FOA — Forum for offentlige anskaffelser

Til kapitteloversikt

NSM-veileder

4.4 Sikkerhetskrav i kontrakt

NSM: Veileder for ivaretakelse av sikkerhet i anskaffelser · 2025-06-26

FOA-vurdering

Sikkerhetskrav bør inn i kontrakten

Veilederen sier at sikkerhetskrav bør være en sentral del av kontrakten, også når anskaffelsen ikke er en sikkerhetsgradert anskaffelse. Poenget er å sikre felles forståelse av rammene for leveransen og hvem som har ansvar for sikkerhetstiltakene. Kontrakten bør regulere oppdragsgivers kontrollmuligheter, tilgang til nødvendig informasjon og hvordan partene skal håndtere endringer hos leverandøren, blant annet i eierstruktur. Slike endringer kan påvirke risikovurderingen og gi grunnlag for å justere sikkerhetskrav eller avslutte kontraktsforholdet. Hvis anskaffelsen senere blir mer sikkerhetssensitiv, bør kontrakten også angi hvilke nye krav leverandøren kan bli forpliktet til å oppfylle, og hvem som bærer kostnadene ved skjerpede sikkerhetskrav. For anskaffelser med tilgang til skjermingsverdige informasjonssystemer eller skjermingsverdig ugradert informasjon peker veilederen på at det likevel skal inngås en avtale om relevante sikkerhetskrav.

Betydning for anskaffelser

Brukes ved utforming av kontraktsvilkår i anskaffelser med sikkerhetsbehov, særlig der oppdragsgiver vil sikre kontroll, informasjonsinnsyn, håndtering av eierskifte og adgang til å endre sikkerhetskrav. Kilden er relevant ved tvister eller vurderinger om hva kontrakten bør regulere, hvordan risikoen skal fordeles, og hvilke sikkerhetskrav som må avtalefestes når anskaffelsen ikke er sikkerhetsgradert, men likevel sikkerhetsrelevant.

Sentrale kildepunkter

  • Sikkerhetskrav bør være en sentral del av kontrakten.
  • Kontrakten bør sikre omforent forståelse av rammene for anskaffelsen og ansvarsfordelingen.
  • Oppdragsgivers kontrollmulighet og tilgang til nødvendig informasjon bør reguleres.
  • Endringer i hoved- eller underleverandørers eierstruktur er relevant for risikovurderingen.
  • Kontrakten bør regulere hvordan partene skal forholde seg ved slike endringer, inkludert mulighet for avvikling.
  • Det bør avklares hvilket handlingsrom oppdragsgiver har til å endre sikkerhetskrav og hvem som bærer tilleggskostnader.
  • Ved tilgang til skjermingsverdige informasjonssystemer eller skjermingsverdig ugradert informasjon skal relevante sikkerhetskrav fremgå av avtalen.

Berørte bestemmelser

  • SIKKERHETSLOVEN § ikke oppgitt i utdraget – Veilederen viser til inngåelse av sikkerhetsavtale og til krav som gjelder ved tilgang til skjermingsverdige informasjonssystemer og skjermingsverdig ugradert informasjon.
  • ANSKAFFELSESREGELVERKET § ikke oppgitt i utdraget – Teksten gjelder kontraktsregulering av sikkerhetskrav i anskaffelser og hvordan slike vilkår bør utformes.
Fulltekst

Selv om det ikke er krav om inngåelse av sikkerhetsavtale utenfor sikkerhetsgraderte anskaffelser, bør sikkerhetskrav være en sentral del av kontrakten. Det vil bidra til å sikre en omforent forståelse av rammene for anskaffelsen og ansvarsfordelingen mellom oppdragsgiver og leverandør. Ved inngåelse av kontrakt bør oppdragsgivers mulighet for kontroll og tilgang til nødvendig informasjon reguleres. Informasjon om endringer i hoved- eller underleverandørers eierstruktur vil her være relevant, da helt eller delvis oppkjøp av en leverandør kan få betydning for risikovurderingen av anskaffelsen. Av informasjon som kan få slik betydning, vises det blant annet til VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER informasjon om at ny/nye eiere har tilknytning til andre stater eller organisasjoner med ulovlig formål, om de har en historikk med økonomisk mislighold eller annet som kan gi grunn til bekymring for ivaretakelse av sikkerhet i anskaffelsen. Det er derfor relevant å regulere hvordan partene skal forholde seg i slike situasjoner, herunder mulighet for avvikling av kontraktsforholdet. Ved potensiale for at anskaffelsen på et senere tidspunkt kan bli mer sikkerhetssensitiv, er det hensiktsmessig at det orienteres om hvilke krav en leverandør i så tilfelle kan bli forpliktet til å innfri. Kontrakten mellom oppdragsgiver og leverandør bør derfor regulere hvilket handlingsrom oppdragsgiver har til å gjøre endringer i sikkerhetskrav og hvem som skal bære ansvaret for tilleggskostnader som følge av endrede sikkerhetskrav. Anskaffelser som kan gi leverandøren tilgang til skjermingsverdige informasjonssystemer eller skjermingsverdig ugradert informasjon er ikke å anse som sikkerhetsgraderte anskaffelser. I slike anskaffelser stilles det likevel krav om at oppdragsgiver og leverandør skal inngå en avtale hvor relevante sikkerhetskrav til anskaffelsen fremkommer54. Ved utarbeidelse av en slik avtale kan det være hensiktsmessig å se hen til hvilke krav som stilles til innhold i en sikkerhetsavtale.