Når praktikeren har avklart at en anskaffelse skal følge det alminnelige anskaffelsesregelverket – at den ikke er unntatt etter EØS-avtalen artikkel 123 og ikke faller inn under forsvars- og sikkerhetsanskaffelsesforskriften (FOSA) i sin helhet – gjenstår et spørsmål som ofte overses: kan anskaffelsen likevel utløse plikter etter sikkerhetsloven? Svaret avhenger ikke av hvilken sektor oppdragsgiveren tilhører, men av hva anskaffelsen gir leverandøren tilgang til.
Dette kapittelet viser hvordan sikkerhetsloven og anskaffelsesregelverket virker sammen, hvor grensene mellom de to regimene går, og hvilke krav oppdragsgiveren i praksis må stille når en anskaffelse er – eller kan bli – sikkerhetsgradert. Fremstillingen tar utgangspunkt i de sentrale bestemmelsene i anskaffelsesloven (LOA) og anskaffelsesforskriften (FOA) slik disse lyder etter 1. juli 2026, og bruker rettspraksis fra KOFA og EU-domstolen til å belyse hvor grensene er trukket i praksis.
Figur: Tidslinje for sikkerhetsgradert anskaffelse: parallelle løp for anskaffelsesregelverket og sikkerhetsloven.
Sikkerhetsloven er ikke en del av anskaffelsesregelverket, men et selvstendig regelsett som pålegger virksomheter plikter til forebyggende sikkerhetsarbeid [LOV-2018-06-01-24]. Loven kommer inn på siden av anskaffelsesloven og anskaffelsesforskriften, og virker som et selvstendig lag av krav som må avklares parallelt med de ordinære anskaffelsesreglene når en anskaffelse gjelder sikkerhetsgraderte forhold [LOV-2018-06-01-24; veileder: NSM: Veileder for ivaretakelse av sikkerhet i].
Det er derfor ikke tilstrekkelig at en oppdragsgiver har fulgt anskaffelsesforskriftens regler om kunngjøring, konkurranse og tildeling korrekt. Dersom anskaffelsen gir leverandøren tilgang til skjermingsverdige verdier, kommer sikkerhetslovens krav i tillegg. Forholdet mellom de to regelsettene kan sammenlignes med to lag i en byggetegning: anskaffelsesregelverket angir prosedyrene for å gjennomføre konkurransen og tildele kontrakten, mens sikkerhetsloven angir hvilke sikkerhetstiltak som må være på plass for at leverandøren i det hele tatt kan gis tilgang til det oppdragsgiveren har behov for.
NSM understreker at forebyggende sikkerhetsarbeid er et lederansvar. Det forutsetter sikkerhetsledelse gjennom overordnede føringer om hvilke verdier som må beskyttes, fordeling av ansvar og myndighet, og prinsipper for arbeidet. NSM anbefaler at virksomhetens leder fastsetter et styringsdokument som beskriver hvilke deler av sikkerhetsloven med forskrifter som gjelder for virksomheten, samt roller, ansvar og prinsipper for sikkerhetsarbeidet. Føringene bør beskrives kort og overordnet.
Denne anbefalingen er ikke et krav gjengitt i det anskaffelsesrettslige regelgrunnlaget som ligger til grunn for denne boken. Den er likevel sentral for å forstå hvorfor sikkerhetsspørsmål må avklares tidlig og forankres i ledelsen før en anskaffelsesprosess settes i gang. Det er virksomhetens øverste ledelse som har ansvaret for at styringssystemet for sikkerhet er operativt, og dette systemet er utgangspunktet for de sikkerhetsvurderingene som må gjøres i forkant av enhver anskaffelse som kan berøre skjermingsverdige verdier.
NSM anbefaler videre at styringsdokumentet gjøres kjent og tilgjengelig for leverandører og andre eksterne samarbeidspartnere, i den grad det er nødvendig for å oppfylle virksomhetens plikter. I en anskaffelseskontekst betyr dette at leverandører som skal delta i sikkerhetsgraderte anskaffelser, bør gis tilstrekkelig informasjon om virksomhetens sikkerhetskrav til at de kan vurdere om de kan oppfylle kravene. Dette poenget henger også sammen med det anskaffelsesrettslige kravet til forutberegnelighet etter LOA § 4, som forutsetter at leverandørene på forhånd kan innrette seg etter de vilkår oppdragsgiveren stiller.
Koblingen til anskaffelsesretten blir konkret når virksomheten skal kjøpe varer eller tjenester som kan gi leverandøren tilgang til skjermingsverdige verdier. NSM peker på at oppdragsgiveren må avklare hvilke verdier anskaffelsen kan gi tilgang til, og hvilken betydning disse har for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser.
Et viktig poeng i denne sammenhengen er at det kun er tilgang til tre kategorier av verdier som kan gjøre en anskaffelse sikkerhetsgradert: sikkerhetsgradert informasjon, skjermingsverdig objekt og skjermingsverdig infrastruktur. At en anskaffelse berører en samfunnsviktig sektor – for eksempel helse, energi eller transport – er ikke i seg selv nok til at den blir sikkerhetsgradert. Den funksjonelle vurderingen av hva leverandøren faktisk kan komme til å få tilgang til er avgjørende, ikke sektortilhørigheten som sådan.
NSM presiserer i forlengelsen av dette at oppdragsgiveren også må avklare hvilke regelverk og krav som gjelder i den konkrete anskaffelsen, og hvilket handlingsrom man har for å ta hensyn til og stille krav til sikkerhet. En slik avklaring bør foretas allerede i behovsvurderingsfasen, før anskaffelsesprosessen formelt innledes.
DFØ peker på at lovgiver har gitt et tydelig signal om at oppdragsgivere i større grad enn tidligere må ta hensyn til sikkerhet og beredskap i sin anskaffelsesstrategi og i anskaffelsesprosesser. Dette signalet er nedfelt i anskaffelsesloven selv. LOA § 5d lyder:
«Oppdragsgiver kan stille krav eller kriterier i alle ledd av en anskaffelsesprosess for å ivareta sikkerhets- og beredskapshensyn. Oppdragsgiver bør vurdere å stille slike krav i anskaffelser der det er relevant.»
Ordlyden skiller tydelig mellom en adgang og en oppfordring. Første punktum gir en rettslig adgang til å stille sikkerhets- og beredskapskrav i «alle ledd» av prosessen – fra kvalifikasjonskrav, gjennom kravspesifikasjon og tildelingskriterier, til kontraktsvilkår. Andre punktum er formulert som en «bør»-regel: oppdragsgiveren pålegges ikke en plikt til å stille sikkerhetskrav i enhver anskaffelse, men det legges et tydelig press på oppdragsgiveren til aktivt å vurdere spørsmålet der det er relevant.
Det er verdt å merke seg at LOA § 2 tredje ledd presiserer at bestemmelsene om samfunnshensyn i §§ 5a til 5p – herunder § 5d om sikkerhet og beredskap – ikke gjelder for forsvars- og sikkerhetsanskaffelser med mindre annet er fastsatt i forskrift. Det betyr at § 5d har sin praktiske kjernefunksjon for anskaffelser som gjennomføres etter den alminnelige anskaffelsesforskriften (FOA), ikke for anskaffelser som allerede er underlagt FOSA. For FOSA-anskaffelser gjelder egne regler om sikkerhetskrav.
NSM anbefaler at virksomheten regelmessig gjennomfører vurdering av risiko og kartlegger hvilke virksomheter den er avhengig av. En slik kartlegging er en forutsetning for å kunne vurdere om sikkerhets- og beredskapshensyn er relevant i den enkelte anskaffelse, slik LOA § 5d oppfordrer til.
En anskaffelse blir sikkerhetsgradert når den innebærer at leverandøren kan få tilgang til sikkerhetsgradert informasjon, skjermingsverdig objekt eller skjermingsverdig infrastruktur. Dette er ikke en formell klassifisering knyttet til anskaffelsens økonomiske størrelse eller sektor, men en funksjonell vurdering av hva leverandøren faktisk kan komme til å få innsyn i eller rådighet over.
NSM presiserer at oppdragsgiveren må få klarhet i hvilke tilganger leverandøren må ha for å utføre oppdraget, og om disse tilgangene vil kunne gi tilgang til sikkerhetsgradert informasjon, skjermingsverdig objekt eller skjermingsverdig infrastruktur. Oppdragsgiveren må videre ha kunnskap om hvilket handlingsrom en gitt tilgang gir, og hvordan denne eventuelt kan misbrukes.
Vurderingen skal være realistisk og konkret. NSM understreker at ikke enhver tenkt mulighet for misbruk er tilstrekkelig til å utløse status som sikkerhetsgradert anskaffelse. Dette gir et nyttig korrektiv mot en for vidtgående praksis der ethvert innslag av sensitivitet brukes til å begrunne omfattende sikkerhetstiltak som i realiteten verken er nødvendige eller forholdsmessige.
Sikkerhetslovgivningen angir at oppdragsgiveren skal ta stilling til hvilken tilgang tilbydere, leverandører og underleverandører kan få til sikkerhetsgradert informasjon, skjermingsverdige objekter eller skjermingsverdig infrastruktur i ulike faser av en sikkerhetsgradert anskaffelse. Vurderingen er altså ikke begrenset til kontraktsperioden, men omfatter også konkurransefasen og eventuell etterlevelse ved kontraktsutløp.
For å avklare om en anskaffelse er sikkerhetsgradert, anbefaler NSM at oppdragsgiveren gjennomfører en risikovurdering. Risikovurderingen bør inneholde informasjon om hvilke av oppdragsgivers verdier anskaffelsen kan gi tilgang til, og hvilken betydning disse verdiene har for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser.
Sikkerhetslovgivningen fastslår dessuten at risikovurderingen bør omfatte risikoen for at skjermingsverdige verdier kan bli rammet av sikkerhetstruende virksomhet ved anskaffelsen, om det vil gjenstå en ikke ubetydelig risiko også etter at tiltak er iverksatt, og andre forhold oppdragsgiveren antar kan ha betydning.
Denne risikovurderingen er praktisk sett fundamentet for alle senere beslutninger i prosessen. Den avklarer om det skal stilles krav om sikkerhetsavtale, om leverandørklarering er nødvendig, og om selve anskaffelsen kan gjennomføres innenfor det ordinære anskaffelsesregelverket eller om vilkårene for unntak etter FOA § 2-2 er oppfylt, se punkt 4.6.
Et praktisk vanskelig spørsmål oppstår når det ved anskaffelsestidspunktet er usikkert hvilken fremtidig verdi det anskaffede vil kunne ha for nasjonale sikkerhetsinteresser – typisk ved anskaffelse av teknologi eller infrastruktur som først over tid viser seg å bli kritisk.
NSM anbefaler her at anskaffelsen gjennomføres med utgangspunkt i antatt fremtidig verdi, basert på vurderinger av mulig skadepotensial for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser. Oppdragsgiveren bør se hen til hvordan lignende verdier har blitt vurdert tidligere eller hvordan tilsvarende anskaffelsesprosesser har blitt gjennomført, både internt og eksternt. Dersom usikkerheten er stor og ønskede sikkerhetskrav ikke kan implementeres, må oppdragsgiver vurdere om det finnes andre egnede tiltak.
Dette rådet må imidlertid følges med et klart forbehold. Vurderingen av «antatt fremtidig verdi» må være konkret og dokumentert – den kan ikke tre i stedet for en reell risikovurdering eller brukes som en generell sikkerhetsanførsel. Ren spekulasjon om et fremtidig skadepotensial er ikke tilstrekkelig til å begrunne verken sikkerhetsgraderingen som sådan eller etterfølgende unntak fra kunngjøringsplikten. Dette følger av det samme kravet til positiv hjemmel og bevisbyrde som gjelder for unntak fra anskaffelsesregelverket for øvrig, se punkt 4.6 om FOA § 2-2.
Når en anskaffelse er identifisert som sikkerhetsgradert, er sikkerhetsavtalen det sentrale verktøyet for å regulere forholdet mellom oppdragsgiver og leverandør. NSM legger til grunn at sikkerhetsavtale som hovedregel skal inngås i alle sikkerhetsgraderte anskaffelser, og at avtalen skal inngås før leverandøren får tilgang til sikkerhetsgradert informasjon eller utpekte og klassifiserte verdier.
Her må det presiseres at det konkrete rettslige grunnlaget for kravet om sikkerhetsavtale – herunder hvilke bestemmelser i sikkerhetsloven med forskrifter som pålegger plikten, og hvordan den forholder seg til anskaffelsesregelverkets frister og prosedyrer – ikke er dekket av det anskaffelsesrettslige regelgrunnlaget (FOA, LOA) som denne boken bygger på [LOV-2018-06-01-24]. Sikkerhetslovens konkrete bestemmelser om sikkerhetsavtalens innhold, tidspunkt og form er identifisert som et hull i kildedekningen. Fremstillingen i dette punktet bygger derfor i det vesentlige på NSMs veiledning, og leseren må være oppmerksom på at de konkrete pliktene bør kontrolleres direkte mot sikkerhetsloven og virksomhetsikkerhetsforskriften i den enkelte sak.
NSM anbefaler at sikkerhetsavtalen alltid skal inneholde informasjon om hvilken sikkerhetsgrad anskaffelsen skal ha, spesifisert for hver del av oppdraget, og hvordan leverandøren skal forholde seg til de av lovens krav som gjelder for anskaffelsen. Oppdragsgiveren må selv vurdere konkret hva det er behov for å regulere utover dette minimumsinnholdet.
NSM anbefaler videre at det kan være hensiktsmessig å innta en varslingsplikt i sikkerhetsavtalen ved endringer i eierskap og eierskapsstruktur hos leverandøren. En slik klausul er et fornuftig praktisk grep for å sikre oppdragsgiveren løpende oversikt over leverandørkjeden. En endring i eierstruktur kan i seg selv utgjøre en ny sikkerhetsrisiko som ikke var til stede ved kontraktsinngåelsen – for eksempel ved at en utenlandsk aktør med tilknytning til en stat som utgjør en sikkerhetsrisiko, overtar eierandeler i leverandørselskapet.
Der tilgangen til skjermingsverdige verdier skjer i eller fra leverandørens egne lokaler, peker NSM på at det stilles mer omfattende krav til innholdet i sikkerhetsavtalen enn når tilgangen skjer fra oppdragsgivers lokaler. Prinsippet er logisk: risikoen for at skjermingsverdige verdier kommer på avveie øker jo mindre direkte kontroll oppdragsgiveren har over de fysiske og tekniske omgivelsene tilgangen finner sted i.
Sikkerhetslovgivningen krever at det skal fremgå av sikkerhetsavtalen når leverandøren skal ha tilgang i eller fra egne lokaler, og hvilken sikkerhets- eller klassifiseringsgrad som gjelder for den tilgangen. Dette har direkte konsekvenser for hvilke investeringer leverandøren må foreta i fysisk sikring, informasjonssikkerhet og personellsikkerhet.
Sammenhengen til rettspraksis er illustrerende. I EU-domstolens dom i sak C-252/01 (Kommisjonen mot Belgia) var det et sentralt moment at leverandøren som hadde militær sikkerhetsklarering, også måtte oppfylle konkrete sikkerhetskrav knyttet til håndtering, tilgang, lagring og oppbevaring av usensurert fotografisk materiale i egne lokaler – herunder særlige bygnings- og alarmsikringskrav [EU-domstolen Case C-252/01]. Slike krav er nettopp det som etter NSMs veiledning bør reguleres i sikkerhetsavtalen når tilgangen skjer fra leverandørens egne lokaler.
Sikkerhetsavtalen behøver ikke utformes som et selvstendig avtaledokument. NSM presiserer at avtalen kan inntas i det ordinære avtaledokumentet for anskaffelsen dersom det er hensiktsmessig. NSM påpeker også at det kan være hensiktsmessig å konkretisere de sikkerhetsmessige aspektene i kontrakten med leverandøren, selv om det i det konkrete tilfellet er anledning til å gjøre unntak fra kravet om en egen sikkerhetsavtale.
NSM anbefaler at det bør fremgå av konkurransegrunnlaget at det vil stilles krav om inngåelse av sikkerhetsavtale. Denne anbefalingen er ikke bare praktisk – den henger nøye sammen med det anskaffelsesrettslige kravet til forutberegnelighet i LOA § 4. Leverandørene må på forhånd vite at sikkerhetsavtale vil kreves, slik at de kan innrette seg deretter og vurdere om de kan og vil delta i konkurransen på disse vilkårene.
NSM angir at det kan gjøres unntak fra kravet om sikkerhetsavtale, men bare dersom det blir uforholdsmessig byrdefullt for virksomheten å oppfylle kravene. Unntaksadgangen omfatter etter NSMs fremstilling ikke bare selve sikkerhetsavtalen, men også leverandørklarering for elektronisk tilgang fra egne lokaler til kritisk eller meget kritisk objekt eller infrastruktur, leverandørklarering for å råde over slike objekter, og krav om bilateral eller multilateral avtale ved bruk av utenlandske leverandører.
Det er etter denne fremstillingen bare NSM selv som kan gjøre unntak for krav som gjelder beskyttelse av sikkerhetsgradert informasjon. Hjemmelen for NSMs kompetanse til å gjøre slikt unntak er imidlertid ikke dekket av det anskaffelsesrettslige regelgrunnlaget som ligger til grunn for boken, og bør derfor kontrolleres direkte mot sikkerhetsloven med forskrifter før den legges til grunn i en konkret sak.
NSM anbefaler at oppdragsgiver bør se hen til kravene i sikkerhetsavtaler også når det utarbeides avtaler om sikkerhetsmessige aspekter utenfor sikkerhetsgraderte anskaffelser. Tanken er at den strukturen og de vurderingene som ligger til grunn for en sikkerhetsavtale, kan gi nyttig veiledning også der anskaffelsen ikke formelt er sikkerhetsgradert, men likevel har sikkerhetsmessige dimensjoner – for eksempel ved anskaffelse av skytjenester som behandler sensitive, men ikke graderte, data.
Leverandørklarering er et sikkerhetsmessig kontrolltiltak rettet mot virksomheten som sådan – i motsetning til personellsikkerhetsklarering, som retter seg mot enkeltpersoner, se punkt 4.5. Formålet er å sikre at leverandørvirksomheten som helhet er sikkerhetsmessig skikket til å håndtere skjermingsverdige verdier.
Sikkerhetslovgivningen underbygger dette og angir at en leverandør til en sikkerhetsgradert anskaffelse skal ha leverandørklarering når det er nødvendig for å oppnå et forsvarlig sikkerhetsnivå under anskaffelsen.
NSM angir at leverandørklarering er nødvendig i tre hovedtyper av tilfeller: når leverandøren skal ha tilgang til eller oppbevare informasjon gradert KONFIDENSIELT eller høyere i egne informasjonssystemer eller lokaler; når leverandøren skal ha elektronisk tilgang til objekt eller infrastruktur klassifisert KRITISK eller MEGET KRITISK fra egne systemer eller lokaler; og når leverandøren skal råde over objekter eller infrastruktur som tilhører oppdragsgiver og som er klassifisert KRITISK eller MEGET KRITISK.
Disse konkrete terskelverdiene er hentet fra NSMs veiledning om sikkerhetsloven og tilhørende forskrifter, som ikke er del av det anskaffelsesrettslige regelgrunnlaget denne boken bygger på. De nøyaktige vilkårene for leverandørklarering bør derfor kontrolleres mot sikkerhetsloven og klareringsforskriften i den enkelte sak.
Leverandørklarering skal være innvilget før det gis tilgang til sikkerhetsgradert informasjon, skjermingsverdig objekt eller infrastruktur, uavhengig av når i anskaffelsesprosessen behovet oppstår.
Et sentralt praktisk poeng er NSMs anbefaling om at tilgang til sikkerhetsgradert informasjon primært bør gis i oppdragsgivers egne lokaler dersom det er nødvendig å dele slik informasjon. Dette begrenser behovet for å gjennomføre leverandørklareringer og eventuelle investeringer i sikkerhetstiltak hos leverandøren.
For oppdragsgiveren innebærer dette et viktig valg som bør treffes allerede i planleggingsfasen: ved å innrette konkurransegrunnlaget og kontrakten slik at leverandørens personell arbeider i oppdragsgivers lokaler, kan man unngå den tids- og kostnadskrevende prosessen med leverandørklarering. Dette er et grep enhver oppdragsgiver bør vurdere før konkurransegrunnlaget utformes.
Utover de tre opplistede tilfellene skal behovet for leverandørklarering vurderes konkret. NSM understreker at terskelen her er høy, og at det stilles strenge krav til nødvendigheten av tiltaket. Vurderingen skal knyttes til hvilke verdier anskaffelsen knytter seg til, verdienes betydning for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser, hvem som får tilgang og hvor tilgangen skjer fra.
Leverandørklarering er et inngripende tiltak overfor en privat virksomhet. Det skal ikke etableres som en rutinemessig kontraktsmessig standardklausul uten reell sikkerhetsmessig begrunnelse.
NSM presiserer at virksomheter som allerede er underlagt sikkerhetsloven – enten som offentlige organer eller fordi det er fattet vedtak om at loven skal gjelde for dem – ikke skal leverandørklareres når de opptrer som leverandører til sikkerhetsgraderte anskaffelser. I disse tilfellene er det kun behov for sikkerhetsavtale. Denne regelen kan ikke verifiseres direkte mot det anskaffelsesrettslige regelgrunnlaget som ligger til grunn for boken, og bør kontrolleres mot sikkerhetsloven direkte.
Det er oppdragsgiveren, ikke leverandøren selv, som skal anmode NSM om leverandørklarering. Begrunnelsen er at det er oppdragsgiveren som har oversikt over og kan begrunne det konkrete behovet for klarering i den aktuelle anskaffelsen. NSM presiserer at klareringsforespørsler skal avslås dersom det ikke foreligger et faktisk behov, fordi det ikke unødig skal iverksettes sikkerhetstiltak som griper inn i virksomheters og enkeltpersoners rettsfære.
Leverandøren må etter NSMs fremstilling oppfylle relevante krav i sikkerhetsloven og virksomhetsikkerhetsforskriften før en leverandørklarering kan innvilges. Innholdet i disse kravene kan ikke kontrolleres mot det vedlagte anskaffelsesrettslige regelgrunnlaget og må vurderes mot sikkerhetslovens og forskriftens fulltekst i den enkelte sak.
NSM angir at styret og lederen hos leverandøren skal klareres på det samme nivået som det er bedt om leverandørklarering for, og at personkontrollen av disse skal inngå i vurderingsgrunnlaget for om klarering kan gis. Kravet om klarering av virksomhetens leder vil som utgangspunkt gjelde daglig leder. Detaljene om personkontroll av styre og leder er hentet fra sikkerhetslovgivningen og bør kontrolleres direkte mot denne.
Dersom et styremedlem eller lederen ikke kan klareres, kan leverandørklarering likevel gis dersom vedkommende gir avkall på retten til innsyn. NSM presiserer at NSM da må få informasjon om hvordan leverandøren sikrer at avkallet er reelt og at vedkommende ikke vil få tilgang til sikkerhetsgradert informasjon, skjermingsverdig objekt eller infrastruktur. Denne mekanismen – avkall på innsynsrett som vilkår for klarering – er ikke dekket av det anskaffelsesrettslige regelgrunnlaget og bør kontrolleres mot sikkerhetsloven og klareringsforskriften.
Leverandørklareringer kan etter NSMs fremstilling vare i inntil fem år, men kan også gis for en kortere tidsperiode dersom det på klareringstidspunktet er klart at behovet er mer begrenset.
Klareringen kan tilbakekalles dersom det oppstår en sikkerhetsrisiko som ikke kan fjernes, eller dersom det oppdages avvik fra gjeldende sikkerhetskrav. Som utgangspunkt skal det fastsettes en rimelig frist for retting før en klarering tilbakekalles. Avvik som umiddelbart kan få negative konsekvenser for nasjonale sikkerhetsinteresser, kan derimot gi grunnlag for tilbakekalling uten forutgående frist.
NSM presiserer videre at dersom det i klareringsperiodens gyldighetstid skjer endringer eller det fremkommer opplysninger av betydning for om leverandøren er sikkerhetsmessig skikket, skal det gjennomføres ny kontroll med leverandøren.
Samtlige av disse reglene om gyldighetstid og tilbakekalling er hentet fra sikkerhetsloven og klareringsforskriften, som ikke er del av det anskaffelsesrettslige kildematerialet denne boken bygger på. Praktikeren bør kontrollere detaljene mot sikkerhetsloven med forskrifter i den enkelte sak.
Leverandørklarering alene er ikke tilstrekkelig for å sikre en sikkerhetsgradert anskaffelse. Det personellet som faktisk utfører oppdraget, må også ha nødvendige individuelle klareringer og autorisasjoner.
NSM angir at det i sikkerhetsgraderte anskaffelser er oppdragsgiveren som skal autorisere autorisasjonsansvarlig hos leverandøren. Personell hos leverandøren som kun får tilgang til sikkerhetsgradert informasjon, skjermingsverdig objekt eller infrastruktur hos oppdragsgiveren, skal også autoriseres av oppdragsgiveren. Dette autorisasjonsansvaret kan ikke kontrolleres mot det vedlagte anskaffelsesrettslige regelgrunnlaget og bør verifiseres direkte mot sikkerhetsloven og tilhørende forskrift.
Utgangspunktet er at bare personer med tjenstlig behov kan gis tilgang til sikkerhetsgradert informasjon, og at disse må være autorisert i samsvar med sikkerhetsloven. Mottakeren av sikkerhetsgradert informasjon har taushetsplikt også etter at oppdraget eller ansettelsen er avsluttet. Denne varige taushetsplikten bør reflekteres i sikkerhetsavtalen og i kontraktens etterlevelsesbestemmelser, slik at det er klart for alle parter at forpliktelsen ikke opphører ved kontraktsutløp. Innholdet kan ikke direkte verifiseres mot det anskaffelsesrettslige regelgrunnlaget og forutsetter at sikkerhetslovens tekst er korrekt gjengitt.
NSM fremhever også at virksomheten skal sørge for at ansatte, leverandører og oppdragstakere har tilstrekkelig risiko- og sikkerhetsforståelse. I praksis innebærer dette at oppdragsgiveren bør innrette kontrakten slik at leverandørens personell gjennomgår sikkerhetsopplæring tilpasset det aktuelle graderingsnivået.
For tilgang til informasjon gradert KONFIDENSIELT eller høyere kreves sikkerhetsklarering. For tilgang til skjermingsverdige objekter og infrastruktur er det adgangsklarering som skal benyttes. NSM presiserer at en sikkerhetsklarering for KONFIDENSIELT eller høyere også gir adgang til skjermingsverdige objekter og infrastrukturer på alle klassifiseringsnivåer.
Det er verdt å merke seg at denne fremstillingen gjelder sikkerhetslovens klareringsregler, og at det anskaffelsesrettslige regelgrunnlaget denne boken bygger på ikke inneholder selvstendige rettssetninger som verifiserer disse tersklene. Innholdet bør kontrolleres mot sikkerhetsloven og klareringsforskriften.
Et praktisk spørsmål som ofte oppstår i internasjonale anskaffelser, gjelder autorisasjon av utenlandske statsborgere. Etter sikkerhetslovgivningen skal den autorisasjonsansvarlige, før en utenlandsk statsborger uten klarering kan autoriseres for informasjon gradert BEGRENSET, vurdere om personens tilknytning til hjemlandet og hjemlandets sikkerhetsmessige betydning utgjør en uakseptabel risiko.
Dersom vedkommende kommer fra en stat som PST anser utgjør en høy sikkerhetsrisiko for Norge, må den autorisasjonsansvarlige innhente samtykke fra en klareringsmyndighet. Denne regelen har potensielt betydelige konsekvenser for leverandørers mulighet til å delta i sikkerhetsgraderte anskaffelser, og eventuelle likebehandlingsimplikasjoner bør vurderes i den konkrete sak. Regelen er ikke dekket av det anskaffelsesrettslige regelgrunnlaget og bør kontrolleres mot sikkerhetslovens fulltekst.
NSM anbefaler at oppdragsgiveren i sikkerhetsavtale med utenlandsk leverandør sikrer seg mulighet til å få oversikt over hvilket personell hos leverandøren som får tilgang til norsk sikkerhetsgradert informasjon. De besøkendes identitet og klarering skal kontrolleres og verifiseres i forkant av eventuelle besøk.
NSM angir videre at en forutsetning for å benytte utenlandsk leverandør i en sikkerhetsgradert anskaffelse er at det foreligger en bilateral eller multilateral sikkerhetsavtale mellom Norge og leverandørens hjemstat. Denne forutsetningen er ikke dekket av det anskaffelsesrettslige regelgrunnlaget og bør kontrolleres mot sikkerhetslovens bestemmelser om internasjonalt sikkerhetssamarbeid.
Det er viktig å understreke at disse reglene om utenlandske leverandører og statsborgere ikke utgjør et selvstendig rettslig grunnlag for å diskriminere leverandører etter nasjonalitet i selve konkurransen. Som behandlet i punkt 4.6, presiserer DFØ at sikkerhets- og beredskapshensyn ikke kan brukes til å favorisere nasjonale leverandører. Sikkerhetskravene er saklig begrunnet i behovet for å beskytte nasjonale sikkerhetsinteresser, men de må gjennomføres innenfor anskaffelsesregelverkets ramme av likebehandling og forholdsmessighet.
NSM angir at tilganger til skjermingsverdige objekter og infrastruktur må tilbakekalles ved opphør av kontraktsforholdet, og at dette gjelder både elektroniske og fysiske tilganger.
Sikkerhetslovgivningen presiserer dessuten at en tilbyder som ikke tildeles kontrakten, skal levere tilbake sikkerhetsgradert informasjon uten unødig opphold. Leverandører skal levere tilbake ved opphør av kontraktsforholdet. Oppdragsgiveren skal melde fra til klareringsmyndigheten om at kontraktsforholdet har opphørt, og inndra all sikkerhetsgradert informasjon fra leverandøren. Disse pliktene bør reguleres i kontrakten og i sikkerhetsavtalen, selv om det rettslige grunnlaget for dem ligger i sikkerhetsloven, ikke i anskaffelsesregelverket. Det anskaffelsesrettslige regelgrunnlaget dekker ikke disse pliktene direkte, og de bør kontrolleres mot sikkerhetslovens fulltekst.
Anskaffelsesregelverkets utgangspunkt er klart: sikkerhetsmessige forhold ved en anskaffelse er som hovedregel noe som skal håndteres innenfor det ordinære regelverket, ikke noe som i seg selv unntar anskaffelsen fra det [KOFA 2019/426; KOFA 2019/426; veileder: DFØ Veileder – 3.1.3 EØS-avtalen artikkel 123; Prop. 51 L (2015-2016); KOFA 2020/402; KOFA 2020/405; KOFA 2020/403]. Dette følger av at FOA § 2-2 er utformet som en unntaksbestemmelse med strenge vilkår, ikke som en generell frihetsklausul for sikkerhetssensitive anskaffelser.
NSM peker på at anskaffelsesregelverket gir oppdragsgiveren et stort handlingsrom for å tilpasse anskaffelsesprosessen ut fra de faktiske behov, blant annet til å stille krav og kriterier som ivaretar sikkerhets- og beredskapshensyn. DFØ understreker at oppdragsgiveren kan stille krav eller kriterier om sikkerhet og beredskap i ulike deler av anskaffelsesprosessen, men at slike krav og kriterier må utformes innenfor de ordinære reglene i anskaffelsesregelverket.
FOA § 2-2 er bestemmelsen som avgjør om en anskaffelse kan holdes helt utenfor anskaffelsesloven og forskriften på grunn av sikkerhetsmessige forhold. Bestemmelsen lyder:
«(1) Anskaffelsesloven og forskriften gjelder ikke for anskaffelser a. som oppdragsgiveren kan unnta etter EØS-avtalen artikkel 123, eller b. som er erklært hemmelige eller bare kan utføres under særlige sikkerhetstiltak i henhold til lov, forskrift eller forvaltningsvedtak, og de aktuelle vesentlige interessene ikke kan sikres gjennom mindre inngripende tiltak.
(2) Anskaffelsesloven og forskriften gjelder ikke dersom anvendelsen av disse vil forhindre oppdragsgiveren fra å ivareta vesentlige sikkerhetsinteresser. Anskaffelsesloven og forskriften gjelder likevel dersom oppdragsgiveren kan ivareta disse interessene ved mindre inngripende tiltak, for eksempel ved å pålegge leverandørene taushetsplikt.»
Den doble reservasjonen i disse bestemmelsene – kravet om positiv hjemmel i bokstav b og kravet om at mindre inngripende tiltak ikke er tilstrekkelige i både bokstav b og andre ledd – er selve nøkkelen til å forstå hvordan unntaksbestemmelsen fungerer. Ordlyden alene viser at unntaket ikke kan bygges på en generell påberopelse av «sikkerhet», men krever en konkret og dokumentert vurdering av om avbøtende tiltak innenfor det ordinære regelverket – typisk sikkerhetsklarering, taushetsplikt og sikkerhetsavtale – kunne ha løst problemet.
Ordlyden «erklært hemmelige» forutsetter en positiv erklæring, det vil si et konkret vedtak om at anskaffelsen er hemmelig. Ordlyden «bare kan utføres under særlige sikkerhetstiltak i henhold til lov, forskrift eller forvaltningsvedtak» krever at det finnes en lovforankret plikt til å gjennomføre slike tiltak – ikke bare at oppdragsgiveren selv finner det ønskelig.
Det er et åpent spørsmål i det tilgjengelige kildematerialet om bestemmelsens to kategorier – «erklært hemmelige» anskaffelser og anskaffelser som «bare kan utføres under særlige sikkerhetstiltak» – utgjør to selvstendige unntakskategorier med ulik terskel, eller om de i praksis glir over i hverandre. Ordlyden taler for at det er to alternative grunnlag, men begge er betinget av det samme forholdsmessighetsvilkåret om at interessene ikke kan sikres gjennom mindre inngripende tiltak. Heller ikke forholdet mellom disse to underkategoriene i første ledd bokstav b og den generelle unntaksregelen i andre ledd er fullt avklart i praksis. I alle tilfeller gjelder kravet om at unntaket tolkes restriktivt og at oppdragsgiver har bevisbyrden.
FOA § 2-2 nevner selv et eksempel på et «mindre inngripende tiltak»: å pålegge leverandørene taushetsplikt. Praksis viser at listen over slike tiltak er betydelig lengre. Taushetsplikt, sikkerhetsklarering av personell, inngåelse av sikkerhetsavtale og andre kontraktsmessige sikkerhetstiltak kan ivareta sikkerhetsinteressene innenfor den ordinære anskaffelsesprosedyren, og slike tiltak taler mot at unntak fra regelverket er nødvendig [KOFA 2019/426; KOFA 2019/426; veileder: DFØ Veileder – 3.1.3 EØS-avtalen artikkel 123; veileder: DFØ Veileder – 3.1.5 Anskaffelser som kan unn; KOFA 2020/402; KOFA 2020/405; KOFA 2020/404].
KOFA-sak 2019/426 (Oslo Politidistrikt) er en sentral illustrasjon av denne vurderingen. Saken gjaldt anskaffelse av spesialutstyr og service- og vedlikeholdstjenester til politiets helikoptertjeneste, estimert til mellom 1,2 og 1,6 millioner kroner. Anskaffelsen var gjennomført som en unntaksprosedyre med henvisning til blant annet FOA § 2-2. Oslo Politidistrikt anførte overfor KOFA at klagenemnda ikke hadde kompetanse til å behandle klagen, ettersom anskaffelsen var unntatt regelverket etter FOA § 2-2 første ledd bokstav b eller annet ledd [KOFA 2019/426; KOFA 2019/426].
Klagenemnda la til grunn at FOA § 2-2 første ledd bokstav b gjennomfører direktiv 2014/24/EU artikkel 15 nr. 3 og skal tolkes restriktivt, i tråd med EU-domstolens praksis. Nemnda presiserte at det kreves positiv hjemmel i lov, forskrift eller forvaltningsvedtak for å erklære en anskaffelse hemmelig eller underlagt særlige sikkerhetstiltak, og at oppdragsgiver aktivt må synliggjøre at sikkerhetsinteressene ikke kan ivaretas gjennom mindre inngripende tiltak [KOFA 2019/426].
Politidistriktet kunne ikke vise til noen lov eller noe forvaltningsvedtak som kategorisk unntok denne typen anskaffelser fra regelverket. Klagenemnda fant at taushetsplikt, sikkerhetsklarering og inngåelse av sikkerhetsavtale fremstod som tilstrekkelige tiltak for å ivareta de aktuelle sikkerhetsinteressene. Verken første ledd bokstav b eller annet ledd kom dermed til anvendelse, og klagenemnda hadde kompetanse til å prøve klagen [KOFA 2019/426; KOFA 2019/426].
Saken er viktig fordi den viser at selv for en anskaffelse med åpenbar sikkerhetsmessig relevans – utstyr til politiets helikoptertjeneste – er terskelen for å holde anskaffelsen helt utenfor regelverket høy. Oppdragsgiveren må konkret påvise at de alminnelige sikkerhetsverktøyene (taushetsplikt, klarering, sikkerhetsavtale) er utilstrekkelige. En generell henvisning til at anskaffelsen gjelder politimateriell, er ikke nok.
Et annet sentralt poeng er at særlige sikkerhetskrav som sikkerhetsklarering og taushetserklæring ikke i seg selv endrer tjenestens karakter. KOFA uttalte i sak 2020/402 (Sør-Vest politidistrikt) at tolkeoppdrag ved kommunikasjonskontroll – som krevde ytterligere sikkerhetsvurdering, egen taushetserklæring og opplæring – ikke skilte seg fra øvrige tolkeoppdrag på en måte som endret tjenestens karakter, og at slike tiltak ikke er til hinder for konkurranseutsetting eller gir grunnlag for unntak fra kunngjøringsplikten [KOFA 2020/402].
Prinsippet om at fravikelser fra reglene som skal sikre at rettighetene fastsatt i traktaten blir virkningsfulle på området for offentlige kontrakter, skal fortolkes innskrenkende, er slått fast av EU-domstolen i en lang rekke saker. EU-domstolen uttalte i dom i sak C-157/06 (Kommisjonen mot Italia) at unntak fra anskaffelsesdirektivenes konkurranse- og kunngjøringsregler skal tolkes innskrenkende, og at det er medlemsstaten som påberoper seg unntaket som må bevise at vilkårene faktisk er oppfylt [EU-domstolen Case C-157/06]. Prinsippet gjelder også for det sikkerhetsspesifikke unntaket i FOA § 2-2 [KOFA 2019/426; KOFA 2019/426].
Den kanskje mest instruktive rekken av avgjørelser om grensen mellom «innenfor» og «utenfor» unntaket finner vi i en serie saker fra 2020 og 2021 der ulike politidistrikter hadde kjøpt tolketjenester som blant annet skulle benyttes ved kommunikasjonskontroll – avlytting og annen politimessig etterretning [KOFA 2020/402; KOFA 2020/405; KOFA 2020/406; KOFA 2020/407; KOFA 2020/404; KOFA 2020/403; KOFA 2020/401; KOFA 2020/400].
Tolker som ble benyttet til slike oppdrag, måtte gjennomgå sikkerhetsklarering og undertegne særskilte taushetserklæringer, ettersom de fikk innsyn i svært sensitiv informasjon om pågående etterforskning. Politidistriktene anførte at det særegne ved denne typen tolkeoppdrag innebar at kjøpene enten kunne unntas etter FOA § 2-2, eller i alle fall ikke skulle regnes sammen med distriktenes øvrige tolkekjøp ved beregningen av anskaffelsens samlede verdi.
KOFA kom til motsatt resultat i samtlige saker. KOFA-sak 2020/402 (Sør-Vest politidistrikt) er den mest detaljerte avgjørelsen og fungerer som lede-sak for hele serien [KOFA 2020/402].
Saken gjaldt tolketjenester kjøpt av Sør-Vest politidistrikt i perioden fra 18. mai 2018 til 9. juni 2020. Kjøpene var spredt på flere leverandører – tre tolkeformidlere stod for om lag 75 prosent av volumet, mens resten var kjøpt direkte fra enkeltstående tolker. Det samlede kjøpet beløp seg til over 10 millioner kroner. Ingen av kjøpene var kunngjort.
Klagenemnda måtte ta stilling til tre sentrale spørsmål. Det første var om kjøp fra tolkeformidlere og direkte kjøp fra enkeltstående tolker utgjorde «liknende kontrakter» som ble inngått «regelmessig» etter FOA § 5-4 (9), og som dermed skulle verdiberegnes samlet. Nemnda la vekt på at det avgjørende er hva tjenesten i sin kjerne går ut på – oversetting av ytringer fra ett språk til et annet på ytringstidspunktet – ikke om den kjøpes via en formidler eller direkte fra tolken. Nemnda uttalte at «[t]jenesten som oppdragsgiver kjøper er imidlertid den samme, selv om oppdragsgiver får visse tilleggsytelser ved å kjøpe tjenesten fra en formidler» [KOFA 2020/402].
Det andre spørsmålet var om tolkekjøp ved kommunikasjonskontroll var unntatt fra kunngjøringsplikten etter FOA § 2-2. Politidistriktet anførte at det særskilte kravet om sikkerhetsklarering og taushetserklæring ved slike oppdrag innebar at kjøpene enten var «erklært hemmelige» eller «bare kan utføres under særlige sikkerhetstiltak». Klagenemnda avviste dette. Den la til grunn at kommunikasjonskontrollforskriften ikke inneholdt regler som forhindret konkurranseutsetting, og at politidistriktet ikke hadde påvist at sikkerhetsinteressene ikke kunne ivaretas gjennom kvalifikasjonskrav om klarering og kontraktsvilkår om taushetsplikt innenfor en ordinær konkurranse [KOFA 2020/402].
Det tredje spørsmålet gjaldt skyldgrad og gebyr. Klagenemnda fant at overtredelsen var begått ved simpel uaktsomhet – ikke grov uaktsomhet – og ilegde et overtredelsesgebyr på 1 024 000 kroner, tilsvarende 10 prosent av anskaffelsens verdi [KOFA 2020/402].
Denne saksrekken er et av de klareste eksemplene i praksis på at sikkerhetsklarering av personell – et tiltak som i seg selv er ganske inngripende – ikke uten videre kvalifiserer som et «særlig sikkerhetstiltak» i FOA § 2-2 (1) bokstav b sin forstand. Grensen går ved om sikkerhetsbehovet kan ivaretas som et kvalifikasjonskrav eller kontraktsvilkår innenfor den ordinære prosedyren, eller om det krever et helt annet og mer inngripende sikkerhetsregime.
Denne grensen kan belyses ytterligere ved å sammenholde de norske politidistriktsakene med EU-domstolens dom i sak C-252/01 (Kommisjonen mot Belgia) [EU-domstolen Case C-252/01]. Saken gjaldt en kontrakt om luftfotografering og bearbeiding av bilder for overvåking av den belgiske kysten. Kontrakten hadde en verdi på 534 millioner belgiske franc og en varighet på ni år. Kommisjonen anla traktatbruddssak og mente kontrakten skulle vært kunngjort etter det dagjeldende tjenestedirektivet (direktiv 92/50). Belgia anførte at kontrakten var omfattet av sikkerhetsunntaket i direktivets artikkel 4 nr. 2, som tilsvarer det som i dag er regulert i FOA § 2-2 (1) bokstav b.
EU-domstolen fant at unntaket kom til anvendelse. Det avgjørende var at utførelsen av tjenestene faktisk var underlagt et operativt sikkerhetsregime fastsatt i nasjonale regler. All luftfotografering i Belgia måtte sendes til de belgiske sikkerhetstjenestene for kontroll og eventuell sensur, med mindre det aktuelle foretaket hadde militær sikkerhetsklarering. Et foretak med slik klarering kunne arbeide direkte med materialet, men var underlagt løpende sikkerhetskrav knyttet til håndtering, tilgang, lagring og oppbevaring av usensurert fotografisk materiale – herunder særlige bygnings- og alarmsikringskrav. Prosedyren for å oppnå militær sikkerhetsklarering innebar inngående kontroll av ansatte, aksjonærer og ledelse [EU-domstolen Case C-252/01].
Domstolen la avgjørende vekt på at militær sikkerhetsklarering i denne sammenhengen ikke bare var en administrativ tillatelse som kunne behandles som et kvalifikasjonskrav etter direktivet. Det dreide seg om et operativt sikkerhetsregime som også måtte opprettholdes under kontraktens utførelse. Leverandøren var ikke bare godkjent én gang – den var underlagt løpende operative sikkerhetskrav knyttet til nettopp den typen materiale kontrakten gjaldt [EU-domstolen Case C-252/01].
Domstolen konkluderte med at utførelsen av tjenestene måtte ledsages av særlige sikkerhetstiltak i direktivets forstand, og at direktivet dermed ikke kom til anvendelse. Kommisjonens søksmål ble forkastet [EU-domstolen Case C-252/01].
Ved første øyekast kan dette virke som en motsigelse i forhold til de norske politidistriktsakene: i begge tilfeller var det tale om klarering av personell som skulle bistå med sensitiv virksomhet, men utfallet ble motsatt. Forklaringen ligger i hvor omfattende og lovforankret det underliggende sikkerhetsregimet var i hvert tilfelle.
I den belgiske saken var det tale om et helhetlig, nasjonalt fastsatt sikkerhetsregime knyttet til selve håndteringen, lagringen og spredningen av det sensitive materialet – løpende operative sikkerhetskrav som gikk langt utover at den enkelte konsulenten eller tolken skulle klareres. I de norske sakene fant KOFA at kravene lot seg innpasse i den ordinære anskaffelsesprosessen som alminnelige kontraktsvilkår, uten at det var dokumentert et tilsvarende gjennomgripende, lovforankret sikkerhetsregime.
Sondringen mellom disse to situasjonene er en delvis avklart, men fortsatt åpen grensesone: hvor går skillet mellom et ordinært sikkerhetsregime – klarering og sikkerhetsavtale som kan håndteres innenfor FOA – og et operativt sikkerhetsregime knyttet til håndtering, lagring og spredning av materiale som faktisk utløser virkeområdeunntaket? Det finnes ingen skarp, generell formel for dette. Det praktikeren må gjøre, er å undersøke om det finnes et selvstendig, lovforankret sikkerhetsregime for den aktuelle tjenesten – ikke bare et sikkerhetsbehov som kan løses med standard kontraktsverktøy.
Den andre unntakshjemmelen i FOA § 2-2 (1) bokstav a viser til EØS-avtalen artikkel 123. Denne bestemmelsen er i praksis særlig aktuell for anskaffelser av forsvarsmateriell, og gir statene adgang til å treffe tiltak som angår handel med våpen, ammunisjon, krigsmateriell eller andre varer som er uunnværlige for forsvarsformål.
Ordlyden i EØS-avtalen artikkel 123 bokstav b opererer med to kategorier varer. For varer bestemt direkte for militære formål gjelder unntaket uten tilleggsvilkår ut over at det må dreie seg om slike varer. For varer som ikke er bestemt direkte for militære formål, er tiltak bare tillatt dersom de ikke endrer konkurransevilkårene mellom leverandørene. Denne sondringen er viktig: for den første kategorien er det tilstrekkelig at varen er uunnværlig for forsvarsformål og bestemt for militær bruk [KOFA 2003/27].
KOFA-sak 2003/27 (Normeca AS mot Forsvarets logistikkorganisasjon) er den tidligste avgjørelsen som belyser denne sondringen. Saken gjaldt Forsvarets kjøp av en kirurgisk feltsykehusenhet – en plattform for livreddende kirurgisk virksomhet og kritisk pleie i stridsmiljø. Kontrakten ble inngått med Marshall SV uten å følge anskaffelsesregelverkets prosedyrer. Normeca AS anførte at enheten også egnet seg for sivile formål og viste til at tilsvarende enheter hadde vært brukt av humanitære organisasjoner [KOFA 2003/27].
Klagenemnda la til grunn at enheten var bestemt direkte for militær bruk. Enheten var blant annet utstyrt med beskyttelse mot atom-, biologiske og kjemiske våpen (ABC-våpen), og klager hadde selv fremhevet at enheten var «beregnet til bruk i bakre del av et kampområde». Nemnda fant at vilkårene for den første varekategorien i artikkel 123 bokstav b var oppfylt, og at FLO hadde gyldig hjemmel til å unnta anskaffelsen fullt ut fra regelverket. Normecas anførsler om at lignende enheter hadde vært brukt til humanitære formål, endret ikke klassifiseringen: at en vare bestemt direkte for militær bruk også har et sivilt marked, medfører ikke noen begrensning i adgangen til å unnta anskaffelsen [KOFA 2003/27].
Saken viser at terskelen for forsvarsunntaket i praksis kan være oppfylt selv for materiell som i prinsippet kunne tenkes brukt sivilt, forutsatt at den konkrete anskaffelsen er bestemt for militær bruk og materiellet er uunnværlig for forsvarsformål. Det avgjørende er ikke om varen i seg selv kunne vært brukt sivilt, men om den er anskaffet for militært formål.
Selv når materiellet klart faller innenfor kategorien «krigsmateriell eller andre varer som er uunnværlige for forsvarsformål», kreves det at unntaket er forholdsmessig begrunnet. Oppdragsgiveren må sannsynliggjøre at det konkret var nødvendig å fravike anskaffelsesregelverket.
KOFA-sak 2014/86 (I.M Skaugen SE mot Forsvarets logistikkorganisasjon) gjaldt en rammeavtale for kjøp av militære lastebiler. Første avrop var på 1 milliard kroner. Lastebilene var tungt pansrede, utstyrt med fjernstyrte våpenstasjoner, elektroniske mottiltak, røykutskytere og kommando- og informasjonssystemmateriale (K2IS), og produsert særskilt for militær bruk. Klager anførte at anskaffelsen var en ulovlig direkte anskaffelse og at valgte leverandør burde vært avvist på grunn av korrupsjonsdom mot et morselskap [KOFA 2014/86].
Klagenemnda tok først stilling til om den hadde jurisdiksjon til å prøve påberopelsen av EØS-avtalen artikkel 123. Det ble slått fast at KOFA har kompetanse til å vurdere om unntaket er rettmessig påberopt, men at en lovlig unntaksbeslutning medfører at den videre klagen faller utenfor nemndas myndighet [KOFA 2014/86].
Om selve materiellvurderingen uttalte KOFA at unntaket ikke er begrenset til produkter som er uttrykkelig oppført i Rådets liste fra 1958. Ordlyden «andre varer som er uunnværlige for forsvarsformål» gir EØS-avtalen artikkel 123 et potensielt videre virkeområde enn den parallelle bestemmelsen i TFEU artikkel 346 [KOFA 2014/86].
Nemnda la deretter avgjørende vekt på proporsjonalitetsvurderingen. FLO hadde dokumentert gjennom et internt arbeidsdokument at unntaket var begrunnet i behovet for å hemmeligholde informasjon om forsvarets kapasitet og utholdenhet, herunder pansringsnivåer, ytelser og mottiltak. Regelverkets krav til gjennomsiktighet og innsyn ville ha underminert dette formålet. KOFA uttalte at hensynene lå «godt innenfor formålet om å sikre Forsvaret handlefrihet og fleksibilitet på et sensitivt område av stor nasjonal betydning», og konkluderte med at unntaket var lovlig påberopt [KOFA 2014/86].
Saken illustrerer flere viktige poenger. For det første: oppdragsgiveren har en dokumentasjonsplikt – unntaket må forankres i en konkret, skriftlig vurdering av behovet. For det andre: når EØS-avtalen artikkel 123 er lovlig påberopt, har KOFA ikke jurisdiksjon til å prøve de materielle anførslene om ulovlig direkte anskaffelse, vesentlig endring av rammeavtaler eller andre regelverksbrudd. Hele saken faller utenfor regelverkets virkeområde.
I KOFA-sak 2017/34 (Blue Aerospace LLC mot Forsvarets logistikkorganisasjon) kom nemnda til tilsvarende resultat i en sak om kjøp av F-16-flydeler. Nemnda uttalte at det «ikke er tvilsomt at det norske flyvåpenet er 'uunnværlig for forsvarsformål'», og at de påberopte hensynene – behovet for å gjennomføre forhandlinger om sensitive militære forhold som antall operative fly og planlagt vedlikehold uten at dette ble kjent for offentligheten – lå klart innenfor artikkel 123 bokstav b [KOFA 2017/34]. Alternativet på det dagjeldende tidspunktet, regulert av det eldre regelverket, ville ikke gitt adgang til forhandlet prosedyre, noe som ytterligere begrunnet behovet for unntak.
Motsetningsstykket til disse sakene finner vi i EU-domstolens dom i sak C-615/10 (Insinööritoimisto InsTiimi Oy), som trekker opp grensen for forsvarsunntaket der produktet har vesentlige sivile anvendelsesmuligheter.
Saken gjaldt det finske forsvarets anskaffelse av et dreieskivesystem – et underlag for objekter ved elektromagnetiske målinger – til en verdi av 1 650 000 euro. Anskaffelsen ble gjennomført uten forutgående kunngjøring etter en prosedyre som ikke svarte til direktiv 2004/18. Forsvaret anførte at systemet var anskaffet spesielt til militære formål, herunder simulering av kampsituasjoner og bruk i elektronisk krigføring. Klager anførte at systemet bygget på alminnelig tilgjengelige komponenter og representerte en teknisk løsning kjent fra sivil industri [EU-domstolen Case C-615/10].
EU-domstolen fastslo at forsvarsunntaket skal tolkes strengt. Det sentrale tolkningsprinsippet er at det ikke er tilstrekkelig at oppdragsgiveren subjektivt har til hensikt å bruke utstyret til militære formål. Når et produkt også har i det vesentlige tilsvarende sivile anvendelsesmuligheter, må det objektivt kunne anses som spesielt bestemt til militære formål. Domstolen formulerte dette slik: produktet må, «i kraft av sine særlige kjennetegn», være «særlig designet og utviklet» for militære formål, eventuelt gjennom «vesentlige endringer» fra et sivilt utgangspunkt [EU-domstolen Case C-615/10].
Domstolen presiserte videre at selv om et produkt kan falle inn under Rådets liste fra 1958, gir dette i seg selv ikke automatisk adgang til unntak. Medlemsstaten må i tillegg bevise at unntaket er nødvendig for å beskytte vesentlige sikkerhetsinteresser, og at disse interessene ikke kunne vært ivaretatt innenfor rammene av en ordinær konkurranse etter direktivet [EU-domstolen Case C-615/10].
Dommen er avgjørende for vurderingen av dual-use-pregete anskaffelser. Den viser at oppdragsgiver ikke kan unnta en kontrakt fra kunngjøring og konkurranse bare fordi anskaffelsen skjer i forsvarssektoren eller fordi utstyret skal brukes militært. For produkter med betydelige sivile anvendelsesmuligheter kreves en konkret, objektiv vurdering av produktets egenskaper – ikke bare en henvisning til oppdragsgiverens brukshensikt.
EU-domstolens dom i sak C-157/06 (Kommisjonen mot Italia) trekker den samme grensen, men i en enda klarere faktisk kontekst [EU-domstolen Case C-157/06]. Saken gjaldt et italiensk ministerielt dekret som åpnet for å fravike de ordinære anskaffelsesreglene ved innkjøp av lette helikoptre til politiet og det nasjonale brannvesenet. Italia anførte at helikoptrene hadde militære egenskaper, kunne brukes til nasjonal sikkerhet og måtte behandles diskret.
EU-domstolen avviste Italias anførsler punkt for punkt. Om artikkel 296 EF (nå artikkel 346 TFEU), som tilsvarer det som i norsk rett reflekteres gjennom EØS-avtalen artikkel 123, uttalte Domstolen at bestemmelsen bare kan benyttes for varer som er bestemt spesielt til militære formål. Når den sivile anvendelsen er sikker – helikoptrene skulle brukes til sivile beredskapstjenester som politi og brannvern – og den militære anvendelsen bare er mulig eller eventuell, kan anskaffelsen ikke unntas [EU-domstolen Case C-157/06].
Domstolen var like klar om sikkerhetsunntaket i det dagjeldende vareanskaffelsesdirektivet. Behovet for taushetsplikt er i seg selv ikke til hinder for å gjennomføre en anbudsprosedyre. Italia hadde ikke dokumentert at formålet om å hindre spredning av sensitiv informasjon ikke kunne ivaretas innenfor direktivets prosedyrer. Den blotte henvisningen til hemmelighold, særlige sikkerhetstiltak eller vern av vesentlige sikkerhetsinteresser var ikke nok – staten måtte konkret godtgjøre hvorfor formålet krever at anskaffelsen holdes utenfor regelverket [EU-domstolen Case C-157/06].
Dommen har direkte overføringsverdi til norsk rett. Den viser at oppdragsgivere og myndigheter ikke kan etablere generelle eller kategoriske unntak fra kunngjøringsplikt og ordinære prosedyrer bare fordi anskaffelsen berører politi, beredskap eller sensitiv informasjon. Det må foretas en konkret vurdering, og unntak må dokumenteres. Sondringen er presis: er den sivile bruken sikker og den militære bare mulig, faller anskaffelsen utenfor unntaket. Er den militære bruken det klare formålet – selv om det finnes en teoretisk sivil anvendelighet, som for feltsykehuset i sak 2003/27 – kan unntaket komme til anvendelse.
EU-domstolens dom i sak C-3/88 (Kommisjonen mot Italia) illustrerer det samme mønsteret i en annen kontekst [EU-domstolen Case C-3/88]. Saken gjaldt italienske regler som forbeholdt kontrakter om innføring av edb-systemer i forvaltningen til selskaper som var helt eller hovedsakelig offentlig eid. Italia anførte blant annet at behovet for kontroll og sikkerhet knyttet til fortrolige opplysninger i offentlig forvaltning rettferdiggjorde reservasjonen.
EU-domstolen avviste anførslene. Om unntaket for offentlig myndighetsutøvelse uttalte Domstolen at tekniske oppgaver knyttet til utarbeidelse, programvare og drift av edb-systemer ikke i seg selv er direkte og særlig forbundet med utøvelse av offentlig myndighet. Slike oppgaver er av teknisk karakter og gir forvaltningen støtte i oppgaveløsningen, men innebærer ikke myndighetsutøvelse [EU-domstolen Case C-3/88].
Om fortrolighetshensynet uttalte Domstolen at behovet for kontroll med kontraktsgjennomføringen kan ivaretas med ordinære rettslige og kontraktsmessige virkemidler, og at hensynet til fortrolige opplysninger kan beskyttes med mindre inngripende tiltak – særlig straffsanksjonert taushetsplikt. Den generelle reservasjonen gikk derfor lenger enn nødvendig [EU-domstolen Case C-3/88].
Dommen har prinsipiell rekkevidde: fortrolighet og kontrollhensyn kan ikke begrunne generelle restriksjoner når mindre inngripende tiltak, som taushetsplikt, kan ivareta formålet. Medlemsstaten kan heller ikke unnta anskaffelse av nødvendig utstyr fra regelverket ved å knytte leveransen til bredere oppgaver med systemutvikling og drift [EU-domstolen Case C-3/88]. Poenget har direkte relevans for moderne anskaffelser av skybaserte tjenester, driftstjenester og systemutvikling i offentlig sektor: at systemet behandler sensitiv – men ikke sikkerhetsgradert – informasjon, er normalt ikke i seg selv tilstrekkelig til å begrunne unntak fra konkurranse.
KOFA-sak 2019/391 (UAS Norway mot Forsvarsmateriell) er den sentrale avgjørelsen om stat-til-stat-unntaket i FOSA [KOFA 2019/391]. Saken gjaldt Forsvarsmateriellets anskaffelse av 36 komplette ubemannede luftsystemer (UAS/dronesystemer) for rekognosering og situasjonsbevissthet for Hærens kampbataljoner, med en kontraktsverdi på om lag 168 millioner kroner. Kontrakten ble inngått mellom norske og amerikanske myndigheter gjennom det amerikanske Foreign Military Sales-programmet (FMS), uten kunngjøring. Bransjeforeningen UAS Norway anførte at kontraktsinngåelsen utgjorde en ulovlig direkte anskaffelse [KOFA 2019/391].
Klagenemnda tok først stilling til om leveransen utgjorde «forsvarsmateriell» etter FOSA § 4-1 bokstav f, det vil si materiell «spesielt utformet eller tilpasset militære formål og militært bruk». Nemnda uttalte at vurderingen skal gjøres for totalsystemet som helhet, ikke komponent for komponent. Dronene var produsert med innebygde militære komponenter, herunder militær GPS underlagt amerikanske eksportrestriksjoner (ITAR), og leveransen omfattet militær trening og teknisk bistand. Nemnda fant det «klart at ikke bare dronene isolert sett, men også totalsystemene som de inngår som integrerte bestanddeler i» er forsvarsmateriell [KOFA 2019/391].
Deretter vurderte nemnda om unntaket for kontrakter mellom stater etter FOSA § 1-3 (2) bokstav h var oppfylt. Nemnda la til grunn at kontrakten ble inngått av FLO på vegne av og etter fullmakt fra Forsvarsdepartementet, at teknologien var underlagt ITAR-eksportrestriksjoner og ikke kunne anskaffes kommersielt, og at innklagede hadde foretatt en dokumentert vurdering fra 2015 som begrunnet FMS som eneste hensiktsmessige løsning. Interoperabilitet med allierte og risikominimering i militære operasjoner inngikk i vurderingen. Klagenemnda fant «ikke grunn til å tvile på innklagedes vurderinger» og konkluderte med at vilkårene var oppfylt [KOFA 2019/391].
Saken klargjør to viktige poenger. For det første bekreftes det at materialvurderingen etter FOSA skal gjøres for totalsystemet som helhet. For det andre presiseres det at FMS-ordningen kan gi grunnlag for å unnta anskaffelsen fra kunngjøring, forutsatt at kontrakten inngås på myndighetsnivå og at en analyse viser at FMS er den eneste eller beste løsningen for å oppfylle militære kapasitetsbehov. Vurderingen bør dokumenteres grundig og gjennomføres i forkant av kontraktsinngåelsen. Stat-til-stat-unntaket er smalt og forutsetter en reell myndighet-til-myndighet-relasjon – ikke bare at leverandøren tilfeldigvis er knyttet til en utenlandsk stats forsvarsindustri.
Et beslektet, men strukturelt annerledes spørsmål er grensen mellom FOA og FOSA. Denne grensen avgjør ikke om anskaffelsen faller helt utenfor regelverket, men hvilket regelverk som skal følges.
FOA § 6-5 regulerer blandede anskaffelser som delvis er omfattet av forskriften og delvis inneholder forsvars- eller sikkerhetselementer. Ordlyden gir oppdragsgiveren to hovedvalg: enten kan det inngås separate kontrakter etter reglene som gjelder for den enkelte kontrakten, eller det kan inngås en blandet kontrakt om ytelser som kan skilles fra hverandre på en objektiv måte. Det siste forutsetter at valget om ikke å skille ytelsene er objektivt begrunnet og ikke tas med sikte på å unnta kontrakten fra virkeområdet til FOA eller FOSA.
For blandede kontrakter der ytelsene ikke kan skilles fra hverandre på en objektiv måte og som delvis er omfattet av EØS-avtalen artikkel 123, gjelder verken anskaffelsesloven eller forskriften. I øvrige tilfeller av udelelige, blandede kontrakter kan oppdragsgiveren velge om FOA eller FOSA skal gjelde. Kildematerialet gir begrenset veiledning om når ytelser anses «objektivt skillbare» i praksis, og dette er en åpen grensesone som må avgjøres konkret i hver sak.
KOFA-sak 2022/1688 og KOFA-sak 2022/168 (Forsvarsmateriell – patruljetelt) gir detaljert veiledning om den konkrete vurderingen av om materiell er «forsvarsmateriell» etter FOSA [KOFA 2022/1688; KOFA 2022/168]. Sakene – som gjaldt samme konkurranse, men ble behandlet som to separate klager – er et godt eksempel på at vurderingen ikke beror på et enkelt kjennetegn, men på en samlet bedømmelse av produktets karakter.
Forsvarsmateriell kunngjorde 15. juli 2022 en konkurranse med forhandling for to rammeavtaler om produksjon og levering av tre typer patruljetelt til Forsvarets personell. Estimert verdi var 303 millioner kroner, og rammeavtalenes varighet var angitt til ti år. Konkurransen ble kunngjort etter FOSA. Klager – et fellesskap bestående av Tacticus AS, Henriksen Gruppen AS og H. Henriksen AS – ble avvist i prekvalifiseringsfasen for manglende ISO-sertifisering, og bestred deretter at FOSA var riktig regelverk for anskaffelsen. Klager anførte at telt er ordinære handelsvarer og at anskaffelsen skulle vært kunngjort etter den alminnelige anskaffelsesforskriften [KOFA 2022/1688; KOFA 2022/168].
Klagenemnda tok utgangspunkt i FOSA § 4-1 bokstav f, som definerer forsvarsmateriell som materiell «spesielt utformet eller tilpasset militære formål og militært bruk». Nemnda la til grunn at vurderingen skal skje samlet – det er ikke tilstrekkelig å isolere hvert enkelt krav og vurdere om det isolert sett er sivilt. Avgjørende var om produktet, sett hen til hele kravpakken, er spesielt tilpasset militært bruk.
Kravspesifikasjonen stilte krav til slitestyrke, militære kamuflasjefarger (Pantone 19-0516TCX), forbud mot refleksmateriale, innvendig høyde og åpningsform tilpasset bruk med kampgear, oppsetting på 12 minutter med vinterhansker, og ventilasjon tilpasset militære scenarier. En forutgående markedsundersøkelse hadde fastslått at sivilt tilgjengelige telt ikke dekket behovet. Nemnda fant at teltene samlet sett var «spesielt tilpasset et militært bruk», og at FOSA var riktig regelverk [KOFA 2022/1688; KOFA 2022/168].
I samme saker fant KOFA imidlertid brudd på FOSA § 6-1 (4), som setter syv år som maksimal varighet for rammeavtaler med mindre det foreligger «særlige omstendigheter». Forsvarsmateriell hadde fastsatt tiårsvarighet og begrunnet dette med at basemateriell generelt har ti års levetid, at innrullering ved alle avdelinger tar opptil to år, og at usikker råvaretilgang kan gi opptil ett års ledetid.
Nemnda avviste samtlige begrunnelser. Kravspesifikasjonen selv angav forventet produktlevetid for teltene til to år basert på 80 dagers bruk per år. Innrulleringstid var en integrert del av det FOSA allerede tar høyde for i sin forlengede normalgrense. Usikker ledetid var en markedsrisiko som gjør seg gjeldende ved de fleste langvarige kontrakter og utgjorde ikke en særlig omstendighet. Nemnda presiserte at syvårsgrensen gjelder adgangen til nye avrop – avrop som allerede er gjort kan ha leveringsfrister utover syvårsperioden – men at det ikke kan foretas nye avrop etter syv år uten særskilt begrunnelse [KOFA 2022/1688; KOFA 2022/168].
Denne saken illustrerer et generelt poeng: sikkerhetsmessige og forsvarsmessige særtrekk ved en anskaffelse gir ikke oppdragsgiveren en generell frihet fra de skranker som ellers gjelder – heller ikke innenfor det regelverket som er skreddersydd for forsvarssektoren. Den forlengede syvårsgrensen i FOSA er allerede en konsesjon til forsvarsanskaffelsenes egenart. Ytterligere utvidelse krever konkret og tungtveiende begrunnelse.
Et gjennomgående trekk i praksis er at rene sikkerhetspolitiske eller beredskapsmessige anførsler ikke i seg selv etablerer et rettslig unntak.
I sak 2025/0315 (NSSL Global AS) hadde oppdragsgiveren fortsatt løpende kjøp av satellittkommunikasjon på en rammeavtale som var utløpt, og anførte innledningsvis EØS-avtalen artikkel 123 som mulig grunnlag for unntak. KOFA konstaterte at oppdragsgiveren etter hvert selv erkjente at unntaket ikke kom til anvendelse, og at de fortsatte kjøpene uten gyldig avtale eller kunngjøringsunntak utgjorde en ulovlig direkte anskaffelse [KOFA 2025/0315]. Et sikkerhetsrelevant saksområde – satellittkommunikasjon har åpenbar beredskapsmessig betydning – er altså ikke i seg selv nok til å bære et unntak.
DFØ presiserer at sikkerhets- og beredskapshensyn ikke kan brukes til å skjerme nasjonale leverandører, og at anskaffelsen ellers må følge grunnprinsippene og ordinære prosedyrer i regelverket.
Den store majoriteten av saker som gjelder sikkerhet og beredskap i anskaffelser, dreier seg ikke om hvorvidt anskaffelsen kan unntas, men om hvilke krav og kriterier oppdragsgiveren lovlig kan stille innenfor det ordinære regelverket. Dette er også den løsningen lovgiver har lagt opp til gjennom LOA § 5d.
DFØ anbefaler at oppdragsgiver kan stille krav eller kriterier om sikkerhet og beredskap i ulike deler av anskaffelsesprosessen, men at slike krav og kriterier må utformes innenfor de ordinære reglene i anskaffelsesregelverket. DFØ peker også på at det kan være aktuelt å se hen til NSMs veileder om ivaretakelse av sikkerhet i offentlige anskaffelser for informasjon om sammenhengen mellom de ulike reglene.
NSM understreker at anskaffelsesregelverket gir oppdragsgiver et stort handlingsrom for å stille krav og kriterier som ivaretar sikkerhets- og beredskapshensyn. Sikkerhetskrav kan stilles som kvalifikasjonskrav, kravspesifikasjoner, tildelingskriterier og kontraktsvilkår – forutsatt at de er saklig begrunnet i anskaffelsens formål og oppfyller de alminnelige kravene til likebehandling, forutberegnelighet og forholdsmessighet.
I sak 2024/793 (Sykehusinnkjøp HF) la KOFA til grunn at forsyningssikkerhet kan være et saklig og objektivt begrunnelsesgrunnlag for å utforme krav som begrenser hvilke produkter som kan tilbys, dersom kravet er knyttet til anskaffelsens formål [KOFA 2024/793]. Oppdragsgiverens vurdering av hvilke krav som er nødvendige, beror på et innkjøpsfaglig skjønn som bare i begrenset grad kan overprøves. Et krav som ekskluderte et bestemt merke fra en delkontrakt, ble akseptert fordi oppdragsgiveren hadde sannsynliggjort at kravet var nødvendig ut fra anskaffelsens formål [KOFA 2024/0793].
EU-domstolen har i sak C-324/93 (Evans Medical Ltd og Macfarlan Smith Ltd) lagt til grunn at forsyningssikkerhet for medisinsk nødvendige varer kan omfattes av hensynet til beskyttelse av menneskers liv og helse som tildelingskriterium, forutsatt at kriteriet er klart angitt på forhånd i kunngjøringen eller konkurransegrunnlaget [EU-domstolen Case C-324/93].
Sikkerhetsklarering kan i en konkret evalueringssammenheng inngå som moment for å vurdere erfaring med sikringsbygg og graderte dokumenter, dersom dette fremgår av konkurransegrunnlaget [KOFA 2019/670].
Et særskilt typetilfelle gjelder anskaffelser av beredskaps- og krisestøtteverktøy uten kunngjøring, typisk med påberopelse av at det bare finnes én mulig leverandør.
KOFA-sak 2024/796 (Rayvn AS mot Statens vegvesen) er den sentrale avgjørelsen [KOFA 2024/796]. Saken gjaldt Statens vegvesens anskaffelse av beredskaps- og krisestøtteverktøyet «VegCIM» fra F24 Nordics AS. Statens vegvesen hadde brukt CIM-systemet siden 2007, opprinnelig gjennom avrop på en rammeavtale inngått av Direktoratet for samfunnssikkerhet og beredskap (DSB). Etter at DSB i desember 2022 kunngjorde ny konkurranse om rammeavtale for beredskaps- og krisestøtteverktøy, signerte Statens vegvesen tilslutningserklæring. Vinnerens system – Rayvn AS – ble imidlertid vurdert av en intern prosjektgruppe som gjennomførte en digital gjennomgang. Statens vegvesen inngikk deretter 29. januar 2024 kontrakt direkte med F24 Nordics AS uten kunngjøring, med henvisning til eneleverandørunntaket i FOA § 13-4 bokstav b nr. 2 [KOFA 2024/796].
Klagenemnda tok utgangspunkt i ordlyden i FOA § 13-4 bokstav b nr. 2, som tillater kontrakt uten konkurranse dersom «konkurranse er umulig av tekniske årsaker» og det ikke foreligger «rimelige alternativer». Nemnda understreket at unntaket skal tolkes restriktivt, at oppdragsgiver bærer bevisbyrden, og at det følger av direktivets fortale avsnitt 50 at unntaket bare berettiger forhandling uten kunngjøring i tilfeller av «objektiv eksklusivitet» som ikke er skapt av oppdragsgiveren selv [KOFA 2024/796].
Det sentrale i nemndas vurdering var spørsmålet om aktivitetsplikt. KOFA slo fast at oppdragsgiveren har en plikt til å gjennomføre en bred markedsundersøkelse – det er ikke tilstrekkelig bare å sammenligne det eksisterende systemet med ett konkret alternativ. Statens vegvesen hadde bare vurdert to systemer – det eksisterende VegCIM og Rayvn – til tross for at ni leverandører var ansett kvalifisert i DSBs konkurranse. Nemnda konkluderte med at innklagede «ikke [hadde] godtgjort at det var 'uomgængeligt nødvendigt' å inngå kontrakt med eksisterende leverandør» [KOFA 2024/796].
Om skyldvurderingen uttalte nemnda at offentlige oppdragsgivere forutsettes å ha god oversikt over regelverket, og at aktsomhetskravet skjerpes ytterligere ved bruk av unntak som innebærer full fritak fra konkurranseplikt. Innklagede hadde mottatt et juridisk notat 29. juni 2023 som eksplisitt advarte om at «terskelen for å benytte dette unntaket er høy», men gjennomførte likevel anskaffelsen uten ytterligere markedsundersøkelser. Nemnda fant at handlemåten representerte «et markert avvik fra vanlig forsvarlig handlemåte» og var grovt uaktsom. Statens vegvesen ble ilagt overtredelsesgebyr på 312 000 kroner, tilsvarende 12 prosent av anskaffelsens verdi [KOFA 2024/796].
Saken er viktig for alle oppdragsgivere som vurderer å videreføre eksisterende beredskaps- eller krisestøttesystemer uten konkurranse. Innlåsing og byttekostnader – uansett hvor reelle de er – fritar ikke fra plikten til å gjennomføre en bred og dokumentert markedsundersøkelse. At et system er virksomhetskritisk, at bytte vil kreve opplæring og tilpasning, eller at brukerne er vant til systemet, er ikke i seg selv tilstrekkelig til å oppfylle vilkårene for eneleverandørunntaket [KOFA 2024/796; KOFA 2024/0796].
NSM og sikkerhetslovgivningen legger til grunn tre grunnleggende prinsipper for valg av sikkerhetstiltak, som har direkte betydning for hvordan kravspesifikasjonen i en sikkerhetsgradert anskaffelse bør utformes.
Det første er prinsippet om minste nødvendige tilgang: det skal ikke gis en mer omfattende tilgang til skjermingsverdige verdier enn nødvendig. Det andre er prinsippet om forsvar i dybden: svikt i ett enkelt tiltak skal ikke kunne føre til kompromittering av skjermingsverdige verdier. Det tredje er et likebehandlingsprinsipp: effekten av sikkerhetstiltakene skal være tilnærmet lik for alle skjermingsverdige verdier med samme sikkerhetsbehov.
Disse tre prinsippene er hentet fra sikkerhetsloven med forskrifter og er ikke direkte gjengitt i det anskaffelsesrettslige regelgrunnlaget denne fremstillingen bygger på. De bør kontrolleres mot sikkerhetslovens egen tekst før de legges til grunn som bindende krav i en konkret sak, men de gir en nyttig faglig ramme for hvordan sikkerhetskrav bør tenkes gjennomført i praksis.
Sikkerhetslovgivningen angir at skjermingsverdige objekter og infrastruktur skal klassifiseres når det foreligger forhold som kan få alvorlige skadefølger. Klassifiseringen skal bygge på en skadevurdering som begrunner hvilke funksjoner eller sikkerhetsinteresser som kan bli skadet, samt hvilke konsekvenser redusert funksjonalitet, skadeverk, ødeleggelse eller rettsstridig overtakelse kan få.
Et praktisk viktig poeng er at dersom en del av et objekt har høyere klassifisering enn resten, skal denne delen defineres som et selvstendig objekt eller infrastruktur. I en anskaffelseskontekst betyr dette at en oppdragsgiver som anskaffer varer eller tjenester til et sammensatt anlegg der bare deler er sikkerhetskritisk, kan begrense de mest inngripende sikkerhetskravene til den relevante delen – noe som igjen kan redusere kostnadene og utvide leverandørmarkedet.
Sikkerhetslovgivningen angir videre at virksomheten i god tid før en skjermingsverdig verdi etableres, skal fastsette hvilke grunnsikringstiltak som skal beskytte den, og planlegge påbygging og skadebegrensning. Dersom det planlegges, gjennomføres eller inntreffer endringer som kan påvirke skjermingsverdige verdier i vesentlig grad, skal virksomheten vurdere hvilken risiko endringene medfører. Disse pliktene er hentet fra virksomhetsikkerhetsforskriften og bør kontrolleres mot forskriftens fulltekst.
Sikkerhetslovgivningen stiller en rekke detaljerte krav til håndtering av gradert informasjon som bør reflekteres i kontraktsvilkårene ved sikkerhetsgraderte anskaffelser.
Informasjonssystemer som skal behandle sikkerhetsgradert informasjon, skal være godkjent før de tas i bruk. Sikkerhetsgradert informasjon skal krypteres ved elektronisk overføring og lagring. Dokumenter med informasjon gradert KONFIDENSIELT eller høyere skal bare oppbevares og behandles i en beskyttet eller sperret sone. Ved fysisk sending av informasjon gradert KONFIDENSIELT eller høyere skal det brukes kurér, og for HEMMELIG eller STRENGT HEMMELIG skal mottakeren i tillegg kvittere for at sendingen er mottatt. Dokumenter med sikkerhetsgradert informasjon skal destrueres på en måte som hindrer at informasjonen kan rekonstrueres.
Virksomheten skal ha en oversikt over hvor dens egne dokumenter og lagringsmedier med informasjon gradert KONFIDENSIELT eller høyere til enhver tid befinner seg.
Samtlige av disse kravene er hentet fra sikkerhetslovgivningen og ikke fra det anskaffelsesrettslige regelgrunnlaget. De bør kontrolleres mot sikkerhetslovens og forskriftens fulltekst i den enkelte sak, men representerer et konkret og praktisk sett av standarder som bør legges til grunn ved utforming av kontraktsvilkår og inntas i sikkerhetsavtalen eller det ordinære avtaledokumentet, jf. punkt 4.3.
Et annet sett av spørsmål gjelder forholdet mellom sikkerhetshensyn og innsynsretten etter offentleglova, og mellom taushetsplikt og bevisfremleggelse i eventuelle klage- eller tvistesaker. Utgangspunktet, som følger av FOA §§ 7-3 og 7-4 sammenholdt med offentleglova §§ 20 og 21, er at oppdragsgiveren plikter å sikre at taushetsbelagte opplysninger om drifts- og forretningsforhold, samt sikkerhetsmessig sensitiv informasjon, ikke blir tilgjengelig for uvedkommende [2019/108; KOFA 2016/84; LB-2016-69346; 15-001311ASK-BORG].
Innsynsspørsmål om sikkerhetsnær informasjon må vurderes konkret opp mot de lovbestemte unntakene og de hensyn unntaksreglene skal verne. Det er ikke tilstrekkelig å vise generelt til at et dokument gjelder forsvarssektoren eller et annet sikkerhetssensitivt tema [2010/575; 2020/845; 2018/1533].
Når det gjelder forretningshemmeligheter i tilbud, har domstolene lagt til grunn at forretningshemmelighet krever en objektiv vurdering, der virksomhetens egen oppfatning ikke er avgjørende [LB-2016-69346; 16-069346ASK-BORG]. En begrunnelse for å unnta hele tilbud fra innsyn som kun viser til at helheten kan tenkes brukt av konkurrenter, uten at det angis nærmere hva dette består i, er for upresis til å sannsynliggjøre forretningshemmelighet [LB-2016-69346]. Måten en tilbudsoppbygning er strukturert på, er normalt ikke i seg selv en forretningshemmelighet.
Sladding som teknisk sett ikke fjerner de underliggende dataene, er ikke tilstrekkelig for å oppfylle taushetsplikten [KOFA 2016/84]. I en tvistesituasjon kan taushetsbelagte opplysninger nektes fremlagt som bevis etter en selvstendig interesseavveining, der hensynet til taushetsplikt, forretningshemmeligheter og konkurransevern kan veie tyngre enn hensynet til sakens opplysning [15-001311ASK-BORG].
Endelig følger det av sikkerhetslovgivningen at dersom et tilbud avvises med henvisning til at det ikke tilfredsstiller krav til oppbevaring av graderte opplysninger eller krav til forsyningssikkerhet, skal begrunnelsen redegjøre for hvorfor kravene ikke anses oppfylt. Den spesifikke begrunnelsesplikten er ikke direkte dekket av det anskaffelsesrettslige regelgrunnlaget denne fremstillingen bygger på og bør kontrolleres mot forskriftens egne bestemmelser om avvisning og begrunnelse, men den illustrerer et generelt prinsipp: heller ikke sikkerhetsbegrunnet avvisning fritar oppdragsgiveren fra den alminnelige begrunnelsesplikten.
NSM har en sentral, men i det anskaffelsesrettslige kildematerialet forholdsvis tynt dokumentert, rolle i sikkerhetsgraderte anskaffelser. Etaten er klareringsmyndighet for leverandørklareringer, jf. punkt 4.4, og oppdragsgiver skal anmode NSM om klarering.
NSM fører etter egen fremstilling register over sikkerhetsgraderte anskaffelser. Oppdragsgiveren skal ha oversikt over alle sikkerhetsgraderte anskaffelser og de leverandører og underleverandører som benyttes, og denne oversikten skal årlig oversendes til NSM. Formålet er at NSM til enhver tid skal ha oversikt over omfanget av sikkerhetsgraderte kontraktsforhold i offentlig sektor, både for tilsynsformål og for å kunne bistå oppdragsgivere ved behov. Denne plikten er ikke dekket av det anskaffelsesrettslige regelgrunnlaget og bør kontrolleres mot sikkerhetslovens og forskriftens fulltekst.
NSM opplyser at all kommunikasjon med utenlandske sikkerhetsmyndigheter i forbindelse med sikkerhetsgraderte anskaffelser skal gå via NSM. Det er ønskelig at virksomheter holder NSM fortløpende oppdatert om hvilke leverandører de benytter i sikkerhetsgraderte anskaffelser og hvilket nivå anskaffelsen ligger på. Denne kanalisering av kontakt har en klar praktisk begrunnelse: NSM skal til enhver tid ha oversikt over hvilke virksomheter som opptrer som leverandører til sikkerhetsgraderte anskaffelser under norsk sikkerhetslovgivning. Også dette er ikke dekket av det anskaffelsesrettslige regelgrunnlaget og bør kontrolleres direkte.
DFØ viser til at det kan være aktuelt å se hen til NSMs veileder om ivaretakelse av sikkerhet i offentlige anskaffelser for informasjon om sammenhengen mellom de ulike reglene som gjelder forsvars- og sikkerhetsanskaffelser.
Det må understrekes at opplysningene om NSMs rolle – registerplikt, kanalisering av internasjonal kommunikasjon, tilsynsansvar – i sin helhet er hentet fra NSMs egen veiledning. Det anskaffelsesrettslige regelgrunnlaget denne boken bygger på inneholder ikke selvstendige rettssetninger som verifiserer disse pliktene. De nærmere pliktene overfor NSM bør kontrolleres direkte mot sikkerhetsloven og tilhørende forskrifter i den enkelte sak. Fremstillingen her skal leses som en orientering om hvordan NSM selv beskriver sin rolle, ikke som en uttømmende juridisk analyse av hjemmelsgrunnlaget.
Et gjennomgående praktisk problem i sikkerhetsgraderte anskaffelser er at leverandørklarering og personellklarering tar tid – ofte lengre tid enn oppdragsgiveren har beregnet i sin fremdriftsplan. Dette skaper et press i retning av å søke hasteunntak eller andre snarveier når klareringsprosessen trekker ut. Praksis er imidlertid unison i at dette presset ikke i seg selv gir grunnlag for unntak fra kunngjøringsplikten.
Det tilgjengelige kildematerialet gir ikke direkte svar på hvordan samvirket mellom sikkerhetslovens tidskrevende klareringsprosess og anskaffelsesregelverkets prosedyrefrister skal håndteres i praksis. NSMs veileder og regelverket for anskaffelser (RAF 2026) er identifisert som potensielt viktige kilder, men er ikke fulltekstkontrollert. Det som kan sies med sikkerhet, er at den tiden klarering tar, er en faktor oppdragsgiveren må ta høyde for i planleggingen – og at manglende planlegging ikke kan repareres med hasteunntak.
Etter FOA § 13-3 bokstav e kan oppdragsgiveren bruke konkurranse med forhandling uten forutgående kunngjøring dersom:
«det er umulig å overholde fristene for en åpen anbudskonkurranse, begrenset anbudskonkurranse eller konkurranse med forhandling etter forutgående kunngjøring som følge av forhold som ikke skyldes oppdragsgiveren, og som oppdragsgiveren ikke kunne forutse. Kontraktens omfang skal ikke være større enn strengt nødvendig.»
Vilkårene er kumulative og strenge. Tre elementer må være oppfylt samtidig: forholdet må ikke skyldes oppdragsgiveren, det må ha vært uforutsigbart, og ordinære frister må være umulige å overholde. I tillegg setter bestemmelsens siste setning en skranke for kontraktens omfang.
KOFAs praksis er entydig på at dårlig planlegging ikke kvalifiserer som en uforutsett omstendighet [KOFA 2022/180; KOFA 2010/249; KOFA 2021/2014].
En rekke saker fra spesialisthelsetjenesten illustrerer dette. KOFA fant i saker mot Sykehuset i Vestfold HF, Sykehuset Telemark HF og Helse Stavanger HF at avrop på rammeavtaler som var utløpt, kombinert med påberopelse av drifts- og beredskapsbehov, ikke oppfylte vilkårene for hasteunntak [KOFA 2021/1432; KOFA 2021/1342; KOFA 2021/2014]. Beredskapshensyn fritar ikke i seg selv fra kunngjøringsplikt eller fra vilkårene for hasteunntak.
I saken om Helgelandssykehuset HF ble en forlengelse av en bilrammeavtale med vesentlige endringer – ny bilmodell og endrede prisvilkår – ansett å ligge utenfor den opprinnelige avtalens ramme. Når en rammeavtale er utløpt og forlenget med slike vesentlige endringer, kan avrop under den ikke forankres i den opprinnelige rammeavtalen, og de aktuelle kjøpene utgjorde dermed ulovlig direkte anskaffelse [KOFA 2021/1601].
KOFA-sak 2021/385 (Imatis AS mot Oslo kommune v/Helseetaten) viser at et gradvis oppstått behov ikke nødvendigvis er til hinder for å anvende hasteunntaket – men at vilkårene vurderes strengt [KOFA 2021/385].
Saken gjaldt Oslo kommunes anskaffelse av vaksinasjonssystemet «Helseboka» under covid-19-pandemien. Kommunen mottok i oktober 2020 beskjed om at kommunene ville få ansvar for vaksinasjonsprogrammet. Frem mot desember 2020 vurderte kommunen å utvikle en egen digital løsning, men 15. januar 2021 varslet Statsforvalteren om forventede store leveranser av AstraZeneca-vaksinen allerede fra første halvdel av februar 2021. Kommunen fant da at egenutvikling ikke lenger var gjennomførbart innen tidsfristen, og inngikk 4. februar 2021 kontrakt med HelseApps AS uten forutgående kunngjøring. Systemet var operativt 10. februar 2021. Estimert kontraktsverdi var 1 928 000 kroner [KOFA 2021/385].
Klagenemnda vurderte først om det var umulig å overholde fristene for en kunngjort konkurranse. Nemnda la til grunn at det med korteste mulige frister – inkludert karensperiode etter FOA § 25-2, og nødvendig tid til spesifisering, kvalifisering, forhandlinger og leveranse – «vanskelig [kunne] tenkes at det ville vært mulig å gjennomføre en slik kunngjort hasteanskaffelse på mindre enn 70 dager». Kommunen måtte dermed ha tatt beslutning om kunngjort hasteanskaffelse senest 1. desember 2020 for å ha systemet operativt 10. februar 2021. På dette tidspunktet forelå det ikke konkrete opplysninger om vaksinetilgang, distribusjon eller godkjenning [KOFA 2021/385].
Nemnda fant videre at det ikke var nødvendig å identifisere én bestemt, plutselig utløsende hendelse. Behovet hadde oppstått gradvis i takt med pandemiens utvikling, og dette hindret ikke at unntaket kunne anvendes så lenge de øvrige vilkårene var oppfylt. Det avgjørende var om en kunngjort hasteanskaffelse realistisk kunne vært gjennomført innen den fristen behovet satte [KOFA 2021/385].
Om kontraktens omfang uttalte nemnda at det er «en forskjell på en langvarig avtale med avbestillingsadgang og en avtale som fornyes automatisk dersom den ikke sies opp». Massevaksinasjonsavtalen hadde ett års varighet med automatisk fornyelse for seks måneder; sykehjemsavtalen seks måneder med tre måneders fornyelse. Begge var begrenset til koronavaksinering. Nemnda fant at omfanget var strengt nødvendig [KOFA 2021/385].
Saken illustrerer at hasteunntaket kan anvendes i situasjoner der behovet utvikler seg gradvis – som ved en pandemi – forutsatt at oppdragsgiveren ikke kunne forutse den konkrete behovssituasjonen tidlig nok til å gjennomføre en ordinær konkurranse. Samtidig viser saken at kontraktens varighet og fornyelsesmekanismer vurderes nøye opp mot kravet om «strengt nødvendig» omfang.
Overført til sikkerhetsgraderte anskaffelser gir dette en klar føring: den tiden det tar å gjennomføre leverandørklarering og personellklarering, er som utgangspunkt en forutsigbar del av anskaffelsesprosessen, ikke en uforutsett omstendighet. Oppdragsgiveren må planlegge prosessen slik at klareringsbehovet er avklart og igangsatt i god tid før kontrakt skal inngås.
Dette harmonerer med NSMs anbefaling om at sikkerhetsavtale og eventuell leverandørklarering som hovedregel skal være på plass før leverandøren gis tilgang til graderte verdier, jf. punkt 4.3 og 4.4. Den praktiske konsekvensen er at oppdragsgiveren må legge klareringstiden inn i tidsplanen allerede ved utarbeidelse av anskaffelsesstrategien – ikke som en formalitet i sluttfasen, men som en kritisk milepæl som kan påvirke valg av prosedyre, kontraktsmodell og til og med hvilke ytelser som inkluderes i konkurransen.
En beslektet unntakshjemmel i FOA § 13-3 bokstav f gjelder dekningskjøp som er nødvendige fordi en kontrakt er kjent uten virkning. Heller ikke denne bestemmelsen gir rom for at oppdragsgiveren kan inngå kontrakten for lenger tid enn det som er nødvendig for å gjennomføre en ny, ordinær konkurranse.
Beredskapshensyn kan unntaksvis få betydning ved vurderingen av om et bytte av kontraktspart utgjør en vesentlig kontraktsendring som krever ny konkurranse. Utgangspunktet er strengt: utskiftning av kontraktspart er som hovedregel en vesentlig endring som normalt utløser plikt til ny konkurranse [KOFA 2012/235; KOFA 2011/259].
I to beslektede saker om Direktoratet for nødkommunikasjon fant KOFA likevel at det under helt spesielle omstendigheter kan foreligge et smalt unntaksrom. Relevante momenter var at den nye leverandøren allerede var en betydelig underleverandør fra kontraktsinngåelsen, at kontrakten ble videreført på samme vilkår som tidligere, og at oppdragsgivers sikkerhet for oppfyllelsen var ivaretatt gjennom finansielle vurderinger og gjennomføringsgarantier [KOFA 2012/235; KOFA 2011/259].
I den ene saken (sak 2012/118) inngikk også risikoen for mislighold hos den opprinnelige leverandøren, og de alvorlige konsekvensene dette kunne få for nødnettets driftssikkerhet, i den samlede vurderingen. At det utbygde nødnettet baserte seg på én leverandørs teknologi var et forhold som ble vektlagt – oppdragsgiver anførte at en ny anskaffelsesprosess ikke var et reelt alternativ, og nemnda la i sin helhetsvurdering vekt på risikoen, kostnadene og forsinkelsen en ny prosess ville medføre [KOFA 2012/235].
Unntaksrommet er smalt. Beredskapshensyn i seg selv – at kontrakten gjelder kritisk infrastruktur – er ikke tilstrekkelig. Det kreves en helhetlig, konkret vurdering der oppdragsgiveren kan vise at risikoen for beredskapskritisk svikt er reell, og at overgangen til ny leverandør skjer på en kontrollert og dokumentert måte.
Der en anskaffelse følger FOSA, kan sikkerhetsrisiko også være grunnlag for avvisning av en leverandør. KOFA-sak 2025/1458 (Hanso Eiendomsutvikling AS mot Forsvarsmateriell) viser imidlertid at slik avvisning har klare rettslige skranker [KOFA 2025/1458].
Saken gjaldt en konkurranse med forhandling for inngåelse av rammeavtaler om arktiske stridsrasjoner, estimert til 950 millioner kroner. Anskaffelsen var delt i to delområder, og en leverandør kunne etter konkurransegrunnlaget ikke tildeles begge. Klager – Hanso Eiendomsutvikling AS – ble kvalifisert og invitert til å inngi tilbud for delområde to, med Drytech AS som underleverandør. Drytech AS ble tildelt delområde én. Klager eide produksjonslokalene som Drytech AS leide. Forsvarsmateriell avviste klager på to grunnlag: brudd på begrensningsregelen i konkurransegrunnlaget punkt 1.6, og manglende pålitelighet etter FOSA § 11-12 (2) bokstav h som følge av at leverandørene delte produksjonslokale i Tromsø [KOFA 2025/1458].
Klagenemnda fant at begge avvisningsgrunnlagene var rettsstridige. Om det første grunnlaget uttalte nemnda at bestemmelsen i punkt 1.6 hadde overskriften «Kontraktstype» og regulerte tildelingsprosessen – hva som skal skje dersom én leverandør scorer høyest på begge delområder – og ikke var utformet som et avvisningsgrunnlag. En bestemmelse som regulerer tildelingen, kan ikke dobbeltfungere som hjemmel for avvisning [KOFA 2025/1458].
Om det andre grunnlaget – FOSA § 11-12 (2) bokstav h – fant nemnda at bestemmelsen krever en toleddet vurdering: først manglende pålitelighet hos leverandøren, deretter at denne mangelen medfører sikkerhetsrisiko for Norge. Nemnda presiserte at «påliteligheten» viser til leverandørens egne egenskaper – integritet, stabilitet og etterlevelse av sikkerhetskrav – ikke til ytre risikofaktorer. Forsvarsmateriell hadde begrunnet avvisningen utelukkende med at klager og Drytech AS delte produksjonslokale i Tromsø, et område innenfor «Bastionforsvaret». Det ble ikke dokumentert noe ved klagers integritet, stabilitet eller etterlevelse av sikkerhetskrav som ga grunn til å avvise. Avvisningen var derfor uhjemlet [KOFA 2025/1458].
Klagenemnda åpnet imidlertid for at identifikasjon mellom klager og underleverandøren Drytech AS var aktuell. Selskapene var eid av samme morselskap, hadde samme forretningsadresse, telefonnummer, daglig leder og flere felles styremedlemmer, og var gjensidig avhengige som underleverandører. Nemnda konkluderte med at selskapene måtte identifiseres med hverandre, slik at klager uansett ikke kunne tildeles kontrakten for delområde to. Bruddet som var konstatert, fikk dermed ingen praktisk konsekvens for utfallet [KOFA 2025/1458].
Saken illustrerer tre viktige poenger for forsvars- og sikkerhetsanskaffelser. For det første: avvisning krever eksplisitt hjemmel i FOSA – en bestemmelse i konkurransegrunnlaget som regulerer tildelingen, kan ikke brukes som avvisningsgrunnlag. For det andre: avvisning begrunnet i sikkerhetsrisiko etter FOSA § 11-12 (2) bokstav h forutsetter at risikoen er forankret i leverandørens egne egenskaper, ikke i ytre geografiske eller strukturelle forhold alene. For det tredje: identifikasjon mellom leverandør og underleverandør kan være aktuell der tilknytningen er så sterk at de reelt sett er samme leverandør – og dette kan ha konsekvenser for tildelingen selv om avvisningen som sådan var rettsstridig.
Et siste, mer avgrenset spørsmål gjelder klageadgangen for leverandører som er utelukket fra en forsvars- eller sikkerhetsanskaffelse. EU-domstolen uttalte i sak C-493/22 at klageadgangen etter direktiv 2009/81 forutsetter at klageren har eller har hatt interesse i kontrakten, og har lidt eller kan lide skade som følge av den påståtte overtredelsen [EU-domstolen Case C-493/22].
En tilbyder kan ha interesse i å angripe tildelingen eller andre tilbyderes deltakelse så lenge egen utelukkelse ikke er blitt endelig. En utelukkelse anses endelig når den er meddelt tilbyderen og enten er funnet lovlig av en uavhengig klageinstans, eller ikke lenger kan bli gjenstand for klage [EU-domstolen Case C-493/22].
Når utelukkelsen er blitt endelig, bortfaller den rettslige interessen i å angripe tildelingen for øvrig. En rent hypotetisk mulighet for en fremtidig konkurranse etter en eventuell annullasjon er ikke tilstrekkelig til å etablere rettslig relevant søksmålsinteresse [EU-domstolen Case C-493/22].
Samlet viser praksis et konsekvent mønster: sikkerhets- og beredskapshensyn gir oppdragsgiveren et reelt og lovfestet handlingsrom til å stille krav gjennom hele anskaffelsesprosessen, jf. LOA § 5d, men dette handlingsrommet skal som hovedregel utøves innenfor det ordinære anskaffelsesregelverket.
Unntak fra selve virkeområdet – etter FOA § 2-2 eller EØS-avtalen artikkel 123 – er forbeholdt de tilfellene der sikkerhetsinteressene ikke lar seg ivareta gjennom kvalifikasjonskrav, kontraktsvilkår, sikkerhetsklarering eller sikkerhetsavtale, og hvor oppdragsgiveren kan dokumentere dette konkret. KOFA-sak 2019/426 (Oslo Politidistrikt) viser at selv for politiutstyr med åpenbar sikkerhetsmessig relevans er terskelen høy. KOFA-sak 2020/402 (Sør-Vest politidistrikt) og den tilhørende saksserien bekrefter at sikkerhetsklarering ikke i seg selv endrer tjenestens karakter og ikke utløser virkeområdeunntaket. EU-domstolens dom i sak C-252/01 (Kommisjonen mot Belgia) viser at et fullt operativt sikkerhetsregime – med løpende krav til håndtering, lagring og spredning – derimot kan bringe tjenesten utenfor direktivets virkeområde.
For forsvarsmateriell viser KOFA-sakene 2003/27, 2014/86 og 2017/34 at EØS-avtalen artikkel 123 kan komme til anvendelse når materiellet er uunnværlig for forsvarsformål og bestemt direkte for militær bruk – men at proporsjonalitetsprinsippet setter en grense og krever dokumentasjon. EU-domstolens dommer i sakene C-615/10 og C-157/06 trekker den motsatte grensen: der produktet har vesentlige sivile anvendelsesmuligheter og den militære bruken bare er eventuell, faller anskaffelsen utenfor unntaket.
Sikkerhetsloven legger et selvstendig lag av plikter oppå dette bildet når anskaffelsen faktisk er sikkerhetsgradert. Dette laget – som omfatter krav til sikkerhetsavtale, leverandørklarering, personellklarering og informasjonssikkerhet – er til dels rettslig underdokumentert i det anskaffelsesrettslige kildematerialet og må avklares mot sikkerhetslovens egne bestemmelser. Det som er klart, er at dette laget må avklares tidlig, at tidsbruken for klareringer må planlegges konkret, og at sikkerhetsavtaler og klareringer må være på plass lenge før konkurransen kunngjøres.