FOA — Forum for offentlige anskaffelser

Til kapitteloversikt

NSM-veileder

3.1 Risikovurdering

NSM: Veileder for ivaretakelse av sikkerhet i anskaffelser · 2025-06-26

FOA-vurdering

Risikovurdering ved sikkerhet i anskaffelser

Veilederen sier at oppdragsgiver skal risikovurdere anskaffelsen for å avklare hvilke sikkerhetsbehov som finnes og hvilke tiltak som må settes i verk. Vurderingen skal omfatte alle sikkerhetsrelevante forhold, blant annet hvilke verdier leveransen kan gi tilgang til, og hvilken betydning disse har for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser. Teksten understreker at oppdragsgiver også må kartlegge trusler, sårbarheter og endringer underveis i anskaffelsen. Risikovurderingen er derfor ikke bare et innledende dokument, men et grunnlag som må oppdateres hvis verdier, sårbarhet eller trusselbilde endrer seg. Veilederen peker videre på at leverandørvalg må vurderes opp mot forsvarlig sikkerhetsnivå, leverandøravhengighet og samlet informasjonsmengde hos leverandøren. Den viser også til at det skal finnes dokumentasjon som gjør vurderingen etterprøvbar, og at oppdragsgiver i sikkerhetsgraderte anskaffelser skal ha oversikt over leverandører og underleverandører.

Betydning for anskaffelser

Brukes når anskaffelsen har sikkerhetsrelevante sider og oppdragsgiver må avgjøre hvilke sikkerhetstiltak, leverandørvalg og kontrollrutiner som kreves. Kilden er relevant ved vurdering av leverandøravhengighet, sikkerhetsgradert anskaffelse, behov for ny risikovurdering underveis og dokumentasjonskrav ved intern eller ekstern kontroll.

Sentrale kildepunkter

  • Oppdragsgiver skal risikovurdere anskaffelsen for å avklare sikkerhetsbehov og nødvendige tiltak.
  • Risikovurderingen skal omfatte alle sikkerhetsrelevante forhold ved anskaffelsen.
  • Vurderingen skal beskrive hvilke verdier leveransen kan gi tilgang til, og hvilken betydning verdiene har for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser.
  • Trusler og sårbarheter skal identifiseres for å avklare risiko og håndtering.
  • Det skal finnes dokumentasjon av risikovurderingene slik at de er etterprøvbare for intern og ekstern kontroll.
  • Endringer i verdi, sårbarhet eller trusselbildet underveis kan utløse behov for ny risikovurdering.
  • Før leverandør velges, må oppdragsgiver vurdere om leverandøren kan komme i konflikt med plikten til å ivareta et forsvarlig sikkerhetsnivå.
  • Oppdragsgiver må se på samlet informasjonsmengde, tidligere og fremtidige leveranser, og avhengigheter til enkeltleverandører eller leverandører fra samme land eller områder.

Berørte bestemmelser

  • SIKKL § § 4-2 første ledd – Teksten viser til bestemmelsen som grunnlag for kravet om risikovurdering og sikkerhetstiltak.
  • SIKKL § § 4-3 første ledd – Teksten viser til bestemmelsen som del av hjemmelsgrunnlaget for risikovurderingen.
  • VIRKSOMHETSIKKERHETSFORSKRIFTEN § § 12 tredje ledd – Teksten viser til dokumentasjon av gjennomførte risikovurderinger og etterprøvbarhet.
  • VIRKSOMHETSIKKERHETSFORSKRIFTEN § § 86 – Teksten viser til plikt til oversikt over anskaffelser, leverandører og leverandørkjeden i sikkerhetsgraderte anskaffelser.
Fulltekst

Oppdragsgiver skal gjennomføre en risikovurdering av anskaffelsen med sikte på å avklare hvilke sikkerhetsbehov som gjør seg gjeldende og hvilke sikkerhetstiltak det er nødvendig å iverksette. 4 Det er viktig at risikovurderingene tar for seg alle sikkerhetsrelevante forhold ved anskaffelsen. Risikovurderingen må inneholde informasjon om hvilke av oppdragsgivers verdier anskaffelsen kan gi tilgang til og hvilken betydning disse verdiene har for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser. I risikovurderingen må virksomheten også identifisere relevante trusler og avdekke mulige sårbarheter, for å avklare risiko i anskaffelsen og hvordan denne skal håndteres. Det må sikres dokumentasjon 4 Jf. sikkl § 4-2 første ledd, jf. 4-3 første ledd, jf. virksomhetsikkerhetsforskriften § 12, tredje ledd. VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER med gjennomførte risikovurderinger, slik at de er etterprøvbare både for intern og ekstern kontroll. 5

I trefaktormodellen er risiko et forhold mellom verdi, trusler og sårbarhet. Kilde: NSM.

Anskaffelser kan være komplekse, langvarige og det kan skje endringer knyttet til verdi, sårbarhet og trussel underveis. Det må fortløpende tas stilling til endringer som kan påvirke vurderingen av beskyttelsesbehovet og aktuelle sikkerhetstiltak, og om det er behov for gjennomføring av en ny risikovurdering.

I forkant av at leverandør velges til en anskaffelse må oppdragsgiver avklare om bruk av den

konkrete leverandøren kan komme i konflikt med oppdragsgivers plikt til å ivareta et forsvarlig sikkerhetsnivå i anskaffelsen. Det må sees i sammenheng sikkerhetskravene som er oppstilt for anskaffelsen. Videre må oppdragsgiver se hen til tidligere og fremtidige leveranser, og den samlede informasjonsmengden en leverandør kan bli sittende med. Dersom samme virksomhet benyttes som leverandør i flere anskaffelser, kan leverandøren få en oversikt over oppdragivers verdier som samlet sett innebærer at anskaffelsen må gjennomføres som en sikkerhetsgradert anskaffelse. Omfattende bruk av enkeltleverandører eller bruk av leverandører fra samme land eller områder kan i tillegg medføre avhengigheter som kan være uheldig i et sikkerhet- og beredskapsperspektiv. Det vises blant annet til risikoen for at noen aktører kan få stor innflytelse over eller omfattende innsikt i norske verdikjeder. For virksomheter som har sentrale roller i og som må opprettholde leveranser i alle deler av krisespennet, er det spesielt viktig å være oppmerksom på hvilke avhengighetsforhold man har til hvilke aktører. Det er uheldig om man gjør seg helt avhengig av leveranser fra virksomheter eller nasjoner som det er risiko for at kan bli utilgjengelig ved en eskalering i krisespennet eller andre geopolitiske endringer. Nasjonal sikkerhet skal ivaretas i fred, krise og krig. For å redusere risikoen for at man gjør seg for avhengig av enkeltaktører eller at uønskede aktører får innpass i leverandørkjeder, er det viktig at oppdragsgiver har god oversikt over anskaffelser i sin virksomhet og hvilke leverandører de benytter i ulike prosesser. Det omfatter også oversikt over bruk av underleverandører og leverandørkjeden i sin helhet. I sikkerhetsgraderte anskaffelser er oppdragsgiver pålagt å holde slik oversikt. 6 5 Se gjerne hen til anerkjente standarder for gjennomføring av risikovurderinger. 6 Jf. virksomhetsikkerhetsforskriften § 86. VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER