FOA — Forum for offentlige anskaffelser

Til kapitteloversikt

NSM-veileder

3.1.1 Oppdragsgivers varslingsplikt

NSM: Veileder for ivaretakelse av sikkerhet i anskaffelser · 2025-06-26

FOA-vurdering

Varslingsplikt ved sikkerhetsrisiko i anskaffelser

Kilden forklarer når oppdragsgiver må varsle myndighetene etter en risikovurdering av anskaffelsen. Poenget er ikke at alle sikkerhetsrisikoer skal varsles, men at varsling brukes i de spesielle tilfellene der risikoen går utover det normale. Vurderingen knyttes til om leverandør eller leverandørens personell kan få mulighet til å påvirke skjermingsverdig informasjonssystem, objekt eller infrastruktur, og om dette gir en ikke ubetydelig risiko for sikkerhetstruende virksomhet. Teksten presiserer også at oppdragsgiver først skal forsøke å redusere risikoen selv. Hvis varsel likevel må sendes, skal det inneholde all relevant informasjon, og saken kan ende hos departementet, NSM eller Kongen i statsråd.

Betydning for anskaffelser

Kilden brukes når det skal avgjøres om en anskaffelse krever varsling på grunn av sikkerhetsrisiko, og hvem som skal varsles. Den er relevant for risikovurdering, beslutning om risikoreduserende tiltak, innholdet i varselet og den videre saksbehandlingen etter varsling.

Sentrale kildepunkter

  • Risikovurderingen kan utløse varsling når anskaffelsen kan brukes til sikkerhetstruende virksomhet.
  • Vurderingen gjelder også anskaffelser til skjermingsverdige informasjonssystemer.
  • Det avgjørende er om risikoen er «ikke ubetydelig» og ligger utover normal risiko.
  • Oppdragsgiver skal først håndtere risikoen selv med risikoreduserende tiltak.
  • Varsel skal omfatte all informasjon som er relevant for risikovurderingen.
  • Varsel sendes til ansvarlig sektordepartement, eller til NSM hvis virksomheten ikke er underlagt departement.
  • Oppdragsgiver skal få orientering innen 60 dager om anskaffelsen kan gjennomføres eller må behandles av Kongen i statsråd.

Berørte bestemmelser

  • SIKKERHETSLOVEN § ikke angitt i teksten – Teksten gjelder sikkerhetstruende virksomhet, skjermingsverdige informasjonssystemer, objekt og infrastruktur.
  • FORVALTNINGSMESSIG SIKKERHETSSAK § ikke angitt i teksten – Teksten beskriver varsling til departementet eller NSM og videre behandling av saken.
Fulltekst

Risikovurderingen av anskaffelsen kan danne grunnlag for varsling ved risiko for at oppdragsgivers verdier kan bli brukt til sikkerhetstruende virksomhet. Dersom en anskaffelse kan gi leverandøren eller personell hos leverandøren mulighet til å påvirke skjermingsverdig informasjonssystem, objekt eller infrastruktur, må oppdragsgiver ta stilling til om det medfører en ikke ubetydelig risiko for at verdien kan bli rammet av eller brukt til sikkerhetstruende virksomhet. 7 Plikten til å gjennomføre risikovurdering og eventuell varslingsplikt gjelder ikke utelukkende i sikkerhetsgraderte anskaffelser, men også anskaffelser til skjermingsverdige informasjonssystemer. Varsling og involvering av myndighetene er ment for spesielle situasjoner hvor risikoen vurderes å være på et nivå utover det som er normalt. I normaltilfeller skal oppdragsgiver selv, ved risikohåndtering og iverksettelse av risikoreduserende tiltak, fjerne eller redusere risikoen til et akseptabelt nivå. Varselet skal inneholde all informasjon som er relevant for å kunne ta stilling til risikoen forbundet med anskaffelsen. 8 Varsel skal sendes til ansvarlig sektordepartement, eller NSM dersom virksomheten ikke er underlagt noe departement. Oppdragsgiver skal innen 60 dager fra varselet er mottatt få orientering om anskaffelsen kan gjennomføres eller om saken må behandles av Kongen i statsråd.