FOA — Forum for offentlige anskaffelser

Til kapitteloversikt

NSM-veileder

2.3 Leverandør

NSM: Veileder for ivaretakelse av sikkerhet i anskaffelser · 2025-06-26

FOA-vurdering

Hvem som regnes som leverandør i sikkerhetsgraderte anskaffelser

Denne delen forklarer at leverandørbegrepet i sikkerhetsgraderte anskaffelser ikke bare omfatter hovedleverandøren, men også underleverandører. Også tilbydere omfattes når de får tilgang til sikkerhetsgradert informasjon, skjermingsverdig objekt eller infrastruktur allerede i tilbudsfasen. Teksten viser også at en anskaffelse kan være sikkerhetsgradert selv om det bare er enkelte ansatte hos leverandøren som skal utføre arbeidet hos oppdragsgiver. Det avgjørende er at leverandørens personell får tilgang til oppdragsgivers verdier, og at dette behandles som en tjeneste som anskaffes. Praktisk betyr dette at sikkerhetskravene må vurderes ut fra hvor tilgangen skjer: i leverandørens egne lokaler eller i oppdragsgivers lokaler. Når tilgangen skjer hos leverandøren, blir kravene til sikkerhetsavtalen mer omfattende.

Betydning for anskaffelser

Brukes når oppdragsgiver må avgjøre hvem som omfattes av sikkerhetskrav i anskaffelsen, om sikkerhetsavtaler må stilles, og hvor tidlig i konkurransen tilgang til sikkerhetsgradert eller klassifisert informasjon utløser sikkerhetsmessige krav. Relevант ved vurdering av hovedleverandør, underleverandører, tilbudsfase, personelltilgang og innholdet i sikkerhetsavtalen.

Sentrale kildepunkter

  • Leverandørbegrepet omfatter både hoved- og underleverandører.
  • Tilbydere omfattes når de får tilgang til sikkerhetsgradert informasjon, skjermingsverdig objekt eller infrastruktur i tilbudsfasen.
  • Anskaffelsen er sikkerhetsgradert også når bare enkeltpersoner hos leverandøren skal utføre arbeid for oppdragsgiver.
  • Leverandørens personell identifiseres med leverandøren når de får tilgang til oppdragsgivers verdier.
  • Hvor tilgangen skjer, påvirker hvilke og hvor omfattende krav sikkerhetsloven stiller til anskaffelsesprosessen.
  • Tilgang i leverandørens egne lokaler utløser mer omfattende krav til sikkerhetsavtalen enn tilgang i oppdragsgivers lokaler.

Berørte bestemmelser

  • SIKKERHETSLOVEN – Veilederen bygger på sikkerhetslovens begrep om tjeneste, sikkerhetsgradert informasjon og sikkerhetsgraderte/klassifiserte verdier.
  • SIKKERHETSLOVEN – Relevans for krav til sikkerhetsavtale og vurdering av hvem som omfattes av sikkerhetskrav i anskaffelsen.
Fulltekst

Leverandørbegrepet i sikkerhetsgraderte anskaffelser omfatter både hoved- og underleverandører.3 Tilbydere vil også være omfattet av begrepet dersom det skal gis tilgang til sikkerhetsgradert informasjon, skjermingsverdig objekt eller infrastruktur allerede i tilbudsfasen. Selv om anskaffelsen innebærer at det kun er enkeltpersoner hos leverandøren som skal utføre arbeid for oppdragsgiver og få tilgang til oppdragsgivers verdier i oppdragsgivers lokaler, vil dette likevel være å anse som en sikkerhetsgradert anskaffelse. Det vises til bruk av begrepet «tjeneste» i sikkerhetsloven og at arbeidet leverandørens personell skal utføre er tjenesten som anskaffes. Leverandørens mulighet til å få tilgang til oppdragsgivers verdier gjennom egne ansatte, medfører at leverandørens personell må identifiseres med leverandøren. Om leverandøren skal råde over sikkerhetsgraderte eller klassifiserte verdier i eller fra egne lokaler eller om det bare er personellet som får tilgang til sikkerhetsgraderte eller klassifiserte verdier i oppdragsgivers lokaler, vil ha betydning for hvilke og hvor omfattende krav sikkerhetsloven stiller til anskaffelsesprosessen. Dersom tilgang til aktuelle verdier skjer i eller fra leverandørens egne lokaler stilles det mer omfattende krav til innholdet i sikkerhetsavtalen enn om tilgangen skjer fra oppdragsgivers lokaler. Se mer om dette i punkt 3.