FOA — Forum for offentlige anskaffelser

Til kapitteloversikt

NSM-veileder

2 Vurdering av om en anskaffelse er

NSM: Veileder for ivaretakelse av sikkerhet i anskaffelser · 2025-06-26

FOA-vurdering

Når en anskaffelse blir sikkerhetsgradert

Veilederen forklarer når en anskaffelse må behandles som sikkerhetsgradert: når leverandøren kan få tilgang til eller tilvirke sikkerhetsgradert informasjon, eller få tilgang til skjermingsverdig objekt eller infrastruktur. Den praktiske konsekvensen er at anskaffelsen må gjennomføres med strengere sikkerhetskrav enn ordinære anskaffelser. Oppdragsgiver må vurdere hvilke deler av sikkerhetsloven som faktisk er relevante for den konkrete anskaffelsen, og hvilke sikkerhetstiltak som må stilles til leverandør og underleverandører. Teksten understreker også at vurderingen ikke er fastlåst ved oppstart. Hvis verdi, sårbarhet eller trussel endrer seg underveis, må oppdragsgiver ta stilling på nytt til om anskaffelsen omfattes av sikkerhetsregelverket.

Betydning for anskaffelser

Kilden brukes når det må avgjøres om en anskaffelse skal håndteres som sikkerhetsgradert, og hvilke sikkerhetskrav som da må inn i prosessen. Den er relevant ved planlegging av konkurransen, vurdering av leverandørkrav, håndtering av underleverandører og løpende revurdering når anskaffelsen utvikler seg. Den er også relevant der spørsmålet er om sikkerhetsregelverket bare gjelder deler av leveransen, for eksempel ved tilgang til sikkerhetsgradert informasjon.

Sentrale kildepunkter

  • En sikkerhetsgradert anskaffelse foreligger når leverandøren kan få tilgang til eller tilvirker sikkerhetsgradert informasjon.
  • Sikkerhetsgradert anskaffelse foreligger også når leverandøren kan få tilgang til skjermingsverdig objekt eller infrastruktur.
  • Disse verdiene knyttes til grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser.
  • Det gjelder strengere krav enn ved ordinære anskaffelser.
  • Formålet er at leverandør og leverandørens personell skal oppfylle samme sikkerhetskrav som oppdragsgiver eller oppdragsgiverens personell.
  • Oppdragsgiver har ansvar for forsvarlig sikkerhetsnivå også når aktivitet utføres av andre gjennom anskaffelse av varer og tjenester.
  • Det er bare de delene av sikkerhetsloven som er relevante for den aktuelle anskaffelsen som leverandøren må forholde seg til.
  • Vurderingen må oppdateres underveis dersom anskaffelsen endrer karakter, for eksempel ved endret verdi, sårbarhet eller trussel.

Berørte bestemmelser

  • SIKKERHETSLOVEN § § 9-1 – Definerer sikkerhetsgradert anskaffelse slik veilederen viser til.
  • SIKKERHETSLOVEN § § 5-3 – Nevnes som del av grunnlaget for når anskaffelsen kan omfattes av sikkerhetsgradert regelverk.
  • SIKKERHETSLOVEN § § 7-1 – Nevnes i veilederens henvisning til hvilke sikkerhetsforhold som kan utløse sikkerhetsgradert anskaffelse.
  • SIKKERHETSLOVEN § § 1-2 annet ledd – Brukes i veilederen om at leverandører og underleverandører underlegges sikkerhetsloven ved slike anskaffelser.
Fulltekst

En sikkerhetsgradert anskaffelse er en anskaffelse hvor en leverandør av varer eller tjenester kan få tilgang til eller tilvirker sikkerhetsgradert informasjon, eller hvor leverandøren kan få tilgang til skjermingsverdig objekt eller infrastruktur.1 Slike verdier har betydning for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser og det stilles derfor strengere krav til gjennomføringen av sikkerhetsgraderte anskaffelser enn for ordinære anskaffelser. Formålet med reglene om sikkerhetsgraderte anskaffelser er å sikre at leverandøren eller personell fra leverandøren oppfyller de samme krav til sikkerhet som gjelder for oppdragsgiver eller oppdragsgivers personell. Oppdragsgiver er ansvarlig for å ivareta et forsvarlig sikkerhetsnivå i alle deler av egen virksomhet, også for aktivitet som utføres av andre gjennom anskaffelse av varer og tjenester. Leverandører og underleverandører til sikkerhetsgraderte anskaffelser underlegges derfor sikkerhetsloven og må overholde krav til forebyggende sikkerhetsarbeid.2 Det bemerkes at krav til forsvarlig sikkerhetsnivå og aktuelle sikkerhetstiltak hos leverandøren må tilpasses ut fra faktiske behov i og krav til anskaffelsen. Det er kun de deler av sikkerhetsloven som er relevant for anskaffelsen som leverandøren må forholde seg til. Dersom leverandøren eksempelvis får tilgang til sikkerhetsgradert informasjon, må leverandøren blant annet forholde seg til krav knyttet til informasjons- og personellsikkerhet. 1 Jf. sikkl § 9-1, jf. §§ 5-3 og 7-1. 2 Jf. sikkl § 1-2 annet ledd, jf. kapittel 4. VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER Selv om oppdragsgiver konkluderer med at det ikke er en sikkerhetsgradert anskaffelse, er det viktig å være oppmerksom på at dette kan endre seg underveis i anskaffelsesprosessen. Anskaffelser kan være komplekse, langvarige og det kan skje endringer knyttet til verdi, sårbarhet og trussel underveis. Det må fortløpende tas stilling til endringer som kan påvirke vurderingen av hvordan anskaffelsen må gjennomføres og om regelverket for sikkerhetsgraderte anskaffelser kommer til anvendelse.