompetanse, leveringstid, pris og referanser. I evalueringen benyttet kommunen imidlertid to kriterier fra bransjemalen som ikke var eksplisitt angitt i konkurransegrunnlaget: «Nærhet» og «Oppdragsgivers erfaring med rådgiveren». Klager ble gitt karakter null på det sistnevnte kriteriet fordi kommunen ikke hadde brukt rådgiveren tidligere.
Nemnda fant brudd på forutberegnelighetskravet ved at det ikke var gitt tilstrekkelig klare opplysninger om hvilke tildelingskriterier som ville bli anvendt. En henvisning til en bransjeorganisasjons standardmal «med noen endringer» var ikke tilstrekkelig uten at samtlige relevante kriterier var eksplisitt identifisert. Kriteriet «Oppdragsgivers erfaring med rådgiveren» ble dessuten ansett stridende mot likebehandlingsprinsippet, fordi tilbydere uten tidligere oppdrag for kommunen systematisk ble gitt lavere score. I tillegg hadde kommunen ensidig lagt til et antatt tilleggshonorar i klagers tilbudssum — en uhjemlet endring av pristilbudet i strid med forbudet mot endring av innkomne tilbud [KOFA 2004/189].
For beredskapskriterier betyr denne saken at kriterier som «nærhet» eller «erfaring med oppdragsgiver» — som kan ha en begrunnelse i beredskapshensyn — er ulovlige dersom de ikke er uttrykkelig kunngjort. Og selv om de er kunngjort, må de formuleres slik at de ikke systematisk favoriserer leverandører med en forhåndsrelasjon til oppdragsgiver, noe som vil stride mot likebehandlingsprinsippet.
KOFA-sak 2009/109 (Buskerud fylkeskommune) illustrerer det samme prinsippet i en enklere variant [KOFA 2009/109]. Saken gjaldt en konkurranse med forhandling om anskaffelse av storkjøkkenutstyr og montasje for to faglinjer ved en skole. Kunngjøringens punkt IV.2 fremgikk det entydig at kontrakt ville bli tildelt på grunnlag av laveste pris. Tre tilbud ble mottatt. Klager, Metos AS, hadde laveste tilbudssum — omtrent 7 000 kroner lavere enn valgte leverandør. Likevel tildelte fylkeskommunen kontrakten til en annen leverandør under henvisning til at vedkommendes produkter hadde «bedre kvalitet og høyere effekt».
Nemnda konstaterte at dette var i strid med regelverket: når laveste pris er eneste kunngjorte tildelingskriterium, er dette uttømmende for hva oppdragsgiver lovlig kan vektlegge ved tildelingen. Å bringe inn kvalitetsaspekter på tildelingsstadiet er brudd på kravet til forutberegnelighet. Eventuelle avvik fra kravspesifikasjonen kan begrunne avvisning av et tilbud, men det var ikke anført at klagers tilbud skulle ha vært avvist. Nemnda fant også at fylkeskommunen hadde brutt plikten til å sende tildelingsmeddelelse med begrunnelse og klagefrist før kontraktsinngåelse [KOFA 2009/109].
Overført til sikkerhets- og beredskapskrav illustrerer denne saken et viktig og enkelt poeng: ønsker oppdragsgiver at sikkerhet eller beredskap skal inngå i vektingen ved tildeling, må dette fremgå eksplisitt av kunngjøringen. Sikkerhets- eller kvalitetsforskjeller mellom tilbudene kan ikke vektlegges i tildelingsrunden dersom det eneste kunngjorte kriteriet er pris.
KOFA-sak 2009/122 (Rogaland Kollektivtrafikk FKF/Kolumbus) illustrerer en beslektet, men mer subtil feiltype: tildelingskriteriet er kunngjort, men de scenarioforutsetningene som ligger til grunn for evalueringen av kriteriet, er ikke kommunisert til leverandørene [KOFA 2009/122]. Saken gjaldt en begrenset anbudskonkurranse om rutetransport med båt i Byøyene i Stavanger samt Usken og Hommersåk. Tildelingskriteriene var prioritert, med godtgjørelse per år (60 prosent) som viktigste kriterium, fulgt av blant annet «timepris ved endret ruteproduksjon» (7 prosent).
Klager, Tide Sjø AS, spurte eksplisitt 4. februar 2009 om det var lav eller høy endringspris som ville gi best uttelling — et spørsmål som ville avhenge av om ruteproduksjonen ble antatt å øke eller avta. Oppdragsgiver ga ikke et avklarende svar. Ved evalueringen la oppdragsgiver til grunn en sannsynlig nedgang i ruteproduksjonen som følge av planlagt nedleggelse av en institusjon på Lindøy, slik at høy endringspris ga best uttelling. Klager var ikke kjent med dette scenarioet.
Nemnda la til grunn at oppdragsgiver plikter å opplyse om forhold av vesentlig betydning for tilbyderne, forutsatt at tilbyderne ikke selv kan forventes å kjenne til forholdet. Ruteproduksjonen hadde ikke blitt endret av betydning siden 2002, og tilbyderne hadde dermed ikke grunnlag for å forvente større endringer. Informasjonen om den planlagte nedleggelsen var ikke allment kjent. Nemnda konstaterte at oppdragsgiver burde ha opplyst om det forventede scenarioet senest etter å ha mottatt klagers spørsmål, og at en etterfølgende revidert evaluering der begge tilbyderne fikk lik poengsum, ikke reparerte bruddet: «En forutsigbar og reell konkurranse har det ikke vært» [KOFA 2009/122].
Det er verdt å merke seg at nemnda i samme sak ikke fant brudd i evalueringen av det nærstående kriteriet «beredskapsopplegg». For beredskapsopplegget hadde valgte leverandør beskrevet konkret tilgang på 15 fartøy stasjonert i Stavanger-området, mens klager kun bekreftet at kontraktsforpliktelsene ville bli overholdt uten nærmere beskrivelse. At oppdragsgiver ga valgte leverandør bedre score på beredskapsopplegg, var innenfor det innkjøpsfaglige skjønnet — her forelå reelle forskjeller mellom tilbudene som var synlige for oppdragsgiver uten at det var nødvendig å bygge på ukommuniserte forutsetninger [KOFA 2009/122].
Kontrasten mellom de to vurderingene i samme sak er lærerik: evalueringen av beredskapsopplegget var lovlig fordi den bygget på opplysninger tilbyderne selv hadde gitt om sine ressurser og sin kapasitet. Evalueringen av timeprisen var ulovlig fordi den bygget på et scenario som ikke var kommunisert og som tilbyderne ikke kunne forventes å kjenne til. For oppdragsgivere som evaluerer beredskapskriterier, er konklusjonen klar: det er forskjell på å premiere konkret beskrevet beredskapskapasitet (lovlig) og å evaluere etter scenarioforutsetninger som leverandørene ikke kjenner til (ulovlig).
KOFAs avgjørelse i sak 2022/867 (Vadsø kommune) illustrerer et annet typetilfelle som kan oppstå i praksis: at et legitimt hensyn — som sikkerhet eller beredskap — plasseres under et tildelingskriterium som ikke naturlig dekker dette hensynet [KOFA 2022/867]. I den saken gjaldt spørsmålet om miljøhensyn (bruk av elektrisk kjøretøy) og samfunnsansvar (inkludering av flyktninger i arbeidslivet) kunne gis uttelling under et tildelingskriterium kalt «Bemanning og logistikk». Nemnda kom til at dette ikke var mulig, fordi kriteriet naturlig omfattet organisering av transport og kapasitet, og miljø var et eget underkriterium under et annet tildelingskriterium [KOFA 2022/867].
Overført til sikkerhet og beredskap betyr dette at et sikkerhetshensyn må evalueres under et kriterium som eksplisitt eller naturlig dekker sikkerhet, ikke smugles inn under et generelt kvalitetskriterium eller et kriterium om «gjennomføringsevne» dersom sikkerhet ikke naturlig faller innunder den beskrivelsen.
KOFA fant på tilsvarende vis i sak 2004/28 (Enova SF) at det foreligger brudd når et faktisk vurdert forhold — i den saken kvalitet — ikke svarer til det oppgitte tildelingskriteriet, som var leveringssikkerhet [KOFA 2004/28]. Saken er lærerik fordi den viser at et kriterium kalt «leveringssikkerhet» — et typisk beredskapsnært kriterium — bare kan brukes til å evaluere leveringssikkerhet, ikke til å smugle inn en generell kvalitetsvurdering.
Et praktisk viktig spørsmål for oppdragsgivere som ønsker å bruke sikkerhet som tildelingskriterium, gjelder grensen mellom minstekrav og tildelingskriterium. Dersom sikkerhetskravet allerede er formulert som et absolutt minstekrav i kravspesifikasjonen, kan ikke det samme kravet uten videre gjenbrukes som tildelingskriterium.
KOFA-sak 2022/587 (Vefsn kommune) er den sentrale avgjørelsen på dette punktet [KOFA 2022/587]. Saken gjaldt en åpen anbudskonkurranse for kjøp av vaskeritjenester, med en estimert verdi på 5 750 000 kroner. Rammeavtalen hadde tre års varighet med ettårig opsjon. Tildelingskriteriene var pris (50 prosent), miljø (20 prosent) og leveringssikkerhet (30 prosent). Det sistnevnte kriteriet var beskrevet som leverandørens beskrivelse av leveringssikkerhet og leveringsbetingelser «iht. krav i konkurransen», og evalueringsmetoden var forankret i «de krav som er spesifisert i kravspesifikasjonen». Kravspesifikasjonen inneholdt tolv minstekrav under overskriften «Leveringsbetingelser».
Nemnda konstaterte at minstekravene fremsto som nettopp det — minstekrav til leveransen — og at formuleringene i kravspesifikasjonen ikke åpnet for å vurdere meroppfyllelse. Ordlyden ga heller ikke en normalt påpasselig leverandør insentiv til å beskrive leveransen ut over det som var nødvendig for å vise at minstekravene var oppfylt. Nemnda la vekt på at klagers besvarelse viste at leverandørene ikke hadde forstått kriteriet på samme måte, og at valgte leverandør hadde fått uttelling for å beskrive hvordan minstekravene ville sikres — ikke for meroppfyllelse av dem.
Nemnda konkluderte med at tildelingskriteriet «Leveringssikkerhet» ikke var utformet slik at det ga en normalt påpasselig leverandør tilstrekkelig informasjon om hvilke egenskaper som var relevante. Klarhetskravet var ikke oppfylt, og fordi bruddet kunne ha påvirket resultatet av konkurransen, pliktet Vefsn kommune å avlyse [KOFA 2022/587].
Saken gir en direkte advarsel for oppdragsgivere som ønsker å bruke sikkerhet, beredskap eller leveringssikkerhet som tildelingskriterium: dersom det aktuelle hensynet allerede er ivaretatt gjennom minstekrav i kravspesifikasjonen, må konkurransegrunnlaget klart angi hva som gir høyere score enn minstekravet. Hva er det leverandøren kan tilby utover det obligatoriske minimumsnivået? Hva vil bli premiert, og hvordan? Uten slike anvisninger risikerer oppdragsgiver at kriteriet anses ulovlig uklart — med avlysningsplikt som konsekvens.
Leveringssikkerhet og serviceapparat kan altså lovlig brukes som tildelingskriterier, men bare når de er eksplisitt kunngjort og klart formulert slik at leverandørene forstår hva som gir uttelling utover minstekravene [KOFA 2022/587; KOFA 2003/230].
Et generelt spørsmål som melder seg for alle tildelingskriterier knyttet til sikkerhet og beredskap, er hvor grundig klagenemnda og domstolene går inn i den skjønnsmessige vurderingen oppdragsgiver har foretatt.
Oslo tingrett ga i sak 23-135746TVI-TOSL (DS Entreprenør mot Bane NOR) et sentralt bidrag [tingretten 23-135746TVI-TOSL]. Saken gjaldt en frivillig konkurranse om kontrakt for rassikring av Myrdal stasjon på Bergensbanen — altså nettopp en sikkerhetsrelevant anskaffelse. Bane NOR kunngjorde konkurransen i november 2022, og den skulle gjennomføres som konkurranse med forhandling med tildeling etter beste forhold mellom pris (50 prosent), oppdragsforståelse (25 prosent) og kvalitet (25 prosent). Tre tilbydere leverte tilbud og ble kvalifisert. I februar 2023 inviterte Bane NOR til skriftlige forhandlinger og ba om revidert tilbud, særlig knyttet til oppdaterte mengdeestimater og revidert pristilbud. DS Entreprenør leverte revidert tilbud og oppdaterte også sin redegjørelse for oppdragsforståelse. Kontrakten ble tildelt Mesta.
DS Entreprenør reiste erstatningssøksmål og anførte blant annet at Bane NOR ulovlig hadde lagt betydelig vekt på sikkerhet og HMS ved evalueringen av oppdragsforståelse, selv om dette ikke var nevnt som eget underkriterium. Tingretten avviste dette. Retten la vekt på at konkurransegrunnlaget som helhet — herunder logistikkutfordringene ved en aktiv jernbanestasjon, krav om togtransport av mannskap og utstyr, passasjertrafikk og SHA-plan — gjorde det forutberegnelig at sikkerhet ville stå sentralt i vurderingen. Retten uttalte at forutberegnelighetsprinsippet ikke krever at alle vurderingsmomenter er uttrykkelig nevnt, dersom de fremgår naturlig av konkurransegrunnlaget som helhet [tingretten 23-135746TVI-TOSL].
Retten avviste også DS Entreprenørs syn om at forhandlingsinvitasjonen åpnet for revisjon av alle tildelingskriterier. Overskriften gjaldt uttrykkelig «revisjon av pristilbud», og det ble i teksten bare bedt om nye dokumenter knyttet til pris og oppdaterte mengdeestimater. Bane NOR hadde derfor verken adgang eller plikt til å hensynta DS Entreprenørs reviderte redegjørelse for oppdragsforståelse [tingretten 23-135746TVI-TOSL].
For underkriteriet kompetanse godtok retten at Bane NOR lovlig kunne vektlegge at kontrakten gjaldt generell rassikring under krevende logistiske forhold, ikke bare erfaring med én spesifikk sikringsmetode. At Mesta fikk høy poengsum på kompetanse til tross for begrenset erfaring med stive støtteforbygninger, var derfor ikke vilkårlig eller i strid med likebehandling.
Retten konkluderte samlet med at det ikke forelå kvalifiserte brudd, og Bane NOR ble frifunnet [tingretten 23-135746TVI-TOSL].
Dommen gir to viktige retningslinjer for sikkerhetskriterier i tildelingsevalueringen. For det første er det ikke nødvendig at sikkerhet og HMS nevnes som et eget, eksplisitt underkriterium, dersom konkurransegrunnlagets øvrige innhold gjør det forutberegnelig at dette vil inngå i vurderingen. For det andre er domstolskontrollen tilbakeholden: retten prøver om evalueringen bygger på uriktig faktum, usaklige hensyn, vilkårlighet, sterk urimelighet eller strid med grunnleggende prinsipper, men overprøver ikke det innkjøpsfaglige skjønnet som sådan.
Denne tilbakeholdne prøvingslinjen bekreftes av flere avgjørelser. KOFA uttalte i sak 2023/0418 (Algetun AS) at nemnda ikke prøver tilbudskvalitet på nytt, men bare kontrollerer om oppdragsgiver har forholdt seg til tildelingskriteriene og om evalueringen er vilkårlig, sterkt urimelig eller i strid med grunnleggende prinsipper [KOFA 2023/0418]. I KOFA-sak 2025/923 (Indre Østfold kommune) understreket nemnda at leverandøren ikke har noen berettiget forventning om at ethvert fortrinn i tilbudet skal gi uttelling i poengscoren [KOFA 2025/923].
KOFA fastslo i sak 2021/1000 (K. Nordang AS) at oppdragsgiver ikke er rettslig forpliktet til å normalisere poengscore på kvalitative tildelingskriterier, men at evalueringsmetoden likevel må være egnet til å ivareta den kunngjorte vektingen mellom kriteriene [KOFA 2021/1000]. I KOFA-sak 2025/0651 (Cautus Geo AS) presiserte nemnda at konkurransegrunnlaget må være tilstrekkelig klart og utvetydig til at en rimelig opplyst leverandør forstår kravenes innhold på samme måte [KOFA 2025/0651].
Nemnda viste i sak 2020/413 (Ørland Sparebank) at egne erfaringer med en leverandør bare kan vektlegges dersom de er gjort til uttrykkelig vurderingstema og er objektivt konstaterbare [KOFA 2020/413]. Dette er særlig aktuelt der oppdragsgiver har tidligere erfaring med en leverandørs håndtering av sikkerhetssensitive leveranser: slike erfaringer kan bare inngå i evalueringen dersom konkurransegrunnlaget gjør det klart at dette er et moment, og erfaringene kan underbygges på en etterprøvbar måte.
Et EU-rettslig poeng tjener som bakteppe: Underretten uttalte i sak T-457/07 (EFSA mot Evropaïki Dynamiki) at oppdragsgiver må holde et klart skille mellom kvalifikasjonskrav og tildelingskriterier, og at tildelingen må skje på grunnlag av de kriteriene som er fastsatt i konkurransegrunnlaget [Underretten T-457/07]. Et sikkerhetsforhold hører enten hjemme i kvalifikasjonsvurderingen (er leverandøren egnet?) eller i tildelingsevalueringen (hvor godt er tilbudet?), men ikke begge steder samtidig uten en klar begrunnelse.
To nyere avgjørelser fra KOFA, begge gjeldende Time kommune (sakene 2025/176 og 2025/0160), bekrefter det samme prinsippet fra motsatt side: her fant nemnda brudd fordi tildelingskriteriene ikke hadde tilstrekkelig tilknytning til leveransen [KOFA 2025/176; KOFA 2025/0160]. Nemnda understreket i begge sakene at tildelingskriterier må ha tilknytning til leveransen og ikke gi oppdragsgiver ubegrenset valgfrihet, og at oppdragsgivers skjønn ved utforming av kriterier riktignok er vidt, men begrenset av kravene til likebehandling, forutberegnelighet og etterprøvbarhet [KOFA 2025/176; KOFA 2025/0160].
Responstid, lokal tilgjengelighet og beredskapstilgjengelighet er kriterier som ofte er praktisk relevante for beredskapshensyn, men som samtidig ligger i faresonen for indirekte å favorisere lokale eller nærliggende leverandører — noe som kan komme i konflikt med likebehandlingsprinsippet dersom det ikke er saklig begrunnet.
KOFA-sak 2011/128 (Karmøy kommune) er den sentrale avgjørelsen om når responstid lovlig kan brukes som tildelingskriterium [KOFA 2011/128]. Saken gjaldt en åpen anbudskonkurranse for arkitekttjenester til prosjektering av tilbygg og rehabilitering på Skudenes barneskole, med en anslått verdi på 300 000 kroner. Tildelingskriteriene var prosjektgjennomføring (35 prosent), pris (50 prosent) og responstid (15 prosent). Responstid ble definert som «tiden fra varsling til fremmøte» på byggeplass eller i prosjekteringsmøte. Åtte tilbud ble mottatt. Klager tilbød 24 timers responstid og fikk 3,0 poeng, mens valgte leverandør tilbød 0,5 time og fikk 10 poeng. Klager vant på pris, men tapte samlet.
Klager anførte at responstidkriteriet reelt fratok tilbydere utenfor lokalmarkedet muligheten til å vinne, og at dette utgjorde skjult diskriminering. Nemnda tok utgangspunkt i diskrimineringsforbudet etter forskriftens § 3-1 annet ledd (FOA 2006, dagens bestemmelse finnes i LOA § 4): forbudet rammer både åpenlys og skjult forskjellsbehandling som «reelt sett fører til det samme resultat». Nemnda anerkjente at et responstidkriterium «vil kunne virke forskjellig på lokale tilbydere og andre tilbydere», ettersom lokalt etablerte leverandører som utgangspunkt lettere vil score høyt.
Det avgjørende ble om bruken var saklig og objektivt begrunnet. Nemnda la til grunn at kommunen hadde dokumentert et reelt tidspress: prosjekteringsoppstart mars 2011, byggestart høst 2011, ferdigstillelse juni 2012. Arkitekten skulle delta i om lag åtte prosjekteringsmøter og ti byggemøter med møtefrekvens cirka hver fjortende dag. Nemnda viste til sin tidligere praksis om at «både praktiske og økonomiske grunner kan anses som saklig begrunnelse», og konkluderte med at hensynet til prosjektfremdrift og tett møteaktivitet ga saklig og objektivt grunnlag for å vekte responstid [KOFA 2011/128].
Saken viser at responstid er et lovlig tildelingskriterium når det er saklig og dokumentert begrunnet i anskaffelsens faktiske behov for rask fysisk tilstedeværelse. Kriteriet faller innenfor når det er forankret i konkrete forhold ved kontraktens gjennomføring — tidspress, hyppig møteaktivitet, behov for rask avklaring på stedet.
Motsetningen illustreres av det tilfellet der oppdragsgiver legger vekt på antatt responstid basert på leverandørens bosted eller lokalisering, uten at dette er uttrykkelig etterspurt og forankret i konkurransegrunnlaget. KOFA har fastslått at antatt responstid basert på leverandørens lokalisering ikke kan vektlegges dersom det ikke er uttrykkelig etterspurt og forankret i konkurransegrunnlaget [KOFA 2009/275].
Grensen går altså mellom en saklig, dokumentert vurdering av faktisk responstid som er etterspurt og forklart i konkurransegrunnlaget (innenfor, jf. Karmøy-saken), og en uuttalt antakelse om at nærhet i seg selv gir bedre beredskap (utenfor). Også KOFA-sak 2004/189 (Nome kommune) illustrerer dette: kriteriet «Nærhet» ble brukt uten uttrykkelig kunngjøring og ble ansett stridende mot likebehandlingsprinsippet [KOFA 2004/189].
Et mer utradisjonelt eksempel på hvordan beredskap kan spille en rolle i anskaffelsesprosessen, er i klassifiseringen av selve kontraktstypen.
KOFA-sak 2012/236 (Nordlandssykehuset HF) gjaldt spørsmålet om ambulansebåttjenester med døgnkontinuerlig beredskap skulle klassifiseres som en helse- og sosialtjeneste eller som en ren transporttjeneste, med den konsekvens at konkurransen lovlig kunne reserveres for ideelle organisasjoner [KOFA 2012/236]. Saken gjaldt en åpen anbudskonkurranse om rammeavtale for ambulansebåttjenester langs kysten i Nordland, begrenset til ideelle og humanitære organisasjoner. Tjenesten skulle dekke ambulansetransport, syketransport og skyss av helsepersonell til øybefolkning på fem lokasjoner i Vesterålen, Lofoten, Salten og Nordre-Helgeland. Kravspesifikasjonen stilte krav om sykelugar med fastmontert ambulanseutstyr, AMK-kommunikasjon, båretransport og døgnkontinuerlig beredskapsvakt.
Klager, Loppa Legeskyssbåter AS — en kommersiell aktør — anførte at tjenesten var en transporttjeneste på vannvei, ikke en helse- og sosialtjeneste, og at reservasjon for ideelle organisasjoner dermed var ulovlig.
Nemnda tok utgangspunkt i CPC-kode 93194 (Ambulance services) etter FNs gjeldende klassifiseringssystem. Avgjørende for tolkningen var at den oppdaterte forklaringsnoten til denne koden — i motsetning til den eldre versjonen som lå til grunn for EU-domstolens avgjørelse i sak C-76/97 (Walter Tögel) — definerer tjenesten som «services involving the transport of patients by ambulance, with or without resuscitation equipment or medical personnel». Tögel-dommens skille mellom en medisinsk del og en transportdel var dermed ikke lenger avgjørende. Spørsmålet ble i stedet om fartøyene kunne karakteriseres som ambulanser. Nemnda la til grunn at kravspesifikasjonens krav om sykelugar med fastmontert ambulanseutstyr, AMK-kommunikasjon, båreanpasset transport og døgnkontinuerlig beredskapsvakt innebar at båtene «må kunne karakteriseres som ambulanser». Alle tre oppdragskategorier — ambulansetransport, syketransport og skyss av helsepersonell — ble under ett ansett som en helse- og sosialtjeneste [KOFA 2012/236].
Saken viser at beredskapselementet — her døgnkontinuerlig tilgjengelighet med spesialisert medisinsk utstyr — kan være så dominerende for en tjenestes karakter at det påvirker hvilket anskaffelsesrettslig regime kontrakten skal underlegges. Beredskap er altså ikke bare et krav eller kriterium i tradisjonell forstand, men kan ha betydning helt tilbake til hvordan anskaffelsen klassifiseres og planlegges. For oppdragsgivere som skal klassifisere tjenester med et sterkt beredskapsinnslag, er lærdommen at klassifiseringen beror på tjenestens materielle innhold — herunder beredskapskravene — og ikke bare på det mest åpenbare aspektet ved leveransen (her: transport).
Et ytterligere spørsmål som har vært reist, er om beredskapshensyn kan begrunne unntak fra kravet om fordelingsnøkkel ved parallelle rammeavtaler.
KOFA-sak 2005/40 (Forsvarets logistikkorganisasjon/FLO) gjaldt parallelle rammeavtaler om kjøp av matvarer og næringsmidler til Forsvaret, med en estimert verdi på ca. 250 millioner kroner [KOFA 2005/40]. Det ble inngått avtaler med seks leverandører uten en fastsatt fordelingsnøkkel mellom dem. Klager, Servicegrossistene AS, anførte blant annet at avrop under avtalene utgjorde ulovlige direkteanskaffelser fordi det ikke fantes en slik mekanisme.
Nemnda bekreftet det prinsipielle utgangspunktet om at parallelle rammeavtaler uten fordelingsnøkkel innebærer en risiko for løpende ulovlige direkteanskaffelser, under henvisning til kravene om forutberegnelighet, gjennomsiktighet og etterprøvbarhet. Nemnda var imidlertid forsiktig med å trekke en endelig konklusjon: avtalene var dels ikke overlappende, og FLO viste til en gradert rapport om beredskapsmessige vurderinger av proviantetterforsyningen som nemnda ikke hadde tilgang til å etterprøve. Nemnda uttalte at den «kan ikke utelukke at det foreligger hensyn som i særlige tilfeller tilsier et unntak», og anså forholdet lite egnet for behandling [KOFA 2005/40].
Nemnda vurderte også om endringer ved utløsning av opsjoner — herunder prisreduksjon, sortimentsendringer og tilpasning til elektronisk handel — utgjorde vesentlige endringer som innebar nye kontrakter. Nemnda fant at alle endringene var hjemlet i de opprinnelige avtalenes egne bestemmelser, og at det dermed ikke forelå vesentlige endringer som utløste ny kunngjøringsplikt. Nemnda presiserte likevel at rammeavtaler normalt ikke bør overstige fire år totalt, og at FLO uansett burde kunngjøre ny konkurranse innen utløpet av 2005 [KOFA 2005/40].
Saken illustrerer at beredskapshensyn kan være et mulig unntak fra kravet om fordelingsnøkkel ved parallelle rammeavtaler, men den gir ikke tilstrekkelig grunnlag for å fastslå rekkevidden av dette unntaket med sikkerhet. Rettstilstanden er usikker, og oppdragsgivere som ønsker å fravike fordelingsnøkkelen under henvisning til beredskapshensyn, bør være forberedt på at dette kan bli utfordret rettslig. Det graderte dokumentet som FLO påberopte seg, illustrerer også en praktisk utfordring som kan oppstå i sikkerhetssensitive anskaffelser: oppdragsgivers begrunnelse kan delvis bygge på informasjon som ikke kan deles med klager eller med klageorganet, noe som gjør etterprøvbarheten vanskelig.
Sikkerhet og beredskap kan også ivaretas gjennom kontraktsvilkår — det siste av de fire leddene § 5 d og DFØs veiledning nevner [veileder: DFØ Veileder til anskaffelsesloven – 7.4 Hvil]. Kontraktsvilkår skiller seg fra tildelingskriterier ved at de ikke evalueres og poengsettes ved tildelingen, men stilles som forpliktelser leverandøren må akseptere for å inngå kontrakt, eller som løpende forpliktelser gjennom kontraktsperioden.
Dette gjør kontraktsvilkår til et fleksibelt verktøy for å sikre etterlevelse av sikkerhets- og beredskapskrav gjennom hele leveransen, ikke bare på tildelingstidspunktet. Fleksibiliteten er særlig relevant fordi trusselbildet, som beskrevet i punkt 1.8, kan endre seg i løpet av kontraktsperioden. NSM anbefaler at oppdragsgiver bør fortløpende gjennomføre vurderinger ved endringer i verdi, trussel og sårbarhet, og at kravene til hva som er forsvarlig sikkerhet, kan endre seg når risikobildet endrer seg.
Kontraktsvilkår som gir oppdragsgiver en adgang til å justere sikkerhetskravene ved vesentlige endringer i risikobildet, kan være et hensiktsmessig virkemiddel for å ivareta denne dynamikken — forutsatt at vilkåret er tilstrekkelig klart formulert til at leverandøren forstår hva som kan forventes. Alle som gjennomfører aktiviteter med betydning for sikkerhet, må ha nødvendig informasjon om risiko for sikkerhetstruende virksomhet og om sikkerhetsstyringssystemet — dette er et krav som naturlig kan speiles i kontraktsvilkår.
DFØ og NSM er samstemte om at sikkerhet og beredskap kan inngå både som tildelingskriterier og som kontraktsvilkår. NSM fremhever at virksomheten skal utføre nærmere angitte tiltak overfor de som kan få tilgang til skjermingsverdige verdier gjennom å utføre arbeid eller tjenester for virksomheten, herunder å få bekreftet identiteten deres med gyldig legitimasjon og sørge for at de kjenner til de relevante delene av styringssystemet for sikkerhet. Slike plikter lar seg naturlig omsette til kontraktsvilkår overfor leverandøren.
NSM anbefaler at risikovurderinger oppdateres etter behov og minst årlig i form av en helhetlig risikovurdering for virksomheten. Sikkerhetslovgivningen krever at virksomheten planlegger påbyggingstiltak som kan iverksettes dersom økt risiko medfører at grunnsikringstiltakene ikke er tilstrekkelige, og skadebegrensningstiltak for situasjoner som ikke kan håndteres fullt ut med de ordinære tiltakene.
Kontrollen av styringssystemet for sikkerhet skal om mulig utføres av andre enn de som har styrende eller utøvende oppgaver i det forebyggende sikkerhetsarbeidet. Disse kravene følger av sikkerhetslovgivningen og retter seg mot virksomheten selv, men de har direkte betydning for hvordan kontraktsoppfølging bør innrettes overfor leverandører som håndterer sikkerhetssensitive verdier.
LOA § 2 fastsetter at loven gjelder når en oppdragsgiver inngår vare-, tjeneste- eller bygge- og anleggskontrakter, herunder konsesjonskontrakter, eller gjennomfører plan- og designkonkurranser, med en anslått verdi lik eller over 500 000 kroner eksklusive merverdiavgift. Dette er den nedre grensen for at anskaffelsesregelverket i det hele tatt kommer til anvendelse, og dermed også den nedre grensen for når § 5 d kan påberopes som hjemmel.
Loven gjelder videre ikke for anskaffelser som kan unntas etter EØS-avtalen artikkel 123. Denne unntaksbestemmelsen gjelder anskaffelser der vesentlige sikkerhetsinteresser tilsier unntak fra regelverket som helhet — et spørsmål som befinner seg på et helt annet nivå enn § 5 d, som regulerer handlingsrommet innenfor regelverket (se punkt 1.7).
Et poeng som fortjener særlig oppmerksomhet, og som lett kan overses, er hvordan § 2 tredje og fjerde ledd behandler de ulike samfunnshensynene i §§ 5 a til 5 p forskjellig avhengig av kontraktstype.
For forsvars- og sikkerhetsanskaffelser fastsetter loven at bestemmelsene i §§ 5 a til 5 p om samfunnshensyn ikke gjelder, med mindre annet er fastsatt i forskrift. Her er § 5 d omfattet av unntaket på lik linje med de øvrige samfunnshensynsbestemmelsene — sikkerhets- og beredskapshensyn etter § 5 d gjelder altså i utgangspunktet ikke for forsvars- og sikkerhetsanskaffelser. Dette kan ved første øyekast virke paradoksalt, ettersom det nettopp er i forsvars- og sikkerhetssektoren man skulle tro sikkerhetshensyn står sterkest. Forklaringen ligger i at forsvars- og sikkerhetsanskaffelser reguleres av et eget, mer spesialisert regelverk som ivaretar sikkerhetsinteressene på sin egen måte (se punkt 1.7); § 5 d er utformet for den alminnelige anskaffelsesretten, og det ville være overflødig — og potensielt forvirrende — å la den samme bestemmelsen gjelde parallelt med det spesialiserte regelverket.
For forsynings- og konsesjonskontrakter er bildet et annet, og etter alt å dømme bevisst annerledes utformet. Loven lister opp bestemmelsene om samfunnshensyn som ikke gjelder for slike kontrakter: §§ 5 a, 5 b, 5 c, 5 e, 5 f, 5 g, 5 h, 5 i, 5 j, 5 k og 5 l. Legg merke til hva som mangler i denne opplistingen: § 5 d er ikke nevnt. Dette betyr, etter ordlyden, at sikkerhets- og beredskapshensyn etter § 5 d gjelder for forsynings- og konsesjonskontrakter, selv om de øvrige samfunnshensynene — herunder strategiplikten i § 5 a — ikke gjør det.
Dette er et lovgivervalg som fortjener å fremheves, fordi det viser at sikkerhet og beredskap er gitt en bredere rekkevidde enn de andre samfunnshensynene innenfor den alminnelige anskaffelsesretten. Forsynings- og konsesjonssektoren omfatter nettopp mange av de virksomhetene som er mest sentrale for kritisk infrastruktur — vann- og energiforsyning, transport og lignende — der behovet for å kunne stille sikkerhets- og beredskapskrav er særlig fremtredende. At lovgiver har latt § 5 d stå igjen som gjeldende for denne sektoren, mens de øvrige samfunnshensynene er unntatt, harmonerer godt med formålet bak bestemmelsen.
En logisk konsekvens av dette er at strategiplikten i § 5 a, som forutsetter at oppdragsgiver har en anskaffelsesstrategi for å ivareta samfunnshensynene i §§ 5 b til 5 p som er relevante for virksomheten, ikke gjelder for forsynings- og konsesjonskontrakter. Oppdragsgivere i denne sektoren kan altså ha adgang til å stille sikkerhets- og beredskapskrav i den enkelte anskaffelsen etter § 5 d, uten at de samtidig har en lovpålagt plikt til å forankre dette i en overordnet anskaffelsesstrategi etter § 5 a. Spørsmålet om det likevel kan utledes en vurderingsplikt fra § 5 d annet punktum for slike oppdragsgivere — ved siden av det som eventuelt følger av sektorregelverk — er foreløpig åpent.
Sikkerhetslovgivningen fastslår at virksomhetens leder har ansvaret for det forebyggende sikkerhetsarbeidet. NSM understreker at sikkerhet er et lederansvar, og utdyper at forebyggende sikkerhetsarbeid forutsetter sikkerhetsledelse gjennom overordnede føringer om verdier som må beskyttes, fordeling av ansvar og myndighet, og prinsipper.
DSB fremhever at det enkelte departement har ansvar for samfunnssikkerhet i egen sektor og for å samordne arbeidet i egen sektor med øvrig relevant arbeid. For kommuner gjelder at kommunen skal gjennomføre en helhetlig risiko- og sårbarhetsanalyse etter sivilbeskyttelsesloven med tilhørende forskrift om kommunal beredskapsplikt.
NSMs veileder for IKT-sikkerhet presiserer at hvilke anbefalinger som er relevante, vil variere fra virksomhet til virksomhet, og at mindre virksomheter i større grad må prioritere. ENISA gir tilsvarende råd og understreker at roller bør tilpasses størrelsen og virksomhetsbehovene. For oppdragsgivere som skal integrere sikkerhet og beredskap i anskaffelsesarbeidet, betyr dette at organiseringen og omfanget av sikkerhetsstyringen bør stå i forhold til virksomhetens størrelse, kompleksitet og risikobilde.
Loven åpner for at departementet i forskrift kan fastsette ytterligere unntak fra lovens virkeområde, og at loven kan gjøres gjeldende for bygge- og anleggskontrakter finansiert med mer enn 50 prosent tilskudd, samt for Svalbard med særlige tilpasninger. Disse forskriftshjemlene er generelle og ikke spesifikke for sikkerhet og beredskap, men de innebærer at det nåværende virkeområdet for § 5 d kan bli justert gjennom forskrift.
Et gjennomgående trekk i praksis er at oppdragsgiver har et vidt innkjøpsfaglig skjønn ved utforming og evaluering av sikkerhets- og beredskapskrav, men at dette skjønnet ikke er ubegrenset. Domstolskontrollen og klagenemndas kontroll er begrenset til å avdekke åpenbare feil, vilkårlighet og brudd på de grunnleggende prinsippene — ikke til å foreta en ny, selvstendig vurdering av hva som var det beste tilbudet.
Dette fremgår tydelig av Oslo tingretts dom i sak 23-135746TVI-TOSL (DS Entreprenør mot Bane NOR), som slo fast at domstolen kan prøve om evalueringen bygger på uriktig faktum, usaklige hensyn, vilkårlighet, sterk urimelighet eller strid med grunnleggende prinsipper [tingretten 23-135746TVI-TOSL]. Tilsvarende tilbakeholdenhet finner vi i klagenemndas praksis, jf. gjennomgangen i punkt 1.4 ovenfor av sakene 2021/1000 (K. Nordang AS) [KOFA 2021/1000] og 2023/0418 (Algetun AS) [KOFA 2023/0418]. Også eldre praksis fra lagmannsretten bekrefter denne linjen: Hålogaland lagmannsrett la i sak LH-2012-140306 til grunn en tilsvarende tilbakeholden prøving av oppdragsgivers innkjøpsfaglige skjønn, innenfor rammene av likebehandling, forutberegnelighet og saklighet [LH-2012-140306].
Prøvingsterskelen innebærer at oppdragsgiver har et betydelig handlingsrom til å bestemme hvilke sikkerhetskrav som skal stilles og hvordan de skal evalueres — men oppdragsgiver er bundet av de grunnleggende prinsippene, og særlig kravet om at evalueringen må være etterprøvbar og ikke vilkårlig. Oppdragsgiver som kan dokumentere en gjennomtenkt og konsekvent evaluering av sikkerhets- og beredskapshensyn, vil derfor ha en sterk posisjon dersom tildelingen utfordres rettslig.
Innenfor denne rettslig fastlagte rammen gir fagmiljøene en rekke råd om hvordan proporsjonaliteten bør vurderes i praksis.
NSM understreker at vurderingen av om en leverandør kan få tilgang til oppdragsgivers verdier, må være realistisk — ikke enhver tenkt mulighet vil være tilstrekkelig til å begrunne et sikkerhetstiltak. Dette er et fornuftig og forsvarlig råd som ligger godt innenfor det alminnelige forholdsmessighetsprinsippet.
NSM påpeker videre at terskelen for leverandørklarering er høy, og at det stilles strenge krav til nødvendigheten av et slikt tiltak. Den nøyaktige terskelen for når leverandørklarering er nødvendig og forholdsmessig, er imidlertid ikke rettslig avklart i det foreliggende kildematerialet. Spørsmålet om når krav om sikkerhetsklarering — særlig dersom det stilles som vilkår allerede ved tilbudsfrist — kan innebære en unødvendig konkurransebegrensning, er et område preget av rettslig usikkerhet (se punkt 1.4 ovenfor om det uavgjorte spørsmålet i KOFA-sak 2025/1893 [KOFA 2025/1893]). Oppdragsgivere bør utvise særskilt aktsomhet når slike krav stilles tidlig i konkurransen, og være bevisst på at kravet lett kan komme i konflikt med konkurranseprinsippet dersom det ikke er strengt nødvendig ut fra en konkret sikkerhetsvurdering.
DFØ peker på at oppdragsgiver kan bruke konkurranseutforming — for eksempel oppdeling av kontrakter — til å legge til rette for at små og mellomstore leverandører kan delta, også som et virkemiddel for å styrke lokal og regional beredskap. Dette rådet krever imidlertid en rettslig nyansering. Dersom «å styrke lokal og regional beredskap» brukes som et selvstendig samfunnsformål løsrevet fra den konkrete leveransen — for eksempel som et tildelingskriterium for regional beredskap uavhengig av kontraktens gjenstand — vil dette lett komme i konflikt med forbudet mot selvstendige samfunnsformål utenfor kontrakten, slik dette ble fastslått av KOFA i sak 2006/78 (Kragerø kommune) [KOFA 2006/78]. Tilrettelegging for små og mellomstore leverandører må skje gjennom lovlige virkemidler som kontraktsdeling og forholdsmessige kvalifikasjonskrav, og ikke som en skjult favorisering av lokale leverandører i strid med likebehandlingsprinsippet. DFØ presiserer da også at dette må skje uten å gå på bekostning av likebehandling og ikke-diskriminering.
Et tilsvarende forbehold gjelder for OECDs anbefaling om at oppdragsgivere bør bruke diversifisering av leverandører, lagring av kritiske varer og samarbeidende anskaffelser som strategier for å bygge robusthet i forsyningskjeden. Dette er internasjonalt anerkjente og faglig fornuftige strategier, men dersom de skal omsettes til konkrete tildelingskriterier eller kontraktsvilkår i en norsk anskaffelse, må disse kriteriene være eksplisitt kunngjort, ha tilknytning til leveransen etter FOA § 18-1 fjerde ledd, og ikke fremstå som et generelt beredskapstiltak løsrevet fra kontraktens gjenstand. OECDs anbefalinger er generelle og internasjonale, ikke direkte forankret i norsk anskaffelsesrett, og bør derfor omsettes med varsomhet og alltid gjennom de norske reglenes struktur for tildelingskriterier.
NSM understreker at sikkerhetsstyringssystemet skal dimensjoneres i forhold til risikoen overfor de skjermingsverdige verdiene. ENISA gir tilsvarende råd om proporsjonalitet. OECD anbefaler at risikostyringens omfang bør stå i forhold til anskaffelsens verdi og kompleksitet: for små, rutinepregede anskaffelser kan risikoene være minimale, mens risikostyring for mer komplekse eller høyt verdsatte anskaffelser kan kreve betydelig investering i tid og ressurser.
DSB presiserer at de som utarbeider konsekvenstyper og terskelverdier, må ha et bevisst og gjennomtenkt forhold til metodebruken, og at veiing av ulike konsekvenstyper innebærer et verdivalg som må gjøres med varsomhet.
Disse faglige rådene peker alle i samme retning: sikkerhets- og beredskapskravenes omfang og strenghet bør stå i et rimelig forhold til den konkrete anskaffelsens karakter, verdi og risikonivå. Denne proporsjonalitetsvurderingen harmonerer godt med forholdsmessighetsprinsippet i LOA § 4.
Som nevnt i punkt 1.5, er § 5 d ikke gjort gjeldende for forsvars- og sikkerhetsanskaffelser med mindre annet er bestemt i forskrift. Sikkerhetsgraderte anskaffelser reguleres av sikkerhetsloven kapittel 9, og forsvars- og sikkerhetsanskaffelser for øvrig reguleres av forskrift om forsvars- og sikkerhetsanskaffelser (FOSA). Slike anskaffelser har sin egen systematikk, og § 5 d er ikke den riktige hjemmelen å bruke dersom en anskaffelse i realiteten faller inn under disse regelverkene.
For anskaffelser i forsvars- og sikkerhetssektoren bygger det underliggende EU-regelverket (direktiv 2009/81/EF) på at anskaffelsesprosedyrene bør gjenspeile det overordnede sikkerhetsmiljøet og de endringene som skjer i den strategiske situasjonen. Det er imidlertid viktig å holde dette regelverksporet klart adskilt fra hovedfremstillingen i dette kapitlet: dette regimet gjelder anskaffelser som er unntatt fra de alminnelige samfunnshensynsbestemmelsene i §§ 5 a til 5 p, og faller derfor utenfor den § 5 d-systematikken som er kapittelets akse. Leseren bør ikke forveksle det spesialiserte forsvars- og sikkerhetsregimet med det alminnelige anskaffelsesregelverket som § 5 d er en del av.
DFØ peker på at enkelte anskaffelser kan være omfattet av flere regelverk samtidig, og viser i sin veiledning til sammenhengen mellom de ulike reglene som gjelder. DFØ bemerker videre at selv om en virksomhet ikke er omfattet av det spesialiserte forsvars- og sikkerhetsregelverket, kan dette regelverket likevel være nyttig som referanse for hvilke typer sikkerhetstiltak som kan vurderes stilt som krav i en alminnelig anskaffelse etter § 5 d. Selv om en oppdragsgiver ikke er underlagt FOSA, kan strukturen og kategoriene av sikkerhetstiltak som brukes der, gi nyttig inspirasjon til hvordan et sikkerhetskrav kan formuleres i en ordinær anskaffelse.
Sikkerhetsloven med tilhørende forskrifter — herunder virksomhetssikkerhetsforskriften — stiller egne, selvstendige krav til virksomheter som er underlagt loven, uavhengig av anskaffelsesregelverket. Sikkerhetslovgivningen krever at forebyggende sikkerhetsarbeid skal være en del av virksomhetens styringssystem, og at virksomheten skal sørge for at ansatte, leverandører og oppdragstakere har tilstrekkelig risiko- og sikkerhetsforståelse. Virksomhetssikkerhetsforskriften stiller krav om at virksomheten regelmessig gjennomfører vurdering av risiko og som del av vurderingen kartlegger hvilke virksomheter den er avhengig av for å fungere som den skal.
Sikkerhetslovgivningen krever videre at virksomheten utfører nærmere angitte tiltak overfor de som kan få tilgang til skjermingsverdige verdier gjennom å utføre arbeid eller tjenester for virksomheten, herunder å få bekreftet identiteten deres med gyldig legitimasjon og å sørge for at de kjenner til de relevante delene av styringssystemet for sikkerhet.
NSM anbefaler at sikkerhetsstyringen integreres i virksomhetens overordnede styringssystem. Sikkerhetslovgivningen fastslår at Nasjonal sikkerhetsmyndighet skal dele relevant informasjon om trusselbildet og risiko med sektormyndighetene.
Disse kravene retter seg mot virksomhetens interne sikkerhetsstyring og ligger som en selvstendig ramme ved siden av anskaffelsesregelverket. En oppdragsgiver som er underlagt sikkerhetsloven, må forholde seg til begge regelverk parallelt: anskaffelsesloven regulerer hvordan kontrakten inngås og hvilke krav som kan stilles til leverandøren i konkurransen, mens sikkerhetsloven regulerer virksomhetens egne forpliktelser til forebyggende sikkerhetsarbeid, herunder overfor leverandører og oppdragstakere som får tilgang til virksomhetens verdier. Hvordan dette samspillet konkret skal håndteres i den enkelte anskaffelsen, er et gjennomgående tema i bokens senere kapitler.
DSB understreker at kommunen må være oppmerksom på hvordan utviklingstrekk og utfordringsbildet også endrer forutsetningene for samfunnssikkerheten. For kommunale oppdragsgivere kan den kommunale beredskapsplikten og kravene om helhetlig risiko- og sårbarhetsanalyse gi et selvstendig grunnlag for å identifisere hvilke anskaffelser som berører sikkerhet og beredskap, utover det som følger av anskaffelsesregelverket alene.
Som varslet i punkt 1.1, er det nødvendig å se nærmere på det faglige trusselbildet som ligger bak lovgivers valg om å innføre § 5 d. NSM, PST og Etterretningstjenesten publiserer årlige vurderinger av sikkerhetstilstanden og trusselbildet mot Norge, og disse vurderingene gir et vesentlig bakteppe for å forstå hvorfor sikkerhet og beredskap har fått en fremtredende plass i anskaffelsesretten.
NSM fremhever i sitt sikkerhetsfaglige råd at kjennskap til betydningen av egne verdier og god kjennskap til trussel- og risikobildet er nødvendig for å oppdage potensielt sikkerhetstruende investeringer, anbud eller oppkjøp. PST peker i sin nasjonale trusselvurdering for 2026 på at autoritære stater forventes å gjennomføre ulovlige anskaffelser av sanksjonert og eksportkontrollert teknologi, og at etterretningsaktører aktivt forsøker å rekruttere personer med påvirkningsmuligheter eller tilgang til informasjon av interesse. Etterretningstjenesten tegner et tilsvarende bilde i Fokus 2026.
Mer konkret peker PST på at det forventes fortsatt høy angrepsaktivitet fra ekstreme islamister i Vesten, og mer aktivitet fra russiske etterretningstjenester på norsk jord, herunder at russisk etterretning kan se seg tjent med å utføre sabotasjeaksjoner mot mål i Norge. PST fremhever videre at den største etterretningstrusselen fra Kina ligger i cyberdomenet, og at kinesiske aktører utnytter forskningssamarbeid og sosiale medieplattformer for å skaffe seg innsyn og påvirkningsmuligheter. NSM understreker på sin side at de samlede nasjonale sikkerhetstiltakene bør speile trusselen, og at virksomhetene bør ha systematisk sikkerhetsstyring og helhetlig sikring.
Det er ett punkt hvor NSM, PST og Etterretningstjenesten er entydig samstemte, og som er av stor praktisk betydning for enhver oppdragsgiver som vil bruke trusselvurderinger i sitt anskaffelsesarbeid: trusselvurderingene skal brukes som risikobakgrunn, ikke som selvstendig rettslig hjemmel. NSM formulerer det slik at trusselvurderingsteksten brukes som trussel- og risikobakgrunn ved vurdering av sikkerhet, beredskap, leverandørkjede og robusthet i anskaffelser. PST gir tilsvarende veiledning i sin nasjonale trusselvurdering.
NSM advarer uttrykkelig mot å behandle trusselvurderingen som en direkte lovhjemmel, og anbefaler i stedet å bruke den som risikobakgrunn og koble de konkrete kravene til relevant regelverk og anskaffelsesfaglig vurdering. Etterretningstjenesten gir likelydende råd. Det bør også presiseres at trusselvurderingene ikke skal brukes alene som ferdig kravtekst i en anskaffelse.
Denne advarselen er rettslig godt begrunnet. Trusselvurderingene er ikke rettskilder i tradisjonell forstand — de er faglige situasjonsbeskrivelser utarbeidet av etater med et etterretnings- og sikkerhetsfaglig mandat, ikke lovtekst, forskrift eller rettsavgjørelse. Et krav som utelukkende begrunnes med henvisning til en trusselvurdering, uten forankring i § 5 d eller annet regelverk, vil mangle den rettslige hjemmelen kravet trenger for å stå seg ved en eventuell klage eller domstolsprøving.
Den riktige fremgangsmåten er at trusselvurderingen informerer oppdragsgivers egen risikovurdering av den konkrete anskaffelsen, og at det er denne konkrete, anskaffelsesspesifikke risikovurderingen som deretter begrunner det enkelte kravet med hjemmel i § 5 d og innenfor rammene beskrevet i punkt 1.3, 1.4 og 1.6 ovenfor.
Denne to-trinnsprosessen — først trusselbilde, deretter en konkret, anskaffelsesspesifikk risikovurdering, og til slutt et regelverksforankret krav — er det gjennomgående mønsteret som fagmiljøene anbefaler, og som harmonerer godt med den rettslige systematikken i § 5 d.
NSMs veileder for ivaretakelse av sikkerhet i anskaffelser gir en konkret anbefaling om at oppdragsgiver bør risikovurdere anskaffelsen for å avklare sikkerhetsbehov og nødvendige tiltak, og at risikovurderingen bør inneholde informasjon om hvilke av oppdragsgivers verdier anskaffelsen kan gi tilgang til, og hvilken betydning disse verdiene har for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser.
NSM anbefaler videre at oppdragsgiver bør se hen til hvordan lignende verdier har blitt vurdert tidligere eller hvordan tilsvarende anskaffelsesprosesser har blitt gjennomført, både internt og eksternt. Ved usikkerhet om fremtidig verdi bør anskaffelsen gjennomføres med utgangspunkt i antatt fremtidig verdi basert på vurderinger av mulig skadepotensial for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser.
DSB peker på at hver enkelt virksomhet må vurdere utfordringene når det gjelder egen betydning i et samfunnssikkerhetsperspektiv og egne behov. DSBs metodeveileder for helhetlig risiko- og sårbarhetsanalyse kan brukes av alle kommuner uansett størrelse, geografi og organisering.
OECD anbefaler at der det ikke finnes en nasjonal strategi for risikostyring i anskaffelser, bør virksomheter vurdere å utvikle egne strategier i tråd med internasjonal god praksis. NIST anbefaler at virksomheter identifiserer, adopterer og tilpasser beste praksis til sin unike strategiske, operasjonelle og risikokontekst.
Det er nettopp denne konkrete, anskaffelsesspesifikke vurderingen som gjør at et sikkerhetskrav kan stå seg som saklig begrunnet og forholdsmessig etter LOA § 4: trusselbildet gir konteksten, men det er den konkrete vurderingen som gir kravet dets rettslige forankring.
Dette kapitlet har lagt det rettslige grunnlaget for resten av boken: LOA § 5 d gir oppdragsgiver adgang til å stille sikkerhets- og beredskapskrav i alle ledd av anskaffelsesprosessen, denne adgangen må utøves innenfor de grunnleggende anskaffelsesrettslige prinsippene i LOA § 4, og virkeområdet varierer avhengig av om anskaffelsen er en alminnelig anskaffelse, en forsynings- eller konsesjonskontrakt, eller en forsvars- og sikkerhetsanskaffelse.
Gjennomgangen av praksis i punkt 1.4 har vist at grensene for lovlige sikkerhets- og beredskapskrav kan sorteres i tre hovedkategorier. For det første: typetilfeller som klart faller innenfor — absolutte sikkerhetskrav i kravspesifikasjonen som håndheves strengt (jf. Oslo byfogdembetes kjennelse i sak 16-082523TVI-OBYF, KOFA-sak 2024/1043 om brannbåten til Kinn, KOFA-sak 2024/424 om fotballmål i Oslo, og KOFA-sak 2008/88 om frekvenskravet ved Akershus universitetssykehus); kvalifikasjonskrav om sikkerhetskompetanse med klar forankring i kontraktens gjenstand (jf. KOFA-sak 2025/1455 om skredsikring i Sunnfjord); responstid som saklig begrunnet tildelingskriterium i tidskritiske anskaffelser (jf. KOFA-sak 2011/128 om Karmøy); og kontraktsnær beredskap som del av den tjenesten oppdragsgiver kjøper (jf. KOFA-sak 2023/545 om brannstasjonen i Kristiansund).
For det andre: typetilfeller som klart faller utenfor — beredskap som selvstendig samfunnsformål utenfor kontraktens gjenstand (jf. KOFA-sak 2006/78 om døgnkontinuerlig taxibåtvaktordning i Kragerø); ukunngjorte sikkerhets- eller beredskapskriterier (jf. KOFA-sak 2004/189 om Nome, KOFA-sak 2009/109 om Buskerud, og KOFA-sak 2009/122 om ukommuniserte scenarioforutsetninger i Rogaland); og sikkerhetshensyn premiert under feil tildelingskriterium (jf. KOFA-sak 2022/867 om Vadsø).
For det tredje: grensesoner som ikke er fullt ut avklart — krav om sikkerhetsklarering ved tilbudsfrist (jf. KOFA-sak 2025/1893, uavgjort); beredskapshensyn som begrunnelse for unntak fra fordelingsnøkkel (jf. KOFA-sak 2005/40 om Forsvarets logistikkorganisasjon); og beredskap som klassifikasjonsmoment for kontraktstypen (jf. KOFA-sak 2012/236 om ambulansebåter i Nordland).
De påfølgende kapitlene i boken vil gå dypere inn i hvert av leddene som er skissert i punkt 1.4: hvordan risikovurderingen i strategifasen bør gjennomføres, hvordan kravspesifikasjonen kan formuleres med tilstrekkelig presisjon for å unngå de fallgruvene som er beskrevet i praksisgjennomgangen ovenfor, hvordan kvalifikasjonskrav til sikkerhetskompetanse kan stilles og dokumenteres, hvordan tildelingskriterier kan utformes slik at de holder seg innenfor kravet om tilknytning til leveransen, og hvordan kontraktsvilkår og oppfølging kan sikre at sikkerhets- og beredskapshensyn ivaretas gjennom hele kontraktsperioden.
Boken avgrenser mot en fullstendig fremstilling av sikkerhetsloven kapittel 9 om sikkerhetsgraderte anskaffelser og mot det spesialiserte regelverket for forsvars- og sikkerhetsanskaffelser, slik disse er omtalt i punkt 1.7 — disse regelverkene har sin egen systematikk og fortjener en selvstendig fremstilling som ikke lar seg innpasse i en bok om det alminnelige anskaffelsesregelverkets håndtering av sikkerhet og beredskap. Der disse regelverkene er nødvendige for å forstå grensedragningen mot § 5 d, vil de likevel bli trukket inn.
Tilsvarende avgrenser boken mot en fullstendig fremstilling av sektorspesifikke beredskapskrav på områder som vannforsyning, energiforsyning, helsetjenester og elektronisk kommunikasjon. Disse reguleres av eget sektorregelverk med egne krav til beredskapsplanlegging, og behandles i denne boken bare i den grad de har direkte betydning for hvordan den enkelte anskaffelsen skal utformes.
Flere spørsmål er, som det har fremgått gjennom kapitlet, ikke endelig avklart i det foreliggende rettskildebildet. Dette gjelder særlig rekkevidden av «bør vurdere»-normen i § 5 d annet punktum, grensen mellom lovlig sikkerhetsklarering og unødvendig konkurransebegrensning, grensen mellom kontraktsnær beredskap og selvstendig samfunnsberedskap som tildelingskriterium, muligheten for at «bør vurdere»-normen også gjelder for oppdragsgivere i forsynings- og konsesjonssektoren uavhengig av § 5 a, spørsmålet om oppdragsgiver i sikkerhetssensitive anskaffelser kan begrense informasjonen i konkurransegrunnlaget av sikkerhetshensyn og hvordan dette balanseres mot forutberegnelighetskravet, samt hvor langt den snevre unntakstolkningen fra klima- og miljøregelverket kan overføres analogisk til sikkerhets- og beredskapsfeltet. Disse spørsmålene vil bli fulgt opp der de er relevante i de påfølgende kapitlene, med den forsiktighet slike åpne rettskildespørsmål krever.