Utvalget drøftet i første delutredning, hvorvidt sikkerhet og beredskapshensyn burde vært omtalt i formålsbestemmelsen til ny lov. Diskusjonene ble foreløpig satt på vent, slik at utvalget kunne se formålsbestemmelsen i sammenheng med diskusjonene om sikkerhet og beredskap i andre delutredning. Utvalget vil peke på at sikkerhet og beredskap er et tema som har økt aktualitet som følge av den endrede geopolitiske situasjonen internasjonalt. Utvalget mener derfor at et formål ved offentlige anskaffelser er at det skal bidra til å ivareta sikkerhets- og beredskapshensyn. Utvalget vil derfor foreslå at det legges til et strekpunkt i formålsbestemmelsene til alle lovene på anskaffelsesområdet om at loven skal bidra til å ivareta sikkerhets- og beredskapshensyn. I forlengelsen av dette har utvalget også notert seg at Justis- og beredskapsdepartementet (JD) i en høringsuttalelse til departementet har spilt inn at samfunnssikkerhets- og beredskapshensyn bør inkluderes i et nytt kapittel 2 om samfunnshensyn i nye lover. Helt konkret viser JD til at det i «vurderingen av krav til sikkerhet og beredskap bør vurderes om det bør være særskilte krav til vurderingskriterier for enkelte IT-anskaffelser av systemer eller tjenester og at disse bidrar til å sikre tilstrekkelig grad av nasjonal kontroll der det er relevant». Utvalget deler JDs oppfatning om at det for enkelte IT-anskaffelser kan være viktig å sikre tilstrekkelig grad av nasjonal kontroll. Samtidig er utvalget av den oppfatning at kapittel 2, som samler samfunnshensynene i ny lov, først og fremst stiller mer overordnede krav. Etter utvalgets syn vil det innebære en svært detaljert føring å regulere IT-anskaffelser i kapittel 2. Utvalget foreslår likevel at samfunnssikkerhet- og beredskapshensyn overordnet inkluderes i et nytt kapittel 2 om samfunnshensyn i nye lover, hvor det angis at oppdragsgiver skal vurdere om det er relevant å stille krav eller kriterier for ivareta sikkerhet og beredskap i offentlige anskaffelser. Dette vil etter utvalgets syn bidra til bevissthet hos oppdragsgivere til å vurdere i forkant av om det er særlige sikkerhets- og beredskapshensyn som er relevante i en konkret anskaffelse. Utvalget vil anbefale at veilederen om sikkerhet i offentlige anskaffelser oppdateres, og at den bør hensynta både sikkerhets- og beredskapsperspektivet. Videre, når veilederen oppdateres, så er det hensiktsmessig at den også gir en oversikt over eventuelle kategorier av anskaffelser hvor det er særlig aktuelt å hensynta sikkerhet og beredskap. Utvalgsmedlem Breiland vil legge til at det er viktig at slike veiledere rutinemessig oppdateres, og at en veileder med konkrete tiltak som kan benyttes i anskaffelser vil bidra til god beredskap gjennom bruk av fagekspertise. Utvalget har merket seg ny digitalsikkerhetslov, som vil ha betydning for sikkerhet og beredskap i IT-anskaffelser. 85 Formålet med loven er etter lovens § 1 å sikre grunnleggende krav til digital sikkerhet i virksomheter med særlig betydning for samfunnet. I tillegg fremgår det at loven skal legge til rette for å ivareta sikkerhet i IKT-produkter, IKT-prosesser og IKT-tjenester. Loven gjelder for leverandører av sikkerhetskritiske funksjoner og digitale tjenester, og vil gjelde som et tillegg til kravene som følger av sikkerhetsloven. Hvilke sikkerhets- og beredskapshensyn den enkelte oppdragsgiver bør hensynta i en konkret anskaffelse, vil variere over tid. Utvalget vil vise til at det fremlegges oppdaterte kunnskapsgrunnlag om dette fra ulike samfunnsaktører. Det utgis årlig offentlige trussel- og risikovurderinger fra NSM, PST og Etterretningstjenesten. NSMs risikorapport beskriver hvordan trusselaktører kan utnytte sårbarheter hos virksomheter og i samfunnet, og hvilken risiko dette medfører. 86 I rapporten trekkes det frem hvordan sårbarheter bør reduseres. Rapportens mål er å gi virksomheter bedre forutsetninger for å se sikkerhetsarbeidet i en større sammenheng. Rapporten om trusselvurdering fra PST er en analyse av forventet utvikling i trusler innenfor PSTs ansvarsområder i det kommende året. Dette er med på å skape bevissthet rundt de mest alvorlige truslene i Norge, slik at beslutningstakere kan hensynta dette i sitt forebyggende sikkerhetsarbeid. 87 Etterretningstjenesten utgir årlig en rapport kalt «Fokus» som inneholder etterretningstjenestens vurdering av aktuelle sikkerhetsutfordringer. 88 Ved anskaffelser hvor sikkerhetsloven gjelder er oppdragsgiver pålagt å gjennomføre risikovurderinger. For anskaffelser hvor sikkerhetsloven ikke gjelder foreligger det ingen slik plikt. Det kan imidlertid også ved disse anskaffelsene være relevant å foreta en vurdering av mulige trusler og mulige konsekvenser av sikkerhetsbrudd. Forvaltningsorganer er gjennom eForvaltningsforskriften pålagt internkontroll på informasjonssikkerhetsområdet. 89 Det vises til Veileder til ivaretakelse av sikkerhet i offentlige anskaffelser for en nærmere gjennomgang av disse risikovurderingene. 90 Det sentrale er at oppdragsgiver, gjennom å foreta slike vurderinger i planleggingen av en anskaffelse, får kartlagt hvilke sikkerhetsrisikoer anskaffelsen vil inneholde. Når risikoene og relevant regelverk er kartlagt, kan oppdragsgiver vurdere hvilke krav og kriterier som kan og bør oppstilles, innenfor de rammene som utvalget har redegjort for ovenfor. I relasjon til valg av regelverk vil utvalget også peke på at anskaffelsesregelverket har unntak fra anskaffelsesprosedyrene i visse situasjoner, typisk i krisesituasjoner. Artikkel 32 i direktivet åpner for å unnlate kunngjøring i visse tilfeller, blant annet ved uforutsette hendelser. I hastetilfeller er det også adgang til å forkorte tilbudsfristen, på nærmere bestemte vilkår. Innholdet av disse bestemmelsene er redegjort for i første delutredning, kapittel 24.20. EU-kommisjonen utarbeidet veiledning til disse unntakene og bruk av forkortede prosedyrer ved anskaffelser under pandemien. 91 Et poeng utvalget vil trekke frem her, er adgangen til å stille krav i kontrakten for å sikre sikkerhet og beredskap. Som nevnt ovenfor er det adgang til dette når et slikt krav har tilknytning til kontraktsgjenstanden. Samtidig er det, som Forsvars- og sikkerhetsindustriens forening påpeker i sitt innspill til utvalget, viktig at slike kontraktskrav er klare, slik at oppdragsgiver faktisk får den sikkerheten og beredskapen det er behov for. Dette har samtidig en side til den risikovurderingen oppdragsgiver bør utføre i forkant. Utvalget viser også til adgangen til å gjøre endringer i medhold av en endringsklausul i henhold til anskaffelsesdirektivet artikkel 72 nr. 1 bokstav a. I kontrakter hvor det erfaringsmessig kan tenkes å oppstå et senere behov for endringer grunnet sikkerhet og beredskap, bør dette reguleres gjennom en forhåndsfastsatt endringsklausul.
Forarbeid