FOA-vurdering
Når leverandørklarering kan være nødvendig
Veilederen sier at leverandørklarering ikke bare følger av opplistede tilfeller, men må vurderes konkret ut fra behovet for et forsvarlig sikkerhetsnivå. Vurderingen knyttes særlig til hvilke verdier anskaffelsen gjelder, om de har betydning for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser, hvem som får tilgang, og hvor tilgangen skjer fra. Teksten peker også på situasjoner der klarering kan være nødvendig selv om tilgangen er begrenset: når skadepotensialet kan øke over tid, når leverandøren får samlet oversikt over mange skjermingsverdige verdier, eller når tilgang til ett objekt eller én infrastruktur indirekte gir innsikt i tilsvarende eller lignende objekter.
Betydning for anskaffelser
Kilden brukes ved vurderingen av om leverandørklarering skal stilles som sikkerhetstiltak i en anskaffelse. Den er relevant når oppdragsgiver må begrunne nødvendigheten av tiltaket, særlig i grensetilfeller hvor tilgangen er begrenset, men verdiene er høyt beskyttelsesverdige eller informasjonen gir bred innsikt. Den er også relevant ved vurdering av om flere anskaffelser samlet gir leverandøren så stor oversikt at strengere kontroll er nødvendig.
Sentrale kildepunkter
- Leverandørklarering skal vurderes konkret, ikke automatisk.
- Nødvendigheten skal vurderes opp mot hvilke verdier anskaffelsen knytter seg til.
- Betydning for grunnleggende nasjonale funksjoner og nasjonale sikkerhetsinteresser er sentrale momenter.
- Hvem som får tilgang og hvor tilgangen skjer fra, inngår i vurderingen.
- Selv begrenset tilgang hos oppdragsgiver kan utløse behov for klarering når verdiene er høyt gradert eller klassifisert.
- Samlet tilgang i flere sikkerhetsgraderte anskaffelser kan gi grunnlag for større kontroll med leverandøren.
- Tilgang til ett objekt eller én infrastruktur kan gi innsikt i lignende objekter eller infrastrukturer med tilsvarende sårbarheter.
- Terskelen for klarering er høy i tilfeller der skadepotensialet først vil øke senere, og nødvendighetskravet er strengt.
Fulltekst
Utover de opplistede tilfellene hvor det kreves leverandørklarering, må det vurderes konkret om tiltaket er nødvendig. I vurderingen vil det være relevant å se hen til hvilke verdier anskaffelsen knytter seg til, verdienes betydning for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser, hvem som får tilgang og hvor tilgangen skjer fra. Under følger eksempler på tilfeller hvor leverandørklarering kan være nødvendig for å ivareta et forsvarlig sikkerhetsnivå i anskaffelsen: • I anskaffelser hvor endelig verdi ikke er avklart, eller det er sannsynlig at skadepotensialet ved bortfall i fremtiden vil øke (se punkt 2.2.1). Terskelen vil imidlertid være høy i slike tilfeller og det vil stilles strenge krav til nødvendigheten av tiltaket. • I tilfeller hvor tilgang til verdier bare skjer hos oppdragsgiver kan det være behov for leverandørklarering om verdiene er høyt gradert eller klassifisert og har et særlig beskyttelsesbehov. • Dersom en leverandør benyttes inn i flere sikkerhetsgraderte anskaffelser kan den totale oversikten leverandøren får over skjermingsverdige verdier bli svært omfattende. Mengden informasjon kan tilsi at det er behov for en større grad av kontroll med leverandøren og dens sikkerhetsmessige skikkethet. • Det kan videre være behov for leverandørklarering ved tilgang til objekter og infrastruktur klassifisert på lavere nivå (VIKTIG). Som eksempel vises det til objekter og infrastruktur som i utgangspunktet har stor betydning for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser, men som er klassifisert på et lavere nivå grunnet høy grad av redundans og/eller reparasjonskapasitet eller lignende forhold. • For objekter eller infrastrukturer med tilsvarende eller lignende funksjonalitet med store likheter knyttet til sårbarheter, beskyttelsesbehov og innførte sikkerhetstiltak. Tilgang til eller informasjon om et objekt eller en infrastruktur kan da gi tilgang til eller informasjon om lignende objekter eller infrastrukturer. Det bør tas stilling til hvilken oversikt og hvilke tilganger leverandøren i realiteten får. Dette punktet kan gjerne sees i sammenheng med forrige punkt.