FOA-vurdering
Når leverandøren må klareres
Veilederen angir tre situasjoner der leverandørklarering er nødvendig: når leverandøren skal ha tilgang til eller oppbevare gradert informasjon i egne systemer eller lokaler, når leverandøren skal ha elektronisk tilgang til kritisk eller meget kritisk objekt eller infrastruktur, og når leverandøren skal råde over slik infrastruktur eller slike objekter som tilhører oppdragsgiver. Teksten presiserer også at «råde over» betyr at leverandøren har objektet eller infrastrukturen i sin besittelse, både fysisk og elektronisk. Det betyr at vurderingen tar utgangspunkt i faktisk rådighet og tilgang, ikke bare i hvilken kategori tilgangen faller i. For virksomheter som selv er underlagt loven som offentlige organer eller ved vedtak, slår teksten fast at de ikke skal leverandørklareres når de leverer til sikkerhetsgraderte anskaffelser. Da er det bare sikkerhetsavtale som er nødvendig.
Betydning for anskaffelser
Brukes ved vurderingen av om anskaffelsen må ha leverandørklarering, og om sikkerhetsavtale alene er tilstrekkelig. Relevansen er særlig knyttet til planlegging av anskaffelsen, krav til leverandøren og avgrensningen mellom klarering, tilgang og rådighet over gradert informasjon, objekt eller infrastruktur.
Sentrale kildepunkter
- Leverandørklarering er nødvendig i de tre angitte tilfellene.
- Tilgang eller oppbevaring av KONFIDENSIELL eller høyere i egne systemer eller lokaler utløser klareringsbehov.
- Elektronisk tilgang til objekt eller infrastruktur klassifisert KRITISK eller MEGET KRITISK utløser klareringsbehov.
- Rådighet over oppdragsgivers objekt eller infrastruktur klassifisert KRITISK eller MEGET KRITISK utløser klareringsbehov.
- «Råde over» omfatter besittelse og både fysisk og elektronisk rådighet.
- Hvis leverandøren er en virksomhet som selv er underlagt loven som offentlig organ eller ved vedtak, skal den ikke leverandørklareres som leverandør til sikkerhetsgraderte anskaffelser.
- I disse tilfellene er det kun behov for sikkerhetsavtale.
Berørte bestemmelser
- SIKKL § § 9-3 første ledd – Oppgis som hjemmel for når leverandørklarering kreves.
- KLARERINGSFORSKRIFTEN § kapittel 4 – Oppgis som forskriftsgrunnlag for leverandørklarering.
- VIRKSOMHETSIKKERHETSFORSKRIFTEN § § 83 – Oppgis som hjemmel for kravet om leverandørklarering i veilederen.
Fulltekst
I følgende tilfeller er det nødvendig med leverandørklarering: 15
• Leverandøren skal ha tilgang til eller oppbevare informasjon gradert KONFIDENSIELT eller høyere i egne informasjonssystemer eller lokaler. • Leverandøren skal ha elektronisk tilgang til objekt eller infrastruktur klassifisert KRITISK eller MEGET KRITISK fra egne informasjonssystemer eller lokaler. • Leverandøren skal råde over objekter eller infrastruktur som tilhører oppdragsgiver, og som er klassifisert KRITISK eller MEGET KRITISK. Begrepet «råde over» skal forstås som de tilfeller hvor leverandøren har objektet eller infrastrukturen i sin besittelse, og omfatter både fysisk og elektronisk rådighet. 16 I tilfeller hvor leverandøren har «elektronisk tilgang» fra egne informasjonssystemer eller lokaler, kan leverandøren i noen tilfeller også «råde over» objektet eller infrastrukturen. Hvorvidt tilgangen faller inn under andre eller tredje kulepunkt er imidlertid ikke avgjørende for om det kreves leverandørklarering. 14 Se sikkl § 9-3 jf. klareringsforskriften kapittel 4 15 Jf. sikkl § 9-3 første ledd, jf. virksomhetsikkerhetsforskriften § 83. 16 Jf. høringsnotat til forslag til forskrifter til ny sikkerhetslov (02.07.2018), punkt 7.11.5. VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER Virksomheter underlagt loven som følge av at de er offentlige organer eller fordi det er fattet vedtak om at loven skal gjelde for dem, 17 skal ikke leverandørklareres når de er leverandører til sikkerhetsgraderte anskaffelser. I disse tilfellene er det kun behov for sikkerhetsavtale.