Figur: Proporsjonalitetsvurdering av sikkerhetskrav i kravspesifikasjonen.
Kravspesifikasjonen er stedet i konkurransegrunnlaget der oppdragsgiver oversetter sine behov til noe leverandørmarkedet kan svare på. For sikkerhet og beredskap er dette dokumentet av særlig betydning: det er her risikovurderinger, trusselbilder og sårbarhetsanalyser skal omsettes til presise, etterprøvbare krav som leverandørene kan innrette tilbudene sine etter.
En kravspesifikasjon som er vag eller inkonsekvent på sikkerhetsområdet, gir liten beskyttelse i praksis, selv om oppdragsgiver har gjort et grundig forarbeid. Motsatt vil en kravspesifikasjon som stiller svært strenge og detaljerte sikkerhetskrav uten tilstrekkelig begrunnelse, kunne begrense konkurransen på en måte som er i strid med regelverket.
Loven gir et eksplisitt signal om at sikkerhet og beredskap er et relevant hensyn gjennom hele anskaffelsesprosessen. Anskaffelsesloven § 5d fastsetter at oppdragsgiveren «kan stille krav eller kriterier i alle ledd av en anskaffelsesprosess for å ivareta sikkerhets- og beredskapshensyn», og at oppdragsgiveren «bør vurdere å stille slike krav i anskaffelser der det er relevant». Ordlyden gir dermed en klar kompetansehjemmel («kan»), kombinert med en oppfordring («bør») – ikke en ubetinget plikt til å stille sikkerhetskrav i enhver anskaffelse.
DFØ formulerer i sin veileder til anskaffelsesloven at oppdragsgiver har «stort handlingsrom for å ivareta sikkerhet og beredskap i sine anskaffelser», og at oppdragsgiver har plikt til å inkludere sikkerhet og beredskap i anskaffelsesstrategien og rutinene sine når det er relevant for virksomheten. Det er grunn til å nyansere denne «plikt»-betegnelsen noe: ordlyden i § 5d bruker «bør», ikke «skal», og gir i seg selv ikke grunnlag for en ubetinget rettsplikt til å stille sikkerhetskrav. DFØs formulering bør derfor forstås som en sterk anbefaling, ikke som et selvstendig rettskrav utledet av § 5d alene – med mindre en slik plikt kan utledes av andre bestemmelser, for eksempel sektorregelverk som sikkerhetsloven. [veileder: DFØ Veileder til anskaffelsesloven – 7.4 Hvil]
Selve gjennomføringen av dette handlingsrommet krever et bevisst grep om hvordan kravspesifikasjonen bygges opp. ENISA anbefaler at cybersikkerhet integreres som en permanent del av kjøpsprosessen ved at det avsettes en egen seksjon til å adressere det i anskaffelsesdokumentene, og at virksomheter bruker konkurransegrunnlagsmaler for IKT-anskaffelser som systematisk adresserer cybersikkerhet. NIST anbefaler tilsvarende at virksomheter utarbeider en sjekkliste for anskaffelsessikkerhetskrav som fylles ut som del av innkjøpsforespørsler.
NSM peker på at konkurransegrunnlaget bør utarbeides med utgangspunkt i en gjennomført risikovurdering, og at det bør inneholde informasjon om spesifikke sikkerhetskrav og -kriterier, «såfremt det er informasjon som kan deles». Flere kilder – NSM, PST og NSM Risiko 2026 – peker samstemt på at oppdragsgiver aktivt bør vurdere hvilke beredskaps- og robusthetskrav som bør stilles i den enkelte anskaffelse.
Disse anbefalingene er praktiske virkemidler for å omsette handlingsrommet i § 5d til noe konkret. De endrer imidlertid ikke de rettslige rammene som følger av kravspesifikasjonsreglene i anskaffelsesforskriften. Det er derfor nødvendig å gå grundig inn i disse reglene før man ser på hvordan de konkrete sikkerhetskravene bør utformes.
Utgangspunktet for enhver kravspesifikasjon – også når den skal ivareta sikkerhets- og beredskapshensyn – er anskaffelsesforskriften § 15-1. Bestemmelsens første ledd slår fast at kravspesifikasjonene «skal angi kravene som stilles til egenskapene til varene, tjenestene eller bygge- og anleggsarbeidene». Dette er en funksjonell beskrivelse: kravspesifikasjonen skal beskrive hva oppdragsgiver trenger, ikke nødvendigvis hvordan det skal leveres.
Annet ledd inneholder to sentrale skranker som gjelder for ethvert krav, herunder sikkerhetskrav. For det første skal kravene ha «tilknytning til leveransen». For det andre skal de «stå i forhold til anskaffelsens formål og verdi». Disse to vilkårene utgjør til sammen den anskaffelsesrettslige forholdsmessighetstesten for kravspesifikasjoner.
Loven åpner samtidig for at kravene kan omfatte hele livssyklusen til ytelsen – produksjon, levering, handel og andre prosesser – selv om disse faktorene ikke påvirker varens eller tjenestens egenskaper direkte. Dette gir et vidt nedslagsfelt for sikkerhetskrav: et krav til hvordan leverandøren håndterer sikkerhetskopiering under drift, eller hvordan leverandørkjeden kontrolleres, kan forankres i denne bestemmelsen selv om kravet ikke gjelder selve sluttproduktets tekniske egenskaper.
Tredje ledd fastsetter den sentrale utformingsregelen: kravene skal som hovedregel utformes enten som ytelses- eller funksjonskrav, inkludert miljøegenskaper (bokstav a), ved henvisning til tekniske spesifikasjoner i en fastsatt rangert rekkefølge av standarder (bokstav b), eller som en kombinasjon av disse (bokstav c). Unntaket gjelder bare der noe annet er fastsatt i «rettslig bindende tekniske regler». Når det henvises til standarder etter bokstav b, skal henvisningen følges av uttrykket «eller tilsvarende». Dette er en ordlyd som gir liten tolkningstvil: standardhenvisninger uten ekvivalensåpning er i strid med bestemmelsen.
Fjerde ledd forbyr henvisninger til bestemte fabrikater, prosesser, varemerker, patenter, typer eller opprinnelse som fører til favorisering eller utelukkelse av leverandører. Bestemmelsen oppstiller to selvstendige unntak: Henvisningen er tillatt dersom den er «nødvendig ut fra anskaffelsens formål» (bokstav a), eller dersom det ikke er mulig å beskrive anskaffelsen tilstrekkelig presist og forståelig etter tredje ledd (bokstav b). For unntaket i bokstav b skal henvisningen følges av uttrykket «eller tilsvarende». Det er viktig å merke seg at dette er to separate unntaksgrunnlag som må vurderes konkret – se den nærmere drøftelsen om ekvivalens nedenfor.
Femte og sjette ledd inneholder viktige avvisningsforbud som virker i begge retninger. Har oppdragsgiver stilt ytelses- eller funksjonskrav etter tredje ledd bokstav a, kan tilbud ikke avvises dersom leverandøren påviser at produktet oppfyller relevante standarder som er ment å dekke funksjonskravet. Omvendt kan et tilbud som viser til standarder etter bokstav b, ikke avvises for manglende spesifikasjonssamsvar dersom leverandøren på egnet måte påviser at de tilbudte løsningene oppfyller kravene i spesifikasjonene. Lovgiver har med andre ord bygget inn en gjensidig åpning som sikrer at funksjonelt likeverdige løsninger ikke kan avvises på formelt grunnlag.
Anskaffelsesforskriften § 15-4 utfyller § 15-1 ved å regulere hvilken dokumentasjon oppdragsgiver kan kreve for å verifisere at kravspesifikasjonen, tildelingskriteriene eller kontraktsvilkårene er oppfylt.
Bestemmelsens første ledd gir oppdragsgiver adgang til å kreve testrapport eller attest fra et samsvarsvurderingsorgan, altså et organ som er akkreditert etter forordning (EF) nr. 765/2008 for å utøve samsvarsvurderingsvirksomhet som kalibrering, testing, sertifisering og inspeksjon. Annet ledd presiserer at dersom oppdragsgiver krever attest fra et bestemt samsvarsvurderingsorgan, skal attester fra tilsvarende organer også godtas. Oppdragsgiver kan med andre ord ikke låse dokumentasjonskravet til ett spesifikt organ.
Tredje ledd er den bestemmelsen som oftest er utslagsgivende i tvister om sertifiseringskrav. Her fastsettes en ubetinget plikt: oppdragsgiver «skal» godta annen passende dokumentasjon, for eksempel teknisk dokumentasjon fra produsenten, dersom leverandøren ikke har tilgang til testrapporter eller attester etter første ledd, eller ikke har mulighet til å få dem utstedt innen fristen, og dette ikke skyldes leverandøren selv. Dokumentasjonen må påvise at de tilbudte varene, tjenestene eller bygge- og anleggsarbeidene oppfyller de aktuelle kravene. Denne regelen er ufravikelig – oppdragsgiver kan ikke avtale seg bort fra den.
De samme grunnprinsippene om tilknytning og forholdsmessighet finnes igjen i forsyningsforskriften § 11-1 og konsesjonskontraktforskriften, slik DFØ peker på i sin veileder til anskaffelsesloven. Disse parallelle bestemmelsene innebærer at en oppdragsgiver som opererer under forsyningsregelverket, ikke har et friere spillerom for sikkerhetskrav enn det som følger av de alminnelige reglene. Hvordan sikkerhetskrav nærmere skal håndteres i forsyningsforskriftens kontekst, er imidlertid ikke avklart i det foreliggende kildematerialet utover denne parallelliteten.
LOA § 5d gir, som gjennomgått i punkt 5.1, en generell kompetansehjemmel for å stille krav «i alle ledd» av anskaffelsesprosessen av hensyn til sikkerhet og beredskap. Spørsmålet er hvor langt denne bestemmelsen rekker som selvstendig hjemmelsgrunnlag utover det som allerede følger av § 15-1. Foreløpig foreligger det ingen rettspraksis som direkte tolker § 5d i sammenheng med kravspesifikasjon for informasjonssikkerhet eller digital sikkerhet. Det nærmeste vi kommer er DFØs veiledning, som understreker at sikkerhet og beredskap kan tas i betraktning i alle ledd av anskaffelsesprosessen, men at dette må skje innenfor de grunnleggende anskaffelsesrettslige rammene. [veileder: DFØ Veileder til anskaffelsesloven – 7.4 Hvil]
Rettstilstanden om hvor langt § 5d selvstendig rekker som hjemmel for strengere krav enn det § 15-1 tillater, må derfor betegnes som uavklart. Et relatert spørsmål er om digitalsikkerhetsforskriften, som gjennomfører NIS2-direktivet i norsk rett, gir et selvstendig hjemmelsgrunnlag for å oppstille sikkerhetskrav i kravspesifikasjoner utover det FOA § 15-1 og § 15-4 tillater. Forskriften er ny, og heller ikke dette spørsmålet er avklart i praksis.
Klagenemnda og domstolene har ved en rekke anledninger bekreftet at oppdragsgiver har et betydelig innkjøpsfaglig skjønn ved utforming av kravspesifikasjonen. EU-domstolen understreket i sin dom i sak C-413/17 (Roche Lietuva mot Kauno Dainavos poliklinika) at oppdragsgiver har et vidt skjønn ved utforming av tekniske spesifikasjoner fordi oppdragsgiver best kjenner sine egne behov. Saken gjaldt en anskaffelse av diagnostisk medisinsk laboratoriemateriell, der en leverandør hevdet at de tekniske spesifikasjonene var så detaljerte at de i realiteten var tilpasset bestemte produsenter av blodanalysatorer og dermed begrenset konkurransen. EU-domstolen presiserte at artikkel 42 nr. 3 i direktiv 2014/24 oppstiller flere tillatte metoder for å formulere tekniske spesifikasjoner – funksjonskrav, standardhenvisninger eller kombinasjoner – uten å gi noen av dem forrang. Oppdragsgiver står fritt til å velge mellom disse, men domstolen understreket at spesifikasjonene må gi økonomiske aktører lik tilgang og ikke skape uberettigede hindringer for konkurransen. Jo mer detaljerte de tekniske spesifikasjonene er, desto større er risikoen for at én bestemt produsents produkter indirekte prioriteres. Den konkrete kontrollen av om spesifikasjonene går for langt, ble overlatt til nasjonal domstol, men domstolen fremhevet at forholdsmessighetsprinsippet krever at detaljnivået er nødvendig for å oppnå det legitime formålet. [EU-domstolen Case C-413/17]
Denne dommen gir den rettslige rammen for alle typetilfellene som følger: oppdragsgivers skjønn er vidt, men det er ikke fritt. Skjønnet er begrenset av kravet til likebehandling, ikke-diskriminering og forholdsmessighet. For å trekke den nærmere grensen er det nødvendig å se på de konkrete sakene som er avgjort i norsk klagenemnd- og domstolspraksis.
KOFA-sak 2022/138 (Statens vegvesen) er en god illustrasjon av et sikkerhetsbegrunnet krav som ble godtatt til tross for at det begrenset konkurransen. Saken gjaldt en åpen anbudskonkurranse for utbedring av en rekke tunneler langs riksveier i Sogn og Fjordane. Kravspesifikasjonen stilte krav om at sikringsbolter av kamstål B500NC skulle ha duktilitet tilsvarende J2-kvalitet – det vil si skårslag minimum 27 joule ved minus 20 grader. Pretec AS, som var en potensiell underleverandør av sikringsbolter, klaget kravet inn for klagenemnda med anførsel om at duktilitetskravet manglet faglig forsvarlig forankring og uforholdsmessig begrenset konkurransen mellom underleverandører av sikringsbolter.
Klagenemnda fant at Pretec AS hadde saklig klageinteresse som potensiell underleverandør, fordi selskapet reelt sett var avskåret fra å levere sikringsbolter dersom kravet ble opprettholdt. I den materielle vurderingen pekte nemnda på at tunnelene delvis gikk gjennom spakefjell med høyt bergtrykk, at deler av boltingen skulle skje i nysprengte nisjer med fortsatt høy risiko for bergbevegelser, og at oppdragsgiver hadde erfaringer fra en geologisk sammenlignbar tunnel der standardbolter var «slitt i stykker». Klagenemnda anerkjente dette som «klart» saklige sikkerhetshensyn, og understreket at oppdragsgivers innkjøpsfaglige skjønn er «vidtrekkende» ved teknisk-faglige vurderinger, slik at nemndas prøvingskompetanse er tilsvarende begrenset. At oppdragsgiver selv erkjente at andre tekniske krav muligens kunne ivareta formålet, ble ikke ansett avgjørende – en slik utredning ville vært «uforholdsmessig ressurskrevende» sett i lys av sikringsboltenes begrensede andel av anskaffelsen. [KOFA 2022/138]
Saken viser et sentralt poeng: det er ikke nok for en klager å påvise at et mindre inngripende krav kunne vært formulert. Regelverket krever ikke at oppdragsgiver optimaliserer kravet til minste mulig konkurransebegrensning, bare at kravet er saklig og objektivt begrunnet.
Et beslektet eksempel finnes i KOFA-sak 2021/1409 (Pegasus Helicopter AS), der oppdragsgiver stilte et absolutt minstekrav om to-motors helikopter begrunnet i operasjonell sikkerhet ved flyging over sjø og fjord. Klagenemnda konstaterte at det forhold at kravet hadde begrenset konkurransen ved at én eller flere prekvalifiserte leverandører ikke kunne tilby det etterspurte, ikke i seg selv var tilstrekkelig til å konstatere at kravet var ulovlig, når kravet for øvrig var saklig og forsvarlig begrunnet i sikkerhetshensyn knyttet til anskaffelsens formål. [KOFA 2021/1409]
Igjen ser vi mønsteret: konkurransebegrensning alene diskvalifiserer ikke et sikkerhetskrav, dersom begrunnelsen er saklig og har tilknytning til leveransen.
KOFA-sak 2024/0793 (Sykehusinnkjøp HF) viser hvordan forsyningssikkerhet kan begrunne produktbaserte begrensninger i kravspesifikasjonen som ellers ville vært problematiske etter forbudet mot merkehenvisninger. Saken gjaldt en konkurranse med forhandling om rammeavtale for kjøp av ambulansebiler, delt i to delkontrakter, med en estimert totalverdi på 840 millioner kroner over fire år. Konkurransegrunnlaget fastslo at delkontrakt to av hensyn til forsyningssikkerhet ikke kunne baseres på chassis fra samme produsent som vinneren av delkontrakt én. Etter at delkontrakt én ble tildelt en leverandør med Mercedes-Benz Sprinter-chassis, kunngjorde oppdragsgiver ny konkurranse for delkontrakt to med et eksplisitt forbud mot å tilby Mercedes-Benz Sprinter-chassis. Bertel O. Steen, som var underleverandør for chassisleveranser, klaget kravet inn for klagenemnda.
Klagenemnda vurderte for det første om kravet hadde en saklig og objektiv begrunnelse. Oppdragsgiver hadde gjennomført en forutgående markedsdialog der det ble meldt om leveringsproblemer for samtlige chassistyper til ambulanser med firehjulstrekk. I tillegg hadde oppdragsgiver egne erfaringer med leveringssvikt under forrige rammeavtale. Ambulansebiler inngår i den akuttmedisinske beredskapen, og manglende leveranser kan «mulig gå ut over liv og helse». Kravet var heller ikke utformet for å ekskludere bestemte leverandører, men for å sikre to uavhengige forsyningslinjer. Nemnda fant at kravet var saklig og objektivt begrunnet.
For det andre vurderte nemnda om FOA § 19-4 om delkontrakter uttømmende regulerer adgangen til å begrense tildeling. Klager anførte at bestemmelsen bare tillater begrensning av antall delkontrakter per leverandør, ikke produktbaserte begrensninger. Nemnda var uenig og la vekt på at § 19-4 første ledd gir oppdragsgiver frihet til å bestemme «størrelsen på og innholdet i delkontraktene», og at et chassiskrav er nettopp et krav til innholdet.
For det tredje vurderte nemnda forbudet mot merkehenvisninger i § 15-1 fjerde ledd. Nemnda bemerket at innklagede ikke hadde vist til Mercedes-Benz med det formål å favorisere eller utelukke et konkret produkt, men hadde stilt et krav som sikret to uavhengige forsyningslinjer. Basert på den saklige begrunnelsen fant nemnda at innklagede hadde «sannsynliggjort at det var nødvendig ut fra anskaffelsens formål» å stille kravet, jf. § 15-1 fjerde ledd bokstav a. [KOFA 2024/0793]
Saken illustrerer at dokumentert forsyningssikkerhet – understøttet av markedsdialog og egne erfaringer – kan begrunne selv et produktbasert eksklusjonskrav der hensynet til liv og helse gjør det nødvendig med uavhengige leveranselinjer.
KOFA-sak 2022/1765 (Metrohm Nordic AS) illustrerer at krav om stedlig service på måleinstrument, begrunnet i å redusere nedetid for å sikre operasjonell robusthet, lovlig kan begrense markedet dersom begrunnelsen er konkret og forankret i leveransens formål. [KOFA 2023/34]
Oslo byfogdembete behandlet i sak 17-041764TVI-OBYF (NH90 helikoptervedlikehold) et prekvalifiseringskrav om at tilbyder måtte være originalprodusent (OEM) eller godkjent av originalprodusenten for å utføre inspeksjon og vedlikehold av NH90-helikoptre. Saab AB, som ikke hadde slik godkjenning, ble avvist fra prekvalifiseringen og begjærte midlertidig forføyning. Saken gjaldt bestemmelser i den tidligere forskrift om forsvars- og sikkerhetsanskaffelser (FOSA), men den generelle uttalelsen om skjønnsmarginen er illustrerende også for gjeldende rett.
Retten la til grunn at oppdragsgiver har en «betydelig skjønnsmessig adgang til å fastsette kvalifikasjonskrav», og at domstolens kontroll er begrenset til om skjønnet er «usaklig, vilkårlig eller kvalifisert urimelig». Retten la særlig vekt på at kravet ikke bare var formulert i konkurransen, men også fulgte av Forsvarets eget luftdyktighetsregelverk (BMF/Luft 750-1 A), og at reelle sikkerhetshensyn knyttet til flysikkerhet og tett samarbeid mellom vedlikeholdsleverandør og OEM underbygget nødvendigheten. Selv om retten erkjente at kravet var konkurransebegrensende – bare to av syv interesserte leverandører ble kvalifisert – fant den at det forelå saklige grunner. Saab hadde ikke sannsynliggjort noe hovedkrav, og begjæringen ble ikke tatt til følge. [tingretten 17-041764TVI-OBYF]
Saken viser at krav med forankring i sektorspesifikt sikkerhetsregelverk lettere aksepteres selv om de begrenser konkurransen betydelig. Den viser også den lave terskelen for å opprettholde et innkjøpsfaglig skjønn i forsvars- og sikkerhetsanskaffelser.
Oslo tingrett vurderte i sak 24-173447TVI-TOSL (Avinor/EDT-maskiner) om IT-sikkerhetskrav kan inngå som en del av et kvalitetskriterium i en forsyningsanskaffelse av utstyr til sikkerhetskontroll ved lufthavner. Saken gjaldt en konkurranse med forhandling om kjøp av EDT-maskiner med tilhørende managementsystem samt service og vedlikehold, med en estimert verdi på 80 millioner kroner. NDS Security AS anførte at oppdragsgiver underveis hadde endret kvalitetskriteriet ved å innføre IT-sikkerhetskrav som et selvstendig vurderingstema. Retten var uenig og la vekt på at IT-sikkerhetskrav var forankret i kravspesifikasjonen (SSA-K bilag 2 krav 13), at de utgjorde en sentral del av leveransen for sikkerhetskontrollutstyr, og at evalueringsmodellen var fastsatt før tilbudsfristens utløp. Retten fant at en normalt forstandig leverandør hadde tilstrekkelig informasjon om at IT-sikkerhet ville bli vektlagt under kvalitetskriteriet. [tingretten 24-173447TVI-TOSL]
Saken bekrefter at digital sikkerhet kan evalueres som en del av kvalitetskriteriet i en anskaffelse der slike egenskaper er en naturlig del av det som leveres. Det avgjørende er at kravet fremgår av kravspesifikasjonen og er kommunisert i konkurransen på en måte som gjør det forutberegnelig for leverandørene.
På den andre siden av grensen står typetilfellene der oppdragsgivers sikkerhetsmotiverte krav ikke bestod forholdsmessighetstesten.
Det mest instruktive eksempelet er KOFA-sak 2023/714 (Trysil kommune). Saken gjaldt en åpen anbudskonkurranse for leie av disposisjonsrett til et skybasert fagsystem for Pedagogisk-psykologisk tjeneste (PPT), med en anslått verdi under 2,2 millioner kroner. Kravspesifikasjonen inneholdt et absolutt krav om at «data [til fagsystemet] må være lagret i Norge». Systemet skulle håndtere sensitive personopplysninger og automatisk overføre dokumenter til kommunens eksisterende arkivsystem. Klager Vitec HK data AS, som hadde datasenter i Umeå i Sverige, ble avvist fordi tilbudet ikke oppfylte datalagringskravet.
Klagenemnda vurderte for det første om kravet var konkurransebegrensende. Nemnda viste til FOA § 8-5 annet ledd (den tilsvarende bestemmelsen for del II-anskaffelser) og fant at kravet var absolutt: alle tilbydere måtte ha, eller etablere, servere i Norge. Norske leverandører med eksisterende infrastruktur fikk dermed et konkurransefortrinn.
For det andre vurderte nemnda om personvernhensynet kunne begrunne kravet. Nemnda tok utgangspunkt i at personvernforordningen (GDPR) fastslår fri overføring av personopplysninger mellom EU/EØS-stater, og at samtlige EØS-stater er «presumptivt forpliktet til samme sikkerhetsnivå». Kravet lot seg dermed «ikke begrunne ved å vise til behov for vern av personvernopplysninger».
For det tredje vurderte nemnda arkivlova § 9 bokstav b, som forbyr utførsel av arkivmateriale med unntak for nødvendig forvaltningsmessig bruk. Nemnda gjennomgikk forarbeidene til ny arkivlov (NOU 2019:9) og tolket utførselsforbudet slik at det ikke er til hinder for bruk av utenlandske skytjenester, forutsatt at arkivmaterialet fortløpende lagres i et komplett arkiv i Norge. Fagsystemet var ikke i seg selv et arkivsystem – dokumentene ble automatisk og fortløpende overført til kommunens eget arkivsystem i norsk sikker sone.
Nemnda konkluderte med at kravet var ulovlig og at det forelå avlysningsplikt, fordi det ikke kunne utelukkes at det hadde påvirket utfallet av konkurransen eller deltakerinteressen. [KOFA 2023/0714; KOFA 2023/714]
Det er nettopp kontrasten til de lovlige eksemplene ovenfor som gjør denne saken pedagogisk verdifull. I tunnelsikrings-, helikopter- og ambulansesakene bygde oppdragsgiver på en konkret, dokumentert vurdering av et spesifikt sikkerhetsbehov knyttet til den aktuelle leveransen – bergtrykk i sprakefjell, operasjonell sikkerhet over sjø, forsyningsrisiko dokumentert gjennom markedsdialog. I Trysil-saken manglet denne selvstendige, leveransespesifikke begrunnelsen: kravet var utledet generelt fra personvern- og arkivhensyn som ikke var koblet til en spesifikk vurdering av sikkerhetsrisikoen ved den aktuelle datatypen eller den aktuelle leverandøren. Klagenemnda la avgjørende vekt på at EØS-regelverket presumerer likeverdig sikkerhetsnivå i alle medlemsstater, slik at et rent geografisk lagringskrav ikke uten videre er forholdsmessig.
Det nemnda derimot ikke tok stilling til, er om en tilsvarende begrunnelse forankret i sikkerhetsloven – for eksempel fordi systemet skulle behandle skjermingsverdig informasjon – kunne gitt et annet resultat. Spørsmålet om krav til datalagring i Norge kan begrunnes med nasjonale sikkerhetshensyn, i motsetning til de generelle personvern- og arkivhensynene som ble underkjent, er ikke avklart i det foreliggende materialet.
KOFA-sak 2013/73 (Tysvær kommune) illustrerer et annet typetilfelle som faller utenfor det lovlige: et absolutt krav i kravspesifikasjonen som låser produktutvalget uten påvist objektiv begrunnelse. Saken gjaldt en rammeavtale for levering av formingsmateriell til skoler og barnehager. Kravspesifikasjonen inneholdt et absolutt krav om at leverandørene måtte tilby sine «mest solgte produkter og merker», med kunder tilsvarende kommunene i utlysningen som sammenligningsgrunnlag. Klagenemnda fant at kravet hadde «en konkurransebegrensende virkning» og at kommunen ikke hadde «påvist objektive grunner» for begrensningen. Brudd ble konstatert, og det forelå avlysningsplikt. [KOFA 2013/73]
Selv om denne saken ikke direkte gjaldt sikkerhetskrav, illustrerer den det generelle poenget: et absolutt krav som begrenser leverandørenes valgfrihet, krever en påviselig og objektiv begrunnelse knyttet til det faktiske behovet. Overført til sikkerhetskravenes domene betyr dette at et absolutt krav om bestemte sikkerhetsløsninger, uten dokumentert sammenheng mellom den konkrete løsningen og det underliggende sikkerhetsbehovet, er rettslig risikabelt.
Samlet viser praksisen et gjenkjennelig mønster: oppdragsgivers skjønn er vidt, men kravene må ha en konkret, dokumentert begrunnelse i et reelt sikkerhetsbehov knyttet til den aktuelle leveransen. Generelle henvisninger til overordnede hensyn – som personvern, arkivlovgivning eller «god sikkerhetsskikk» – er ikke tilstrekkelig dersom begrunnelsen ikke er koblet til en spesifikk vurdering av sikkerhetsrisikoen ved den konkrete anskaffelsen. Jo mer konkurransebegrensende kravet er, desto tydeligere må begrunnelsen være. Og krav som har støtte i sektorspesifikt regelverk – luftdyktighetsregler, beredskapslovgivning, dokumenterte leveringsproblemer – har en sterkere rettslig posisjon enn krav som bare bygger på allmenne sikkerhetsbetraktninger.
En viktig avklaring gjelder spørsmålet om når et sikkerhetskrav må være oppfylt. Mange sikkerhetssertifiseringer og godkjenninger tar lang tid å fremskaffe, og det oppstår regelmessig tvister om hvorvidt leverandører som ikke har sertifiseringen på plass ved tilbudstidspunktet, kan delta i konkurransen.
KOFA-sak 2007/131 (Forsvarets Logistikkorganisasjon) behandlet dette spørsmålet direkte. Saken gjaldt en åpen anbudskonkurranse for rammeavtale om et datasletteverktøy til Forsvarets sikre IKT-plattformer. Kravspesifikasjonen stilte krav om at programvaren «må kunne sikkerhetsgodkjennes» etter Common Criteria EAL4. Klager Buytec AS anførte at valgte leverandørs produkt ikke oppfylte dette kravet fordi programvaren ikke var sertifisert på tilbudstidspunktet.
Klagenemnda tolket ordlyden «må kunne sikkerhetsgodkjennes» som et fremtidsrettet funksjonskrav, ikke som et krav om eksisterende sertifisering. Konkurransegrunnlaget tillot eksplisitt at manglende sertifisering ble kompensert med dokumentasjon som viste at produktet tilfredsstilte kravene for sertifisering. Det var ikke bestridt at valgte leverandør hadde fremlagt slik dokumentasjon. Klagenemnda konkluderte med at oppdragsgiver hadde anledning til å velge tilbudet til tross for at programvaren ikke var sertifisert på tilbudstidspunktet.
Saken illustrerer imidlertid også en annen viktig rettssetning: klagenemnda fant at oppdragsgivers prisvurderingsmetode ga ulovlig negativ poengscore på priskriteriet. Metoden tillot at tilbydere med pristilbud mer enn 50 prosent over laveste pris fikk negativ score, mens de øvrige tildelingskriteriene hadde et gulv på null. Denne asymmetrien skapte systematisk skjevhet og var dessuten ikke kjent for leverandørene. Nemnda fant brudd på kravene til likebehandling og forutberegnelighet. [KOFA 2007/131]
For sikkerhetskrav er den første delen av avgjørelsen – om funksjonskravets fremtidsrettede karakter – den mest praktisk viktige. En oppdragsgiver som ønsker at en sikkerhetssertifisering skal foreligge allerede ved tilbudsinnlevering, må si dette uttrykkelig i konkurransegrunnlaget. Der dette ikke er presisert, kan leverandører uten ferdig sertifisering delta dersom de dokumenterer at kravene for godkjenning kan oppfylles innen kontraktsoppstart.
Denne tilnærmingen ble bekreftet i KOFA-sak 2023/0852 (Breeze Tekstil AS), der nemnda uttalte at kravspesifikasjonskrav som hovedregel skal oppfylles ved kontraktsgjennomføring, ikke ved tilbudsfristen, med mindre annet er uttrykkelig angitt, og at et absolutt krav i seg selv ikke sier noe om oppfyllelsestidspunktet. [KOFA 2023/0852]
Skillet mellom kravspesifikasjonskrav og kvalifikasjonskrav er praktisk sett svært viktig, og oppdragsgivere trår ofte feil her. KOFA avklarte i sak 2021/806 (Bergen kommune) at et krav i kravspesifikasjonen om at arbeidet skal utføres i samsvar med gjeldende lover og forskrifter – herunder sikkerhetsregelverk – er et ytelseskrav, ikke et kvalifikasjonskrav. Anskaffelsesregelverket pålegger ikke oppdragsgiver noen generell plikt til å kreve dokumentasjon for at leverandørene oppfyller alle lov- og forskriftskrav; en alminnelig aktsom tilbyder forutsettes kjent med regelverket. [KOFA 2021/806]
Det som må fremgå eksplisitt av kvalifikasjonsdelen – leverandørens egnethet – kan med andre ord ikke innfortolkes fra ytelseskrav i kravspesifikasjonen. Skillet har direkte konsekvens for kontrollmekanismene: kvalifikasjonskrav kontrolleres ved kvalifikasjonsvurderingen, mens kravspesifikasjonskrav kontrolleres ved tilbudsevalueringen og eventuelt håndheves under kontraktsgjennomføringen.
For den nærmere grensedragningen mellom sikkerhetskrav som kvalifikasjonskrav (leverandørens evne til å levere sikkerhet) og som kravspesifikasjonskrav (ytelsens sikkerhetsnivå), gir det foreliggende materialet ikke et uttømmende svar. Det er imidlertid klart at valget mellom de to kategoriene har reelle rettsvirkninger for tidspunkt for oppfyllelse, dokumentasjonskrav og avvisningsgrunnlag.
Sikkerhetsstandarder – enten det gjelder informasjonssikkerhet, fysisk sikring eller andre tekniske normer – er blant de vanligste referansepunktene i kravspesifikasjoner. EU-domstolen behandlet i sak C-513/23 spørsmålet om ekvivalens ved standardhenvisninger, og fastslo at henvisning til standarder i tekniske spesifikasjoner som utgangspunkt må åpne for «eller tilsvarende», og at ekvivalens ikke kan avskjæres ved å vise til at standarden er harmonisert. [EU-domstolen Case C-531/23]
Dette betyr at selv når en standard er formelt vedtatt som europeisk harmonisert standard, kan ikke oppdragsgiver bruke dette som argument for å nekte leverandører å dokumentere likeverdig oppfyllelse på annen måte.
KOFA har i flere saker presisert grensene mer konkret. I sak 2013/135 (Stavanger kommune mfl.) kom nemnda til at tekniske spesifikasjoner ikke kan bygges på en ren henvisning til en merke- eller sertifiseringsordning uten at de underliggende, detaljerte kravene eller standardene fremgår av konkurransegrunnlaget. [KOFA 2013/135]
I KOFA-sak 2025/0668 (Csub AS) understreket nemnda at formuleringen «eller tilsvarende» må gi reell åpning for likeverdige produkter og materialer – det er ikke tilstrekkelig å sette inn frasen som en formalitet dersom evalueringen i realiteten ikke gir rom for alternativer. Bevisbyrden for at et unntak fra forbudet mot merkehenvisninger er oppfylt, ligger hos oppdragsgiver. [KOFA 2025/0668]
Unntaksvis kan merkehenvisning likevel være lovlig når kontraktens gjenstand berettiger det. KOFA-sak 2012/220 (Sogn og Fjordane fylkeskommune) illustrerer dette. Bestemmelsen oppstiller to selvstendige unntak fra hovedregelen – «kontraktens gjenstand berettiger det» (bokstav a) og at en tilstrekkelig presis beskrivelse ikke er mulig (bokstav b) – hvor kravet om «eller tilsvarende» bare knytter seg til bokstav b. Vurderingen av om kontraktens gjenstand berettiger merkehenvisning, må foretas konkret, ut fra blant annet kompatibilitetsbehov og tekniske vansker. [KOFA 2012/220]
Sak 2014/13 (Sykehuset Innlandet HF) gir et ytterligere eksempel: kompatibilitet med eksisterende systemer kan være en saklig grunn til å tillate merkehenvisning, særlig når driftsvansker ved manglende kompatibilitet er konkret påvist. [KOFA 2014/13]
For sikkerhetskritisk IKT-infrastruktur, hvor integrasjon med eksisterende sikkerhetsløsninger ofte er avgjørende, kan dette unntaket få praktisk betydning – men det krever en konkret og dokumentert begrunnelse, ikke en generell henvisning til «enklere drift».
Om det gjelder en strengere eller lempeligere ekvivalensterskel spesifikt for sikkerhetsstandarder – for eksempel ISO/IEC 27001 eller NSMs grunnprinsipper – sammenlignet med andre tekniske standarder, er ikke avklart i det foreliggende kildematerialet. Prinsippene i § 15-1 tredje og fjerde ledd gjelder i utgangspunktet likt for alle typer standarder. Det kan tenkes at oppdragsgivers skjønnsmargin er noe videre der sikkerhetsformålet er særlig tungtveiende, men dette er et åpent spørsmål som foreløpig mangler kildedekning.
Også det generelle klarhetskravet til konkurransegrunnlaget har særlig aktualitet for sikkerhetskrav, som gjerne er teknisk komplekse og kan forstås ulikt av ulike leverandører.
Utgangspunktet følger av de grunnleggende prinsippene i anskaffelsesloven § 4 om forutberegnelighet og etterprøvbarhet: konkurransegrunnlaget må være tilstrekkelig klart, presist og utvetydig slik at sikkerhetskrav kan forstås likt av rimelig opplyste og normalt påpasselige leverandører. Uklarheter i konkurransegrunnlaget går i utgangspunktet ut over oppdragsgiver.
Borgarting lagmannsrett illustrerte denne tolkningsstandarden i sin kjennelse i sak LB-2019-85112 (Zenitel/Forsvarsmateriell). Saken gjaldt en begrenset anbudskonkurranse om rammeavtale for kommersielle kommunikasjonsradioer til Forsvaret, med anslått verdi på 208 millioner kroner. Tvisten knyttet seg til krav K20 i kravspesifikasjonen, som lød at alle radioer skulle «fungere uten forringet ytelse» fra minus 25 til 55 grader celsius. Zenitel anførte at kravet måtte omfatte både radio og batteri som en enhet, og at vinneren Wireless Communication AS' tilbud derfor inneholdt et vesentlig avvik fordi batteriet ikke møtte temperaturkravet.
Lagmannsretten tok utgangspunkt i en objektiv tolkningsstandard og la avgjørende vekt på ordlyden, der bare «radioer» var omtalt. At ordet «fungere» også språklig kan vise til kommunikasjonsfunksjonen som sådan, var ikke tilstrekkelig til å innfortolke et batterikrav. Retten la videre vekt på sammenhengen i konkurransegrunnlaget: kravene K33 og K34 regulerte batterier og driftstid særskilt, noe som talte for at batteriene var uttømmende regulert der. Bransjepraksis understøttet denne forståelsen – radioer og batterier markedsføres og spesifiseres normalt separat.
Lagmannsretten fant at Zenitel ikke hadde sannsynliggjort noe hovedkrav om avvisningsplikt. Retten bemerket også at selv om det forelå grunnlag for å problematisere kravet, ville forføyningen uansett falt på interesseavveiningen etter tvisteloven § 34-1 andre ledd. Her la retten avgjørende vekt på Forsvarets beredskapsbehov og risikoen ved ytterligere utsettelse, og fant at stans i kontraktsinngåelsen ville innebære et åpenbart misforhold mot Zenitels i hovedsak økonomiske interesse. [LB-2019-85112]
Saken viser for det første at tekniske minstekrav i kravspesifikasjoner tolkes objektivt, med vekt på ordlyd, systematikk og markedets vanlige spesifikasjonspraksis. Oppdragsgivers interne intensjon har begrenset vekt dersom den ikke fremgår av de objektive tolkningsmomentene. For det andre viser saken at beredskapshensyn kan få betydelig gjennomslag i interesseavveiningen ved midlertidig forføyning – selv ved en stor kontrakt kan Forsvarets operative behov veie tyngre enn en forbigått leverandørs interesse i å opprettholde forføyningen.
I KOFA-sak 2020/604 (Svendsen & Sønn AS) presiserte nemnda at et dokumentasjonskrav ikke kan brukes til å innfortolke et strengere kvalifikasjonskrav enn ordlyden gir grunnlag for, og at uklare krav ikke skal skjerpes gjennom etterfølgende tolkning til skade for leverandøren. [20-122884ASK-BORG]
Særlig praktisk er KOFA-sak 2024/0077 (Senior Norge), der nemnda la til grunn at et kvalifikasjonskrav om sikkerhetsmessig kapasitet må angi tilstrekkelige holdepunkter for terskelen – et vagt krav om «tilstrekkelig evne og kapasitet» uten konkretisering kan være ulovlig. [KOFA 2018/344]
Et uklart konkurransegrunnlag kan i ytterste konsekvens medføre avlysningsplikt dersom uklarheten er egnet til å påvirke leverandørenes tilbudsutforming og ikke kan rettes uten avlysning. [KOFA 2023/724; KOFA 2015/102]
Endelig er det grunn til å merke seg skillet mellom informasjonsinnhenting og bindende ytelseskrav. KOFA pekte i sak 2020/1223 (Protector Forsikring ASA) på at formuleringer som «beskriv», «oppgi» og «angi» trekker i retning av informasjonskrav, ikke krav om bestemte produktegenskaper. [KOFA 2021/848]
For sikkerhetskrav betyr dette at oppdragsgiver som ønsker å stille bindende minstekrav, bør bruke formuleringer som «skal» eller «må», ikke formuleringer som kan forstås som ren informasjonsinnhenting.
Når kravspesifikasjonen skal detaljere konkrete informasjonssikkerhetskrav – tilgangskontroll, autentisering, kryptering, sikkerhetskopiering – gjelder de samme grunnprinsippene som er gjennomgått i punkt 5.2: kravene skal fortrinnsvis utformes som ytelses- eller funksjonskrav, jf. § 15-1 tredje ledd bokstav a, og jo mer detaljerte de tekniske spesifikasjonene er, desto større er risikoen for at kravet i praksis favoriserer bestemte produkter eller leverandører.
EU-domstolens dom i sak C-413/17 (Roche Lietuva) bekrefter at dette gjelder generelt: selv på folkehelseområdet, der medlemsstatene har en viss skjønnsmargin ved fastsettelsen av beskyttelsesnivået, krever forholdsmessighetsprinsippet at detaljnivået i tekniske spesifikasjoner er nødvendig for å oppnå det legitime formålet. [EU-domstolen Case C-413/17]
Konsekvensen er at jo mer et informasjonssikkerhetskrav ligner en teknisk løsningsbeskrivelse – for eksempel en bestemt protokoll, et bestemt produkt eller en bestemt algoritme – desto sterkere blir kravet til at oppdragsgiver kan vise en saklig og objektiv begrunnelse for hvorfor akkurat denne løsningen er nødvendig, eller at kravet ledsages av «eller tilsvarende» med reell ekvivalensåpning.
KOFA-sak 2013/73 (Tysvær kommune) illustrerer yttergrensen: et absolutt krav som låser produktutvalget til bestemte produkter uten påvist objektiv sikkerhets- eller behovsbegrunnelse, er en ulovlig konkurransebegrensning. [KOFA 2013/73]
Innenfor denne rettslige rammen finnes det et rikt utvalg av faglige rammeverk og standarder som kan gi konkret innhold til sikkerhetskravene. NSM peker på at sikkerhetsstyringen bør gjennomføres i henhold til allment akseptert standard for sikkerhetsstyring og NSMs grunnprinsipper for IKT-sikkerhet, og at grunnprinsippene «kan være til hjelp ved kjøp av IKT-tjenester».
Dette er et nyttig utgangspunkt for kravformulering, men det er viktig å presisere: konkrete krav basert på «allment akseptert standard» eller NSMs grunnprinsipper må enten formuleres som funksjonskrav, eller ved henvisning til standard ledsaget av «eller tilsvarende» og åpning for ekvivalent dokumentasjon, jf. § 15-1 tredje og fjerde ledd. En ren henvisning til «NSMs grunnprinsipper» uten at de underliggende kravene fremgår av konkurransegrunnlaget, vil kunne rammes av samme innvending som KOFA rettet mot merkehenvisningen i saken om Stavanger kommune, der en ren henvisning til en ordning uten gjengivelse av kravene ble funnet utilstrekkelig. [KOFA 2013/135; KOFA 2012/17]
Det samme gjelder i prinsippet for andre rammeverk som ISO/IEC 27001, NIST SP 800-161r1 eller ENISAs veiledninger. Spørsmålet om i hvilken grad NSMs grunnprinsipper eller internasjonale rammeverk kan brukes som faglig begrunnelse for å oppstille sikkerhetskrav som begrenser konkurransen, er foreløpig uavklart i rettspraksis. Veiledere og rammeverk er ikke selvstendig hjemmel, men de kan fungere som faglig støtte for å påvise den «saklige og objektive begrunnelsen» som § 15-1 krever.
For kvalifisering og vurdering av leverandørers styringssystemer anbefaler NSM at det som minimum undersøkes om leverandøren har et etablert styringssystem for informasjonssikkerhet, eventuelt sertifisert etter internasjonale standarder som ISO/IEC 27001. ENISA understøtter dette og anbefaler at samsvarserklæringer for ISO/IEC 27001:2022, IEC 62443-2-4:2019 og IEC 62443-3-3:2013 skal være tilgjengelige for systembrukere av essensielle og viktige enheter.
Dersom sertifisering gjøres til et absolutt krav uten å åpne for alternativ dokumentasjon når sertifiseringen ikke kan fremskaffes uten leverandørens skyld, er kravet ulovlig. Dette følger av § 15-4 tredje ledd og er bekreftet i den praksis som gjennomgås nærmere i punkt 5.5. Det er imidlertid ikke noe i veien for å bruke sertifisering som dokumentasjonskrav så lenge alternativet – annen passende dokumentasjon for tilsvarende kvalitetssikringstiltak – eksplisitt holdes åpent.
ENISA fastholder dessuten at sertifisering av leverandører og/eller deres produkter ikke bør erstatte den løpende vurderingen av risiko i forsyningskjeden. Sertifiseringer er den foretrukne måten for organisasjoner å følge leverandørers cybersikkerhetspraksis, men de medfører høye kostnader, særlig for leverandører som ikke har cybersikkerhet som kjernevirksomhet.
NSM er tydelig på at det ikke skal gis mer omfattende tilgang enn det som strengt tatt er nødvendig for å ivareta en funksjon. NSM anbefaler at tilgangen til de ulike delene av et informasjonssystem deles opp for å redusere skaden fra en kompromittering eller utro ansatte.
ENISA anbefaler tilsvarende regler basert på prinsippet om minste privilegium – «alt er generelt forbudt med mindre det er uttrykkelig tillatt» – fremfor den svakere regelen om at alt i utgangspunktet er tillatt. ENISA anbefaler videre at virksomheten vurderer ulike tilgangskontrollmodeller, herunder MAC, DAC, RBAC og ABAC, avhengig av virksomhetens behov.
Disse anbefalingene kan gjengis som rene faglige råd; de reiser ikke i seg selv anskaffelsesrettslige spørsmål, ettersom de dreier seg om hvordan leverandøren skal innrette sin leveranse, ikke om hvordan kravet formuleres i konkurransen. De er velegnede som utgangspunkt for funksjonskrav i kravspesifikasjonen.
NSM anbefaler bruk av multifaktor-autentisering for brukerkontoer med tilgang til kritiske data eller systemer og for brukere med driftsoppgaver. Kravet må imidlertid stilles med tilknytning til den aktuelle leveransen og stå i forhold til anskaffelsens formål og verdi, jf. § 15-1 annet ledd. Jo mer spesifikt teknisk kravet detaljeres, desto større er risikoen for utilsiktet favorisering av bestemte løsninger.
ENISA går enda lenger i detalj og anbefaler unike autentiseringsopplysninger for alle virksomhetens eiendeler, med et minimum på åtte tegn for kontoer som bruker MFA og fjorten tegn for kontoer som ikke gjør det, med styrken i autentiseringen tilpasset klassifiseringen av ressursen som skal tilgås.
Slike detaljerte, tallfestede krav bør vurderes konkret opp mot forholdsmessighetsprinsippet i § 15-1 annet ledd. De bør fortrinnsvis formuleres som funksjonskrav – for eksempel «sikker autentisering tilpasset informasjonens klassifisering» – fremfor å diktere eksakte tekniske parametere, med mindre oppdragsgiver kan vise at nettopp disse parameterne er nødvendige ut fra anskaffelsens formål.
NSM anbefaler at det defineres krav til sikringsnivå for ulike typer informasjon med ulikt konfidensialitetsbehov, både for lagring og overføring, og at kryptering benyttes når konfidensiell informasjon overføres eller når tilliten til informasjonskanalen er lav. ENISA anbefaler at policyen dekker type, styrke og kvalitet på kryptografiske tiltak i samsvar med klassifiseringen av eiendeler, med angivelse av akseptable krypteringsalgoritmer, nøkkellengder og protokoller i tråd med «state of the art».
ENISA fremhever også kryptografisk smidighet – at systemet skal kunne bytte mellom algoritmer og protokoller raskt og uten vesentlige infrastrukturendringer. Dette er en praktisk viktig anbefaling for anskaffelser av systemer med lang levetid, der krypteringsbehovet kan endre seg vesentlig i kontraktsperioden.
Rettslig sett gjelder det samme forbeholdet som for autentiseringskrav: dersom bestemte algoritmer eller nøkkellengder angis som ufravikelige minstekrav, må dette enten begrunnes som nødvendig ut fra anskaffelsens formål, eller ledsages av «eller tilsvarende» og åpning for ekvivalent dokumentasjon, jf. § 15-1 fjerde ledd og prinsippet fra KOFA-sak 2025/0668 (Csub AS) om at ekvivalensåpningen må være reell. [KOFA 2025/0668]
NSM anbefaler at sikkerhetskopier beskyttes mot tilsiktet og utilsiktet sletting, manipulering og avlesning, og at de krypteres ved lagring og overføring. ENISA utdyper dette med anbefalinger om at krypteringsnøkler bør lagres separat fra sikkerhetskopidataene, og at man før gjenoppretting bør identifisere en «patient zero» for å unngå å gjeninnføre sårbarheter i systemet.
Disse anbefalingene lar seg lett formulere som funksjonskrav – «leverandøren skal sikre at sikkerhetskopier ikke kan slettes, manipuleres eller leses av uvedkommende» – og reiser derfor sjelden de samme konkurranserettslige spørsmålene som de mer detaljerte tekniske kravene til autentisering og kryptering.
Digitale sikkerhetskrav – krav til IKT-arkitektur, nettverk, skytjenester og programvareutvikling – reiser i utgangspunktet de samme rettslige spørsmålene som informasjonssikkerhetskrav for øvrig: kravene skal ha tilknytning til leveransen, stå i forhold til formål og verdi, og fortrinnsvis utformes som funksjonskrav.
Som Oslo tingrett fastslo i sak 24-173447TVI-TOSL (Avinor/EDT-maskiner), kan krav som gjelder IT-sikkerhet inngå som sentrale deler av leveransen dersom de er forankret i kravspesifikasjonen og kommunisert i konkurransen. Retten fant i den saken at leverandørene hadde tilstrekkelig informasjon om at IT-sikkerhet ville bli vektlagt, og at oppdragsgiver ikke hadde endret kvalitetskriteriet i strid med forutberegnelighetskravet ved å inkludere IT-sikkerhetskrav i evalueringen. [tingretten 24-173447TVI-TOSL]
Digital sikkerhet er med andre ord ikke noe fremmedelement i anskaffelsesretten, men et hensyn som kan tas inn i kravspesifikasjonen på linje med andre kvalitetsegenskaper – forutsatt at det gjøres på en forutberegnelig måte.
NSM anbefaler at anskaffelsen legger til rette for en helhetlig sikker IKT-arkitektur, blant annet gjennom bruk av modulbaserte produkter, felles identiteter fra en sentral kilde i stedet for applikasjonsspesifikke identiteter, og nettverkssoner delt inn ut fra virksomhetens risikoprofil.
Videre anbefaler NSM tilgangskontroll på porter, bruk av godkjente og forvaltede enheter, kryptering av trådløse og kablede forbindelser, kartlegging av fysisk tilgjengelighet til nettverksinfrastruktur, og at all trafikk til og fra forvaltede mobile klienter styres via virksomhetens eget nett fremfor direkte til internett.
For nettverksbeskyttelse anbefaler NSM bruk av e-postsikkerhetsstandarder som DMARC, DKIM, SPF og DNSSEC for verifisering av innkommende e-post. ENISA anbefaler bruk av segmentering for å begrense trafikk mellom nettverkssegmenter, bruk av DLP-løsninger for å oppdage og hindre uautorisert overføring av data, og fastsettelse og bruk av sikkerhetssoner for å beskytte områder der nettverks- og informasjonssystemer er lokalisert, på grunnlag av risikovurderingen.
Også her gjelder forholdsmessighetsforbeholdet: kravene bør formuleres som funksjons- og ytelseskrav fremfor svært spesifikke tekniske løsninger, for å unngå risiko for indirekte favorisering av bestemte produkter eller leverandører. ENISA anbefaler selv at oppdragsgiver vurderer teknisk metode for segmentering og adskillelse i stedet for å låse seg til én bestemt løsning.
NSM understreker at IKT-produkter må herdes ved at unødvendig funksjonalitet fjernes og standardinnstillinger og passord byttes ut, og anbefaler at hvilke programmer som kan kjøres på klienter begrenses gjennom godkjentlisting, signering og sperring av uønsket programkode. NSM peker på at godkjentlisting er sikkerhetsmessig mer effektivt enn blokkeringslisting. ENISA understøtter dette med en anbefaling om en «deny-all, permit-by-exception»-policy for å tillate autorisert programvare å kjøre.
Slike krav bør formuleres som funksjons- eller ytelseskrav – for eksempel «systemet skal ha mekanismer for å hindre kjøring av uautorisert programvare» – fremfor svært spesifikke tekniske løsningsbeskrivelser, for å unngå risiko for indirekte favorisering.
NSM peker videre på at man bør velge IKT-produkter som fortsatt støttes og får sikkerhetsoppdateringer, har nyere sikkerhetsfunksjonalitet og protokoller, og at eldre produkter bør fases ut. ENISA utdyper at maskinvare og programvare som ikke lenger støttes bør fjernes fra nettverket innen rimelig tid i tråd med virksomhetens risikovurdering, og anbefaler at krav til patching og oppdateringer inkluderes i leverandørkjedepolicyen og i kontrakter, tilbudsevaluering og utvelgelseskriterier.
Kravet bør utformes teknologinøytralt – for eksempel som et krav om at «produktet skal ha aktiv leverandørstøtte og motta sikkerhetsoppdateringer gjennom hele kontraktsperioden» – og ikke peke mot bestemte fabrikater med mindre vilkårene i § 15-1 fjerde ledd bokstav a eller b er oppfylt.
Ved tjenesteutsetting anbefaler NSM at virksomheten har oversikt og kontroll på hele livsløpet til tjenester som settes ut, gjennomfører gode risikovurderinger som inkluderer IKT-forhold, og utarbeider et kravdokument for alle faser av tjenesteutsettingen hvor kravene kan verifiseres.
Det bør undersøkes om leverandøren har oversikt over hvem som skal ha innsyn i virksomhetens informasjon, hvor og hvordan denne behandles og lagres, og hvilken grad av segregering fra andre kunder som gjelder.
NSMs samlede anbefaling er strukturert rundt fem elementer: (1) oversikt og kontroll gjennom hele livsløpet, (2) god bestillerkompetanse, (3) gode risikovurderinger som hensyntar hele livsløpet, (4) riktige krav til tjenesten og leverandøren, og (5) riktig beslutning på riktig nivå.
Dette rammeverket er godt egnet som metodisk grunnlag for kravspesifikasjonen ved skytjenesteanskaffelser, men det erstatter ikke den anskaffelsesrettslige vurderingen av om det konkrete kravet – for eksempel et krav om segregering fra andre kunder på et bestemt teknisk nivå – har tilknytning til leveransen og er forholdsmessig.
Spørsmålet om et absolutt krav om datalagring i Norge kan stilles av hensyn til skytjenestesikkerhet, er som vist i punkt 5.2 behandlet i KOFA-sak 2023/714 (Trysil kommune). Nemnda fant at et slikt krav, når det er begrunnet i generelle personvern- og arkivhensyn, ikke bestod forholdsmessighetstesten fordi EØS-stater presumtivt gir et likeverdig sikkerhetsnivå. [KOFA 2023/714] Det er imidlertid uavklart om en begrunnelse forankret i sikkerhetsloven og skjermingsverdig informasjon kunne gitt et annet resultat.
NSM anbefaler at robusthet og motstandsdyktighet etableres gjennom tiltak som redundans, alternativ lokasjon, duplisering og reservekapasitet der det er nødvendig for å sikre tilgjengelighet. NIST anbefaler tilsvarende at det kreves redundans og heterogenitet i systemutformingen. DSB understreker at sårbarheten kan reduseres gjennom egenberedskap og ved å etablere redundans der dette er mulig.
Slike krav er i utgangspunktet uproblematiske å stille som funksjonskrav i kravspesifikasjonen – for eksempel et krav om at «systemet skal ha redundans som sikrer at en enkelthendelse ikke medfører fullstendig bortfall av tjenesten» – så lenge kravet har tilknytning til den aktuelle leveransen og er konkretisert tilstrekkelig til å være forutberegnelig.
NSM anbefaler en metode for sikker programvareutvikling som omfatter planlegging, behovs- og kravanalyse, design, utvikling med sikker koding og testing, implementasjon og sikkerhetsmessig forvaltning. ENISA anbefaler at prinsipper for sikker systemutvikling og sikker koding anvendes på enhver informasjonssystemutviklingsaktivitet, herunder «cybersecurity-by-design» og «zero-trust»-arkitekturer.
ENISA anbefaler videre at det kreves at leverandører utfører regelmessige kodegjennomganger og sikkerhetstesting av frie og åpne programvarekomponenter. ENISA anbefaler også at det gjennomføres en analyse av sikkerhetskrav i spesifikasjons- og designfasen av ethvert utviklings- eller anskaffelsesprosjekt.
Der oppdragsgiver anskaffer programvare som skal utvikles eller tilpasses, kan slike krav med fordel tas inn som funksjonskrav i kravspesifikasjonen og som kontraktsvilkår for utviklingsarbeidet.
NSM anbefaler at risikoen for målrettet manipulering av IKT-produkter i leverandørkjeden vurderes, herunder kontroll med fysisk produktintegritet, sikker nedlasting av programvare og regulering av fysisk leverandøradgang.
ENISA anbefaler at sikkerhetskrav videreføres nedover i leverandørkjeden – at de defineres tydelig i anskaffelsen og flyttes ned til relevante underleverandører. Det er imidlertid et uavklart spørsmål i det foreliggende materialet hvor langt et krav om leverandørkjedekontroll kan gå før det kommer i konflikt med forholdsmessighetskravet i § 15-1 annet ledd. Slike krav bør derfor utformes med varsomhet og forankres konkret i den enkelte leveransen, fremfor å gis en generell og vidtrekkende form.
NIST anbefaler at anskaffede maskinvare- og programvarekomponenter verifiseres som ekte og gyldige ved bruk av digitalt signerte komponenter fra betrodde sertifikatutstedere. Et slikt dokumentasjonskrav kan forankres i § 15-4.
NSM anbefaler at det etableres gode mekanismer for å følge opp leverandører, slik at oppdragsgiver får informasjon om endringer eller hendelser som kan påvirke risiko og sikkerhetstiltak. ENISA anbefaler at tjenesteytelsen overvåkes for å verifisere etterlevelse av cybersikkerhetskravene i avtaler, inkludert håndtering av hendelser, sårbarheter og patcher.
NSM anbefaler videre at IKT-systemer overvåkes og at relevante data samles inn for å oppdage sikkerhetshendelser. Kravet bør formuleres som funksjonskrav – «evne til å oppdage og håndtere sikkerhetshendelser» – fremfor å foreskrive bestemte verktøykategorier som IDS/IPS, for å unngå risiko for utilsiktet favorisering av bestemte produkter eller leverandører.
Disse anbefalingene ligger i skjæringspunktet mellom kravspesifikasjon og kontraktsoppfølging. Kravspesifikasjonen er ikke et statisk dokument som blir irrelevant etter tildeling – de kravene som er stilt, må også kunne verifiseres og håndheves gjennom hele kontraktsperioden.
NSM peker for øvrig på at det, der det fremtidige beskyttelsesbehovet ikke er endelig avklart på tidspunktet for kunngjøring, bør tas forbehold i konkurransegrunnlaget om at det kan bli aktuelt å stille ytterligere sikkerhetskrav senere. En slik tilnærming bidrar til forutberegnelighet uten å binde oppdragsgiver til et sikkerhetsnivå som raskt kan bli utdatert.
Dokumentasjonsspørsmålet er kanskje det området innenfor sikkerhetskrav i kravspesifikasjonen hvor rettspraksis er mest entydig. Som gjennomgått i punkt 5.2, fastsetter § 15-4 tredje ledd en ubetinget plikt for oppdragsgiver til å godta annen passende dokumentasjon når leverandøren ikke har tilgang til, eller ikke får utstedt, testrapporter eller attester innen fristen, og dette ikke skyldes leverandøren selv.
KOFA har konsekvent håndhevet denne regelen strengt. Den sentrale avgjørelsen er KOFA-sak 2020/687 (Bergen kommune). Saken gjaldt en åpen anbudskonkurranse for periodisk service av heiser, vedlikehold av heisanlegg samt drift og vedlikehold av heistelefoner og 24/7 alarmmottak, med en estimert verdi på 12 millioner kroner over fire år. Konkurransegrunnlaget oppstilte et kvalifikasjonskrav om at leverandørene måtte ha «sertifisering fra uavhengige tredjeparter som bekrefter at leverandør har rutiner og systemer for kvalitetsstyring», med ISO 9001-sertifikat angitt som eksempel. Klager Alt Heis AS ble avvist fordi selskapet ikke hadde fremlagt noen attest fra uavhengig organ, selv om det opplyste om et webbasert kvalitetsstyringssystem utarbeidet av en ekstern konsulent.
Klagenemnda tok utgangspunkt i FOA § 16-1 og presiserte at dokumentasjonsreglene i §§ 16-2, 16-4, 16-6 og 16-7 er uttømmende – noe som også setter begrensninger for hvilke kvalifikasjonskrav som kan stilles, fordi det bare kan fastsettes kvalifikasjonskrav som det er adgang til å kreve dokumentasjon for. Det avgjørende var § 16-7 tredje ledd: det å tredjepartssertifisere et kvalitetsstyringssystem tar lenger tid enn tilbudsfristen. Plikten til å åpne for alternativ dokumentasjon var dermed utløst. Konkurransegrunnlaget, «lest i sammenheng», ga ikke rom for alternativ dokumentasjon. Kvalifikasjonskravet var derfor ulovlig, og bruddet innebar avlysningsplikt. [KOFA 2020/687]
KOFA-sak 2025/0555 (Arkitektbedriftene i Norge, innklaget Larvik kommune) går enda lenger i å klargjøre plikten. Saken gjaldt en åpen anbudskonkurranse for skisseprosjekt og reguleringsplan for en ny legevakt, estimert til 3 millioner kroner. Konkurransegrunnlaget krevde at leverandørene måtte ha kvalitetssikringssystem og miljøledelsessystem som var tredjepartssertifisert etter henholdsvis ISO 9001 og ISO 14001 eller Miljøfyrtårn, med sertifikat fra uavhengig organ som eneste akseptable dokumentasjon. Arkitektbedriftene i Norge henvendte seg til kommunen allerede under spørsmål-og-svar-runden og anførte at kravet var konkurransebegrensende, blant annet fordi flertallet av arkitektfirmaer bruker kvalitetssystemet MAKS, som er utviklet spesifikt for bransjen og oppfyller kravene i ISO 9001:2015, men ikke er tredjepartssertifisert. Kommunen opprettholdt kravene uten å nevne § 16-7 tredje ledd eller bekrefte at alternativ dokumentasjon ville godtas.
Klagenemnda la til grunn at innklagedes gjentatte svar – uten å vise til alternativer – måtte oppfattes som at «innklagede ikke ville godta noen annen dokumentasjon enn attester fra en uavhengig tredjepart». Konkurransegrunnlaget «stengte for at leverandørene kunne inngi annen dokumentasjon», noe som er i strid med § 16-7 tredje ledd. Nemnda konstaterte avlysningsplikt og la vekt på at gapet mellom 56 interesserte og 10 innleverte tilbud indikerte redusert deltakelse. [KOFA 2025/0555]
Sammenholdt trekker disse to avgjørelsene en klar linje: plikten i § 16-7 tredje ledd (og den parallelle plikten i § 15-4 tredje ledd for kravspesifikasjonskrav) til å godta alternativ dokumentasjon er ufravikelig. Oppdragsgiver som krever tredjepartssertifisering – enten det er ISO 9001, ISO 14001, ISO/IEC 27001 eller andre standarder – må eksplisitt opplyse om ventilen i konkurransegrunnlaget og i eventuelle svar på spørsmål. Taushet om alternativet kan i seg selv gjøre kravet ulovlig.
Selv om begge sakene formelt gjaldt kvalifikasjonskrav om kvalitetsstyringssystem, er rettssetningen direkte overførbar til dokumentasjonskrav for informasjonssikkerhetssertifiseringer, ettersom § 15-4 og § 16-7 bygger på samme grunnleggende prinsipp.
I KOFA-sak 2021/1053 (Forskaling AS) presiserte nemnda at et krav om at leverandøren er «i prosess for sertifisering» ikke er tilstrekkelig til å dokumentere et eksisterende styringssystem. [KOFA 2021/1053]
Dette betyr at dersom oppdragsgiver stiller et absolutt krav om at et styringssystem for informasjonssikkerhet skal være etablert, er det ikke nok at leverandøren viser til en pågående sertifiseringsprosess – med mindre kravet er formulert slik at det uttrykkelig åpner for dette.
På den positive siden viser KOFA-sak 2015/154 (Fredrikstad kommune) at ordningen fungerer som tiltenkt når oppdragsgiver selv legger til rette for ekvivalent dokumentasjon: nemnda fant ikke brudd der konkurransegrunnlaget ledsaget standardhenvisningen med «eller tilsvarende» og oppdragsgiver aksepterte alternativ dokumentasjon som godtgjorde oppfyllelse av kravene. [KOFA 2015/154]
Typetilfellet der dette har størst praktisk betydning for dette kapittelets tema, er ISO/IEC 27001-sertifisering som dokumentasjonskrav. Grensesonen er avklart: det er adgang til å stille sertifiseringskrav, men et krav som i realiteten forutsetter tredjepartssertifisering uten å åpne for alternativ dokumentasjon, er ulovlig. Spørsmålet om det samme gjelder for andre sikkerhetssertifiseringer som SOC 2 eller FG-900 er ikke behandlet direkte i praksis, men det er ingen grunn til å anta at prinsippet stiller seg annerledes.
Et nyere eksempel på hvor grensen går når kravet faktisk er formulert som absolutt, finnes i KOFA-sak 2026/0385 (Skien kommune). Her hadde oppdragsgiver stilt et absolutt sertifiseringskrav i kravspesifikasjonen. Klagenemnda kom til at et slikt krav må være oppfylt, eller klart forpliktet oppfylt innen kontraktsgjennomføring, og at manglende oppfyllelse utgjorde et vesentlig avvik som utløste avvisningsplikt. [KOFA 2026/0385]
Denne saken illustrerer at absolutte krav ikke er forbudt i seg selv – oppdragsgiver kan stille et ufravikelig krav om sertifisering – men konsekvensen av et slikt valg er at leverandører som ikke oppfyller kravet, eller ikke klart forplikter seg til å oppfylle det innen kontraktsstart, skal avvises. Valget mellom et absolutt krav og et krav med ekvivalensåpning har dermed direkte konsekvenser for tilbudsevalueringen.
Sammenstilt med KOFA-sak 2007/131 (Forsvarets Logistikkorganisasjon) – der kravet «må kunne sikkerhetsgodkjennes» ble tolket som fremtidsrettet, slik at leverandør uten ferdig sertifisering kunne delta med kompenserende dokumentasjon [KOFA 2007/131] – viser disse to avgjørelsene det avgjørende skillet: et fremtidsrettet funksjonskrav gir rom for at leverandøren dokumenterer at kravene kan oppfylles, mens et absolutt sertifiseringskrav medfører avvisningsplikt for den som ikke er sertifisert eller klart forpliktet til å bli det.
Spørsmålet om ettersending av sikkerhetsdokumentasjon oppstår regelmessig. Regelverkets utgangspunkt følger av FOA § 23-5: ettersending og supplering kan tillates dersom de underliggende forholdene objektivt sett forelå før tilbudsfristen og ettersendingen ikke forbedrer tilbudet.
I KOFA-sak 2025/1228 (Finnmark fylkeskommune) hadde leverandøren krysset av for oppfyllelse i ESPD-skjemaet og angitt opplysninger om et konkret kvalitetsstyringssystem basert på ISO 9001. Nemnda fant at slike opplysninger samlet sett kunne utgjøre objektive holdepunkter for at kravet faktisk var oppfylt ved tilbudsfristen, selv om den formelle sertifiseringsdokumentasjonen ble ettersendt. [KOFA 2025/1228]
Dette illustrerer grensen mellom lovlig supplering og ulovlig forbedring: supplering kan bare gjelde allerede fremlagte dokumenter eller forhold som objektivt forelå ved tilbudsfristen. Avklaring kan også skje etter tildelingsbeslutningen, men den kan ikke forbedre det opprinnelige tilbudet. [LA-2015-189076-2; LA-2015-189076-2-1; KOFA 2025/95]
KOFA har avklart at oppdragsgiver som utgangspunkt kan stole på tilbudsopplysningene uten ytterligere kontroll. Avvisningsplikt forutsetter at tilbudet faktisk avviker fra oppstilte krav. [KOFA 2023/856; KOFA 2020/91]
Denne hovedregelen modifiseres når det finnes konkrete holdepunkter som gjør opplysningene tvilsomme – noe som gjelder med særlig styrke for absolutte sertifiseringskrav, hvor konsekvensene av en uriktig egenerklæring er store. [KOFA 2026/0385]
En illustrasjon finnes i KOFA-sak 2025/1810 (Sandnes kommune), der leverandøren nektet å fremlegge kontraktuelt påkrevd dokumentasjon om sikkerhets- og prismodellen. Oppdragsgiver måtte avvise tilbudet fordi opplysningene ikke kunne kontrolleres. [KOFA 2025/1810]
Sammen viser disse sakene at kontrollplikten er situasjonsbetinget: den er lav ved normal tillit til tilbudsopplysningene, men skjerpes når leverandøren selv skaper tvil eller nekter å medvirke.
NSM anbefaler å foretrekke IKT-produkter som er sertifisert og evaluert av en tiltrodd tredjepart. Dersom «foretrekk» i praksis omsettes til et absolutt krav i kravspesifikasjonen, må det følges av «eller tilsvarende» og åpning for alternativ dokumentasjon av likeverdig sikkerhetsnivå – ellers risikerer kravet å ulovlig ekskludere leverandører med tilsvarende, ikke-sertifiserte løsninger.
For leverandørklarering understreker NSM at oppdragsgiver skal anmode NSM om klarering der behovet foreligger, ettersom oppdragsgiver har oversikt over og kan begrunne behovet. NSM peker på at det bør vurderes konkret om leverandørklarering kan være et nødvendig sikkerhetstiltak, særlig der tilgang, oversikt eller skadepotensial tilsier høyere kontroll. Dersom det stilles krav om at personell eller leverandøren må klareres, bør dette fremgå av konkurransegrunnlaget.
ENISA anbefaler at sårbarheter dokumenteres med referanser som CVE og EUVD og klassifiseres ved hjelp av CVSS og CWE. NIST anbefaler at sårbarhetskriterier og vurderingsmetoder defineres på forhånd, med en rubrikk for kategoriske definisjoner som fremmer åpenhet i vurderingsresultatene.
ENISA anbefaler videre at risiko fra sårbarheter med høyeste klassifisering – for eksempel «critical» i CVSS – ikke bør aksepteres dersom det er mulig. Dersom dette prinsippet omsettes til et absolutt og ufravikelig minstekrav som ekskluderer leverandører uten mulighet for kompenserende dokumentasjon, må det vurderes opp mot forholdsmessighetskravet i § 15-1 annet ledd og risikoen for uforholdsmessig konkurransebegrensning i den enkelte anskaffelse.
Disse teknisk presise anbefalingene kan gi objektivt etterprøvbart innhold til dokumentasjonskrav – noe som også ivaretar det anskaffelsesrettslige kravet om at dokumentasjonskrav må muliggjøre effektiv kontroll av oppgitte opplysninger.
Kjernen i proporsjonalitetsvurderingen ligger, som vist i punkt 5.2, i § 15-1 annet ledd: kravene skal ha tilknytning til leveransen og stå i forhold til anskaffelsens formål og verdi. Dette er ikke en fri skjønnsmessig rimelighetsvurdering, men en konkret toleddet test som KOFA og domstolene har anvendt gjennomgående.
Det foreliggende kildematerialet gir ikke grunnlag for å oppstille en særskilt forholdsmessighetsterskel for sikkerhetskrav sammenlignet med andre kravspesifikasjonskrav. Den alminnelige forholdsmessighetsvurderingen gjelder fullt ut, men oppdragsgivers skjønn er vidt der begrunnelsen er forankret i et reelt og dokumentert sikkerhetsbehov.
Den klareste illustrasjonen på at et sikkerhetsmotivert krav kan svikte forholdsmessighetstesten, er KOFA-sak 2023/714 (Trysil kommune), gjennomgått i punkt 5.2 ovenfor. Oppdragsgiver stilte et absolutt krav om norsk datalagring for et skybasert fagsystem, begrunnet i personvern og arkivlovgivning. Klagenemnda fant brudd: et absolutt lokaliseringskrav må ha en saklig og objektiv begrunnelse som er forholdsmessig i lys av anskaffelsens formål og verdi, og personvernregelverket gir ikke i seg selv et slikt grunnlag når leverandører etablert i andre EØS-land presumptivt er underlagt et likeverdig sikkerhetsnivå. [KOFA 2023/714]
Det som gjør denne saken pedagogisk verdifull, er kontrasten til de lovlige eksemplene i punkt 5.2 – tunnelsikringsboltene (KOFA-sak 2022/138), to-motors helikopteret (KOFA-sak 2021/1409) og de ulike ambulansechassisene (KOFA-sak 2024/0793). I alle disse tilfellene fant nemnda eller retten at kravet var saklig og objektivt begrunnet i et konkret, dokumentert sikkerhetsbehov knyttet til den aktuelle leveransen. I Trysil-saken manglet nettopp denne konkrete, selvstendige begrunnelsen: kravet var utledet generelt fra personvern- og arkivhensyn, ikke fra en spesifikk vurdering av sikkerhetsrisiko ved den aktuelle datatypen eller den aktuelle leverandøren.
Et annet instruktivt typetilfelle er KOFA-sak 2013/73 (Tysvær kommune), der et absolutt krav om at leverandørene måtte tilby sine «mest solgte produkter og merker» ble underkjent fordi kommunen ikke hadde påvist objektive grunner for begrunnelsen. [KOFA 2013/73] Overført til sikkerhetskravenes domene illustrerer dette at et absolutt krav som i realiteten begrenser leverandørenes produktvalg eller teknologivalg uten en selvstendig sikkerhetsbegrunnelse, ikke oppfyller forholdsmessighetskravet.
NSM har i sitt sikkerhetsfaglige rammeverk formulert flere prinsipper som er direkte parallelle til den anskaffelsesrettslige forholdsmessighetsvurderingen: sikkerhetstiltak skal ikke ha en annen funksjonalitet eller større kompleksitet enn nødvendig, kostnadene ved et sikkerhetstiltak skal stå i et rimelig forhold til det som kan oppnås, og en virksomhet skal ikke bruke mer inngripende sikkerhetstiltak enn nødvendig for å håndtere en aktuell risiko. NSM understreker også at personopplysninger ikke skal behandles i større grad enn nødvendig ut fra formålet med sikkerhetstiltaket.
Disse prinsippene kan gjengis som gode faglige tommelfingerregler for hvordan sikkerhetskrav bør utformes, men de erstatter ikke den selvstendige anskaffelsesrettslige forholdsmessighetsvurderingen etter § 15-1 annet ledd – de utfyller den, ved å gi et rammeverk for hvordan man begrunner nødvendigheten av et tiltak.
NSM anbefaler «sikring i dybden» – flere lag med fysiske, elektroniske, menneskelige og organisatoriske barrierer, slik at svikt i ett enkelt tiltak ikke fører til kompromittering, og slik at tiltakene i minst mulig grad er avhengige av hverandre. NSM peker også på at verdier med likt sikkerhetsbehov kan sikres med ulike tiltak, så fremt de oppnår samme effekt.
Dette er en fornuftig sikkerhetsfaglig tilnærming, men den kan ikke brukes til å begrunne et vidtrekkende sett av kumulative krav i kravspesifikasjonen uten at hvert enkelt krav vurderes opp mot forholdsmessighetsprinsippet for seg. En oppdragsgiver som stiller mange, hver for seg beskjedne sikkerhetskrav, må også vurdere den samlede konkurransebegrensende effekten av kravsettet. Oppdragsgiver bør velge bare tiltak som passer den konkrete anskaffelsen og begrunne dem i behov og risiko – ikke bruke et generelt rammeverk som eneste grunnlag for å pålegge bestemte tekniske løsninger.
Et beslektet, men mindre opplagt tema er tidsfrister for oppstart av sikkerhetskritiske leveranser. KOFA behandlet i to saker mot Bergen kommune spørsmålet om implementeringstid.
I KOFA-sak 2022/868 (IKT-rammeavtale Bergen kommune) fant nemnda at oppdragsgiver ikke kan fastsette implementeringstid eller oppstartstidspunkt så kort at konkurransen begrenses unødvendig, ettersom opplysninger om oppstartstidspunkt har stor betydning for leverandørers vurdering av om de kan og vil delta. [KOFA 2022/868]
I KOFA-sak 2022/1096 (pasientkritisk system Bergen kommune) utdypet nemnda at oppdragsgiver skal sikre reell konkurranse og likebehandling ved å starte gjennomføringen i så god tid at leverandørene får tilstrekkelig tid til oppstart. Nemnda vurderte konkret om de anførte grunnene – usikkerhet om dataansvar og et tilsynsvedtak – utgjorde en saklig begrunnelse for den korte fristen, og fant at de ikke gjorde det. [KOFA 2022/1096]
Disse sakene er relevante for sikkerhetskritiske IKT-anskaffelser fordi det ofte vil være fristende å begrunne en kort implementeringsfrist med at «sikkerheten haster». Rettssetningen viser imidlertid at intern ressursmangel, planleggingssvikt eller ordinær tidsknapphet hos oppdragsgiver ikke i seg selv er en saklig grunn til et tidsopplegg som begrenser den reelle konkurransen.
Det er fortsatt et åpent spørsmål i hvilken grad reelle, objektive beredskapsbehov – for eksempel en akutt trusselsituasjon – kan begrunne en kortere frist enn det som ellers ville vært akseptabelt. I denne sammenheng er det verdt å merke seg Borgarting lagmannsretts kjennelse i sak LB-2019-85112 (Zenitel/Forsvarsmateriell), der retten la avgjørende vekt på Forsvarets beredskapsbehov i interesseavveiningen ved midlertidig forføyning. Retten fant at stans i kontraktsinngåelsen ville stå i «åpenbart misforhold» til Forsvarets behov for å sikre operativ leveranse av kommunikasjonsradioer. [LB-2019-85112] Selv om denne interesseavveiningen gjaldt forføyningsspørsmålet og ikke forholdsmessigheten av selve sikkerhetskravet, illustrerer den at reelle beredskapshensyn kan tillegges betydelig vekt.
DFØ peker på at krav om lokal tilstedeværelse kan være relevant i enkelte anskaffelser, men formuleringen er bevisst forsiktig: dette «kan» være aktuelt, ikke at slike krav alltid lovlig kan stilles.
OECD anbefaler mer generelt at oppdragsgiver legger til rette for bred deltakelse og mangfold i leverandørgrunnlaget ved å unngå unødvendige krav som kan hindre små og mellomstore leverandører i å delta.
Disse påminnelsene har en markedsmessig dimensjon: et sikkerhetskrav som er saklig begrunnet i seg selv, kan likevel innebære en uforholdsmessig eksklusjon av mindre aktører dersom det stilles strengere enn nødvendig. Et typisk eksempel er krav om kostnadskrevende tredjepartssertifisering som bare store, etablerte leverandører har ressurser til å fremskaffe. Her bør oppdragsgiver vurdere om kravet kan formuleres som et funksjonskrav med åpning for alternativ dokumentasjon, fremfor et absolutt sertifiseringskrav, jf. drøftelsen i punkt 5.5 ovenfor og de to KOFA-sakene om Bergen kommune [KOFA 2020/687] og Larvik kommune [KOFA 2025/0555].
KOFA-sak 2023/714 (Trysil kommune), som er behandlet i punkt 5.2 og 5.6, har også en viktig side mot ikke-diskrimineringsprinsippet. Et absolutt krav om at data skal lagres i Norge vil i praksis kunne ekskludere leverandører etablert i andre EØS-stater selv om disse tilbyr et sikkerhetsnivå som er likeverdig med det norske.
Klagenemndas begrunnelse bygger implisitt på en likebehandlingstankegang: et krav som differensierer mellom leverandører etter etableringssted uten en selvstendig, saklig sikkerhetsbegrunnelse utover de generelle personvern- og arkivhensynene, rammer det grunnleggende prinsippet om at leverandører skal behandles likt uavhengig av nasjonalitet. Nemnda fremhevet at EØS-stater er «presumptivt forpliktet til samme sikkerhetsnivå» etter GDPR, slik at det kreves en positiv begrunnelse for å differensiere. [KOFA 2023/714]
Det er imidlertid viktig å presisere hva denne saken ikke avgjør. Den tar ikke stilling til om en tilsvarende begrunnelse forankret i sikkerhetsloven, eller i konkrete nasjonale sikkerhetshensyn etter LOA § 5d, kunne gitt et annet resultat. Spørsmålet om krav til datalagring i Norge kan begrunnes med sikkerhetsloven eller nasjonale sikkerhetshensyn – i motsetning til de generelle personvern- og arkivhensynene som ble underkjent – er ikke avklart i det foreliggende materialet. Forholdet mellom sikkerhetsloven og anskaffelsesregelverket, herunder klareringsregimet, mangler kildedekning i de foreliggende rettskildene, og spørsmålet bør behandles med forsiktighet.
EU-kommisjonen har understreket at verifisering av økonomiske aktørers kapasitet med hensyn til informasjonssikkerhet skal gjennomføres i samsvar med prinsippene om ikke-diskriminering, likebehandling og forholdsmessighet, og at kommunikasjonsmidlene som brukes i denne sammenheng, skal være allment tilgjengelige og ikke-diskriminerende, samt kompatible med IKT-produkter i alminnelig bruk.
Dette prinsippet harmonerer godt med de norske rettssetningene som er gjennomgått: verifiseringsprosedyrer for sikkerhetsdokumentasjon skal ikke i seg selv virke ekskluderende for leverandører fra andre stater, for eksempel ved å kreve dokumentformater eller kommunikasjonskanaler som bare er tilgjengelige for nasjonale aktører.
For anskaffelser som involverer sikkerhetsgradert informasjon, anbefaler NSM at oppdragsgiver i sikkerhetsavtale med en utenlandsk leverandør sikrer seg mulighet til å få oversikt over hvilket personell hos leverandøren som får tilgang til norsk sikkerhetsgradert informasjon.
Dette rådet har god forankring i LOA § 5d, men det er viktig å understreke at slike krav – i likhet med andre sikkerhetskrav – må stå i forhold til den konkrete anskaffelsens formål og verdi, og ikke gis en videre rekkevidde enn det underliggende sikkerhetsbehovet tilsier.
ENISA anbefaler i tillegg at oppdragsgiver vurderer leverandørens rettslige jurisdiksjon, herunder om leverandøren er regulert under NIS2-direktivet eller Cyber Resilience Act. En slik vurdering kan gi relevant informasjon om leverandørens sikkerhetsmessige rammebetingelser, men bør ikke brukes som grunnlag for å ekskludere leverandører fra bestemte jurisdiksjoner uten en konkret og dokumentert sikkerhetsbegrunnelse.
Likebehandlingsprinsippet gjelder ikke bare for utformingen av sikkerhetskrav, men også for evalueringen av dem. KOFA-sak 2021/2113 (Nordhordland og Gulen Interkommunale Renovasjonsselskap IKS) illustrerer dette poenget på en instruktiv måte. Saken gjaldt en åpen anbudskonkurranse for containertransport, der kontrakt skulle tildeles basert på beste forhold mellom pris og kvalitet, med pris vektet 70 prosent, oppdragsforståelse og kvalitet 20 prosent, og miljø 10 prosent. To leverandører leverte tilbud, og kontrakt ble tildelt Nortrans AS med en margin på bare 0,19 poeng av ti.
Under tildelingskriteriet «Miljø» var det et underkriterium om arbeidsmiljø. Valgte leverandør fikk uttelling for aktiv bruk av risikovurderinger, mens klager BIR Bedrift AS ikke fikk tilsvarende uttelling. Klagenemnda fant at klagers ISO 9001:2015-sertifisering innebærer systematisk bruk av risikovurderinger, og at valgte leverandørs praksis med risikovurderinger ikke gikk lenger enn det denne standarden krever – «og i alle tilfeller ikke lenger enn det som fremgår av ISO 9001:2015-standarden som klager er sertifisert for». Det var i strid med likebehandlingskravet i LOA § 4 at bare valgte leverandør fikk uttelling for en praksis som begge leverandører oppfylte. [KOFA 2021/2113]
Prinsippet er direkte overførbart til informasjonssikkerhetssertifiseringer: der to leverandører dokumenterer tilsvarende sikkerhetspraksis – for eksempel gjennom ISO/IEC 27001-sertifisering – kan ikke bare én av dem gis uttelling for dette uten saklig begrunnelse for forskjellsbehandlingen. Saken er en påminnelse om at likebehandlingskravet gjelder med særlig styrke i evalueringsfasen, ikke bare i utformingsfasen.
Likebehandlingsprinsippet gjelder fullt ut også i forhandlinger. KOFA slo fast i sak 2006/145 (Novapoint Norge AS) at forhandlinger må være reelle og gi leverandørene mulighet til å revidere tilbudene sine, også ved sikkerhetskritiske anskaffelser. [KOFA 2003/267]
Å gi én leverandør beskjed om at den ligger an til å vinne, uten å gi tilsvarende informasjon til andre, bryter likebehandlingsprinsippet. [KOFA 2024/1410; KOFA 2024/970]
Et gjennomgående trekk i det faglige materialet er at risikovurdering bør være det metodiske utgangspunktet for ethvert sikkerhetskrav i kravspesifikasjonen. NSM anbefaler at oppdragsgiver gjennomfører en risikovurdering av anskaffelsen med sikte på å avklare hvilke sikkerhetsbehov som gjør seg gjeldende og hvilke tiltak det er nødvendig å iverksette. Risikovurderingen må ta for seg alle sikkerhetsrelevante forhold, identifisere relevante trusler og avdekke mulige sårbarheter. NSM understreker videre at de operative risikovurderingene benyttes som grunnlag for valg og etablering av sikkerhetstiltak.
Det bør presiseres at dette er en anbefalt metodisk fremgangsmåte, ikke en selvstendig rettsplikt utledet av anskaffelsesregelverket. Det vedlagte regelgrunnlaget – herunder FOA § 15-1 og LOA § 5d – oppstiller ikke uttrykkelig noen plikt til å gjennomføre en risikovurdering før enhver anskaffelse. Risikovurderingen bør forstås som et verktøy for å oppfylle det anskaffelsesrettslige kravet om saklig og objektiv begrunnelse: en dokumentert risikovurdering vil styrke begrunnelsen for sikkerhetskravene betraktelig dersom de utfordres i en klagesak.
Saksgjennomgangene i dette kapittelet illustrerer dette poenget med kraft. I KOFA-sak 2024/0793 (Sykehusinnkjøp HF) – ambulansechassisene – hadde oppdragsgiver gjennomført en forutgående markedsdialog som dokumenterte leveringsrisikoen, og denne dokumentasjonen var avgjørende for at nemnda aksepterte det konkurransebegrensende kravet. [KOFA 2024/0793] I KOFA-sak 2022/138 (Statens vegvesen) – tunnelsikringsboltene – bygde oppdragsgiver på egne erfaringer fra geologisk sammenlignbare tunneler. [KOFA 2022/138] I kontrast manglet Trysil kommune en slik konkret, leveransespesifikk risikovurdering. [KOFA 2023/714]
ENISA anbefaler en dokumentert cybersikkerhetsbasert risikostyringsprosess med en «all-hazards»-tilnærming som dekker naturgitte, menneskeskapte, utilsiktede og forsettlige trusler – ikke bare cybertrusler.
NIST anbefaler en systematisk undersøkelse av cybersikkerhetsrisikoer gjennom hele forsyningskjeden, med vekt på sårbarheter, sannsynlighet og konsekvenser, og går lenger enn de norske kildene ved å anbefale risikovurderinger på tre organisatoriske nivåer med påfølgende aggregering.
DSB understreker at sårbarhetsvurderinger bør inngå i en strategi for å styrke virksomhetens robusthet mot uønskede hendelser, og peker på at avhengighet av innsatsfaktorer skaper sårbarhet: svikt i leveransen av én eller flere innsatsfaktorer kan medføre hel eller delvis svikt i produksjonen.
OECD anbefaler bruk av markedsanalyse og tidlig markedsdialog for å identifisere risikoer og forstå markedets kapasitet og sårbarheter før konkurransen kunngjøres – noe som også kan bidra til å utforme krav som er realistiske og ikke unødig konkurransebegrensende.
Et sentralt metodisk poeng, som flere av de faglige kildene er samstemte om, er at trusselvurderinger og risikobeskrivelser fra NSM, PST og Etterretningstjenesten ikke skal brukes alene som juridisk hjemmel eller som ferdig kravtekst. De skal brukes som risikobakgrunn, og de konkrete kravene som utledes av dem, skal kobles til relevant regelverk – i praksis § 15-1 og eventuelt LOA § 5d – og til en selvstendig anskaffelsesfaglig vurdering av tilknytning og forholdsmessighet.
En henvisning til en nasjonal trusselvurdering er ikke i seg selv en tilstrekkelig rettslig begrunnelse for et konkurransebegrensende krav. Den må omsettes til en konkret vurdering av hvorfor akkurat dette kravet, i akkurat denne anskaffelsen, er nødvendig og forholdsmessig.
De sakene som er gjennomgått i dette kapittelet, peker samlet mot et sett av gjentakende feilkilder som praktikere bør være særlig oppmerksomme på.
Den første og mest åpenbare feilen er å stille et absolutt sertifiseringskrav uten å bygge inn en ekvivalensmekanisme. KOFA-sak 2020/687 (Bergen kommune) [KOFA 2020/687] og KOFA-sak 2025/0555 (Larvik kommune) [KOFA 2025/0555] viser at dette er en av de hyppigste og mest entydige feilene klagenemnda griper fatt i. I begge sakene ble kvalifikasjonskravet funnet ulovlig fordi oppdragsgiver stengte for alternativ dokumentasjon. Sak 2021/1053 (Forskaling AS) [KOFA 2021/1053] supplerer bildet ved å vise at heller ikke en pågående sertifiseringsprosess er tilstrekkelig dokumentasjon for et krav om et etablert styringssystem.
Løsningen er ikke å avstå fra sertifiseringskrav, men å sikre at kravet enten er utformet som et rent funksjonskrav, eller ledsages av en reell mulighet til å dokumentere likeverdig oppfyllelse på annen måte, jf. § 15-4 tredje ledd.
Den andre feilkilden er uklarhet om hvordan avvik fra sikkerhetskrav skal håndteres i evalueringen. KOFA uttalte i sak 2023/724 (Storfjord kommune) at et konkurransegrunnlag som åpner for avvik fra kravspesifikasjonen uten å klargjøre hvordan slike avvik skal behandles, kan være så uklart at det utløser avlysningsplikt. [KOFA 2023/724]
Praktikere bør derfor alltid ta stilling til, og synliggjøre i konkurransegrunnlaget, om et sikkerhetskrav er absolutt (ufravikelig, med avvisning som konsekvens ved avvik) eller om det er gjenstand for skjønnsmessig vurdering under et tildelingskriterium.
Vurderingen av om et avvik er vesentlig, beror etter FOA § 24-8 på avvikets størrelse, viktigheten av det forholdet det avvikes fra, betydningen for oppdragsgiver, og om avviket kan forrykke konkurransen.
KOFA-sak 2020/355 (Norsk Helsenett SF) er den mest instruktive avgjørelsen om vesentlighetsvurderingen for sikkerhetskrav. Saken gjaldt en rammeavtale om avhending av IKT-utstyr på vegne av 12 virksomheter i helseforvaltningen. Blant de obligatoriske kravene var krav nr. 15 om at utstyr der sikker sletting ikke var mulig, skulle granuleres/destrueres i henhold til NSMs krav på nivå «Konfidensiell» – det vil si mekanisk makulering til fragmentstørrelse på maksimalt 2×2 mm, eller etterfølgende forbrenning på minst 650 °C dersom denne størrelsen ikke kan oppnås. Valgte leverandør CHG-MERIDIAN Skien AS opplyste i sitt tilbud at SSD-lagringsmedier ville granuleres i henhold til DIN 66399-standarden på «nivå H5 eller bedre». DIN 66399 H5 tillater imidlertid fragmenter på inntil 320 kvadratmillimeter – en klar overskridelse av NSMs krav.
Klagenemnda fant at formuleringen «H5 eller bedre» i beste fall var uklar, og at denne uklarheten måtte valgte leverandør bære risikoen for, jf. FOA § 23-3 annet ledd om leverandørens risiko for eget tilbud. Etterfølgende forbrenning var ikke nevnt i tilbudet. Det forelå derfor et avvik.
Ved vesentlighetsvurderingen la nemnda avgjørende vekt på at sikker destruksjon utgjorde anskaffelsens «hovedformål», at leverandøren skulle håndtere sensitive personopplysninger på vegne av 12 helseforvaltningsaktører, og at NSMs krav er «svært strenge». At avviket kun gjaldt én type lagringsmedium (SSD), ble ansett uten avgjørende betydning. Avviket var vesentlig, og oppdragsgiver hadde plikt til å avvise tilbudet. [KOFA 2020/355]
Oslo byfogdembete nådde en tilsvarende konklusjon i sak 12-188718TVI-OBYF (Doffin-konkurransen). Saken gjaldt en begrenset anbudskonkurranse om operatøravtale for drift av den nasjonale kunngjøringstjenesten Doffin. Et «må»-krav i kravspesifikasjonens punkt 2.11 krevde at operatøren skulle ha tiltak som «forhindrer spredning av virus og skadelig programvare» i opplastede dokumenter. Tilbyder EUS Holding Limited hadde svart «ja» på funksjonskravet, men i den tilhørende dokumentasjonen beskrevet en løsning der smittede dokumenter ble merket med et spesielt ikon som varslet brukeren – ikke blokkert eller stanset.
Retten tolket tilbudet objektivt og fant at beskrivelsen innebar at virusinfiserte dokumenter kunne bli tilgjengelige i databasen, bare merket med varsel. Retten avviste tilbyderens anførsel om at dokumentasjonskravet gjaldt noe annet enn funksjonskravet, og mente det ville vært naturlig å presisere uttrykkelig dersom smittede dokumenter faktisk skulle stanses. Merking er ikke det samme som blokkering, og tilbudet oppfylte ikke minimumskravet.
I vesentlighetsvurderingen la retten vekt på at kravet gjaldt sikkerheten i Doffin, som er en sentral tjeneste for offentlige anskaffelser, og at risiko for virusspredning ville svekke tilliten til tjenesten. Retten avviste at det forhold at tilbyderen sto igjen som eneste aktuelle kandidat etter en tidligere avvisning, skulle endre den rettslige vurderingen. Avviket var vesentlig, og Difi hadde plikt til å avvise tilbudet. [tingretten 12-188718TVI-OBYF]
Sammen illustrerer disse to sakene at avvik fra obligatoriske sikkerhetskrav – enten de gjelder fysisk destruksjon av lagringsmedier etter NSM-nivå eller virusbeskyttelse i digital infrastruktur – vil som klart utgangspunkt anses som vesentlige, særlig når kravet gjelder anskaffelsens hovedformål eller en kjernefunksjonalitet med direkte konsekvenser for tilliten til tjenesten.
Kontrasten finnes i KOFA-sak 2020/416 (Norsk Institutt for Bioøkonomi), som gjaldt en rammeavtale for levering av matvarer til kantiner. Valgte leverandør Tine SA avvek fra kravspesifikasjonens krav om bestillingsfrist (kl. 09.00 i stedet for kl. 12.00), svartid på e-post (48 timer i stedet for én time) og svartid på telefon (ikke fastsatt i stedet for innen 120 sekunder). Marginen mellom klager og valgte leverandør var bare tre poeng av hundre.
Klagenemnda konstaterte at avvikene var kvantifiserbare og konkrete, og at kravene om bestillingsfrist og responstid «kan virke fordyrende» og er «ressurskrevende og fordyrende for de leverandører som har inngitt tilbud i tråd med de oppstilte kravene». Med støtte i NOU 2014:4 la nemnda til grunn at «avvik eller lignede som medfører at et tilbud ikke kan sammenlignes med andre tilbud, vil alltid være vesentlige», og at oppdragsgiver hadde plikt til å prissette avvikene for å gjøre tilbudene sammenlignbare. Tilbudene var ikke sammenlignbare, avvikene var vesentlige, og oppdragsgiver brøt avvisningsplikten. [KOFA 2020/416]
Denne saken viser den andre siden av vesentlighetsvurderingen: avvik som er kvantifiserbare og gir den avvikende leverandøren en kostnadsfordel, forrykker konkurransen og gjør tilbudene usammenlignbare. Oppdragsgiver kan ikke akseptere slike avvik uten å prissette dem – og dersom prissettingen viser at den avvikende leverandøren ikke lenger vinner, er avvikene per definisjon vesentlige. For sikkerhetskrav betyr dette at avvik fra svartidskrav, beredskapskrav eller andre kvantifiserbare servicenivåer krever eksplisitt håndtering i evalueringen.
Den tredje feilkilden er å blande sammen minstekrav og tildelingskriterier. KOFA uttalte i sak 2011/130 (Hammerfest kommune) at et underkriterium under tildelingskriteriet kvalitet ikke kan utformes som et rent minstekrav som bare besvares med ja eller nei; absolutte krav til ytelsen hører hjemme i kravspesifikasjonen og håndheves gjennom avvisning. [KOFA 2011/130]
Et beslektet feilmønster finnes i KOFA-sak 2025/0876 (Defendable AS), der identiske vektingsintervaller for to tildelingskriterier ble funnet ulovlig fordi det åpnet for at kriteriene kunne bytte prioritetsrekkefølge etter tilbudsinnlevering. [KOFA 2025/0876]
Dette er en påminnelse om at også vektingen av sikkerhetsrelaterte tildelingskriterier må være forutberegnelig fastsatt før konkurransen kunngjøres.
Den fjerde feilkilden gjelder uklar formulering av selve sikkerhetskravet. KOFA-sak 2020/355 (Norsk Helsenett SF) viser at når et sikkerhetskrav er formulert som et obligatorisk «O»-krav, bærer leverandøren risikoen for uklarhet i eget tilbud – en angivelse av en standard der det aktuelle nivået ikke tilfredsstiller oppdragsgivers spesifikasjon, går ut over leverandøren. [KOFA 2020/355] Oslo byfogdembetes kjennelse i Doffin-saken (12-188718TVI-OBYF) bekrefter det samme: et ubetinget «ja» til et minimumskrav er ikke tilstrekkelig dersom den etterfølgende løsningsbeskrivelsen viser at kravet ikke er oppfylt. [tingretten 12-188718TVI-OBYF]
KOFA-sak 2023/565 (Karabin AS) illustrerer et beslektet poeng: når et krav er angitt som et absolutt minimumskrav, vil et avvik som utgangspunkt anses som vesentlig. [KOFA 2023/565]
Den femte feilkilden gjelder tildelingskriterier for leveringssikkerhet og beredskap uten tilstrekkelig evalueringsinnhold. Der leveringssikkerhet eller digital beredskap brukes som tildelingskriterium, må det gis et konkret evalueringsinnhold som gjør det forutberegnelig for leverandørene hvordan kriteriet vil bli vurdert.
Beredskapsmessige forhold kan falle naturlig inn under et service- eller kvalitetskriterium dersom dette fremgår av evalueringen og konkurransegrunnlaget. [KOFA 2005/175]
Tildelingskriterier kan derimot ikke suppleres med utenforliggende momenter – heller ikke under beredskaps- eller sikkerhetsvurderinger. En ren angivelse av «leveringssikkerhet» uten nærmere evalueringstema gir ikke tilstrekkelig forutberegnelighet. [KOFA 2004/301; KOFA 2003/171]
Et dokumentasjonskrav som ikke gir grunnlag for effektiv kontroll av oppgitte opplysninger, er ulovlig. [tingretten 25-181219TVI]
Samsvarserklæringer og alternativ dokumentasjon må inneholde teknisk og etterprøvbar informasjon som gjør oppdragsgiver i stand til å vurdere om kravene er oppfylt. Erklæringer som bare konkluderer uten å vise grunnlaget, er ikke tilstrekkelige. [KOFA 2018/109; KOFA 2014/90; KOFA 2015/38]
Oppdragsgiver har skjønn til å avgjøre om og hvilke dokumentasjonskrav som skal stilles, men kravene må ha tilknytning til og ikke være uforholdsmessige i forhold til leveransen. [KOFA 2021/806]
Evalueringen av sikkerhetskrav må dokumenteres slik at den er etterprøvbar. Oppdragsgiver må synliggjøre hvordan avvik fra kravspesifikasjonen er vurdert, og begrunnelsen må sette leverandørene i stand til å forstå hvilke forhold som gjorde valgte tilbud best. Manglende synliggjøring av vurderingen av avvik kan i seg selv utgjøre brudd på gjennomsiktighet og etterprøvbarhet. [KOFA 2014/90; KOFA 2015/38; KOFA 2023/0434]
Oppdragsgiver kan foreta en faglig forsvarlig vurdering av om sikkerhetskrav er oppfylt på grunnlag av spesifikasjoner, dokumentasjon og avklaringsmøter – fysisk besiktigelse eller testing er ikke et generelt krav. [KOFA 2005/45]
Når befaring eller andre ikke-skriftlige kilder inngår i evalueringen av sikkerhetskrav, må observasjoner og grunnlag nedtegnes slik at vurderingen kan etterprøves. [KOFA 2017/342]
Innleide konsulenter og rådgivere som deltar i evalueringen av sikkerhetsnære anskaffelser, er underlagt forvaltningslovens habilitetsregler, jf. forvaltningsloven § 6. KOFA behandlet i sak 2018/76 (Sør-Varanger kommune) spørsmålet om inhabilitet for en innleid konsulent med nære bånd til én tilbyders sikkerhetsmiljø i en anskaffelse av informasjonssikkerhetsløsning. Nemnda la til grunn at terskelen for inhabilitet kan være lav i konkurransesituasjoner, særlig når evalueringen innebærer vidt skjønn. Nøytrale administrative funksjoner uten påvirkning på evalueringen utløser derimot ikke inhabilitet. [KOFA 2018/76]
Oppdragsgiver bør derfor rutinemessig vurdere habiliteten til enhver ekstern rådgiver som trekkes inn i vurderingen av sikkerhetskrav, særlig der rådgiveren har faglige eller kommersielle bindinger til aktører i det aktuelle leverandørmarkedet.
Samlet viser gjennomgangen at handlingsrommet for å stille sikkerhetskrav i kravspesifikasjonen er betydelig, men at det er noen gjentakende feilkilder: manglende ekvivalensåpning ved standard- og sertifiseringshenvisninger, uklar håndtering av avvik, sammenblanding av minstekrav og tildelingskriterier, uklar formulering av selve sikkerhetskravet, tildelingskriterier uten reelt evalueringsinnhold, utilstrekkelige dokumentasjonskrav, og inhabilitet i evalueringsprosessen.
En kravspesifikasjon som er bevisst utformet med disse fallgruvene for øye – og som er forankret i en dokumentert, konkret risikovurdering slik det faglige materialet anbefaler – vil stå seg langt bedre både i konkurransen og ved en eventuell etterfølgende klagebehandling.