FOA — Forum for offentlige anskaffelser

Til kapitteloversikt

NSM-veileder

3.4.4 Autorisasjon

NSM: Veileder for ivaretakelse av sikkerhet i anskaffelser · 2025-06-26

FOA-vurdering

Autorisasjon ved tilgang til sikkerhetsgradert informasjon

Før noen får tilgang til sikkerhetsgradert informasjon, skjermingsverdige objekter eller infrastruktur, må de ikke bare være klarert, men også autorisert. Teksten fordeler autorisasjonsansvaret etter hvem som har rådighet over verdiene og hvor tilgangen skjer. Hos oppdragsgiver er det oppdragsgiver som autoriserer. Hos leverandøren er det leverandørens autorisasjonsansvarlige som autoriserer eget personell når tilgangen skjer fra leverandørens systemer, lokaler eller verdier. For sikkerhetsgraderte anskaffelser betyr dette at autorisasjon er et eget sikkerhetstrinn i tillegg til klarering, og at ansvarsplasseringen må avklares mellom oppdragsgiver og leverandør.

Betydning for anskaffelser

Brukes når anskaffelsen innebærer tilgang til sikkerhetsgradert informasjon, skjermingsverdige objekter eller infrastruktur. Kilden er relevant for spørsmål om hvem som skal autorisere hvem, om klarering alene er nok, og hvordan ansvaret fordeles mellom oppdragsgiver og leverandør. Den er også relevant ved vurdering av sikkerhetsmessig ledelse og kontroll av autoriserte personer, særlig når leverandøren har egne lokaler eller systemer.

Sentrale kildepunkter

  • Gyldig klarering er ikke nok; tilgang krever også autorisasjon.
  • Virksomhetens leder er autorisasjonsansvarlig og har ansvar for sikkerhetsmessig ledelse og kontroll.
  • For leverandører til sikkerhetsgraderte anskaffelser forstås virksomhetens leder som daglig leder eller tilsvarende styringsnivå.
  • Oppdragsgiver skal autorisere autorisasjonsansvarlig hos leverandøren i sikkerhetsgraderte anskaffelser.
  • Personell hos leverandøren som bare får tilgang hos oppdragsgiver, skal autoriseres av oppdragsgiver.
  • Når tilgangen skjer fra leverandørens egne systemer eller lokaler, autoriserer leverandørens autorisasjonsansvarlige eget personell.
  • Ved utenlandsk oppdragsgiver er det NSM som autoriserer autorisasjonsansvarlig hos norsk leverandør.

Berørte bestemmelser

  • SIKKERHETSLOVEN § § 8-1 første ledd – grunnlag for krav om autorisasjon i tillegg til klarering
  • SIKKERHETSLOVEN § § 8-9 – angir sikkerhetsmessig ramme for autorisasjon av personer
  • VIRKSOMHETSIKKERHETSFORSKRIFTEN § § 69 – oppgir at oppdragsgiver autoriserer autorisasjonsansvarlig hos leverandøren
  • KLARERINGSFORSKRIFTEN § § 37 – nevnt som grunnlag i fotnote til autorisasjon av leverandørpersonell
  • KLARERINGSFORSKRIFTEN § § 38 – nevnt i fotnote som del av regelgrunnlaget i kapittelet
Fulltekst

I tillegg til gyldig klarering, må de som skal gis tilgang til sikkerhetsgradert informasjon,

skjermingsverdige objekter eller infrastruktur være autorisert.35 Virksomhetens leder er autorisasjonsansvarlig og har ansvar for sikkerhetsmessig ledelse og kontroll av autoriserte personer. For leverandører til sikkerhetsgraderte anskaffelser vil virksomhetens leder være daglig leder eller den med tilsvarende innflytelse over virksomhetens drift.36

I sikkerhetsgraderte anskaffelser er det oppdragsgiver som skal autorisere autorisasjonsansvarlig

hos leverandøren.37 Dette begrunnes i at det er oppdragsgiver som eier aktuelle verdier og har ansvar for å ivareta et forsvarlig sikkerhetsnivå for verdiene. Personell hos leverandøren som kun får tilgang til sikkerhetsgradert informasjon, skjermingsverdig objekt eller infrastruktur hos oppdragsgiver, skal derfor også autoriseres av oppdragsgiver. I de tilfeller hvor tilgangen skjer fra leverandørens egne informasjonssystemer eller lokaler, eller leverandøren råder over verdiene i 32 Jf. klareringsforskriften § 38. 33 Jf. sikkl § 9-3 fjerde ledd. 34 Jf. sikkerhetsloven § 9-3 fjerde ledd, jf. klareringsforskriften § 37. 35 Jf. sikkl § 8-1 første ledd, jf. § 8-9. 36 Se høringsnotat til forslag til forskrifter til ny sikkerhetslov (02.07.2018), punkt 8.5.3. 37 Jf. virksomhetsikkerhetsforskriften § 69. VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER egne lokaler, er det autorisasjonsansvarlig hos leverandøren som skal autorisere leverandørens personell. Dersom oppdragsgiver er utenlandsk, er NSM ansvarlig for å autorisere autorisasjonsansvarlig hos den norske leverandøren.