3.3 Sikkerhetsavtale

Sikkerhetsavtale skal som hovedregel inngås i alle sikkerhetsgraderte anskaffelser. 10 Det gjelder også sikkerhetsgraderte anskaffelser hvor både oppdragsgiver og leverandør er offentlige virksomheter. Formålet med en sikkerhetsavtale er å tydeliggjøre og konkretisere krav sikkerhetsloven og tilhørende forskrifter stiller til oppdragsgiver og leverandør for å ivareta et forsvarlig sikkerhetsnivå i anskaffelsen. I tillegg skal avtalen sikre en omforent forståelse av roller og ansvar i det forebyggende sikkerhetsarbeidet. Sikkerhetsavtalen skal inngås før leverandøren får tilgang til sikkerhetsgradert informasjon eller utpekte og klassifiserte verdier. Dersom man underveis i anskaffelsesprosessen ser at det er behov for mer eller mindre omfattende sikkerhetskrav, må sikkerhetsavtalen oppdateres slik at den reflekterer de til enhver tid gjeldende krav for anskaffelsen. Sikkerhetsavtalen skal også oppdateres dersom det skjer andre endringer av betydning for ivaretakelse av et forsvarlig sikkerhetsnivå. Behovet for fortløpende vurdering av risiko gjør seg dermed gjeldende før, under og etter at kontrakt er inngått. Kontrakten mellom oppdragsgiver og leverandør bør derfor regulere hvilket handlingsrom oppdragsgiver har til å gjøre endringer i sikkerhetskrav og hvem som skal bære ansvaret for tilleggskostnader som følge av endrede sikkerhetskrav. Omfanget av sikkerhetsavtalen må ta utgangspunkt i hva som skal anskaffes, hvem som kan få tilgang til oppdragsgivers verdier og hvor tilgangen skal skje fra. 11 Sikkerhetsavtalen skal alltid inneholde informasjon om hvilken sikkerhetsgrad anskaffelsen skal ha, spesifisert for hver del av oppdraget, og hvordan leverandøren skal forholde seg til de av lovens krav som gjelder for anskaffelsen. I anskaffelser hvor personell fra leverandøren kun får tilgang til aktuelle verdier hos oppdragsgiver, vil det være hensiktsmessig å innta informasjon om hvilket personell som skal klareres, for hva og hvordan disse skal følges opp. Oppdragsgiver må vurdere konkret hva det er behov for å regulere i sikkerhetsavtalen, og om det er nødvendig å innta elementer utover det som regelverket oppstiller krav om for å oppnå formålet med inngåelse av en sikkerhetsavtale. For å sikre oppdragsgiver nødvendig oversikt over leverandørkjeden og involverte aktører, kan det være hensiktsmessig at det i sikkerhetsavtalen inkluderes varslingsplikt ved endringer i eierskap og eierskapsstruktur hos leverandøren. Det vises til at leverandører til sikkerhetsgraderte anskaffelser uten leverandørklarering ikke er pålagt noen slik varslingsplikt i regelverket. 10 Jf. sikkl § 9-2 første ledd. 11 Jf. sikkl § 9-2 annet ledd for minimumskrav til innholdet i sikkerhetsavtalen og virksomhetsikkerhetsforskriften § 80 for krav i de tilfeller hvor leverandøren skal få tilgang fra egne lokaler. VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER Dersom underleverandører har behov for tilgang til sikkerhetsgradert informasjon, skjermingsverdig objekt eller infrastruktur, må oppdragsgiver inngå sikkerhetsavtale med hver enkelt av disse. Hovedleverandør har ikke anledning til å gi tilgang til slike verdier uten at det er godkjent av oppdragsgiver. Hovedleverandøren må derfor holde oppdragsgiver forløpende orientert om endringer knyttet til bruk av underleverandører. Det bør inntas krav om dette i sikkerhetsavtalen mellom oppdragsgiver og leverandør. En sikkerhetsavtale må ikke utformes som et selvstendig avtaledokument og kan inntas i det ordinære avtaledokumentet for anskaffelsen, dersom det er hensiktsmessig.