FOA — Forum for offentlige anskaffelser

Til kapitteloversikt

NSM-veileder

3.2 Sikkerhetskrav i konkurransegrunnlaget

NSM: Veileder for ivaretakelse av sikkerhet i anskaffelser · 2025-06-26

FOA-vurdering

Sikkerhetskrav og informasjon i konkurransegrunnlaget

Kapitlet sier at konkurransegrunnlaget bør bygge på en risikovurdering og tydeliggjøre hvilke sikkerhetshensyn og krav som gjelder for den konkrete anskaffelsen. For sikkerhetsgraderte anskaffelser bør det også fremgå at det skal inngås sikkerhetsavtale, og at utenlandske leverandører må være godkjent av NSM før avtalen kan inngås. Det praktiske poenget er at oppdragsgiver bør si fra om krav til klarering, autorisasjon og andre sikkerhetstiltak tidlig, fordi ikke alle leverandører kan oppfylle dem. Samtidig bør sikkerhetsgradert informasjon normalt ikke tas inn i konkurransegrunnlaget. Hvis det er usikkert hvilke beskyttelsestiltak som blir nødvendige senere i prosessen, åpner veilederen for å ta forbehold om at ytterligere sikkerhetskrav kan bli aktuelle.

Betydning for anskaffelser

Brukes når anskaffelsen har sikkerhetsmessige krav som må synliggjøres i konkurransegrunnlaget. Teksten er relevant for vurderinger av hva som må opplyses, hva som bør holdes tilbake, og hvordan leverandører varsles om sikkerhetsavtale, klarering, autorisasjon og mulig bruk av utenlandske leverandører. Den er også relevant når oppdragsgiver vurderer om informasjon kan deles, eller om tilgang bare bør gis i egne lokaler.

Sentrale kildepunkter

  • Konkurransegrunnlaget bør bygge på gjennomført risikovurdering.
  • Sikkerhetskrav og -kriterier bør tas inn når de gjelder den konkrete anskaffelsen, så langt informasjonen kan deles.
  • I sikkerhetsgradert anskaffelse skal det som hovedregel inngås sikkerhetsavtale, og dette bør opplyses i konkurransegrunnlaget.
  • Det bør informeres om krav til klarering av personell og/eller leverandør når regelverket krever det.
  • Oppdragsgiver bør være restriktiv med sikkerhetsgradert informasjon i konkurransegrunnlaget.
  • Dersom videre behov ikke er avklart, kan det tas forbehold om senere ytterligere sikkerhetskrav.
  • For utenlandske leverandører vises det til krav om NSM-godkjenning før sikkerhetsavtale kan inngås.

Berørte bestemmelser

  • SIKKERHETSLOVEN § § 9-4 – Veilederen viser til denne bestemmelsen som grunnlag for krav om sikkerhetstiltak i anskaffelsen.
  • VIRKSOMHETSIKKERHETSFORSKRIFTEN § § 18 første ledd – Brukes i veilederen som presisering av sikkerhetskravene som må vurderes i anskaffelsen.
  • VIRKSOMHETSIKKERHETSFORSKRIFTEN § § 19 første ledd – Vises til i veilederen i tilknytning til sikkerhetskrav i konkurransegrunnlaget.
  • SIKKERHETSLOVEN § § 9-2 første ledd annet punktum – Vises til for kravet om NSM-godkjenning av utenlandske leverandører før sikkerhetsavtale kan inngås.
Fulltekst

Konkurransegrunnlaget bør utarbeides med utgangspunkt i gjennomført risikovurdering og de sikkerhetshensyn som gjør seg gjeldende. Selv om leverandører til sikkerhetsgraderte anskaffelser underlegges sikkerhetsloven og plikter å overholde krav til forebyggende sikkerhetsarbeid, kan det være hensiktsmessig at det tas inn informasjon om dette i konkurransegrunnlaget for å tydeliggjøre rammene for anskaffelsen. Videre anbefales det at konkurransegrunnlaget inneholder informasjon om spesifikke sikkerhetskrav og -kriterier som gjelder for den konkrete anskaffelsen, såfremt det er informasjon som kan deles. Krav kan knytte seg til tiltak for informasjons-, informasjonssystems-. objekt-, infrastruktur- eller personellsikkerhet. I en sikkerhetsgradert anskaffelse skal det som hovedregel inngås en sikkerhetsavtale mellom oppdragsgiver og leverandør, og da bør det fremgå av konkurransegrunnlaget at det vil stilles krav til inngåelse av en slik avtale. Det vises også til de særskilte krav som gjelder for å kunne godkjenne utenlandske leverandører, herunder at NSM må godkjenne disse før det kan inngås en sikkerhetsavtale.9 Dersom det etter regelverket stilles krav om at personell og/eller leverandøren må klareres, bør det informeres om i konkurransegrunnlaget da det ikke er gitt at det vil være mulig å oppfylle for alle leverandører. Der det fremtidige beskyttelsesbehovet ikke er endelig avklart, bør det tas forbehold om at det kan bli aktuelt å stille ytterligere krav til sikkerhet og hvilke tiltak det kan omfatte. 7 Jf. sikkerhetsloven § 9-4, jf. presisering i virksomhetsikkerhetsforskriften § 18 første ledd. 8 Se virksomhetsikkerhetsforskriften § 19 første ledd. 9 Se sikkerhetsloven § 9-2 første ledd, annet punktum. VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER Oppdragsgiver bør unngå å inkludere sikkerhetsgradert informasjon i konkurransegrunnlaget, da tilbydere må autoriseres og eventuelt klareres for å få tilgang til informasjonen. I tillegg vil dette medføre at oppdragsgiver som hovedregel må inngå en sikkerhetsavtale med leverandør allerede på dette tidspunktet i anskaffelsen. For å unngå unødig spredning av sikkerhetsgradert informasjon og iverksettelse av inngripende og potensielt tidkrevende klareringsprosesser, bør oppdragsgiver derfor være restriktiv med deling av sikkerhetsgradert informasjon på dette stadiet i anskaffelsesprosessen. Dersom det likevel er nødvendig å dele sikkerhetsgradert informasjon bør tilgang primært gis i oppdragsgivers lokaler, for å begrense behovet for å gjennomføre leverandørklareringer og eventuelle investeringer i sikkerhetstiltak for virksomhetene på dette stadiet.