FOASikkerhet og beredskap i offentlige anskaffelser

6. Leverandørkontroll: kvalifikasjonskrav, avvisning og leverandørkjeden

6.1 Oversikt: leverandørkontroll som sikkerhetsvirkemiddel

Avvisningsvurdering ved sikkerhetsrelaterte mangler hos leverandør

Figur: Avvisningsvurdering ved sikkerhetsrelaterte mangler hos leverandør.

Når behovet er kartlagt og kravspesifikasjonen er utformet, gjenstår et spørsmål som er like grunnleggende: kan denne leverandøren i det hele tatt betros oppdraget? Leverandørkontroll er svaret på dette spørsmålet. Den strekker seg fra kvalifikasjonsvurderingen før tilbudsfristens utløp, via avvisningsreglene, og videre inn i kontraktsperioden gjennom kontroll med underleverandører og leverandørkjeden.

I sikkerhets- og beredskapssammenheng får denne kontrollen en ekstra dimensjon. Det handler ikke bare om leverandørens evne til å levere varen eller tjenesten til avtalt tid og pris, men om leverandørens evne og vilje til å ivareta sikkerhet gjennom hele kontraktsforholdet – også i en forverret sikkerhetssituasjon.

Regelverket oppdragsgiver har til rådighet, er likevel det samme uansett formål: kvalifikasjonskrav etter forskrift om offentlige anskaffelser (FOA) kapittel 16, avvisningsreglene i FOA § 24-2, og reglene om underleverandører i FOA §§ 19-2 og 24-4. Sikkerhets- og beredskapshensyn gir ikke oppdragsgiver noen særskilt hjemmel utenfor dette systemet. De er en begrunnelse som kan gjøre bruken av de alminnelige virkemidlene nødvendig og forholdsmessig – ikke en fribillett til å gå utenfor dem.

Sikkerhetsunntaket i FOA § 2-2 – en snever sikkerhetsventil

FOA § 2-2 første ledd bestemmer at anskaffelsesloven og forskriften ikke gjelder for anskaffelser som oppdragsgiveren kan unnta etter EØS-avtalen artikkel 123, eller som «er erklært hemmelige eller bare kan utføres under særlige sikkerhetstiltak i henhold til lov, forskrift eller forvaltningsvedtak, og de aktuelle vesentlige interessene ikke kan sikres gjennom mindre inngripende tiltak». Annet ledd føyer til at regelverket heller ikke gjelder dersom anvendelsen vil «forhindre oppdragsgiveren fra å ivareta vesentlige sikkerhetsinteresser», men heller ikke dette gjelder dersom interessene kan ivaretas ved mindre inngripende tiltak – «for eksempel ved å pålegge leverandørene taushetsplikt».

Ordlyden peker selv på at unntaket er subsidiært: det gjelder bare der de aktuelle interessene ikke kan sikres med midler innenfor regelverket. Unntaket skal tolkes strengt, og det er oppdragsgiveren som bærer bevisbyrden for at sikkerhetsinteressene ikke kan beskyttes ved mindre inngripende tiltak.

Den sentrale saken om unntakets rekkevidde er EU-domstolens dom i sak C-601/21 (Kommisjonen mot Polen). Saken gjaldt polsk lovgivning som unntok en rekke kontrakter fra anskaffelsesreglene – blant annet produksjon av pass, identitetskort, førerkort og tilhørende datasystemer – og åpnet for direkte tildeling til det statskontrollerte selskapet PWPW uten forutgående konkurranse. Polen begrunnet ordningen med behovet for å beskytte vesentlige sikkerhetsinteresser, herunder nasjonal sikkerhet, dokumentenes autentisitet, vern mot forfalskning, kontroll med sensitive opplysninger og kontinuitet i forsyningen. [EU-domstolen Case C-601/21]

EU-domstolen anerkjente at medlemsstatene selv fastsetter hvilke sikkerhetsinteresser som er vesentlige, og hvilket beskyttelsesnivå de ønsker. Begrepet «sikkerhet» omfatter også nasjonal sikkerhet. Likevel innebærer ikke dette et fritt skjønn til å holde kontrakter utenfor EU-retten bare ved å vise til sikkerhetshensyn. Det avgjørende er om staten konkret har påvist nødvendigheten av å fravike anskaffelsesreglene. [EU-domstolen Case C-601/21]

Domstolen påpekte at oppdragsgiver har et vidt skjønn til å fastsette strenge og forholdsmessige krav om pålitelighet, erfaring, tekniske ressurser og prosesser – og at konfidensialitetskrav, tekniske spesifikasjoner, kvalifikasjonskrav og andre sikkerhetstiltak knyttet til kontraktens gjennomføring i utgangspunktet kan ivareta fortrolighets- og sikkerhetshensyn innenfor direktivets rammer. Polens anførsel om at direkte tildeling til PWPW sikret kontinuitet i leveransen og eliminerte konkursrisiko, ble ikke godtatt. Statlig eierskap i seg selv beviste ikke at risikoen for svikt var eliminert. [EU-domstolen Case C-601/21]

Domstolen konkluderte med at Polen ikke hadde dokumentert at de nasjonale unntakene var nødvendige, og fastslo at Polen hadde tilsidesatt sine forpliktelser etter direktiv 2014/24, sammenholdt med artikkel 346 nr. 1 bokstav a) TEUV. [EU-domstolen Case C-601/21]

Dommen har direkte overføringsverdi til norsk rett, ettersom FOA § 2-2 gjennomfører de samme EU/EØS-rettslige kravene. Den viser at selv ved anskaffelser som berører de mest sensitive områdene – identitetsdokumenter, datasystemer, autentisitetsbeskyttelse – må oppdragsgiver konkret begrunne hvorfor sikkerhetsbehovet ikke kan ivaretas gjennom kvalifikasjonskrav, tekniske spesifikasjoner, sikkerhetsklarering, konfidensialitetskrav eller kontraktsmessige garantier. Ren henvisning til nasjonal sikkerhet, produksjonskontinuitet eller statlig eierskap er ikke nok.

Konsekvensen er klar: leverandørkontroll i de aller fleste sikkerhets- og beredskapsrelevante anskaffelser skal skje innenfor rammene av FOA kapittel 16 og 24, ikke ved å påberope seg et unntak fra regelverket. Sikkerhetsunntaket er en siste utvei, ikke et alternativ til grundig arbeid med kvalifikasjonskrav og avvisningsregler.

Risikobildet som startpunkt – faglige anbefalinger

Det faglige laget er samstemt om at leverandørkontroll bør bygge på et oppdatert risikobilde. NSM anbefaler at trussel- og risikobakgrunnen legges til grunn ved vurdering av sikkerhet, beredskap, leverandørkjede og robusthet. PST gir tilsvarende anbefaling i sin nasjonale trusselvurdering.

DFØ peker på at oppdragsgiver må operasjonalisere slike hensyn gjennom de virkemidlene anskaffelsesregelverket faktisk gir – kvalifikasjonskrav, kravspesifikasjoner, tildelingskriterier og kontraktsvilkår. OECD anbefaler at offentlige anskaffelser brukes strategisk for å styrke robusthet i forsyningskjeden, og at risikoene identifiseres tidlig nok til at de kan gjenspeiles i konkrete krav. NIST går lengre og anbefaler at virksomheten etablerer en egen, organisasjonsomfattende policy for leverandørkjederisikostyring (C-SCRM), understøttet av strategi og handlingsplan.

ENISA peker på at individuelle enheter skal adressere respektive cybersikkerhetsrisikoer knyttet til leverandørforhold og forsyningskjeder, og at sikkerhetskrav bør videreføres nedover i leverandørkjeden. Virksomheter bør integrere forsyningskjedehåndtering i sine risikostyringsprosesser for kontinuerlig å vurdere, håndtere og overvåke risiko som springer ut av forsyningskjeden.

Disse anbefalingene er ikke rettskrav, men de utgjør et nyttig rammeverk for systematisk leverandørkontroll – forutsatt at de operasjonaliseres innenfor de rettslige rammene som behandles i resten av kapitlet.

6.2 Kvalifikasjonskrav med sikkerhets- og beredskapsbegrunnelse: FOA § 16-1 og tilstøtende bestemmelser

Ordlyden i FOA § 16-1

FOA § 16-1 første ledd slår fast at oppdragsgiveren «kan stille krav til leverandørens kvalifikasjoner», men bare innenfor tre lukkede kategorier: registrering og autorisasjoner (§ 16-2), økonomisk og finansiell kapasitet (§ 16-3), og tekniske og faglige kvalifikasjoner (§ 16-5). Loven legger dermed opp til et lukket system. Oppdragsgiver kan ikke finne opp en fjerde kategori av kvalifikasjonskrav, uansett hvor gode grunner som måtte tale for det.

Innenfor disse kategoriene stiller ordlyden et forholdsmessighetskrav: kravene «skal ha tilknytning til og stå i forhold til leveransen». Dette er selve kjernen i den rettslige kontrollen med kvalifikasjonskrav. Et krav som ikke har naturlig sammenheng med det som skal anskaffes, eller som går lenger enn det leveransens omfang og risiko tilsier, er ulovlig – uansett hvor tungtveiende de sikkerhetsmessige grunnene måtte være.

Annet ledd supplerer med et tilsvarende lukket dokumentasjonssystem: oppdragsgiver kan «bare kreve attester, erklæringer eller andre typer dokumentasjon som angitt i § 16-2, § 16-4, § 16-6 eller § 16-7» som dokumentasjon for oppfyllelse av kvalifikasjonskravene. Tredje ledd pålegger oppdragsgiver å angi både kvalifikasjonskravene og de tilhørende dokumentasjonskravene i kunngjøringen eller invitasjonen.

Denne strukturen har en direkte konsekvens for sikkerhets- og beredskapsbegrunnede krav. De må «oversettes» til en av de tre kravtypene loven anerkjenner, dokumenteres med et av de tillatte dokumentasjonsmidlene, og fremgå av konkurransedokumentene. Et ønske om at leverandøren skal ha «god sikkerhetskultur» eller «tilstrekkelig beredskapsevne» er ikke i seg selv et lovlig kvalifikasjonskrav – det må konkretiseres som et krav til for eksempel teknisk og faglig kapasitet etter § 16-5, med tilhørende dokumentasjon etter § 16-6.

Tolkningsprinsippet: den rimelig opplyste og normalt påpasselige leverandør

Praksis er entydig om hvordan kvalifikasjonskrav skal tolkes. De skal forstås objektivt ut fra ordlyden, sett i sammenheng med dokumentasjonskravet og resten av konkurransegrunnlaget, slik en rimelig opplyst og normalt påpasselig leverandør ville forstått dem. Denne tolkningsnormen er lagt til grunn konsekvent i Høyesteretts avgjørelse i HR-2022-1964-A (Flage Maskin) og i EU-domstolens avgjørelse i sak C-27/15 (Pippo Pizzo), og gjelder uavhengig av om kravet er begrunnet i sikkerhet, kvalitet eller pris. Det finnes ingen egen, mildere tolkningsnorm for sikkerhetsbegrunnede krav.

Samtidig har oppdragsgiver et betydelig innkjøpsfaglig skjønn ved selve fastsettelsen og den konkrete vurderingen av om et kvalifikasjonskrav er oppfylt. Dette skjønnet kan bare overprøves for usaklighet, vilkårlighet, kvalifisert urimelighet, feil faktum eller brudd på de grunnleggende prinsippene i loven.

Nettopp dette samspillet – streng objektiv tolkning av selve kravets ordlyd, kombinert med romslig skjønnsfrihet innenfor den fastlagte tolkningen – er nøkkelen til å forstå hvorfor sikkerhets- og beredskapsbegrunnede krav ofte aksepteres selv om de begrenser konkurransen betydelig. Det er ikke merkelappen «sikkerhet» som gir utvidet skjønn, men det er den konkrete sikkerhetsbegrunnelsen som ofte gjør det lettere å dokumentere at et strengt krav faktisk er nødvendig.

Prinsippet om at krav ikke kan innfortolkes

Et gjennomgående prinsipp i praksis er at oppdragsgiver ikke kan innfortolke kvalifikasjonskrav som ikke fremgår av konkurransegrunnlaget. Uklarheter i konkurransegrunnlaget går i utgangspunktet ut over oppdragsgiver, ikke leverandøren. Motsatsen gjelder også: dokumentasjonskrav og kvalifikasjonskrav tolkes i sammenheng – dokumentasjonskravets innhold belyser kvalifikasjonskravets innhold, og eksplisitte minimumskrav i dokumentasjonskravet er selvstendige og kumulative terskler.

Konsekvensen for sikkerhetsanskaffelser er at et sikkerhetsrelatert krav som oppdragsgiver ønsker å bruke som avvisningsgrunnlag, må fremgå klart av kunngjøringen eller invitasjonen. Et krav som bare er nevnt i kontraktsdokumentet, og som ikke er plassert blant kvalifikasjonskravene, må normalt forstås som et kontraktsvilkår som skal oppfylles ved kontraktsoppstart – ikke som et kvalifikasjonskrav på tilbudstidspunktet. Denne sondringen mellom kvalifikasjonskrav og kontraktsvilkår er avgjørende for plasseringen av sikkerhetsrelaterte krav, og behandles nærmere i punkt 6.4 og 6.8.

Sakene som falt innenfor: OEM-krav i forsvarsanskaffelse

Oslo byfogdembete behandlet i sak 17-041764TVI-OBYF spørsmålet om Forsvarets kvalifikasjonskrav om at tilbyder måtte være opprinnelig utstyrsprodusent (OEM) for NH90-helikoptre eller godkjent av OEM som vedlikeholdsleverandør. Saab AB, som ble avvist fra prekvalifiseringen fordi selskapet ikke dokumenterte OEM-godkjennelse, anførte at kravet var ulovlig konkurransebegrensende og begjærte midlertidig forføyning for å hindre kontraktsinngåelse. Av syv interesserte tilbydere ble fem avvist. [tingretten 17-041764TVI-OBYF]

Retten la til grunn at oppdragsgiver har en betydelig skjønnsmessig adgang til å fastsette kvalifikasjonskrav, og at domstolenes kontroll er begrenset til om skjønnet er usaklig, vilkårlig eller kvalifisert urimelig. Retten viste til at forsvars- og sikkerhetsanskaffelser gir et særskilt handlingsrom på grunn av sikkerhetshensyn og teknisk kompleksitet. Det var avgjørende at OEM-kravet ikke bare var formulert i konkurransen, men også fulgte av Forsvarets eget luftdyktighetsregelverk – BMF/Luft 750-1 (A) – fastsatt med hjemmel i luftfartsloven. Kravet ble dermed vurdert som et generelt krav for vedlikehold av Forsvarets luftmateriell, ikke som et særskilt konkurransegrep i den aktuelle anskaffelsen. [tingretten 17-041764TVI-OBYF]

Selv om retten erkjente at kravet var konkurransebegrensende, fant den at det forelå saklige grunner. Retten pekte blant annet på at OEM kjenner helikoptrene best, at NH90 fortsatt var under utvikling, at tett samarbeid mellom vedlikeholdsleverandør og OEM var viktig for flysikkerhet, og at OEM-godkjente leverandører lettere får tilgang til teknisk støtte, reservedeler og spesialverktøy. Retten konkluderte med at kravet lå innenfor oppdragsgivers innkjøpsfaglige skjønn og ikke var ulovlig. [tingretten 17-041764TVI-OBYF]

Saken illustrerer en generell rettssetning: krav som har forankring i sektorspesifikt regelverk og reelle sikkerhetshensyn, kan aksepteres selv om de vesentlig innskrenker antallet mulige tilbydere – forutsatt at kravet faktisk er saklig og forholdsmessig, og ikke bare en formulert påstand om sikkerhetsbehov. Det er den konkrete begrunnelsen, ikke merkelappen «sikkerhet», som avgjør om kravet holder.

Sakene som falt innenfor: erfaringskrav i Forsvarsbygg-anskaffelse med prekvalifisering

Oslo tingrett behandlet i sak 24-020788TVI-TOSL en anskaffelse der Forsvarsbygg krevde «meget god erfaring og kompetanse med utførelse av arbeider av tilsvarende art, størrelse og kompleksitet» ved en kaientreprise på Haakonsvern, knyttet til mottak av nye ubåter. Kvalifikasjonsgrunnlaget presiserte at dokumentasjonen skulle bestå av inntil fem referanseprosjekter, og at alle kompetanseområder i et bestemt vedlegg måtte fremgå av referanseprosjektene for at leverandøren skulle bli kvalifisert. To av de sentrale kompetanseområdene var presisjonssprengning under vann på dybder over 10 meter og sprengningsarbeider under vann i forbindelse med utdypning. [tingretten 24-020788TVI-TOSL]

NRC ble tildelt kontrakten, men NCC klaget og anførte at NRC ikke oppfylte kvalifikasjonskravet. Under rettsmøtet erkjente staten at to av NRCs referanseprosjekter ikke sannsynliggjorde sprengningsarbeider under vann i forbindelse med utdypning. Dermed sto et tredje prosjekt – Kongsgårdbukta kai 36 – igjen som avgjørende. Retten foretok en konkret bevisvurdering av prosjektdokumentene og la til grunn at dette prosjektet viste sprengning for pilarfundamenter (presisjonssprengning), ikke utdypning – to teknisk forskjellige operasjoner. Fremlagte tegninger, sprengningsplan og e-postkorrespondanse underbygget ikke at det faktisk var utført sprengning for utdypning. Retten konkluderte med at NRC ikke hadde dokumentert erfaring med kompetanseområdet «utførelse av sprengningsarbeider under vann i forbindelse med utdypning», og at Forsvarsbygg hadde plikt til å avvise leverandøren. [tingretten 24-020788TVI-TOSL]

I samme sak ble det trukket opp en viktig grense mot beredskapsargumentet som prosessuelt forsvar. Staten anførte beredskapshensyn – forsinkelse av kai- og vedlikeholdsanlegget for nye ubåter – for å hindre midlertidig forføyning. Retten anerkjente at dette var et tungtveiende moment i forholdsmessighetsvurderingen, men fant at risikoen ikke var sannsynliggjort å være så prekær at den utgjorde et åpenbart misforhold. Retten la vekt på at Forsvaret allerede hadde akseptert en tidsplan med levering av første ubåt i 2029, og at staten ikke hadde sannsynliggjort at avbøtende tiltak eller forseringstiltak ikke kunne redusere ulempene. [tingretten 24-020788TVI-TOSL]

Saken viser to ting. For det første at oppdragsgiver er bundet av de kvalifikasjonskravene som er fastsatt, og har plikt til å avvise leverandører som ikke oppfyller dem – selv i en forsvarskritisk anskaffelse. For det andre at sikkerhets- og beredskapsargumenter må underbygges konkret også når de brukes defensivt i en tvist, ikke bare når de brukes offensivt for å begrunne et krav.

Grensen mot usaklig konkurransebegrensning: beredskapslager-saken

Motstykket til de foregående sakene finner vi der oppdragsgiver har gått for langt. KOFA behandlet i sak 2021/609 (Statsforvalteren i Innlandet og Elverum kommune) en åpen anbudskonkurranse for rammeavtale om kjøp av smittevernprodukter til lokale beredskapslager, gjennomført på vegne av alle kommuner i Innlandet fylke. Kvalifikasjonskravet krevde at tilbyder skulle dokumentere erfaring fra leveranser av medisinsk forbruksmateriell i form av rammeavtaler til det offentlige – minimum tre slike oppdrag de siste tre år. Strømmes AS ble avvist fordi selskapet ikke hadde hatt rammeavtaler overhodet. Selskapet bestred ikke dette, men anførte at selve kravet om at erfaringen måtte knytte seg til leveranser til det offentlige var ulovlig. [KOFA 2021/609]

Klagenemnda aksepterte innledningsvis at det var saklig å kreve erfaring med levering av medisinsk forbruksmateriell generelt, og at kravet om erfaring fra rammeavtaler – som forutsetter andre logistikkrutiner og etablerte leverandørkjeder enn enkeltleveranser – likeledes hadde saklig forankring. Disse delene av kvalifikasjonskravet ble ikke underkjent. [KOFA 2021/609]

Derimot fant nemnda at tilleggskravet om erfaring spesifikt «med det offentlige» ikke var tilstrekkelig begrunnet. Innklagede hadde anført at kravet ga sikkerhet for at leverandørene etterlevde offentlige krav til smittevernutstyr. Klagenemnda aksepterte ikke dette: de etterspurte varene kunne også være anvendt av private, for eksempel private medisinske tjenester. Kravene til produktene – CE-merking, FFI-testing – gjaldt uavhengig av kundetype. Kravet om at erfaringen måtte stamme fra offentlige kunder tilførte dermed ikke en kvalifikasjonsdimensjon som var nødvendig for den konkrete kontrakten. [KOFA 2021/609]

Nemnda konstaterte brudd på FOA § 16-1 første ledd og § 16-5 første ledd. Likevel ble det ikke konstatert plikt til avlysning, fordi klager faktisk ble avvist fordi selskapet ikke hadde rammeavtaler overhodet – det lovstridige elementet i kravet hadde dermed ikke hatt betydning for utfallet. [KOFA 2021/609]

Saken illustrerer grensesonen godt. Erfaring fra offentlig sektor kan i mange sammenhenger være et relevant og saklig kvalifikasjonskrav, men når selve leveransen ikke skiller seg fra det som leveres til private kunder, mister kravet sin forankring i leveransens egenart og blir en usaklig konkurransebegrensning. Oppdragsgivers begrunnelse om «praktiske fordeler» – som bekreftelse på at leverandøren var vant til å forholde seg til offentlige krav – er ikke tilstrekkelig; det avgjørende er om kravet faktisk er nødvendig for å sikre teknisk og faglig kvalifikasjon til å utføre den konkrete kontrakten.

Kontrast: erfaringskrav i vaskeritjenester til helseinstitusjoner

Motsatt utfall finner vi i KOFA-sak 2023/861 (Breeze Nordvest AS) om vaskeritjenester til helseinstitusjoner. Ni sunnmørskommuner og Muritunet AS kunngjorde en åpen anbudskonkurranse for rammeavtale med estimert verdi 9–14,5 millioner kroner per år og maksimal kontraktsverdi 70 millioner kroner. Kvalifikasjonskravet krevde dokumentert erfaring fra leveranser av vaskeritjenester til helseinstitusjoner med mer enn 25 leveringspunkter over et større geografisk område og en årlig verdi over 3 millioner kroner. Klager anførte at kravet var uforholdsmessig strengt. [KOFA 2023/861]

Klagenemnda tok utgangspunkt i at oppdragsgiver har et betydelig innkjøpsfaglig skjønn ved vurderingen av hvilke krav som er nødvendige, og at nemndas prøving er begrenset til om skjønnsutøvelsen er usaklig, vilkårlig eller kvalifisert urimelig. De avgjørende faktiske forholdene var at anskaffelsen omfattet omtrent 60 leveringspunkter over et større geografisk område med komplisert logistikk, at hygiene og beredskap sto sentralt, og at minimumskravet til 25 lokasjoner og 3 millioner kroner i kontraktsverdi var forholdsmessig sett opp mot den estimerte årsverdien. [KOFA 2023/0861]

Nemnda fant at kvalifikasjonskravet var lovlig. Det kunne ikke være avgjørende at kravet begrenset antall potensielle leverandører, så lenge leveransens egenart – kompleks logistikk, strenge hygienekrav, beredskapsvaskeri – nettopp krevde den spesialiserte erfaringen kravet etterspurte. [KOFA 2023/861]

Sammenligningen mellom beredskapslager-saken og vaskeri-saken viser tydelig hvor grensen går. I den første saken var kvalifikasjonskravets sektorspesifisering – «til det offentlige» – uten reell forankring i produktenes egenart; produktene ble levert likt uansett kundetype. I den andre saken var kravet til erfaring fra helseinstitusjoner direkte knyttet til leveransens art: hygienekrav, beredskapsløsninger og logistikk som var spesifikke for denne typen leveranse. Forskjellen var altså ikke i kravsformuleringen som sådan, men i om leveransens egenart faktisk begrunnet det ekstra erfaringskravet.

Uklare kapasitetskrav: «tilstrekkelig evne og kapasitet»

Et tredje mønster er tilfeller der kravet i og for seg har en lovlig kravskategori, men er formulert så vagt at leverandørene ikke kan forstå hva som kreves.

KOFA behandlet i sak 2018/344 (Sykehusinnkjøp HF) en åpen anbudskonkurranse for rammeavtaler om arkitekt- og rådgivende ingeniørtjenester, inndelt i 16 delområder og 117 delkontrakter med estimert verdi på 200 millioner kroner per år. Et av kvalifikasjonskravene krevde at leverandøren skulle ha «tilstrekkelig evne og kapasitet til å gjennomføre kontraktsforpliktelsene». Dokumentasjonskravet ba bare om organisasjonskart og bemanningsoversikt. Rogaland brann & sikkerhet ANS, som presenterte en ressursgruppe på tre branntekniske rådgivere for seks delkontrakter, ble avvist med henvisning til at selskapet ikke oppfylte dette kravet. [KOFA 2018/344]

Klagenemnda tok først stilling til om kvalifikasjonskravet var tilstrekkelig klart utformet – et spørsmål som logisk måtte avklares før det var mulig å vurdere om avvisningen var lovlig. Med støtte i EU-domstolens avgjørelse i sak C-368/10 (Max Havelaar) presiserte nemnda at kvalifikasjonskrav skal utformes «klart, præcist og utvetydigt» slik at den rimelig opplyste og normalt påpasselige tilbyderen kan forstå kravets nøyaktige rekkevidde og tolke det på samme måte. [KOFA 2018/344]

Nemnda fant at selve kravsordlyden – «tilstrekkelig evne og kapasitet» og «god nok kapasitet til å betjene Kunden» – i seg selv sa lite om hva som konkret ble krevd. Dokumentasjonskravet presiserte heller ikke terskelen for oppfyllelse. Det var ikke oppgitt estimert innkjøpsvolum per delkontrakt eller delområde, og ytelsesbeskrivelsen var generelt utformet. Kvalifikasjonskravet var dermed ikke utformet tilstrekkelig klart. [KOFA 2018/344]

Nemnda fastslo videre at et ulovlig kvalifikasjonskrav normalt har avgjørende betydning for tilbyderne ved spørsmålet om de skal delta i konkurransen, og at feilen ikke lot seg rette. Konkurransen skulle ha vært avlyst. [KOFA 2018/344]

Avgjørelsen illustrerer at kvalifikasjonskrav knyttet til kapasitet ikke er tilstrekkelige dersom de kun angir en generell standard som «tilstrekkelig» eller «god nok», uten at konkurransegrunnlaget for øvrig gir leverandørene konkrete holdepunkter for å fastslå terskelen for oppfyllelse. Manglende angivelse av estimert volum per delkontrakt, kombinert med en generelt utformet ytelsesbeskrivelse, var avgjørende for at kravet ble ansett ulovlig. Et ulovlig kvalifikasjonskrav som ikke lar seg rette, medfører plikt til avlysning – uavhengig av om den konkrete avvisningen i og for seg virker rimelig.

Denne praksisen viser at skjønnsmessig formulerte krav – som ofte er hensiktsmessige nettopp fordi sikkerhets- og beredskapsbehov er vanskelige å tallfeste presist – har en nedre grense for klarhet. Vagheten i seg selv kan gjøre kravet ulovlig, uavhengig av hvor gode intensjoner som lå bak formuleringen.

Absolutt krav om sentral godkjenning – usaklig konkurransebegrensning

Ytterligere utenfor det lovlige spennet faller absolutte krav som ikke åpner for alternativ dokumentasjon. I KOFA-praksis er det lagt til grunn at et absolutt krav om sentral godkjenning etter plan- og bygningsloven, uten å åpne for at leverandøren kan dokumentere tilsvarende kvalifikasjoner på annen måte, utgjør en usaklig konkurransebegrensning. Alternativ dokumentasjon må vurderes, og kravet må stå i et rimelig forhold til leveransens art og vanskelighetsgrad.

Sektorspesifikt regelverk som forankring

Lovpålagte krav etter særlovgivning kan gjøres til kvalifikasjonskrav når de er relevante og forholdsmessige. Men skjulte krav som ikke er angitt i konkurransegrunnlaget, kan ikke automatisk supplere anskaffelsesdokumentene. OEM-saken fra Oslo byfogdembete i sak 17-041764TVI-OBYF illustrerer at krav forankret i luftfartsregulering ble akseptert nettopp fordi de var klart formulert, saklig begrunnet og uttrykkelig angitt i konkurransedokumentene. [tingretten 17-041764TVI-OBYF]

Faglig veiledning: utforming av sikkerhets- og beredskapsbegrunnede kvalifikasjonskrav

EU-kommisjonens forsvarsdirektiv anbefaler at oppdragsgivere fastsetter hvilket nivå av teknisk kapasitet som kreves for deltakelse, herunder for sikkerhet for informasjon, og at minstenivåene skal angis i kunngjøringen og stå i forhold til kontraktens gjenstand. Denne anbefalingen kan følges, men bare dersom «sikkerhetsnivået» konkretiseres med en klar og etterprøvbar terskel i kunngjøringen. Et vagt formulert sikkerhetsnivå uten holdepunkter for innholdet rammes av det samme kravet til klarhet som gjorde kapasitetskravet i KOFA-sak 2018/344 (Sykehusinnkjøp HF) ulovlig. [KOFA 2018/344]

Tilsvarende gjelder OECDs anbefaling om å bruke kvalifikasjonskrav for å sikre leveringsevne under forstyrrelser eller kriser. Rådet er godt som utgangspunkt, men det må omsettes til et konkret, forholdsmessig krav knyttet til leveransens art og risiko – ikke til et generelt «evne til å levere under kriser»-krav uten presisert terskel, som lett vil lide av den samme uklarhetssvakheten.

Retningslinjene for anskaffelser i forsvarssektoren (RAF) angir at det kan stilles minimumskrav til leverandørenes tekniske kvalifikasjoner, finansielle stilling og ledelsessystem for kvalitet, og at vurderingen av leverandørens tekniske kvalifikasjoner særlig skal baseres på kriterier som faglig kompetanse, effektivitet, erfaring og pålitelighet. Disse kriteriene har nær parallell til ordlyden i FOA § 16-5 annet ledd og kan brukes som veiledning for kravutformingen – men de må alltid formuleres presist og stå i forhold til den konkrete leveransen.

DFØs generelle anbefaling om å følge reglene om kvalifikasjonskrav, kravspesifikasjoner, tildelingskriterier og kontraktsvilkår ved utforming av sikkerhets- og beredskapskrav kan gjengis uten forbehold. Det er nettopp den arbeidsmåten regelverket legger opp til.

6.3 Krav til leverandørens organisasjon, erfaring og tekniske kapasitet på sikkerhetsfeltet

Ordlyden i FOA § 16-5

FOA § 16-5 første ledd gir hjemmel for krav som er «relevante for å sikre at leverandøren har de tekniske og faglige kvalifikasjonene, inkludert menneskelige og tekniske ressurser og erfaringer, til å utføre kontrakten». Annet ledd åpner for at oppdragsgiver ved anskaffelser som inkluderer monterings- og installasjonsarbeid, tjenester eller bygge- og anleggsarbeider kan vurdere leverandørens faglige kvalifikasjoner ut fra «ferdigheter, effektivitet, erfaring og pålitelighet» knyttet til utførelsen av slike tjenester og arbeider.

For innovasjonspartnerskap krever tredje ledd at oppdragsgiver «særlig» stiller krav til kvalifikasjoner innen forskning og utvikling. Denne bestemmelsen har begrenset direkte relevans for sikkerhetsanskaffelser, men illustrerer at regelverket anerkjenner at bestemte anskaffelsestyper kan kreve spesialtilpassede kvalifikasjonskrav.

FOA § 16-5 er den sentrale hjemmelen for krav til leverandørens organisasjon, personell, tekniske utstyr og erfaring med sikkerhetsrelevante oppgaver. Det som skiller dette fra § 16-1 er at § 16-5 presiserer hvilke forhold som kan inngå i vurderingen, mens § 16-1 setter den overordnede rammen om tilknytning og forholdsmessighet.

Erfaringskrav: overføringsverdi og kontraktsrelevans

Erfaringskrav kan knyttes til de konkrete arbeidsoppgavene kontrakten omfatter, uten at det nødvendigvis kreves at leverandøren har hatt en bestemt kontraktsrolle i et tidligere oppdrag – med mindre selve ordlyden i kravet tilsier noe annet. Samtidig kan oppdragsgiver innenfor en objektiv tolkning vektlegge om erfaringen faktisk er opparbeidet som direkte kontraktspart med helhetlig koordineringsansvar, slik at underleverandørerfaring ikke automatisk likestilles med hovedentreprenørerfaring.

Dette er en viktig sondring for sikkerhetsanskaffelser: den leverandøren som har hatt totalansvaret for gjennomføringen av et sikkerhetsprosjekt, vil typisk ha opparbeidet en annen type kompetanse enn en underleverandør som bare har utført en avgrenset del. Oppdragsgiver kan legge vekt på denne forskjellen, men bare dersom kravet er formulert slik at det fremgår av ordlyden.

Totalentreprenørerfaring versus sammenlagt underleverandørdekning

KOFA uttalte i sak 2023/1086 at når konkurransegrunnlaget krever erfaring som totalentreprenør, kan ikke sammenlagt fagdekning fra underleverandører alene oppfylle kravet. [KOFA 2024/360] Nemnda la vekt på at totalentreprenørrollen innebærer et kvalitativt annet ansvar enn summen av deloppgavene, og at oppdragsgiver saklig kunne forutsette slik erfaring. Prinsippet har klar relevans for sikkerhetsanskaffelser der helhetlig styring og risikokoordinering er avgjørende.

«Tilsvarende» – en høyere terskel enn «tilstrekkelig» eller «relevant»

Vilkåret «tilsvarende» i et erfaringskrav setter en konkret terskel som er høyere enn alternativene «tilstrekkelig» eller «relevant». Referanseprosjektene må ha en reell overføringsverdi til kontraktsgjenstanden, ikke bare til generell prosjektgjennomføring.

KOFA-sak 2025/1143 (Forsvarsbygg) illustrerer dette klart. Saken gjaldt en åpen anbudskonkurranse om diverse vintervedlikeholdstjenester – herunder brøyting med heldøgns beredskap, strøing, kosting og bortkjøring av snø – ved Bardufoss Luftstasjon, Heggelia og Rusta, med en estimert verdi på 56,8 millioner kroner. Kvalifikasjonskravet krevde «god erfaring med utførelse av arbeider av tilsvarende størrelse og kompleksitet», dokumentert ved tre relevante referanseoppdrag. Kontrakten ble tildelt Målselv Maskin & Transport AS, hvis tre referanseprosjekter alle gjaldt entreprisekontrakter for etablering og utbedring av infrastruktur og industritomter – ikke vintervedlikehold som primærytelse. Valgte leverandør begrunnet relevansen med at prosjektene innebar «betydelig vinterdrift» for å opprettholde fremdrift. [KOFA 2025/1143]

Klagenemndas flertall foretok en «bred og sammensatt helhetsvurdering» og fant at referanseprosjektene hadde en viss overføringsverdi ved koordinert maskinbruk og masseforflytning. Men kontrakten krevde ytelser som referanseprosjektene ikke dekket: heldøgns kontinuerlig brøyteberedskap, brøyting etter konkrete responstider, og vintervedlikehold av et vesentlig større areal. I referanseprosjektene hadde vintervedlikehold vært en «sekundær aktivitet» for å oppnå fremdrift i hovedprosjektene; i denne kontrakten utgjorde vintervedlikehold kontraktens hovedinnhold, der kravene var «av en helt annen karakter». Flertallet konkluderte med at Forsvarsbygg hadde brutt regelverket ved ikke å avvise valgte leverandør. [KOFA 2025/1143]

Mindretallet nådde motsatt konklusjon. Etter mindretallets syn stilte kvalifikasjonskravet etter sin objektive ordlyd ikke krav om erfaring fra oppdrag av tilsvarende art, og en presisering om vintervedlikeholdserfaring hadde vært «enkel og naturlig å ta inn» dersom det var oppdragsgivers intensjon. Mindretallet vegret seg for å diskvalifisere en leverandør som reelt og materielt fremsto som godt i stand til å gjennomføre kontrakten, uten tydelig forankring i ordlyden. [KOFA 2025/1143]

Dissensen illustrerer spenningen i kvalifikasjonsvurderingen. Flertallet la avgjørende vekt på at «tilsvarende størrelse og kompleksitet» impliserer en reell likhet med kontraktsgjenstanden – herunder dens driftsmessige karakter – mens mindretallet holdt seg strengere til ordlyden og pekte på at kravet ikke uttrykkelig krevde erfaring av tilsvarende art. For oppdragsgivere ved sikkerhetskritiske kontrakter er konsekvensen at erfaringskravet bør formuleres presist: dersom erfaring med en bestemt type drift (for eksempel beredskapstjenester, sikkerhetskritisk vedlikehold) er ment som en forutsetning, bør dette fremgå eksplisitt av ordlyden.

Kumulative minimumskrav i referansekravet

Der erfaringskravet er formulert med kumulative minimumskrav – for eksempel krav om referanseprosjekter som omfatter både et bestemt bygningstype og en bestemt konstruksjonsmetode – kan oppdragsgiver ikke erstatte de eksplisitte minimumskravene med en bred helhetsvurdering. Hvert kumulative vilkår er en selvstendig terskel som må oppfylles. [KOFA 2023/0784] [KOFA 2023/784]

Kapasitet, responstid og geografisk nærhet

Kapasitets- og gjennomføringsevnekrav kan vurderes i lys av kontraktens samlede forpliktelser, herunder responstid og døgnkontinuerlig beredskap. [KOFA 2022/148] [KOFA 2022/1481]

Her løper en viktig grensesone. Geografisk nærhet kan trekkes inn som et moment i en konkret kapasitetsvurdering når kontrakten stiller krav om rask respons – for eksempel hasteoppdrag innen fire timer ved vintervedlikehold. Men det gir ikke grunnlag for et generelt lokaliseringskrav uavhengig av slik begrunnelse. Et rent geografisk krav uten kobling til kapasitets- eller beredskapsbehovet kan utgjøre diskriminering i strid med likebehandlingsprinsippet.

Partnerstatus hos navngitte produsenter i samfunnskritisk infrastruktur

KOFA behandlet i sak 2016/50 (Kystverket) spørsmålet om krav til partnerstatus hos navngitte IT-produsenter var uforholdsmessig. Kystverket kunngjorde en åpen anbudskonkurranse for rammeavtale om IKT-utstyr, programvare og konsulenttjenester, og stilte i kravspesifikasjonen krav om høyeste eller nest høyeste partnerstatus hos fem navngitte produsenter – Microsoft, VMware, Citrix, Cisco og Hewlett Packard Enterprise – samt en lempeligere partnerstatus hos fire andre produsenter. Eltele AS, som ikke hadde inngitt tilbud, klaget med den begrunnelse at kravene forhindret selskapet fra å delta. [KOFA 2016/50]

Nemnda la til grunn at et krav om partnerstatus innebærer en henvisning til bestemte produsenters sertifiseringsordninger, men at dette ikke i seg selv er forbudt dersom kontraktens gjenstand berettiger det. Det avgjørende er om oppdragsgiver har reservert de strengeste kravene for de produktkategoriene der behovet er reelt og dokumentert, og om konkurransen er unødig begrenset sett opp mot dette behovet. Kystverket dokumenterte at de fem produsentene med strengest partnerskrav inngikk i samfunnskritisk infrastruktur med høy byttekostnad og særlig kompetansebehov. For de øvrige fire var det stilt lempeligere krav. Leverandører uten direkte partnerstatus hadde adgang til å benytte underleverandører. [KOFA 2016/50]

Nemnda fant ikke grunnlag for å konstatere brudd. Avgjørelsen viser at oppdragsgiver i sikkerhetsrelevante anskaffelser kan differensiere kravstrenghet etter faktisk behov, og at adgang til å benytte underleverandører er et relevant moment ved forholdsmessighetsvurderingen. For klager som ikke har deltatt i konkurransen, tydeliggjør avgjørelsen også at klageinteressen er begrenset til den konkrete anførselen som begrunnet den manglende deltakelsen.

Forsyningssikkerhet og leveringsevne

RAF angir at oppdragsgiver kan kreve opplysninger om leverandørens forsyningssikkerhet og kapasitet til å imøtekomme et større behov ved en krise, samt opplysninger om begrensninger som følger av eksportkontroll eller sikkerhetsordninger. EDA vektlegger leverandørens evne til å levere, inkludert industrielle kapasiteter og myndighetsgodkjenninger for overføring og eksport, også for videreleveranser og støtte gjennom hele livsløpet.

Slike krav er relevante i anskaffelser med beredskapsdimensjon, men de må formuleres presist som kvalifikasjonskrav etter § 16-5 og dokumenteres med de dokumentasjonstyper § 16-6 åpner for. Et generelt krav om «forsyningssikkerhet» uten en operasjonell terskel vil rammes av de samme klarhetskravene som er beskrevet i punkt 6.2.

Leveringssikkerhet som tildelingskriterium – en grensesone

Det er verdt å merke seg at leveringssikkerhet ikke bare kan brukes som kvalifikasjonskrav, men også som tildelingskriterium – forutsatt at vurderingstemaet er et annet, jf. FOA § 16-6 femte ledd, som bestemmer at dokumentasjon brukt i kvalifikasjonsvurderingen også kan brukes i tildelingsvurderingen dersom vurderingstemaet er et annet. Avgrensningen mellom kvalifikasjonskrav og tildelingskriterier er likevel streng i forskriftens del III: kvalifikasjonskrav er minstekrav til leverandørens evne, mens tildelingskriterier vurderer tilbudets kvalitet. Å bruke sikkerhet eller beredskap som et bredt formulert tildelingskriterium som i realiteten bare vurderer leverandørens generelle egnethet, vil være å krysse denne grensen.

Personellsikkerhet: advarsel om rettslig usikkerhet

NIST anbefaler at personell med tilgang til virksomhetens forsyningskjede bør omfattes av virksomhetens personellsikkerhetskontroller, og at tredjepartspersonell skal oppfylle de samme kravene som eget personell. Denne anbefalingen skal ikke følges som et ukomplisert kvalifikasjonskrav under FOA. Spørsmålet om sikkerhetsklarering av leverandørens personell kan brukes som kvalifikasjonskrav under anskaffelsesforskriften, er ikke avklart i det rettskildematerialet som foreligger. Slike krav kan i realiteten kreve hjemmel i sikkerhetsloven, som ligger utenfor rammene av anskaffelsesforskriften. Det er derfor rettslig risikabelt å presentere personellsikkerhetskrav som et ukomplisert FOA-hjemlet kvalifikasjonskrav uten videre avklaring.

Tilsvarende gjelder ENISAs anbefaling om at bakgrunnssjekk for personell med tilgang bør vurderes. En snever anvendelse kan tenkes dersom bakgrunnssjekk brukes som dokumentasjon for «utdanning og faglige kvalifikasjoner» etter FOA § 16-6 første ledd bokstav f, men et generelt krav om bakgrunnssjekk har ikke støtte i ordlyden. Boken advarer mot å stille et generelt bakgrunnssjekk-krav som kvalifikasjonskrav under gjeldende FOA uten nærmere avklaring av hjemmelsgrunnlaget.

NSMs veiledning: operasjonalisering kreves

NSM anbefaler at oppdragsgiver forsikrer seg om at leverandøren har nødvendig risiko- og sikkerhetsforståelse og oppfyller krav til forebyggende sikkerhetsarbeid. NSM anbefaler videre at det som minimum undersøkes om leverandøren har sikkerhetsfunksjonalitet, sikkerhetsovervåkning, rutiner for hendelseshåndtering og avviks- og sikkerhetsrapportering, samt godkjenningsprosedyrer for bruk av underleverandører.

Disse anbefalingene gir et godt utgangspunkt for kravutforming. Men de må operasjonaliseres som konkrete, forholdsmessige kvalifikasjonskrav med tilhørende dokumentasjonskrav etter § 16-1 andre og tredje ledd og § 16-6. En generell «forsikre seg om»-formulering uten et presist krav og en lovlig dokumentasjonshjemmel risikerer å bli ansett uklar etter samme mønster som kapasitetskravet i KOFA-sak 2018/344 (Sykehusinnkjøp HF). [KOFA 2018/344] Undersøkelsestemaer som sikkerhetsovervåkning og hendelseshåndteringsrutiner må angis som konkrete kvalifikasjonskrav i kunngjøringen, og kan bare dokumenteres gjennom de dokumenttypene som er uttømmende listet i § 16-6 – for eksempel bokstav c (beskrivelse av teknisk personell), bokstav d (tekniske fasiliteter og kvalitetssikringstiltak) eller bokstav e (styring av leverandørkjeden). En bredere «undersøkelse» uten forankring i konkurransegrunnlaget kan ikke danne grunnlag for avvisning.

NIST anbefaler tilsvarende at virksomheten bør definere og anvende kriterier for å vurdere leverandører ut fra leverandørkjederisiko, inkludert leverandørens evne og vilje til å redusere risiko. Også dette rådet krever operasjonalisering: kriteriene må være objektive, saklige og forholdsmessige og fremgå av konkurransegrunnlaget, og de må bygge på dokumentasjon innenfor rammene av § 16-6 – ellers risikerer oppdragsgiver å stille krav som er for vage eller som mangler rettslig forankring.

6.4 Obligatorisk og fakultativ avvisning med sikkerhetsdimensjon: FOA §§ 24-2 og 24-4

Ordlyden i FOA § 24-2

FOA § 24-2 er bygget opp i tre hovedlag. Første ledd fastsetter en imperativ avvisningsplikt: oppdragsgiveren skal avvise leverandører som ikke oppfyller kvalifikasjonskravene (bokstav a), som ikke har betalt skatter og avgifter når dette er fastslått ved rettskraftig dom eller endelig forvaltningsvedtak (bokstav b, med forbehold om at avvisningen ikke vil være klart uforholdsmessig), som er rammet av inhabilitet (bokstav c), eller som har fått en urimelig konkurransefordel av å ha deltatt i forberedelsen av konkurransen (bokstav d).

Annet ledd utvider avvisningsplikten til leverandører som er rettskraftig dømt eller har vedtatt forelegg for nærmere angitte alvorlige straffbare forhold: deltakelse i kriminell organisasjon, korrupsjon, bedrageri, terrorhandlinger eller handlinger med forbindelse til terroraktivitet, hvitvasking eller finansiering av terrorisme, og barnearbeid og andre former for menneskehandel.

Tredje ledd gir en fakultativ avvisningsadgang for en rekke andre forhold. Listen omfatter blant annet alvorlige eller gjentatte brudd på miljø-, arbeids- og sosiallovgivning (bokstav c), interessekonflikt mellom oppdragsgiver og leverandør som kan ha negativ innvirkning på kontraktsoppfyllelsen (bokstav d), konkurransevridende avtaler (bokstav e), tidligere vesentlig kontraktsbrudd overfor en offentlig oppdragsgiver som har ført til heving, erstatning eller lignende sanksjoner (bokstav f), grovt uriktige eller misvisende opplysninger som kan få vesentlig innflytelse på oppdragsgiverens beslutninger (bokstav g), forsøk på å påvirke oppdragsgiverens beslutninger eller få tilgang til fortrolige opplysninger (bokstav h), og alvorlige feil som medfører tvil om leverandørens yrkesmessige integritet (bokstav i).

Denne avvisningsadgangen er uttrykkelig underlagt en forholdsmessighetsbegrensning: avvisning kan ikke skje dersom den «vil være uforholdsmessig». Fjerde ledd åpner for at oppdragsgiver kan la være å avvise selv ved obligatoriske avvisningsgrunner (første ledd bokstav b, c eller d og annet ledd) «når allmenne hensyn gjør det nødvendig å inngå kontrakten med leverandøren». Femte ledd presiserer at avvisning kan bygge på handlinger eller unnlatelser foretatt både før og under konkurransen.

Avvisningsplikten er imperativ

For kvalifikasjonskrav er avvisningsplikten absolutt: oppdragsgiver skal avvise en leverandør som ikke oppfyller kravene. Det følger av ordlyden i § 24-2 første ledd bokstav a at det ikke er rom for en skjønnsmessig helhetsvurdering av om avvisning likevel bør unnlates. Denne plikten er bekreftet i en lang rekke avgjørelser, og gjelder uavhengig av om det bare er én leverandør igjen i konkurransen. Det eneste unntaket er der allmenne hensyn gjør det nødvendig å inngå kontrakten likevel, jf. fjerde ledd – men dette er et svært snevert unntak.

Konsekvensen for oppdragsgiver er at kvalifikasjonskravene ikke bare styrer hvem som kan delta i konkurransen – de binder oppdragsgiver til å avvise en leverandør som ikke oppfyller dem, uansett hvor god leverandøren ellers måtte fremstå. Et sikkerhetsrelatert kvalifikasjonskrav som er stilt for strengt, kan dermed tvinge oppdragsgiver til å avvise alle tilbydere og avlyse konkurransen, med de forsinkelser og kostnader det medfører.

Forsvarsbygg-saken fra Oslo tingrett i sak 24-020788TVI-TOSL illustrerer dette prinsippet med all tydelighet. Selv i en forsvarskritisk kaientreprise knyttet til mottak av nye ubåter fastslo retten at oppdragsgiver hadde plikt til å avvise en leverandør som ikke dokumenterte erfaring med alle de kompetanseområdene kvalifikasjonskravet krevde – uavhengig av beredskapshensyn og tidspress. [tingretten 24-020788TVI-TOSL]

Skillet mellom kvalifikasjonskrav og kontraktsvilkår: betydningen for avvisning

Et helt sentralt spørsmål for sikkerhetsanskaffelser er om et bestemt krav utgjør et kvalifikasjonskrav – med avvisningsplikt dersom det ikke er oppfylt ved tilbudsfristens utløp – eller et kontraktsvilkår som først skal oppfylles ved kontraktsoppstart.

KOFA behandlet denne sondringen i sak 2021/424 (Sykehusinnkjøp HF), som gjaldt en åpen anbudskonkurranse for rammeavtale om håndverkertjenester til Universitetssykehuset Nord-Norge HF. For de større delkontraktene fremgikk det av kontraktsdokumentet punkt 10.2 at leverandøren skulle være tilknyttet en lærlingeordning. For de mindre delkontraktene var tilknytning til lærlingeordning et tildelingskriterium. Etter tilbudsfristen avviste innklagede en leverandør fordi denne ikke var tilknyttet lærlingeordning, men omgjorde senere avvisningen. Etter klage avlyste Sykehusinnkjøp konkurransen med begrunnelse om «rettslig usikkerhet» knyttet til oppfyllelsestidspunktet for lærlingkravet. [KOFA 2021/424]

Klagenemnda konstaterte at tilknytning til lærlingeordning ikke var inntatt blant de opplistede kvalifikasjonskravene og heller ikke var tilknyttet noe dokumentasjonskrav. Kravet fremgikk utelukkende av kontraktsdokumentet. Nemnda fant at plasseringen i kontrakten var i tråd med lærlingforskriften § 6, som bestemmer at oppdragsgiver skal stille kravet «i sine kontrakter». For en rimelig opplyst og normalt påpasselig leverandør måtte det ha fremstått tilstrekkelig klart at kravet var et kontraktsvilkår med oppfyllelse ved kontraktsoppstart – ikke et kvalifikasjonskrav. [KOFA 2021/424]

Fordi det ikke forelå noen feil eller uklarhet i konkurransegrunnlaget, var heller ikke vilkårene for avlysningsplikt oppfylt. Innklagedes påberopte «rettslige usikkerhet» sprang ut av innklagedes egen feiltolkning av et klart grunnlag. Avlysningen var dermed i strid med FOA § 25-4. [KOFA 2021/424]

KOFA behandlet den tilsvarende problemstillingen i sak 2024/1762 (Åsnes kommune), som gjaldt en åpen anbudskonkurranse for utskifting av vinduer og dører ved en ungdomsskole. Kontrakten inneholdt et krav om tilknytning til lærlingordning, med dokumentasjon «ved oppstart» av kontraktsarbeidet. Klager anførte at valgte leverandør burde vært avvist fordi selskapet ikke var tilknyttet lærlingordning ved tilbudsinngivelsen. [KOFA 2024/1762]

Nemnda gjentok at krav med dokumentasjonsplikt «ved oppstart» – som ikke er inntatt blant kvalifikasjonskravene – er kontraktsvilkår. Inngivelse av tilbud er å forstå som en forpliktelse til å oppfylle kravet innen kontraktsarbeidets oppstart. Valgte leverandørs tilbud inneholdt dermed ingen avvik, og det forelå verken rett eller plikt til avvisning. [KOFA 2024/1762]

Disse to sakene tydeliggjør den rettslige konsekvensen av plasseringen. Krav som utelukkende fremgår av kontraktsdokumentet, og som ikke er inntatt blant de opplistede kvalifikasjons- og dokumentasjonskravene, vil normalt tolkes som kontraktskrav med oppfyllelse fra kontraktsoppstart – ikke som avvisningsgrunnlag på tilbudstidspunktet. For sikkerhetsrelaterte krav betyr dette at oppdragsgiver som ønsker at et bestemt sikkerhetskrav skal kunne brukes som avvisningsgrunnlag under konkurransen, uttrykkelig må plassere det blant kvalifikasjonskravene i kunngjøringen med tilhørende dokumentasjonskrav. Et sikkerhetskrav som bare er nevnt i kontraktsdokumentet, kan ikke i etterkant «oppgraderes» til et kvalifikasjonskrav uten at dette fremgår av konkurransedokumentene.

I forlengelsen av dette bekreftet nemnda i KOFA-sak 2024/1762 (Åsnes kommune) et annet viktig poeng: oppdragsgiver kan heller ikke vektlegge miljøsertifisering og miljøledelsestiltak under tildelingskriteriene dersom dette ikke er angitt i konkurransegrunnlaget. Evalueringsparametre som hører til kvalifikasjonsfasen, kan ikke smugles inn i tilbudsevalueringen. [KOFA 2024/1762]

Selvrensing (self-cleaning) og forholdsmessighet

Et sentralt spørsmål er om oppdragsgiver kan avvise automatisk, uten en konkret vurdering av om leverandøren har tatt avbøtende grep.

Oslo tingrett behandlet i sak 25-104941TVI-TOSL (Ruter/Unibuss) spørsmålet om Ruter lovlig kunne avvise Unibuss fra en konkurranse om drift av to bussområder i Bærum, etter at Unibuss under rekonstruksjon hadde sagt opp de tidligere Bærumskontraktene med hjemmel i dekningsloven § 7-6, jf. rekonstruksjonsloven § 62. Ruter avviste Unibuss med hjemmel i forsyningsforskriften § 20-2 tredje ledd bokstav f, som tilsvarer FOA § 24-2 tredje ledd bokstav f. [tingretten 25-104941TVI-TOSL]

Retten fant at oppsigelsen av kontraktene under rekonstruksjon måtte likestilles med et vesentlig kontraktsbrudd i forskriftens forstand. Oppsigelsen var lovlig etter dekningsloven, men den var samtidig en endelig bekreftelse på manglende evne til å oppfylle kontraktene i en lang gjenværende periode. Kravet om at bruddet måtte ha ført til heving, erstatning eller lignende sanksjon, var oppfylt fordi oppsigelsen ga Ruter et betydelig erstatningskrav. Så langt var vilkårene for avvisning formelt til stede. [tingretten 25-104941TVI-TOSL]

Men retten lot ikke saken stanse der. Det avgjørende ble vurderingen av avbøtende tiltak etter forsyningsforskriften § 20-5, som tilsvarer FOA § 24-5. Retten la til grunn at Unibuss hadde betalt den avtalte dividenden i rekonstruksjonsavtalen, og at Ruter ikke lenger hadde krav mot Unibuss knyttet til Bærumskontraktene. Videre hadde Unibuss dokumentert en rekke tiltak: utskifting av ledelsen, styrket økonomi, ekstern evaluering og forbedret virksomhetsstyring og anbudsprosess. [tingretten 25-104941TVI-TOSL]

Retten mente at Ruter bygget avvisningen på en uriktig forståelse av § 20-5 ved å anse avbøtende tiltak som irrelevante i en dekningskjøpssituasjon og ved i praksis å oppstille en avvisningsadgang nærmest uavhengig av hvilke tiltak som var gjennomført. Avvisningsbeslutningen var truffet i strid med regelverket. [tingretten 25-104941TVI-TOSL]

For sikkerhetsanskaffelser betyr dette at oppdragsgiver som ønsker å avvise en leverandør av grunner knyttet til tidligere mislighold, må gjøre en individuell forholdsmessighetsvurdering. En ferdig policy om at bestemte leverandører alltid skal avvises, vil ikke holde. Spørsmålet om self-cleaning-mekanismen også gjelder ved rent sikkerhetsbegrunnede avvisningsgrunner – som tilknytning til trusselaktører – er ikke avklart i det foreliggende rettskildematerialet, og bør behandles som et åpent spørsmål.

Ruter-saken viser også at avtaleklausuler om fremtidig deltakelse i konkurranser må tolkes etter sin ordlyd. Rekonstruksjonsavtalens punkt om at Unibuss ikke skulle delta i «nød-/hasteanskaffelsesprosesser» gjaldt etter rettens syn bare hasteanskaffelser, ikke en ordinær konkurranse med forhandling etter forutgående kunngjøring. Oppdragsgivere som ønsker å begrense en leverandørs deltakelsesadgang i fremtidige konkurranser gjennom avtalevilkår, må formulere slike klausuler presist.

Identifikasjon mellom leverandør og fysiske personer

Ved avvisning på grunnlag av straffedom mot en fysisk person, som en daglig leder eller styreleder, har domstolene krevd en konkret identifikasjonsvurdering. Det er ikke tilstrekkelig at en dømt person tidligere har hatt en sentral posisjon i selskapet, dersom vedkommende ikke lenger har reell representasjons-, beslutnings- eller kontrollmyndighet. [LH-2015-83824] Identifikasjonen mellom person og foretak må være reell og aktuell, ikke historisk.

Prinsippet har direkte overføringsverdi til sikkerhetssaker der oppdragsgiver overveier avvisning på grunn av enkeltpersoners tilknytning til leverandøren. At en person med en sikkerhetsmessig betenkelig bakgrunn en gang har vært involvert i foretaket, er ikke i seg selv tilstrekkelig dersom vedkommende ikke lenger har reell innflytelse.

Begrunnelse og etterprøvbarhet

Oppdragsgiver er bundet av den begrunnelsen som ble gitt ved avvisningsbeslutningen. KOFA uttalte i sak 2020/730 at det er brudd på etterprøvbarhetskravet å endre rettslig grunnlag for avvisning etter at beslutningen er meddelt. [KOFA 2020/727] Oppdragsgiver som avviser av sikkerhetsgrunner, må derfor sørge for at begrunnelsen er korrekt og tilstrekkelig presis allerede ved meddelelsen – det er ikke adgang til å skifte rettslig grunnlag fra for eksempel evalueringssvikt til kvalifikasjonssvikt i etterkant.

Undersøkelsesplikt og egenerklæringer

Et praktisk viktig spørsmål er i hvilken utstrekning oppdragsgiver kan bygge på leverandørens egne opplysninger uten selvstendig prøving. Hovedregelen er at oppdragsgiver kan legge leverandørens opplysninger og dokumentasjon til grunn, men at en plikt til nærmere undersøkelser oppstår når det foreligger konkrete holdepunkter for tvil. Rettspraksis indikerer at denne undersøkelsesplikten er begrenset, men at den skjerpes når oppdragsgiver har positiv kunnskap om forhold som kan tilsi at opplysningene er uriktige.

For sikkerhetsrelaterte avvisningsgrunner er dette en viktig grensesone: i hvilken utstrekning oppdragsgiver aktivt må kontrollere leverandørens sikkerhetsstatus utover det som fremgår av egenerklæringer og innlevert dokumentasjon, er bare delvis avklart. Praksis gjelder alminnelig kvalifikasjonskontroll, og det er ikke uttrykkelig behandlet hvordan plikten stiller seg ved sikkerhetsrelaterte forhold.

Allmenne hensyn som hindrer avvisning

Fjerde ledd i § 24-2 åpner for at oppdragsgiver kan unnlate å avvise en leverandør etter første ledd bokstav b, c eller d eller annet ledd «når allmenne hensyn gjør det nødvendig å inngå kontrakten med leverandøren». Bestemmelsen gir dermed en snever sikkerhetsventil for tilfeller der samfunnsmessige hensyn veier tyngre enn avvisningsplikten – for eksempel der det bare finnes én leverandør som kan ivareta kritiske beredskapsfunksjoner. Det er viktig å merke seg at bestemmelsen bare gjelder enkelte av de obligatoriske avvisningsgrunnene, ikke alle, og at unntaket krever at det er nødvendig å inngå kontrakt med den aktuelle leverandøren – ikke bare ønskelig eller hensiktsmessig.

Faglig veiledning: risikoindikatorer som avvisningsgrunnlag – advarsel

NIST anbefaler at vurderingen av leverandøren bør omfatte ikke-eksklusive risikoindikatorer, herunder tilknytninger til fremmede myndigheter og tegn på utenlandsk kontroll eller innflytelse over drift eller ledelse. FOA § 24-2 gir en uttømmende liste over avvisningsgrunner, og ingen av dem nevner uttrykkelig utenlandsk eierskap eller tilknytning til fremmede stater som selvstendig avvisningsgrunn. Skal slike forhold brukes, må de trolig forankres i den fakultative bestemmelsen om alvorlige feil som skaper tvil om yrkesmessig integritet, jf. tredje ledd bokstav i – men rekkevidden av denne koblingen er ikke avklart. Boken advarer derfor mot å bruke slike indikatorer direkte som avvisningsgrunnlag under FOA uten særskilt hjemmel.

6.5 Avvisning knyttet til underleverandører og leverandørkjeden: FOA § 19-2

Ordlyden i FOA § 19-2

FOA § 19-2 regulerer oppdragsgivers adgang til å stille krav knyttet til bruk av underleverandører. Bestemmelsen er sammensatt av flere elementer som til sammen gir en fleksibel, men avgrenset verktøykasse.

Første ledd gir adgang til å kreve at leverandøren «angir i tilbudet hvilke deler av kontrakten han planlegger at underleverandører skal utføre, og hvilke underleverandører han planlegger å bruke». Samtidig presiserer bestemmelsen at «bruk av underleverandører har ikke betydning for leverandørens kontraktsansvar overfor oppdragsgiveren». Dette er en viktig avgrensning: selv om oppdragsgiver kan kreve innsyn i underleverandørkjeden, forblir det leverandøren selv som bærer det kontraktsrettslige ansvaret.

Annet ledd åpner for at oppdragsgiver ved anskaffelser av varer som inkluderer monterings- og installasjonsarbeid, tjenester og bygge- og anleggsarbeider «kan stille krav om at bestemte kritiske oppgaver skal utføres av leverandøren selv». Bestemmelsen gir oppdragsgiver en direkte hjemmel for å begrense underleverandørbruk for kritiske deler av oppdraget, noe som kan være svært relevant i sikkerhetsanskaffelser der det er avgjørende hvem som faktisk utfører de mest sensitive delene av kontrakten.

Tredje ledd gir hjemmel for å kreve kontaktopplysninger, signaturretter for underleverandørene og varsling om endringer i kontraktsperioden. Fjerde ledd pålegger oppdragsgiver å kreve slike opplysninger obligatorisk ved tjenester som leveres under oppdragsgiverens direkte tilsyn og ved bygge- og anleggsarbeider, for underleverandører som har kontrakt direkte med leverandøren og som skal delta i utførelsen.

FOA § 16-8: krav til leverandørens organisering

FOA § 16-8 supplerer bildet. Første ledd forbyr oppdragsgiver å avvise en leverandør bare fordi leverandøren er en annen type juridisk person enn det norsk lovgivning krever, dersom leverandøren har rett til å levere ytelsene etter lovgivningen i sin egen etableringsstat. Annet ledd gir oppdragsgiver adgang til å kreve at en leverandør som er juridisk person, oppgir navn og faglige kvalifikasjoner til personene som skal være ansvarlige for å utføre kontrakten. Denne siste bestemmelsen er praktisk viktig i sikkerhetsanskaffelser der det har betydning hvem som konkret skal gjennomføre de sensitive delene av oppdraget.

Kapasitetsstøtte fra underleverandører: dokumentert rådighet

Praksis viser at en leverandør kan støtte seg på andre foretaks kapasitet for å oppfylle kvalifikasjonskrav, men at rådigheten over ressursene må dokumenteres konkret. Forpliktelseserklæringer som ikke identifiserer konkrete ressurser, eller som bare gjentar generelle opplysninger om underleverandørens totale kapasitet, er ikke tilstrekkelig. [KOFA 2020/254] [KOFA 2009/242]

Forpliktelseserklæringer kreves bare når leverandøren faktisk støtter seg på andre foretak for å oppfylle kvalifikasjonskravene – ikke når underleverandører bare brukes til å styrke tilbudets kvalitet i kontraktsgjennomføringen. Denne sondringen er viktig: en underleverandør som bidrar med en spesialressurs som er nødvendig for å oppfylle et kvalifikasjonskrav, utløser krav om dokumentert rådighet, mens en underleverandør som utfører rutineoppgaver uten tilknytning til kvalifikasjonskravene, normalt ikke gjør det.

Underleverandør som støtter kvalifikasjonskrav: begrenset kontrollplikt

KOFA behandlet i sak 2024/1757 (Innlandet fylkeskommune) spørsmålet om kontrollpliktens omfang der en leverandør støtter seg på en underleverandørs kapasitet for å oppfylle kvalifikasjonskrav. Saken gjaldt en åpen anbudskonkurranse for drifts- og vedlikeholdsarbeid på 530 kilometer vei i Sør-Gudbrandsdalen, med tildelingskriteriet laveste pris. Kvalifikasjonskravene var delt i to separate krav: «Relevant erfaring» fra drift og vedlikehold av veier, vinterdrift og arbeidsvarsling, og «Byggherrers erfaring». Kontrakt ble tildelt Gjerdalen Entreprenør AS, som alene ikke oppfylte kravet til relevant erfaring, men som støttet seg på underleverandøren Kjetil Walle AS for dette kravet. [KOFA 2024/1757]

Klager anførte at underleverandøren måtte oppfylle samtlige kvalifikasjonskrav – altså også kravet om «Byggherrers erfaring». Nemnda avviste dette. Med utgangspunkt i HR-2022-1964-A (Flage Maskin) og EU-domstolens avgjørelse i sak C-27/15 (Pippo Pizzo) la nemnda til grunn at en naturlig forståelse av «de relevante kvalifikasjonskravene» i FOA § 16-10 tredje ledd innebærer at underleverandøren bare må oppfylle det konkrete kvalifikasjonskravet som underleverandøren skal bidra til å oppfylle – ikke samtlige kvalifikasjonskrav oppdragsgiveren har stilt. [KOFA 2024/1757]

Nemnda vurderte deretter om underleverandørens erfaring med vinterdrift var tilstrekkelig. Formuleringen «tilstrekkelig erfaring av relevant art og vanskelighetsgrad» la opp til en skjønnsmessig vurdering med en lavere terskel enn «tilsvarende» eller «sammenlignbar». Underleverandøren hadde vist til referanseprosjekter som dokumenterte erfaring med beredskap og styring av vinterdrift på riks- og fylkesvei, herunder brøyting i tettbygde strøk. Nemnda fant at innklagede ikke hadde gått utenfor sitt skjønn. [KOFA 2024/1757]

Avgjørelsen klargjør at kontrollplikten er avgrenset til det aktuelle kvalifikasjonskravet: en underleverandør som støtter leverandøren for å oppfylle krav til relevant erfaring, trenger ikke også dokumentere oppfyllelse av krav til for eksempel byggherrers erfaring eller økonomisk kapasitet.

Forsøk på å låne sertifisering i forsvarsanskaffelse

Borgarting lagmannsrett behandlet i sak LB-2018-152914 et tilfelle der Blue Aerospace AS forsøkte å oppfylle et kvalifikasjonskrav om eget kvalitetsstyringssystem etter ISO 9001 ved å vise til en underleverandørs sertifisering. Retten fastslo at ordlyden klart krevde at det var «The Candidate» selv som måtte ha systemet, og at en tilsvarende regel om å støtte seg på andre foretaks kapasitet ikke var inntatt for kvalitetssikringsstandarder slik den var for økonomisk og teknisk kapasitet. Retten la også vekt på formålet: i forsvarsanskaffelser er det sentralt at oppdragsgiver kan ha tillit til at kontraktspartneren selv har styring med kvaliteten, og at systemet er tilpasset den konkrete organisasjonen. [LB-2018-152914]

Blue Aerospace AS fikk ikke medhold. Avgjørelsen viser at når konkurransegrunnlaget klart krever at kandidaten selv har et bestemt system, kan ikke kravet oppfylles ved å «låne» en annen enhets sertifisering. Morselskapets generelle policy eller konsernets kvalifikasjoner er heller ikke tilstrekkelig. [LB-2018-152914]

Prinsippet er særlig relevant for sikkerhetskrav: mange sikkerhetsrelaterte kvalifikasjonskrav – som sikkerhetsstyringssystem, sikkerhetsavtale eller klarering – er etter sin art personlige for den enheten som skal utføre oppdraget, og lar seg vanskelig overføre fra en underleverandør.

Generell negativ vekting av underleverandørbruk er ulovlig

Det følger av praksis at underleverandørbruk ikke kan gis generell negativ vekt i evalueringen uten konkret og dokumenterbar betydning. [KOFA 2003/289] [KOFA 2007/94] [KOFA 2024/1256] En slik vekting må være eksplisitt varslet i konkurransegrunnlaget dersom den skal påvirke evalueringen. Denne begrensningen gjelder også i sikkerhetsanskaffelser: oppdragsgiver kan stille konkrete krav til hvem som utfører kritiske oppgaver (jf. § 19-2 annet ledd), men kan ikke generelt trekke ned for at leverandøren bruker underleverandører.

Manglende bransjegodkjenning som vesentlig avvik – underleverandøravtale reparerer ikke

KOFA behandlet i sak 2009/33 (Meland kommune) spørsmålet om manglende FG-godkjenning – en bransjegodkjenning fra Forsikringsselskapenes Godkjennelsesnevnd for sprinklerentreprenører – utgjorde et vesentlig avvik fra kravspesifikasjonen. Saken gjaldt prosjektering og utførelse av nytt mellombygg på Meland Rådhus. Den tekniske beskrivelsen stilte krav om FG-godkjenning, men kravet var plassert i den tekniske beskrivelsen, ikke blant kvalifikasjonskravene. Valgte leverandør manglet FG-godkjenning ved tilbudsfristen, men inngikk etter tildelingsprosessen en e-postbasert avtale med en underleverandør som hadde godkjenningen. [KOFA 2009/33]

Nemnda klassifiserte kravet som del av kravspesifikasjonene, ikke som et kvalifikasjonskrav. Avvisningshjemmelen var dermed FOA 2006 § 11-11 (1) bokstav e (nå FOA § 24-3 om avvisning av tilbud med vesentlige avvik – forskriften er senere endret, men prinsippet gjelder fortsatt). Nemnda vektla at kravet var absolutt, at manglende FG-godkjenning ikke kunne utelukkes å ha påvirket prisen i tilbudet, og at kravet var svært viktig som kvalitetssikring av sprinkleranlegg med tanke på forsikringsdekning og brannsikkerhet. Den etterfølgende avtalen med underleverandøren kunne ikke reparere avviket etter tilbudsfristen. Avviket ble ansett som vesentlig, og innklagedes unnlatelse av å avvise utgjorde brudd. [KOFA 2009/33]

Saken illustrerer det viktige skillet mellom kvalifikasjonskrav og krav i kravspesifikasjonene: plasseringen i dokumentet avgjør rettslig kategori og avvisningshjemmel. Den viser også at en tilbyder ikke kan rette opp manglende bransje- eller faglig godkjenning etter tilbudsfristen ved å inngå avtale med en underleverandør som besitter godkjenningen. For sikkerhetsanskaffelser er dette særlig relevant der bransjegodkjenninger eller sikkerhetssertifiseringer utgjør absolutte krav i kravspesifikasjonen – slike krav kan ikke oppfylles i etterkant.

6.6 Kontroll med underleverandører: krav til innsyn, godkjenning og bytte

Ordlyden i FOA § 24-4

FOA § 24-4 gir oppdragsgiver en rekke virkemidler for å følge opp underleverandørkjeden gjennom konkurransen og inn i kontraktsperioden. Strukturen følger sondringen mellom obligatoriske og fakultative avvisningsgrunner i § 24-2.

Første ledd: Dersom oppdragsgiver i løpet av konkurransen blir kjent med at en underleverandør er i en situasjon som nevnt i § 24-2 første ledd bokstav b til d eller annet ledd (altså de alvorlige obligatoriske avvisningsgrunnene), skal han kreve at leverandøren skifter ut underleverandøren.

Annet ledd: Dersom oppdragsgiver blir kjent med at en underleverandør rammes av en fakultativ avvisningsgrunn etter § 24-2 tredje ledd, kan han kreve utskiftning.

Tredje ledd utvider reglene til underleverandører som engasjeres etter kontraktsinngåelse – forutsatt at oppdragsgiver har krevd dokumentasjon for slike forhold etter fjerde ledd. For underleverandører som engasjeres etter kontraktsinngåelse kan oppdragsgiver kreve attester eller annen dokumentasjon i stedet for egenerklæringer.

Fjerde ledd gir hjemmel for å kreve at leverandøren fremlegger dokumentasjon for å kontrollere om en underleverandør befinner seg i en avvisningssituasjon. Femte ledd viser til den særskilte regelen i § 16-10 tredje ledd når underleverandørens kapasitet brukes til å oppfylle kvalifikasjonskrav.

Utskiftning som kontraktsendring – en grensesone

Et sentralt spørsmål er om utskiftning av en underleverandør etter kontraktsinngåelse utgjør en vesentlig endring som krever ny konkurranse. KOFA behandlet spørsmålet i sak 2018/550 (Lunner kommune) og la til grunn at utskiftning av underleverandør som utgangspunkt ikke er en vesentlig endring av kontrakten, med mindre den bestemte underleverandøren var et avgjørende element for kontraktsinngåelsen. [KOFA 2018/550]

Denne saken gjaldt ikke en sikkerhetsbegrunnet utskiftning. Spørsmålet om hvor grensen går i sikkerhets- og beredskapskritiske kontrakter – der en bestemt underleverandørs sikkerhetsgodkjenning kan ha vært helt avgjørende for tildelingen – er ikke avklart i de rettskildene som foreligger. Det bør anses som et åpent spørsmål, ikke besvares med en antatt løsning. Tilsvarende er det uavklart om utskiftning av underleverandør etter FOA § 24-4 kan kreves av rent sikkerhetsmessige grunner, og hva beviskravet i tilfelle er.

Avvisning av underleverandør i forsvarsdirektivets system

EU-kommisjonens forsvarsdirektiv angir at avvisning av underleverandør bare kan bygge på kriterier som er brukt for å velge tilbudsgiverne til hovedkontrakten, og at det skal gis skriftlig begrunnelse som angir årsaken til at underleverandøren ikke oppfylte vilkårene. Denne begrensningen innebærer at oppdragsgiver ikke kan stille strengere krav til underleverandører enn til hovedleverandøren, med mindre det følger av kunngjøringen.

Faglig veiledning: videreføring av sikkerhetskrav i leverandørkjeden («flow-down»)

Et gjennomgående faglig råd er at sikkerhetskrav bør videreføres fra hovedleverandør til underleverandører – det såkalte «flow-down»-prinsippet. NIST anbefaler gjennomgående at virksomheter bør kreve at hovedleverandører implementerer sikkerhetskontroller og viderefører kravet til relevante underleverandører. ENISA anbefaler tilsvarende at sikkerhetskrav videreføres nedover i leverandørkjeden.

Rådet er i utgangspunktet fornuftig og kan følges, men det må formuleres som konkrete kontraktsvilkår eller kvalifikasjonskrav i konkurransegrunnlaget, og det må ikke gå lenger enn det som er saklig og forholdsmessig. En for vidtgående flow-down – for eksempel et krav om at enhver underleverandør i enhver del av kjeden skal oppfylle akkurat de samme, tunge sikkerhetskravene som hovedleverandøren, uavhengig av hvilken rolle underleverandøren har – kan bli uforholdsmessig konkurransebegrensende. EU-kommisjonens forsvarsdirektiv peker da også på at slike krav ikke bør hindre konkurransen i leverandørkjeden mer enn nødvendig, og at underleverandører skal behandles i samsvar med prinsippene om åpenhet og ikke-diskriminering.

Krav til varsling om endringer

FOA § 19-2 tredje ledd gir hjemmel for å kreve at leverandøren varsler om endringer av underleverandører under kontraktsgjennomføringen. NSM stiller ved leverandørklarering tilleggskrav om at det varsles om endringer i styre, ledelse, eierstruktur, lokaliteter, gjeldsforhandlinger, begjæring om konkurs og andre relevante forhold. Slike krav om varsling bør inntas eksplisitt i kontrakten, og de har en klar sikkerhetsfunksjon: de gir oppdragsgiver mulighet til å reagere dersom en endring i leverandørkjeden endrer risikobildet underveis i kontraktsperioden.

Diversifisering som risikoreduksjon

OECD anbefaler å bruke flere leverandører for samme type varer eller tjenester for å redusere risiko og øke robusthet i forsyningskjedene. NIST anbefaler tilsvarende at det planlegges for alternative leverandører av systemkomponenter, systemer og tjenester, og for alternative leveringsruter. Disse anbefalingene er innkjøpsstrategiske og reiser ikke de samme rettslige spørsmålene som kvalifikasjonskravene – de kan følges innenfor rammene av den konkurranse- og kontraktssplittingen som anskaffelsesregelverket ellers åpner for.

6.7 Eierskaps- og kontrollvurderinger: tilknytning til tredjestater og sikkerhetstruende aktører

Et rettslig uavklart grenseland

Dette er kapittelets mest rettslig usikre grensesone. Trusselbildet som er beskrevet av NSM og PST, gjør spørsmålet om leverandørers eierskap, kontroll og tilknytning til fremmede stater stadig mer praktisk viktig. Men det rettskildematerialet som foreligger for gjeldende FOA, gir ingen klar veiledning om hvordan oppdragsgiver rettslig kan håndtere slike vurderinger innenfor det ordinære anskaffelsesregelverket.

FOA §§ 16-1 til 16-6 gir ikke noen selvstendig hjemmel for å stille krav om at leverandøren ikke skal ha bestemt utenlandsk eierskap eller tilknytning. FOA § 24-2 gir heller ingen uttrykkelig avvisningsgrunn knyttet til eierskap eller statstilknytning.

Dersom slike forhold skal tillegges vekt, er det tre mulige veier, som alle har usikkerhet knyttet til seg:

For det første kan det tenkes at den fakultative avvisningsgrunnen om alvorlige feil som skaper tvil om leverandørens yrkesmessige integritet (§ 24-2 tredje ledd bokstav i) kan favne tilfeller der eierskapsforhold gir konkret grunn til tvil om leverandørens integritet. Rekkevidden av denne bestemmelsen i en slik sammenheng er imidlertid ikke prøvd i norsk praksis.

For det andre kan det tenkes at et konkret og saklig kvalifikasjonskrav til teknisk og faglig kapasitet etter § 16-5, forholdsmessig utformet, indirekte fanger opp eierskapsrelaterte risikoer – for eksempel gjennom krav om at leverandøren har etablert sikkerhetsstyringssystem som omfatter kontroll med tilgang til sensitiv informasjon.

For det tredje kan eierskaps- og kontrollvurderinger skje gjennom sikkerhetslovgivningens eget klareringsregime – som ligger utenfor det anskaffelsesrettslige regelverket som er behandlet her.

Denne boken kan ikke gi et fasitsvar på hvilken av disse veiene som er den rettslig korrekte, fordi rettskildene ikke avklarer spørsmålet.

Leverandørklarering etter sikkerhetsloven

NSM beskriver i sin veileder en praktisk fremgangsmåte for leverandørklarering: oppdragsgiver fremsender en forespørsel til NSM med navn på leverandøren og landet leverandøren er lokalisert i, sammen med opplysninger om det høyeste graderings- eller klassifiseringsnivået i anskaffelsen, leverandørens samtykke til at NSM gjennomfører kontroll, og opplysninger fra leverandøren om egen virksomhet. NSM bygger vurderingen på informasjon som belyser leverandørens evne og vilje til forebyggende sikkerhetsarbeid og om det er grunn til å tro at leverandøren kan opptre i strid med nasjonale sikkerhetsinteresser.

Dette er en beskrivelse av en administrativ prosess under sikkerhetsloven, ikke en hjemmel i anskaffelsesforskriften. Prosessen er parallell med, ikke innenfor, det anskaffelsesrettslige kvalifikasjons- og avvisningssystemet. Leseren bør være oppmerksom på at leverandørklarering etter sikkerhetsloven og kvalifikasjonsvurdering etter FOA er to forskjellige spor som begge kan være aktuelle for den samme anskaffelsen – men som følger ulike regler, har ulike klageordninger og innebærer ulike rettigheter for leverandøren.

Sikkerhetslovgivningen fastslår for øvrig at departementet eller sikkerhetsmyndigheten kan innhente uttalelser om et ervervs risikopotensial og erververens sikkerhetsmessige pålitelighet, og skal orientere melderen om ervervet er godkjent innen 60 arbeidsdager. Dette illustrerer at eierskapskontroll av sikkerhetsmessig karakter i norsk rett først og fremst er regulert som et eget spor utenfor anskaffelsesregelverket.

Advarsler mot å bruke eierskapsverifisering som FOA-tiltak

NISTs anbefaling om å verifisere leverandørens eierskap – utenlandsk og innenlandsk – og vurdere om det foreligger utenlandsk eierskap, kontroll eller innflytelse (FOCI), kan ikke presenteres som et ukomplisert lovlig tiltak under FOA. Tilsvarende gjelder anbefalingen om å identifisere leverandørens kritiske underleverandører og distributører for potensielle risikoer knyttet til eierskap. Slike vurderinger krever trolig hjemmel utenfor det anskaffelsesregelverket som er behandlet her, og bør presenteres som et åpent, uavklart spørsmål i norsk rett – ikke som en anbefalt fremgangsmåte under FOA.

PST understreker at norske personer også kan bli utsatt for rekrutteringsforsøk når de oppholder seg i tredjeland. Denne trusselvurderingen illustrerer at risikobildet er bredere enn bare formelle eierstrukturer, men den gir ikke i seg selv noe rettslig grunnlag for kvalifikasjonskrav eller avvisning under anskaffelsesregelverket.

Geografiske og lokasjonsmessige krav

NIST anbefaler at det for kritiske leverandører eller produkter bør adresseres krav eller begrensninger knyttet til leverandørenes lokaliteter, og at disse bør videreføres til relevante underleverandører. Slike geografiske eller lokasjonsmessige krav må være saklig begrunnet og forholdsmessige for å unngå diskriminering. Som vist i punkt 6.3 er geografisk nærhet lovlig som moment i en kapasitetsvurdering ved konkrete hasteoppdrag, men det er ikke lovlig som et generelt lokaliseringskrav. For krav som i realiteten utelukker leverandører etablert i bestemte land, er risikoen for at kravet utgjør diskriminering i strid med EØS-retten særlig stor.

6.8 Dokumentasjons- og etterprøvingskrav: FOA § 16-5 og § 16-6

Ordlyden i FOA § 16-6

FOA § 16-6 gir en uttømmende liste over hvilke dokumentasjonstyper oppdragsgiver kan kreve for tekniske og faglige kvalifikasjoner. Listen i første ledd omfatter:

Fjerde ledd stiller krav om at dokumentasjonskravene skal «stå i forhold til anskaffelsens karakter, omfang, betydning og planlagte bruk».

Femte ledd åpner for at dokumentasjon brukt i kvalifikasjonsvurderingen også kan brukes i evalueringen av tildelingskriteriene «dersom vurderingstemaet er et annet».

Uttømmende oppregning og konsekvenser for sikkerhetskrav

Oppregningen er uttømmende. Dersom oppdragsgiver ønsker dokumentasjon på en form som ikke er nevnt i listen – for eksempel en generell «sikkerhetserklæring» uten forankring i noen av de opplistede kategoriene – mangler dette rettslig grunnlag etter § 16-6. Sikkerhetsrelatert dokumentasjon må derfor innpasses i en av de eksisterende kategoriene, typisk bokstav c (teknisk personell og kvalitetskontroll), bokstav d (tekniske fasiliteter og kvalitetssikringstiltak), bokstav e (styring av leverandørkjeden) eller bokstav f (utdanning og faglige kvalifikasjoner).

Praksis understreker at dokumentasjonsreglene setter materielle grenser for hvilke kvalifikasjonskrav som kan stilles. KOFA uttalte i sak 2020/687 (Alt Heis AS) at dokumentasjonsreglene for kvalifikasjonskrav også begrenser hvilke krav oppdragsgiver lovlig kan stille: det er ikke adgang til å stille et kvalifikasjonskrav som bare kan dokumenteres gjennom en dokumentasjonstype som ikke er opplistet i § 16-6. [KOFA 2020/687]

Sertifiseringskrav og alternativ dokumentasjon

Krav om tredjepartssertifisering – som ISO 9001, ISO 14001 eller ISO 27001 – må åpne for alternativ dokumentasjon dersom leverandøren av gyldige grunner ikke kan skaffe attesten innen fristen. I KOFA-sak 2020/687 (Alt Heis AS) fastslo nemnda at et krav som i realiteten forutsetter tredjepartssertifisering uten å åpne for alternativ dokumentasjon, er ulovlig. [KOFA 2020/687] Tilsvarende la KOFA til grunn i sak 2025/0555 (Arkitektbedriftene i Norge) at et slikt absolutt sertifiseringskrav kan medføre at konkurransen må avlyses. [KOFA 2025/0555]

For sikkerhetsrelaterte sertifiseringskrav, som ISO 27001 for informasjonssikkerhet, innebærer dette at oppdragsgiver enten må akseptere alternativ dokumentasjon for tilsvarende sikkerhetstiltak, eller risikere at kravet er ulovlig. ENISA anbefaler at sertifisering av leverandører ikke bør erstatte den løpende vurderingen av risiko i forsyningskjeden – en anbefaling som kan følges uten forbehold, og som understreker at sertifikater er et startpunkt, ikke en garanti.

EU-kommisjonens forsvarsdirektiv angir at oppdragsgiver bør anerkjenne likeverdige sertifikater fra andre medlemsstater som bevis på overholdelse av sikkerhetskravene, og bør godta annet bevis når leverandøren ikke har mulighet til å skaffe sertifikatene innen fristen. Denne anbefalingen samsvarer med det alminnelige prinsippet om alternativ dokumentasjon i § 16-7.

Dokumentasjonens tidsmessige forhold

Hovedregelen er at kvalifikasjonskrav skal være oppfylt ved tilbudsfristens utløp, og at dokumentasjonen som viser dette, må foreligge innen fristen. Eidsivating lagmannsrett understreket i sak LE-2022-19926 at anskaffelsesregelverket ikke gir noe generelt, klart svar på når kvalifikasjonskrav må være oppfylt, og at spørsmålet må løses gjennom en objektiv tolkning av det konkrete konkurransegrunnlaget. [LE-2022-19926]

Et unntak gjelder når konkurransegrunnlaget klart åpner for at bestemte forhold først skal være oppfylt ved kontraktsoppstart. I slike tilfeller behandles kravet som et kontraktsvilkår, ikke et kvalifikasjonskrav på tilbudstidspunktet. Denne sondringen er avgjørende for sikkerhetskrav som har lang saksbehandlingstid: for eksempel sikkerhetsavtaler eller leverandørklareringer som behandles av NSM. Dersom et slikt krav er plassert blant kvalifikasjonskravene, må det i utgangspunktet være oppfylt ved tilbudsfristen – noe som kan være urealistisk med tanke på normal saksbehandlingstid. Konkurransegrunnlaget kan løse dette ved uttrykkelig å angi at kravet er et kontraktsvilkår som skal oppfylles ved kontraktsoppstart, men dette må fremgå klart.

Som vist i punkt 6.4 bekreftet KOFA i sak 2021/424 (Sykehusinnkjøp HF) at krav som utelukkende fremgår av kontraktsdokumentet med dokumentasjon «ved oppstart», normalt tolkes som kontraktsvilkår. [KOFA 2021/424] Og i KOFA-sak 2024/1762 (Åsnes kommune) gjentok nemnda at inngivelse av tilbud er å forstå som en forpliktelse til å oppfylle slike kontraktsvilkår innen oppstart. [KOFA 2024/1762]

Praksis skjerper dette ytterligere: en pågående sertifiseringsprosess eller sporadiske aktiviteter er ikke tilstrekkelig til å oppfylle et krav om at et system (kvalitetsstyring, miljøledelse, sikkerhetsstyring) skal være etablert ved tilbudsfristen. Det er heller ikke nok at en tillatelse eller godkjenning er «påregnelig» eller «under behandling» dersom konkurransegrunnlaget krever at den foreligger senest ved tildeling.

Ettersending og avklaring: en snever unntaksregel

Adgangen til å ettersende eller be om avklaring av dokumentasjon er snever. Ettersending er bare lovlig når det dreier seg om supplering eller utdyping av opplysninger som allerede er fremlagt – ikke om ny dokumentasjon som fyller et tomrom som forelå ved tilbudsfristens utløp. Dersom en leverandør mangler dokumentasjon på et sikkerhetsrelatert kvalifikasjonskrav ved tilbudsfristen, kan dette ikke repareres ved å ettersende dokumentasjonen etter fristen, selv om forholdet i realiteten forelå da.

KOFA-sak 2024/1757 (Innlandet fylkeskommune) illustrerer at avklaringsadgangen etter FOA § 23-5 første ledd kan benyttes der et tilbud kun inneholder en bekreftelse på oppfyllelse uten nærmere forklaring, forutsatt at avklaringen ikke innebærer reell tilbudsforbedring. I den saken ble det lovlig å ettersende beskrivelse av oppfyllelse av klima- og miljøkrav, ettersom tilbudet allerede bekreftet oppfyllelse. [KOFA 2024/1757]

Det finnes en begrenset avklaringsplikt for oppdragsgiver, men den oppstår typisk bare når uklarheten skyldes konkurransegrunnlaget, ikke leverandørens eget tilbud. Leverandøren bærer risikoen for uklarheter i eget tilbud. Avklaringsadgangen kan ikke brukes til å reparere et tilbud som ikke oppfyller kvalifikasjonskravene, og den kan heller ikke brukes til å avklare bort et vesentlig avvik dersom det i realiteten innebærer forhandling.

Faglig veiledning: leverandørinventar og løpende dokumentasjon

Flere av fagkildenes anbefalinger på dette punktet kan gjengis uten forbehold, fordi de gjelder oppdragsgivers interne styringsarbeid og ikke direkte griper inn i kvalifikasjonssystemet overfor leverandørene.

NSM anbefaler at oppdragsgiver bør ha oversikt over alle sikkerhetsgraderte anskaffelser og hvilke leverandører og underleverandører som benyttes. NIST anbefaler å utvikle og vedlikeholde en leverandørinventarliste som nøyaktig gjenspeiler organisasjonens tier one-leverandører som kan utgjøre en cybersikkerhetsrisiko i forsyningskjeden. For hver leverandør bør inventaret dokumentere unik identifikator for anskaffelsesinstrumentet, beskrivelse av leverte produkter og/eller tjenester, og tildelt kritikalitetsnivå. NIST anbefaler at inventaret gjennomgås og oppdateres med en frekvens virksomheten selv fastsetter.

NSM anbefaler videre at risikovurderinger dokumenteres, og at oppdragsgiver følger opp risikovurderingen ved endringer underveis i anskaffelsen. OECD anbefaler at alle stadier i anskaffelsesprosessen dokumenteres. Disse anbefalingene om dokumentasjon og internkontroll er god forvaltningsskikk som understøtter kravene til etterprøvbarhet som allerede følger av anskaffelsesloven.

Stedlig revisjon og inspeksjon: forbehold

NSM beskriver at kontroll av leverandør kan skje ved innhenting av dokumentasjon, stedlig revisjon eller inspeksjoner, og at leverandøren skal varsles skriftlig om at det skal gjennomføres kontroll. Stedlig revisjon som en selvstendig kontrollform utover de dokumenttypene som er uttømmende angitt i § 16-6, mangler eksplisitt hjemmel i anskaffelsesregelverket. Stedlig revisjon bør derfor bare gjennomføres når det er klart varslet og forankret i konkurransegrunnlaget eller kontrakten, slik at det ikke oppfattes som et ulovlig tilleggskrav. FOA § 16-6 tredje ledd åpner riktignok for at oppdragsgiver ved kompliserte anskaffelser eller anskaffelser til spesielle formål kan kontrollere leverandørens produksjonskapasitet og kvalitetskontrolltiltak – men dette er en avgrenset bestemmelse, ikke en generell hjemmel for stedlig revisjon.

NIST anbefaler at flere teknikker kan brukes for å fastslå om kontrollene er på plass: leverandørens egenvurdering, innkjøpers gjennomgang eller tredjepartsvurderinger. NIST anbefaler at foretak først ser til etablerte tredjepartsvurderinger for å vurdere om de dekker behovene. Disse teknikkene kan brukes som kontraktsvilkår, men ikke som kvalifikasjonskrav med mindre de er forankret i § 16-6.

Krav om tilbakelevering av tilgangslegitimasjon

NIST anbefaler at avtalene bør inneholde krav om at kontraktører og underleverandører umiddelbart skal levere tilbake tilgangslegitimasjon, og at oppdragsgiver bør ha prosesser for raskt tilbakekall av tilgangsautorisasjoner. Dette er et råd som hører hjemme som kontraktsvilkår for gjennomføringsfasen, ikke som kvalifikasjonskrav på tilbudstidspunktet. Å bruke manglende rutiner for tilbakelevering av tilgangslegitimasjon som avvisningsgrunnlag i selve konkurransen ville være i strid med sondringen mellom kvalifikasjonskrav og kontraktsvilkår.

6.9 Praksis fra KOFA og domstolene om leverandørkontroll med sikkerhetsformål

Det overordnede bildet

Når man samler trådene fra dette kapitlet, tegner det seg et konsistent bilde på tvers av rettskildene. Der rettspraksis direkte har behandlet sikkerhets- eller forsvarsrelaterte kvalifikasjonskrav, har domstolene vist stor respekt for oppdragsgivers faglige skjønn – forutsatt at kravet er saklig begrunnet, forholdsmessig utformet og klart formulert. Oslo byfogdembete aksepterte i sak 17-041764TVI-OBYF et OEM-krav som vesentlig begrenset konkurransen, fordi kravet var forankret i luftdyktighetsregelverk og reelle flysikkerhetshensyn. [tingretten 17-041764TVI-OBYF] Oslo tingrett i sak 24-020788TVI-TOSL fastslo avvisningsplikt selv i en forsvarsanskaffelse knyttet til ubåtmottak, fordi referanseprosjektene ikke dokumenterte erfaring fra alle kompetanseområdene kravet krevde. [tingretten 24-020788TVI-TOSL]

Der kravene har vært vage, konkurransebegrensende uten reell nødvendighet, eller manglet forankring i den konkrete leveransens egenart, har utfallet vært brudd – uavhengig av om oppdragsgiver har påberopt seg sikkerhets- eller beredskapshensyn. KOFA-sak 2018/344 (Sykehusinnkjøp HF) underkjente et kapasitetskrav som «tilstrekkelig evne og kapasitet» fordi konkurransegrunnlaget ikke ga holdepunkter for hvor terskelen lå. [KOFA 2018/344] KOFA-sak 2021/609 (Statsforvalteren i Innlandet) konstaterte brudd der erfaringskravet i en beredskapsanskaffelse usaklig snevrde inn referansegrunnlaget til offentlig sektor. [KOFA 2021/609]

Ingen egen lempeligere terskel for sikkerhetskrav

Det er ingen holdepunkter i det foreliggende materialet for at det gjelder en egen, lempeligere terskel for sikkerhetsbegrunnede kvalifikasjonskrav sammenlignet med ordinære kvalifikasjonskrav. Det er den samme forholdsmessighetsvurderingen og det samme kravet til klarhet som gjelder. Men den konkrete begrunnelsen i sikkerhet og beredskap kan i praksis gjøre det lettere å påvise at et ellers konkurransebegrensende krav er nødvendig, slik OEM-saken illustrerer. [tingretten 17-041764TVI-OBYF]

Spørsmålet om domstolene i praksis utøver en lavere prøvingsintensitet ved sikkerhetsbegrunnede kvalifikasjonskrav – altså om oppdragsgiver gis et enda bredere skjønnsrom – er det ikke tilstrekkelig rettspraksis til å besvare sikkert. OEM-sakens uttalelse om at skjønnsrommet er «særlig stort i forsvars- og sikkerhetsanskaffelser» peker i den retningen, men det er bare én avgjørelse, og den gjaldt en konkurranse innenfor forsvarssektoren med et uttrykkelig sektorspesifikt regelverk som begrunnelse.

Sikkerhetsunntaket: streng bevisbyrde

EU-domstolens dom i sak C-601/21 (Kommisjonen mot Polen) viser at selv der kontrakter berører de mest sensitive områdene – identitetsdokumenter, datasystemer, autentisitetsbeskyttelse – er det ikke nok å påberope seg nasjonal sikkerhet for å unnta kontrakter fra anskaffelsesregelverket. Oppdragsgiver må konkret vise at mindre inngripende tiltak innenfor direktivet ikke er tilstrekkelige. [EU-domstolen Case C-601/21] Denne strenge linjen forsterker budskapet om at leverandørkontroll i aller fleste tilfeller skal skje innenfor – ikke utenfor – regelverket.

Avvisning: individuell vurdering – aldri automatikk

For avvisningsreglene viser praksis en klar linje mot automatiske avvisningsmekanismer uten individuell vurdering. Oslo tingrett fastslo i sak 25-104941TVI-TOSL (Ruter/Unibuss) at selv ved et vesentlig kontraktsbrudd – oppsigelse av store busskontrakter under rekonstruksjon – må avvisningen vurderes konkret mot de avbøtende tiltakene leverandøren har gjennomført. Ruter bygget avvisningen på en forståelse av at avbøtende tiltak var irrelevante i en slik dekningskjøpssituasjon, men retten fant dette rettsstridig. [tingretten 25-104941TVI-TOSL]

For sikkerhetsbegrunnet avvisning – der grunnlaget for eksempel er tilknytning til en trusselaktør eller manglende sikkerhetsklarering – gir ikke det foreliggende materialet noe klart svar på hvordan den individuelle vurderingsplikten skal praktiseres. Verken FOA § 24-2 eller rettspraksis som er gjennomgått her, gir en direkte løsning på forholdet mellom den alminnelige selvrensingsdoktrinen og en eventuell sikkerhetsbegrunnet avvisning knyttet til nasjonale sikkerhetsinteresser. Dette må anses som et åpent spørsmål i gjeldende rett.

Underleverandørkjeden: dokumentert rådighet og begrenset kontrollplikt

Et gjennomgående trekk ved kildene er at underleverandørkjeden håndteres forsiktig av regelverket. Adgangen til å støtte seg på andres kapasitet er vid, men rådigheten må dokumenteres konkret. En gang påberopt kapasitet kan ikke skiftes ut fritt etter tilbudsfristen uten risiko for at det utgjør en vesentlig endring av tilbudet. [EU-domstolen Case C-223/16]

Samtidig er selve utskiftningen av en underleverandør etter kontraktsinngåelse i utgangspunktet ikke ansett som en vesentlig kontraktsendring, med mindre underleverandøren var avgjørende for tildelingen. [KOFA 2018/550] Hvor denne grensen går i sikkerhets- og beredskapskritiske kontrakter, er som nevnt ikke avklart.

Kontrollplikten overfor underleverandører er begrenset til det konkrete kvalifikasjonskravet underleverandøren bidrar til å oppfylle, slik nemnda fastslo i KOFA-sak 2024/1757 (Innlandet fylkeskommune). [KOFA 2024/1757] Om kontrollplikten utvides i sikkerhetsgraderte anskaffelser – der sikkerhetslovens krav kan supplere FOAs regler – er et åpent spørsmål.

Borgarting lagmannsretts avgjørelse i sak LB-2018-152914 viser at visse kvalifikasjonskrav – som krav om eget kvalitetsstyringssystem – etter sin art er personlige og ikke lar seg oppfylle gjennom underleverandør. [LB-2018-152914] For sikkerhetskrav som sikkerhetsstyringssystem eller sikkerhetsavtale har dette prinsippet direkte overføringsverdi.

Nyetablerte foretak

Nyetablerte foretak kan kvalifiseres ved å dokumentere gjennomføringsevne gjennom planlagt organisasjon og nøkkelpersoners erfaring, dersom konkurransegrunnlaget åpner for det. [tingretten 15-190102TVI-OBYF] [tingretten 16-063338TVI-OBYF] [16-036768ASK-BORG] Oppdragsgiver bør i sikkerhetsanskaffelser vurdere om konkurransegrunnlaget bør åpne for slik alternativ dokumentasjon, eller om leveransens art tilsier at bare etablerte, dokumentert erfarne leverandører kan komme i betraktning – men i begge tilfeller må valget fremgå av konkurransedokumentene, ikke av en etterfølgende skjønnsvurdering.

Vesentlige avvik fra kravspesifikasjonen

Avvisningsreglene for tilbud med vesentlige avvik fra anskaffelsesdokumentene er også relevante for sikkerhetskrav. KOFA-sak 2009/33 (Meland kommune) viste at manglende oppfyllelse av et absolutt godkjenningskrav i kravspesifikasjonen – her FG-godkjenning for sprinkleranlegg – utgjorde et vesentlig avvik som ikke kunne repareres ved en etterfølgende underleverandøravtale. [KOFA 2009/33] Vesentlighetsvurderingen beror på avvikets størrelse, viktigheten av det forholdet det er avveket fra, og om avviket kan forrykke konkurransen.

6.10 Veiledning fra PST, NSM og DFØ om leverandørvurdering

Løpende risikovurdering og overvåkning

PST og NSM peker begge på at trussel- og risikobildet er dynamisk, og at det bør oppdateres løpende – ikke bare på tidspunktet for kunngjøring. ENISA anbefaler at leverandørrisikoprofilen vurderes fortløpende og kan endres når det kommer ny informasjon, for eksempel fra nasjonale myndigheter, trusselinformasjon eller endringer i leverandørens kontekst. ENISA understreker videre at virksomheter bør integrere forsyningskjedehåndtering i sine risikostyringsprosesser for kontinuerlig å vurdere, håndtere og overvåke risiko som springer ut av forsyningskjeden.

OECD og NIST anbefaler tilsvarende at kontrakten følges opp med kontroll av etterlevelse, revisjon og løpende risikovurdering gjennom hele kontraktsperioden, og at hendelser i leverandørkjeden overvåkes for å kunne revurdere risikoen fortløpende. NIST anbefaler at leverandørkjederisikostyring integreres i eksisterende programmer for kontinuerlig overvåking, og at overvåkingen også utvides til leverandører, utviklere, systemintegratorer og andre relevante parter.

Disse anbefalingene ligger utenfor de strengt rettslige rammene som er behandlet i dette kapitlet, men de utfyller det rettslige bildet. FOA § 24-4 gir hjemmel til å kreve dokumentasjon og utskiftning av underleverandører også etter kontraktsinngåelse, men pålegger ikke i detalj hvordan den løpende kontrollen skal organiseres. Det faglige laget viser hvordan denne kontrollen kan systematiseres i praksis.

NIST anbefaler at retningslinjer og prosedyrer utvikles for forsyningskjederisikoer som kan oppstå under kontraktsgjennomføring, som eierskifte hos leverandør eller ny informasjon om at leverandør eller produkt er mål for en leverandørkjedetrussel. Slike retningslinjer bør ta høyde for at risikobildet kan endre seg etter at kontrakten er inngått.

Beredskap og hendelseshåndtering i leverandørkjeden

NSM anbefaler at øvelser bør inkludere relevante underleverandører, og at avtaler med tredjeparter bør utarbeides slik at de er klare til å yte støtte ved hendelser. NIST peker på at samarbeid med leverandører om koordinert hendelseshåndtering bør inngå i beredskapsplanleggingen, og anbefaler at planlegging gjøres for alternative leverandører og leveringsruter.

NSM anbefaler også at risikoen for målrettet manipulering av IKT-produkter i leverandørkjeden vurderes, med tiltak som diskresjon om kundeinformasjon, kontroll med fysisk produktintegritet og sikker nedlasting av programvare. ENISA anbefaler at krav til patching og oppdateringer inkluderes i leverandørkjedepolicyen og i kontrakter og tilbudsevaluering for nye IKT-tjenester, -systemer eller -produkter. NIST anbefaler at det sørges for at forsyningskjeden, informasjonssystemer og komponenter levert av en ekstern tjenesteleverandør har egnet failover for å redusere eller forhindre tjenesteavbrudd.

Kontrollering av at leverte løsninger faktisk inneholder avtalte sikkerhetskontroller, anbefales av ENISA. NIST peker på at flere teknikker kan brukes for å verifisere dette: leverandørens egenvurdering, innkjøpers gjennomgang eller tredjepartsvurderinger. NIST anbefaler at foretak først ser til etablerte tredjepartsvurderinger for å vurdere om de dekker behovene.

DFØs systematikk

DFØ anbefaler at all utforming av sikkerhets- og beredskapskrav må skje innenfor rammene av de etablerte anskaffelsesrettslige virkemidlene: kvalifikasjonskrav, kravspesifikasjoner, tildelingskriterier og kontraktsvilkår. Dette er den røde tråden i hele dette kapitlet. Sikkerhet og beredskap er legitime og ofte tungtveiende hensyn ved leverandørkontroll, men de må alltid omsettes til de presise, forholdsmessige og klart formulerte virkemidlene som FOA kapittel 16 og 24 stiller til rådighet.

Grensene for gjeldende rett – det som ikke er avklart

Der rettskildene ikke gir svar – særlig for spørsmålet om sikkerhetsklarering som kvalifikasjonskrav, eierskapskontroll under FOA, forholdet mellom FOA og sikkerhetslovens krav til leverandørkjeden, og sikkerhetsbegrunnet avvisning etter § 24-2 – er det bedre å erkjenne usikkerheten enn å innfortolke en løsning regelverket ikke gir grunnlag for.

De viktigste åpne spørsmålene som gjenstår etter gjennomgangen i dette kapitlet, er:

Disse spørsmålene befinner seg i skjæringspunktet mellom anskaffelsesretten og sikkerhetslovgivningen, og avklaring vil trolig kreve enten lovgivningsinitiativ, nye avgjørelser fra KOFA eller domstolene, eller mer detaljert veiledning fra sektormyndighetene.