FOA — Forum for offentlige anskaffelser

Til kapitteloversikt

NSM-veileder

4.3 Ivaretakelse av sikkerhet i anskaffelsesprosessen

NSM: Veileder for ivaretakelse av sikkerhet i anskaffelser · 2025-06-26

FOA-vurdering

Sikkerhet må planlegges og bygges inn i anskaffelsen

For virksomheter under sikkerhetsloven skal sikkerhetsarbeidet være en del av styringssystemet og gi et forsvarlig sikkerhetsnivå også i anskaffelser. Veilederen gjør klart at dette gjelder både graderte og ugraderte anskaffelser, og at sikkerhetsspørsmål bør avklares tidlig i prosessen. Teksten peker på at oppdragsgiver må vurdere behov, regelverk, handlingsrom og nødvendige tiltak konkret og helhetlig. Poenget er ikke at alle anskaffelser skal behandles likt, men at sikkerhetstiltak må plasseres riktig i prosessen og være forholdsmessige. Veilederen gir eksempler på tiltak som oppdeling av kontrakter, redundante løsninger, begrensning av leverandørkjeder og krav i konkurransegrunnlaget om kompetanse, tilgangskontroll og informasjonsbehandling. Den trekker også frem at leverandørers hjemlandsregler om informasjonsdeling kan kollidere med plikten til å beskytte taushetsbelagt informasjon.

Betydning for anskaffelser

Brukes når anskaffelsen må vurderes ut fra sikkerhetsloven og oppdragsgiver trenger støtte for hvordan sikkerhet skal integreres i planlegging, konkurransegrunnlag og leverandøroppfølging. Kilden er relevant ved spørsmål om risikovurdering, krav og kriterier, leverandørkjeder, kontraktsstruktur, redundans, informasjonsvern og håndtering av mulig lojalitets-/informasjonsplikt hos utenlandske leverandører.

Sentrale kildepunkter

  • Forebyggende sikkerhetsarbeid skal være del av virksomhetens styringssystem.
  • Kravet til forsvarlig sikkerhetsnivå gjelder alle aktiviteter, også anskaffelser.
  • Reglene gjelder både sikkerhetsgraderte og ugraderte anskaffelser.
  • Oppdragsgiver må avklare hvilke regelverk og krav som gjelder i den konkrete anskaffelsen.
  • Tiltak må vurderes konkret, helhetlig og forholdsmessig.
  • Oppdragsgiver kan bruke kontraktsoppdeling, redundans og begrensninger i leverandørkjeder som sikkerhetstiltak.
  • Konkurransegrunnlaget kan stille krav til kompetanse, tilgangskontroll og håndtering av informasjon.
  • Leverandørers hjemlandsregler om informasjonsdeling kan komme i konflikt med vern av taushetsbelagt informasjon.

Berørte bestemmelser

  • SIKKERHETSLOVEN § ikke angitt i utdraget – Teksten bygger på at virksomheter underlagt sikkerhetsloven skal ha forsvarlig sikkerhetsnivå i anskaffelser og forebyggende sikkerhetsarbeid som del av styringssystemet.
  • SIKKERHETSLOVEN § taushetsplikt/vern av informasjon (ikke nærmere angitt i utdraget) – Veilederen viser til plikten til å beskytte taushetsbelagt informasjon når leverandører kan være underlagt informasjonsdelingsplikter etter hjemlandsregler.
  • ANSKAFFELSESREGELVERKET § konkurransegrunnlag/kvalifikasjonskrav/tildelingskriterier (ikke angitt i utdraget) – Teksten beskriver bruk av krav og kriterier i konkurransegrunnlaget for å ivareta sikkerhet i anskaffelsen.
Fulltekst

For virksomheter som er underlagt sikkerhetsloven skal forebyggende sikkerhetsarbeid være en del av virksomhetens styringssystem, og det skal iverksettes tiltak som er nødvendig for å gi et forsvarlig sikkerhetsnivå. Kravet til forsvarlig sikkerhetsnivå gjelder for alle virksomhetens aktiviteter, også i anskaffelser. Det omfatter både sikkerhetsgraderte og ugraderte anskaffelser, selv om det i de ugraderte anskaffelsene kan variere hvor fremtredende sikkerhetsaspektet er. Selv om det er en ugradert anskaffelse kan det være nyttig å se hen til regelverket for sikkerhetsgraderte anskaffelser for veiledning knyttet til hva som må sikres og hvordan dette kan gjøres. Deler av det som tidligere er gjennomgått i veilederen vil derfor ha relevans i ugraderte anskaffelser hvor oppdragsgiver er underlagt sikkerhetsloven, se spesielt kapittel 3.1 om risikovurdering, 3.2 om sikkerhet i konkurransegrunnlaget og 3.5 oppfølging av leverandørforhold. Det er viktig at oppdragsgiver gjennomfører gode og dekkende vurderinger av hvilke behov som gjør seg gjeldende, og hvordan disse skal ivaretas. Oppdragsgiver må også avklare hvilke regelverk og krav som gjelder i den konkrete anskaffelsen, og hvilket handlingsrom man har for å ta hensyn til og stille krav til sikkerhet. En tidlig avklaring vil gjøre samkjøring med annet regelverk enklere og lette arbeidet med å implementere nødvendige sikkerhetstiltak på riktig sted i prosessen. 53 Se blant annet de åpne risiko og trusselvurderingene fra EOS-tjenestene fra de siste årene. VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER Hvilke tiltak oppdragiver kan iverksette for å sikre et forsvarlig sikkerhetsnivå i anskaffelsen beror på en konkret og helhetlig vurdering av hvilke behov som gjør seg gjeldende, hvilke tiltak som er nødvendige, og om disse er forholdsmessige. For virksomheter som er underlagt sikkerhetsloven vil det være relevant å vurdere behov for nasjonal kontroll og autonomi, sett i lys av virksomhetens rolle i de ulike deler av krisespekteret, ved planlegging av anskaffelser. Eksempler på aktuelle tiltak for å ivareta sikkerhetshensyn i anskaffelser: • oppdeling av større kontrakter og begrensninger på antall delkontrakter en leverandør kan tildeles for å unngå avhengighet til enkeltleverandører og fordele risiko • sikre redundante løsninger for varer og tjenester virksomheten er avhengig av • begrensninger på antall ledd i leverandørkjeder for å bedre oppdragsgivers mulighet til å ha oversikt over og kontroll med leverandører Fordeling av anskaffelser på et større antall aktører bidrar til at flere virksomheter får økt kunnskap og kompetanse. Det kan spille positivt inn på konkurransedyktigheten til mindre og gjerne lokale virksomheter, som igjen kan øke nasjonal redundans på kapasitet og kompetanse. Tiltak for å unngå konsentrasjonsrisiko blant leverandører kan også redusere risiko for at enkeltaktører blir sittende med en omfattende og potensiell sensitiv verdioversikt. Tiltak for å sikre oversikt og kontroll med leverandørkjeder gir bedre forutsetninger for å hindre uønskede aktører innpass i leverandørkjeder og reduserer risiko for utilsiktet avhengighetskonsentrasjon.

I konkurransegrunnlaget kan oppdragsgiver stille krav og kriterier som tilbydere må kunne innfri for

å bli valgt som leverandør i anskaffelsen. Det kan blant annet knytte seg til: • krav om formell kompetanse, sertifisering, erfaring fra lignende arbeid eller nærmere angitte kvalifikasjoner for å sikre at leverandør har nødvendig risiko- og sikkerhetsforståelse • krav til adgangs- og tilgangskontroll for å redusere risiko for uønsket tilgang til oppdragsgivers verdier • krav til håndtering av informasjon for å sikre konfidensialitet for sensitiv informasjon Leverandører fra enkelte land er underlagt lovbestemmelser som pålegger dem et utstrakt samarbeid med eget lands myndigheter, blant annet knyttet til deling av informasjon. Muligheten for at leverandøren kan bli pålagt å dele informasjon de får tilgang til i en anskaffelse kan komme i konflikt med lovpålagt plikt for oppdragsgiver til å beskytte taushetsbelagt informasjon.