FOA — Forum for offentlige anskaffelser

Til kapitteloversikt

NSM-veileder

2.4 Tilgang til

NSM: Veileder for ivaretakelse av sikkerhet i anskaffelser · 2025-06-26

FOA-vurdering

Når tilgang til leverandøren gjør anskaffelsen sikkerhetsgradert

Kapitlet forklarer at oppdragsgiver først må avklare om leverandøren faktisk trenger tilgang til oppdragsgivers verdier for å utføre oppdraget. Tilgang omfatter både fysisk og logisk tilgang, og det er tilstrekkelig at tilgangen gir innsikt i sikkerhetsgradert informasjon eller mulighet til å endre, ødelegge, skade eller fjerne skjermingsverdig objekt eller infrastruktur. Vurderingen bygger på hvilke beskyttelseshensyn som er førende for anskaffelsen. Det får betydning for hvilke sikkerhetskrav som må gjennomføres for å sikre et forsvarlig sikkerhetsnivå. Oppdragsgiver må samtidig gjøre en realistisk vurdering av hva tilgangen faktisk åpner for. Ikke enhver tenkt mulighet er nok, men risikoen vurderes lavere eller høyere etter graden av vernede verdier og hvilke sikkerhetstiltak som allerede er innført.

Betydning for anskaffelser

Kapitlet brukes når oppdragsgiver må vurdere om en anskaffelse utløser sikkerhetsgradert anskaffelse fordi leverandøren får tilgang til verdier, systemer, bygg eller infrastruktur. Det er særlig relevant ved valg av sikkerhetskrav, vurdering av leverandørens tilgangsnivå og ved tvister om hvor langt anskaffelsen rekker sikkerhetsmessig. Teksten støtter også vurderingen av om tilgangsrisikoen er reell eller bare hypotetisk.

Sentrale kildepunkter

  • Tilgang er avgjørende for om anskaffelsen omfattes av regelverket for sikkerhetsgraderte anskaffelser.
  • Tilgang omfatter både fysisk og logisk tilgang.
  • Tilgang til sikkerhetsgradert informasjon utløser sikkerhetsgradert anskaffelse av hensyn til konfidensialitet.
  • Tilgang som kan endre, ødelegge, skade eller fjerne skjermingsverdig objekt eller infrastruktur utløser sikkerhetsgradert anskaffelse av hensyn til tilgjengelighet og/eller integritet.
  • Oppdragsgiver må kartlegge hvilke tilganger leverandøren trenger for å utføre oppdraget.
  • Vurderingen må være realistisk; ikke enhver tenkt mulighet er tilstrekkelig.
  • Sikkerhetstiltak hos oppdragsgiver inngår i vurderingen av hva tilgangen faktisk kan gi av innpass eller misbruksmuligheter.

Berørte bestemmelser

  • LOA § § 5d – Veilederen gjelder sikkerhet i anskaffelser og knytter vurderingen til om leverandørens tilgang utløser krav om sikkerhetstiltak og sikkerhetsgradert håndtering.
  • PROP. 153 L (2016–2017) § punkt 19.9 (merknad til § 9-1) – Kildeutdraget viser til denne forarbeidsuttalelsen som bakgrunn for forståelsen av tilgangsvurderingen.
Fulltekst

For å avklare om anskaffelsen er en sikkerhetsgradert anskaffelse må oppdragsgiver få klarhet i om leverandøren kan få tilgang til oppdragsgivers verdier. Det er ikke et krav om at leverandøren skal få 3 jf. Prop 153 L (2016-2017) punkt 19.9 (merknad til § 9-1). VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER tilgang for at anskaffelsen omfattes av regelverket for sikkerhetsgraderte anskaffelser. Tilgang omfatter både fysisk og logisk tilgang til oppdragsgivers verdier. En tilgang som gir leverandøren innsikt i sikkerhetsgradert informasjon medfører at anskaffelsen er sikkerhetsgradert, basert på konfidensialitetshensyn. En anskaffelse som gir tilgang som innebærer at leverandøren kan endre, ødelegge, skade eller fjerne et skjermingsverdig objekt eller infrastruktur er sikkerhetsgradert med begrunnelse i tilgjengelighets- og/eller integritetshensyn. Sonderingen mellom hvilke beskyttelseshensyn som er førende for anskaffelsen, gir seg utslag i hvilke sikkerhetskrav som må implementeres for å sikre et forsvarlig sikkerhetsnivå. Oppdragsgiver må derfor få klarhet i hvilke tilganger leverandøren må ha for å utføre sitt oppdrag, og om disse vil kunne gi tilgang til sikkerhetsgradert informasjon, skjermingsverdig objekt eller skjermingsverdig infrastruktur. Oppdragsgiver må ha kunnskap om hvilket handlingsrom en gitt tilgang gir og hvordan denne eventuelt kan misbrukes. Et eksempel på tilgang som gir mulighet for misbruk kan være anskaffelse av komponenter til et skjermingsverdig objekt eller infrastruktur, hvor komponentene kan inneholde en bakdør som kan gi tilgang til systemet på et senere tidspunkt. Dette må også sees i sammenheng med hvilke sikkerhetstiltak som er innført hos oppdragsgiver. Dersom det i et bygg ikke er innført soneinndeling med ulike tilgangsnivåer kan tilgang til bygget gi omfattende innpass til eventuelle verdier som befinner i bygget. Vurderingen av om en leverandør kan få tilgang til oppdragsgivers verdier må være realistisk, ikke enhver tenkt mulighet vil være tilstrekkelig. Risikoaksepten er lavere for høyt graderte eller klassifiserte verdier, sammenlignet med verdier som er gradert eller klassifisert på et lavere nivå.