FOA-vurdering
Unntak fra sikkerhetskrav ved sikkerhetsgraderte anskaffelser
Veilederen sier at det i enkelte tilfeller kan gjøres unntak fra kravene som gjelder for sikkerhetsgraderte anskaffelser, men bare når det ellers blir «uforholdsmessig byrdefullt» for virksomheten å oppfylle kravene. Terskelen er høy. Teksten understreker at sikkerhetstiltakene er vurdert som nødvendige for et forsvarlig sikkerhetsnivå, og at unntak derfor bare er aktuelt når oppfyllelse vil hindre virksomheten i å fungere slik den skal. Unntak må være godt begrunnet i virksomhetens aktivitet, og kompenserende tiltak skal være vurdert. Veilederen peker også på at det er NSM, eller sektormyndighet med tilsynsansvar der det finnes, som kan gi unntak.
Betydning for anskaffelser
Kilden brukes når en oppdragsgiver vurderer om krav i en sikkerhetsgradert anskaffelse kan fravikes. Den er relevant for vurderingen av terskelen for unntak, kravet til begrunnelse og spørsmålet om kompenserende tiltak er vurdert. Teksten er også relevant for å avklare hvem som har myndighet til å gi unntak etter de ulike kravene.
Sentrale kildepunkter
- Unntak kan bare gjøres fra enkelte av kravene til sikkerhetsgraderte anskaffelser.
- Vilkåret er at oppfyllelse blir «uforholdsmessig byrdefullt» for virksomheten.
- Terskelen for unntak er høy.
- Unntak er aktuelt når oppfyllelse vil føre til at virksomheten ikke kan fungere slik den skal.
- Unntak skal være godt begrunnet i hensynet til virksomhetens aktivitet.
- Kompenserende tiltak må være vurdert før unntak gis.
- NSM kan gjøre unntak, og sektormyndighet med tilsynsansvar kan ha myndighet for sine krav.
Berørte bestemmelser
- VIRKSOMHETSIKKERHETSFORSKRIFTEN § § 80 første ledd – Kilden nevner unntak fra kravet om inngåelse av sikkerhetsavtale.
- VIRKSOMHETSIKKERHETSFORSKRIFTEN § § 83 bokstav b – Kilden nevner unntak fra leverandørklarering ved elektronisk tilgang fra egne lokaler til KRITISK eller MEGET KRITISK objekt eller infrastruktur.
- VIRKSOMHETSIKKERHETSFORSKRIFTEN § § 83 bokstav c – Kilden nevner unntak fra leverandørklarering når leverandøren rår over oppdragsgivers KRITISK eller MEGET KRITISK objekt eller infrastruktur.
- VIRKSOMHETSIKKERHETSFORSKRIFTEN § § 84 – Kilden nevner unntak fra krav om bi- eller multilateral avtale ved bruk av utenlandske leverandører eller leverandører utenfor norsk jurisdiksjon.
Fulltekst
Det kan gjøres unntak fra enkelte av kravene som stilles til sikkerhetsgraderte anskaffelser, dersom det blir «uforholdsmessig byrdefullt» for virksomheten å oppfylle.48 Terskelen for å gjøre unntak er høy, både med henvisning til ordlyden og at lovgiver har vurdert sikkerhetstiltakene som nødvendig for å kunne ivareta et forsvarlig sikkerhetsnivå. Unntak kan være aktuelt dersom oppfyllelse av krav vil føre til at virksomheten ikke kan fungere slik den skal. Unntak skal være godt begrunnet i hensynet til virksomhetens aktivitet, og kompenserende tiltak må ha vært vurdert.49 Det kan gjøres unntak fra følgende krav som gjelder for sikkerhetsgraderte anskaffelser: • inngåelse av sikkerhetsavtale, jf. virksomhetsikkerhetsforskriften § 80 først ledd. • leverandørklarering for elektronisk tilgang fra egne lokaler til objekter eller infrastruktur klassifisert KRITISK eller MEGET KRITISK, jf. virksomhetsikkerhetsforskriften § 83, bokstav b. • leverandørklarering for å råde over objekter eller infrastruktur som tilhører oppdragsgiver, og som er klassifisert KRITISK eller MEGET KRITISK, jf. virksomhetsikkerhetsforskriften § 83, bokstav c. • krav til bi- eller multilateral avtale mellom Norge og annen stat, ved bruk av utenlandske leverandører eller leverandører med lokaler utenfor norsk jurisdiksjon, jf. virksomhetsikkerhetsforskriften § 84. Det er NSM som kan gjøre unntak fra kravene. Der det er utpekt sektormyndighet med tilsynsansvar vil de ha myndighet til å gjøre unntak fra kravene. Derimot er det kun NSM som kan gjøre unntak for krav som gjelder for beskyttelse av sikkerhetsgradert informasjon.50