FOA — Forum for offentlige anskaffelser

Til kapitteloversikt

NSM-veileder

2.2.1 Fremtidige verdier

NSM: Veileder for ivaretakelse av sikkerhet i anskaffelser · 2025-06-26

FOA-vurdering

Anskaffelser med uklar fremtidig sikkerhetsverdi

Når det ikke er avklart på forhånd om det som anskaffes vil få sikkerhetsmessig verdi, må oppdragsgiver vurdere anskaffelsen ut fra antatt fremtidig verdi og mulig skadepotensial. Vurderingen skal bygge på beste tilgjengelige kunnskap om verdi, sårbarhet og trussel, og må ses i sammenheng med virksomhetens øvrige verdier og aktiviteter. Endringer i verdi, trussel eller sårbarhet skal følges opp fortløpende. At endelig verdi ikke er avklart, utelukker ikke at anskaffelsen kan behandles som sikkerhetsgradert. Samtidig kan ikke sikkerhetstiltak bygges på rene antakelser om fremtidig gradering; tiltakene må være nødvendige og forholdsmessige.

Betydning for anskaffelser

Kilden brukes når oppdragsgiver må beslutte sikkerhetstiltak i anskaffelser der det ennå er usikkert om produktet, objektet eller systemet senere vil få skjermingsverdi. Den er særlig relevant ved vurderingen av om leverandørkrav, klarering eller andre sikkerhetstiltak kan fastsettes før endelig verdi er kjent, og ved senere endringer i kontraktens karakter. Den er også relevant der det oppstår spørsmål om oppdragsgiver har gjort en tilstrekkelig kvalifisert vurdering av fremtidig verdi, skadepotensial og passende tiltak.

Sentrale kildepunkter

  • Anskaffelser kan gjelde noe som først senere kan få skjermingsverdi.
  • Oppdragsgiver må vurdere antatt fremtidig verdi ut fra mulig skadepotensial.
  • Vurderingen skal bygge på tilgjengelig og oppdatert informasjon om sårbarheter og trusler.
  • Det må tas hensyn til virksomhetens samlede aktiviteter og verdier.
  • Sammenlignbare tidligere vurderinger og anskaffelser kan brukes som støtte.
  • Sikkerhetstiltak må ikke bygge på urealistiske antakelser om fremtidig gradering.
  • Nødvendighet og forholdsmessighet begrenser hvilke tiltak som kan stilles, særlig der verdien er usikker.
  • Hvis anskaffelsen senere endrer karakter slik at leverandøren får tilgang til gradert informasjon eller skjermingsverdig objekt/infrastruktur, må kravene for sikkerhetsgradert anskaffelse oppfylles.

Berørte bestemmelser

  • SIKKERHETSLOVEN – Teksten bygger på vurdering av sikkerhetsgradert anskaffelse, skjermingsverdig objekt eller infrastruktur og krav til sikkerhetstiltak.
  • SIKKERHETSLOVEN – Teksten viser til krav om nødvendighet og forholdsmessighet ved sikkerhetstiltak.
Fulltekst

Anskaffelser kan knytte seg til utvikling eller produksjon av produkter eller etablering av objekter, som man på forhånd ikke vet verdien til. Et eksempel på dette kan være oppføring av et bygg eller utvikling av et informasjonssystem som på sikt kan komme til å bli utpekt som skjermingsverdig. Det kan også tenkes tilfeller hvor det er behov for konfidensialitet i tilknytning til teknologien som er benyttet for å utvikle noe, eller hvordan noe er bygd opp. I tilfellene der det på forhånd ikke er avgjort hvilken verdi noe vil få, må anskaffelsen gjennomføres med utgangspunkt i antatt fremtidig verdi basert på vurderinger av mulig skadepotensial for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser. Det kan være utfordrende å gjennomføre vurderinger av hvilken verdi og beskyttelsesbehov noe vil kunne komme til å få i fremtiden. Oppdragsgiver må etter beste evne gjennomføre kvalifiserte vurderinger av hvilken betydning noe som tilvirkes kan få for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser, herunder potensielt skadepotensial ved bortfall av konfidensialitet, tilgjengelighet eller integritet. Videre må oppdragsgiver må ha oversikt over VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER virksomhetens samlede aktiviteter og verdier, og evne å se dette i sammenheng. Hvordan lignende verdier har blitt vurdert tidligere eller hvordan tilsvarende anskaffelsesprosesser har blitt gjennomført, både internt og eksternt, kan være nyttig å se hen til. Vurderingene må inkludere tilgjengelig og oppdatert informasjon om aktuelle sårbarheter og trusler. Oppdragsgiver bør fortløpende gjennomføre vurderinger ved endringer i verdi, trussel og sårbarhet. At endelig verdi ikke er avklart avskjærer ikke muligheten for å gjennomføre anskaffelsen som en sikkerhetsgradert anskaffelse, da sikkerhetsloven ikke stiller krav om leverandøren skal få tilgang til sikkerhetsgradert informasjon eller skjermingsverdig objekt eller infrastruktur. Hvilke sikkerhetstiltak som stilles til tilbydere eller valgte leverandører kan imidlertid ikke basere seg på urealistiske antagelser om at noe på sikt vil bli gradert eller klassifisert på et gitt nivå. Krav om nødvendighet og forholdsmessighet vil begrense oppdragsgivers handlingsrom. Noen sikkerhetstiltak er mer inngripende enn andre og vil kreve at oppdragsgiver er mer sikker på fremtidig verdi for å kunne iverksettes, eksempelvis leverandørklarering. Dersom det er stor usikkerhet omkring fremtidig verdi og ønskede sikkerhetskrav ikke kan implementeres i anskaffelsesprosessen, må oppdragsgiver vurdere om det kan være andre egnede tiltak som kan ivareta sikkerheten i anskaffelsen. Eksempler på dette gis i punkt 4 i veilederen. En anskaffelse som ikke var sikkerhetsgradert ved kontraktsinngåelse, men som i ettertid endrer karakter og som medfører at leverandøren kan få tilgang til sikkerhetsgradert informasjon, skjermingsverdig objekt eller infrastruktur, må oppfylle de krav som stilles til sikkerhetsgraderte anskaffelser.