Loven gjelder for alle statlige, fylkeskommunale og kommunale organer. 63 Den gjelder også for virksomheter som råder over informasjon, informasjonssystemer, objekter eller infrastruktur eller driver aktivitet som har avgjørende betydning for grunnleggende nasjonale funksjoner. Det samme gjelder for virksomheter som behandler sikkerhetsgradert informasjon. I tillegg følger det av sikkerhetsloven § 1-3 at departementet kan fatte vedtak om at visse virksomheter må underlegges sikkerhetsloven. 64 Dette gjelder blant annet for virksomheter som råder over informasjon, informasjonssystemer, objekter eller infrastruktur som har avgjørende betydning for grunnleggende nasjonale funksjoner eller som driver aktivitet som har avgjørende betydning for grunnleggende nasjonale funksjoner. 65 Nasjonale funksjoner er definert i sikkerhetsloven § 1-5 nr. 2 som tjenester, produksjon og andre former for virksomhet som ved helt eller delvis bortfall vil få konsekvenser for statens evne til å ivareta nasjonale sikkerhetsinteresser. Hva som utgjør nasjonale sikkerhetsinteresser er definert i § 1-5 nr. 1 bokstav a til e. 44 grunnleggende nasjonale funksjoner var identifisert per 24. august 2023. 66 Dette er blant annet helseberedskap, trygg vannforsyning, matvareforsyning, satellittbasert overvåkning, romvarslingstjenester, nasjonal kraftforsyning, for å nevne noen. Sikkerhetsloven omfatter som et utgangspunkt ikke offentligrettslige organer, offentlige foretak eller andre virksomheter som utøver forsyningsaktivitet som følge av en særrett eller enerett. Dette innebærer at selv om en oppdragsgiver er omfattet av anskaffelsesreglene så vil den ikke nødvendigvis være omfattet av sikkerhetsloven. Om en slik oppdragsgiver er omfattet beror på om det er fattet vedtak i medhold av sikkerhetsloven § 1-3. Samtidig innebærer angivelse av lovens virkeområde at en oppdragsgiver kan være omfattet av sikkerhetsloven, selv om oppdragsgiveren ikke er omfattet av anskaffelsesreglene. 67 68 Sikkerhetsloven er en dynamisk og fleksibel rammelov, som skal sette myndigheter og virksomheter i stand til å sikre sentrale nasjonale interesser mot et trussel- og risikobilde i stadig endring. 69 70 Lovens formål er å trygge overordnede nasjonale sikkerhetsinteresser, og særlig landets suverenitet, territorielle integritet og demokratiske styreform. 71 Loven søker å forebygge, motvirke og avdekke sikkerhetstruende virksomhet, som tilsiktede handlinger der målet er å ramme nasjonale sikkerhetsinteresser og tilsiktede handlinger som indirekte kan true disse interessene. 72 Sikkerhetstiltak skal gjennomføres med grunnleggende rettsprinsipper og verdier i et demokratisk samfunn. 73 Det nærmere virkeområdet defineres av grunnleggende nasjonale funksjoner. 74 Med dette menes tjenester, produksjon eller andre former for virksomheter som er av en slik betydning at helt eller delvis bortfall vil få konsekvenser for statens evne til å ivareta nasjonale sikkerhetsinteresser, jf. sikkerhetsloven § 1-5 andre ledd. Nasjonal sikkerhetsmyndighet har det sektorovergripende ansvaret med å følge opp at forebyggende sikkerhetsarbeid i virksomhetene skjer i samsvar med loven. 75 Sikkerhetsloven med tilhørende forskrifter stiller krav til hvordan oppdragsgivere og leverandører må ta hensyn til sikkerhet i anskaffelser. 76 Sikkerhetsgraderte anskaffelser er regulert i sikkerhetsloven kapittel 9. Det følger av forarbeidene til sikkerhetsloven at en sikkerhetsgradert anskaffelse i utgangspunktet er omfattet av lov om offentlige anskaffelser og forsvars- og sikkerhetsforskriften. 77 Videre fremholdes at lov og forskrift imidlertid ikke kommer til anvendelse der en anskaffelse er unntatt i medhold av artikkel 123 i EØS-avtalen. 78 79 Om forholdet til EØS-retten har departementet fremholdt i forarbeidene til sikkerhetsgraderte anskaffelser at reglene i loven vedrørende dette ikke vil være i strid med Norges forpliktelser etter EØS-avtalen, ettersom eventuelle begrensninger i konkurransen grunnet hensyn til Norges nasjonale sikkerhet ikke går lenger enn det som er strengt nødvendig. 80 Departementet viser videre til at EØS-avtalen artikkel 123 vil komme til anvendelse ved flere høyt graderte anskaffelser, slik at anskaffelsesreglene ikke kommer til anvendelse i det hele tatt, som redegjort for ovenfor. Det er i § 9-1 nærmere angitt hva som er en sikkerhetsgradert anskaffelse. Her fremgår det at dette er anskaffelser som innebærer at leverandøren av varen eller tjenesten kan få tilgang til eller tilvirker sikkerhetsgradert informasjon eller får tilgang til et skjermingsverdig objekt eller infrastruktur. § 5-3 angir hva som er sikkerhetsgradert informasjon, mens § 7-1 gir regler om skjermingsverdige objekter og infrastruktur. § 9-2 angir at oppdragsgiver må inngå en sikkerhetsavtale med leverandørene før en sikkerhetsgradert anskaffelse iverksettes. Det er sikkerhetsmyndigheten som må godkjenne en leverandør før en sikkerhetsavtale inngås dersom leverandøren eller dens personell er utenlandsk. Videre følger det av bestemmelsen at sikkerhetsavtalen skal tydeliggjøre og konkretisere partenes plikter og ansvar etter loven. § 9-3 gir regler om leverandørerklæring. Det følger av første ledd at før en leverandør får tilgang til informasjon som er gradert som konfidensielt eller høyere, må leverandøren ha en sikkerhetsklarering som svarer til sikkerhetsgraden. Utgangspunktet etter andre ledd er at en leverandørklarering bare skal gis dersom det ikke er noen rimelig grunn til å tvile på at leverandøren er sikkerhetsmessig skikket. Etter § 9-4 er det gitt regler om varslingsplikt og myndighet til å fatte vedtak ved anskaffelser til skjermingsverdig informasjonssystem, objekt og infrastruktur. Videre er det gitt regler om personellklarering i kapittel 8, som må følges ved sikkerhetsgraderte anskaffelser. I anskaffelser der oppdragsgiver skal stille sikkerhetskrav, må oppdragsgiver foreta en vurdering av hvilke sikkerhetsrisikoer som kan oppstå og hvordan anskaffelsen bør legges opp. Sikkerhetsloven stiller krav til risikostyring av anskaffelser som er omfattet av sikkerhetsloven. Det vises til Nasjonal sikkerhetsmyndighets veileder i sikkerhetsstyring for en nærmere redegjørelse av dette. 81 Veilederen om ivaretakelse av sikkerhet i offentlige anskaffelser inneholder ytterligere informasjon om sikkerhetsloven, dens graderingssystem og hvilke krav som skal stilles i hvilke anskaffelser. 82
Forarbeid