1 Innledning
Veilederen gir en innføring i krav som stilles til anskaffelser etter sikkerhetsloven. Veilederen er
relevant for alle virksomheter som er underlagt sikkerhetsloven og er skrevet for fagmiljø som
planlegger og gjennomfører sikkerhetsrelevante anskaffelser.
Aktuelle bestemmelser for anskaffelser etter sikkerhetsloven (sikkl) fremgår av kapittel 9 og § 1-2
annet ledd. I forskrift om virksomheters arbeid med forebyggende sikkerhet
(virksomhetsikkerhetsforskriften) er det § 18 og kapittel 13 og som regulerer sikkerhet i anskaffelser
og sikkerhetsgraderte anskaffelser. Klareringsforskriften kapittel 4 inneholder relevante
bestemmelser for leverandørklarering. Veilederen avgrenses mot generelle anskaffelsesprosedyrer
og anskaffelser som følger annen særlovgivning. I punkt 4 vil det helt kort bli redegjort for forholdet
mellom sikkerhetsloven og anskaffelsesregelverket.
NSM anbefaler å se veilederen i sammenheng med annet veiledningsmateriale NSM har utarbeidet,
blant annet knyttet til gjennomføring av verdi- og skadevurdering, risikostyring og personellsikkerhet.
Det vil også være hensiktsmessig å se veilederen i sammenheng med de årlige trussel- og
risikovurderingene som utgis av Politiets sikkerhetstjeneste, Etterretningstjenesten og NSM.
På NSM sine nettsider publiseres det skjema og maler som virksomheter kan benytte når de
gjennomfører sikkerhetsgraderte anskaffelser. Det presiseres at slike skjemaer og maler bør
tilpasses de konkrete anskaffelsene de benyttes i.
2.1 Kompetanse
En forutsetning for å gjennomføre gode og dekkende vurderinger av hvilke behov som gjør seg
gjeldende i den enkelte anskaffelse og tilrettelegge prosessen best mulig, er at oppdragsgiver sikrer
riktig kompetanse inn i anskaffelsesprosessene. Det kreves både kunnskap om, og kompetanse på,
gjennomføring av anskaffelser og ivaretakelse av helhetlig sikkerhet. Videre er det nødvendig med
avtalekompetanse for å sikre godt utarbeidede kontrakter som ivaretar sikkerhet og oppdragsgivers
behov for kontroll i hele prosessen. Involvering av brukere av det som anskaffes kan også bidra
positivt i arbeidet med å ivareta sikkerhetshensyn og implementere riktige sikkerhetstiltak.
2.2.1 Fremtidige verdier
Anskaffelser kan knytte seg til utvikling eller produksjon av produkter eller etablering av objekter,
som man på forhånd ikke vet verdien til. Et eksempel på dette kan være oppføring av et bygg eller
utvikling av et informasjonssystem som på sikt kan komme til å bli utpekt som skjermingsverdig. Det
kan også tenkes tilfeller hvor det er behov for konfidensialitet i tilknytning til teknologien som er
benyttet for å utvikle noe, eller hvordan noe er bygd opp. I tilfellene der det på forhånd ikke er
avgjort hvilken verdi noe vil få, må anskaffelsen gjennomføres med utgangspunkt i antatt fremtidig
verdi basert på vurderinger av mulig skadepotensial for grunnleggende nasjonale funksjoner eller
nasjonale sikkerhetsinteresser.
Det kan være utfordrende å gjennomføre vurderinger av hvilken verdi og beskyttelsesbehov noe vil
kunne komme til å få i fremtiden. Oppdragsgiver må etter beste evne gjennomføre kvalifiserte
vurderinger av hvilken betydning noe som tilvirkes kan få for grunnleggende nasjonale funksjoner
eller nasjonale sikkerhetsinteresser, herunder potensielt skadepotensial ved bortfall av
konfidensialitet, tilgjengelighet eller integritet. Videre må oppdragsgiver må ha oversikt over
VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER
virksomhetens samlede aktiviteter og verdier, og evne å se dette i sammenheng. Hvordan lignende
verdier har blitt vurdert tidligere eller hvordan tilsvarende anskaffelsesprosesser har blitt
gjennomført, både internt og eksternt, kan være nyttig å se hen til. Vurderingene må inkludere
tilgjengelig og oppdatert informasjon om aktuelle sårbarheter og trusler. Oppdragsgiver bør
fortløpende gjennomføre vurderinger ved endringer i verdi, trussel og sårbarhet.
At endelig verdi ikke er avklart avskjærer ikke muligheten for å gjennomføre anskaffelsen som en
sikkerhetsgradert anskaffelse, da sikkerhetsloven ikke stiller krav om leverandøren skal få tilgang til
sikkerhetsgradert informasjon eller skjermingsverdig objekt eller infrastruktur. Hvilke sikkerhetstiltak
som stilles til tilbydere eller valgte leverandører kan imidlertid ikke basere seg på urealistiske
antagelser om at noe på sikt vil bli gradert eller klassifisert på et gitt nivå. Krav om nødvendighet og
forholdsmessighet vil begrense oppdragsgivers handlingsrom. Noen sikkerhetstiltak er mer
inngripende enn andre og vil kreve at oppdragsgiver er mer sikker på fremtidig verdi for å kunne
iverksettes, eksempelvis leverandørklarering. Dersom det er stor usikkerhet omkring fremtidig verdi
og ønskede sikkerhetskrav ikke kan implementeres i anskaffelsesprosessen, må oppdragsgiver
vurdere om det kan være andre egnede tiltak som kan ivareta sikkerheten i anskaffelsen.
Eksempler på dette gis i punkt 4 i veilederen.
En anskaffelse som ikke var sikkerhetsgradert ved kontraktsinngåelse, men som i ettertid endrer
karakter og som medfører at leverandøren kan få tilgang til sikkerhetsgradert informasjon,
skjermingsverdig objekt eller infrastruktur, må oppfylle de krav som stilles til sikkerhetsgraderte
anskaffelser.
2.2 Oppdragsgivers verdier
Oppdragsgiver må avklare hvilke verdier anskaffelsen kan gi tilgang til og hvilken betydning disse
har for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser. Det er kun tilgang
til sikkerhetsgradert informasjon, skjermingsverdig objekt og skjermingsverdig infrastruktur som kan
gjøre en anskaffelse sikkerhetsgradert.
Sikkerhetsgradert informasjon er informasjon som må beskyttes fordi det kan skade nasjonale
sikkerhetsinteresser om den blir kjent for uvedkommende. Det er virksomheten som tilvirker
informasjonen som er ansvarlig for å vurdere skadepotensial og sikkerhetsgradere informasjonen
på riktig nivå.
Objekter og infrastruktur er skjermingsverdig dersom det kan skade grunnleggende nasjonale
funksjoner eller nasjonale sikkerhetsinteresser om de får redusert funksjonalitet eller om de blir
utsatt for skadeverk, ødeleggelse eller rettstridig overtakelse. Det er ansvarlig sektordepartementet
som utpeker og klassifiserer slike verdier.
2.3 Leverandør
Leverandørbegrepet i sikkerhetsgraderte anskaffelser omfatter både hoved- og underleverandører.3
Tilbydere vil også være omfattet av begrepet dersom det skal gis tilgang til sikkerhetsgradert
informasjon, skjermingsverdig objekt eller infrastruktur allerede i tilbudsfasen.
Selv om anskaffelsen innebærer at det kun er enkeltpersoner hos leverandøren som skal utføre
arbeid for oppdragsgiver og få tilgang til oppdragsgivers verdier i oppdragsgivers lokaler, vil dette
likevel være å anse som en sikkerhetsgradert anskaffelse. Det vises til bruk av begrepet «tjeneste» i
sikkerhetsloven og at arbeidet leverandørens personell skal utføre er tjenesten som anskaffes.
Leverandørens mulighet til å få tilgang til oppdragsgivers verdier gjennom egne ansatte, medfører at
leverandørens personell må identifiseres med leverandøren.
Om leverandøren skal råde over sikkerhetsgraderte eller klassifiserte verdier i eller fra egne lokaler
eller om det bare er personellet som får tilgang til sikkerhetsgraderte eller klassifiserte verdier i
oppdragsgivers lokaler, vil ha betydning for hvilke og hvor omfattende krav sikkerhetsloven stiller til
anskaffelsesprosessen. Dersom tilgang til aktuelle verdier skjer i eller fra leverandørens egne
lokaler stilles det mer omfattende krav til innholdet i sikkerhetsavtalen enn om tilgangen skjer fra
oppdragsgivers lokaler. Se mer om dette i punkt 3.
2.4 Tilgang til
For å avklare om anskaffelsen er en sikkerhetsgradert anskaffelse må oppdragsgiver få klarhet i om
leverandøren kan få tilgang til oppdragsgivers verdier. Det er ikke et krav om at leverandøren skal få
3 jf. Prop 153 L (2016-2017) punkt 19.9 (merknad til § 9-1).
VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER
tilgang for at anskaffelsen omfattes av regelverket for sikkerhetsgraderte anskaffelser. Tilgang
omfatter både fysisk og logisk tilgang til oppdragsgivers verdier.
En tilgang som gir leverandøren innsikt i sikkerhetsgradert informasjon medfører at anskaffelsen er
sikkerhetsgradert, basert på konfidensialitetshensyn. En anskaffelse som gir tilgang som innebærer
at leverandøren kan endre, ødelegge, skade eller fjerne et skjermingsverdig objekt eller infrastruktur
er sikkerhetsgradert med begrunnelse i tilgjengelighets- og/eller integritetshensyn. Sonderingen
mellom hvilke beskyttelseshensyn som er førende for anskaffelsen, gir seg utslag i hvilke
sikkerhetskrav som må implementeres for å sikre et forsvarlig sikkerhetsnivå.
Oppdragsgiver må derfor få klarhet i hvilke tilganger leverandøren må ha for å utføre sitt oppdrag,
og om disse vil kunne gi tilgang til sikkerhetsgradert informasjon, skjermingsverdig objekt eller
skjermingsverdig infrastruktur. Oppdragsgiver må ha kunnskap om hvilket handlingsrom en gitt
tilgang gir og hvordan denne eventuelt kan misbrukes. Et eksempel på tilgang som gir mulighet for
misbruk kan være anskaffelse av komponenter til et skjermingsverdig objekt eller infrastruktur, hvor
komponentene kan inneholde en bakdør som kan gi tilgang til systemet på et senere tidspunkt.
Dette må også sees i sammenheng med hvilke sikkerhetstiltak som er innført hos oppdragsgiver.
Dersom det i et bygg ikke er innført soneinndeling med ulike tilgangsnivåer kan tilgang til bygget gi
omfattende innpass til eventuelle verdier som befinner i bygget.
Vurderingen av om en leverandør kan få tilgang til oppdragsgivers verdier må være realistisk, ikke
enhver tenkt mulighet vil være tilstrekkelig. Risikoaksepten er lavere for høyt graderte eller
klassifiserte verdier, sammenlignet med verdier som er gradert eller klassifisert på et lavere nivå.
2 Vurdering av om en anskaffelse er
sikkerhetsgradert
En sikkerhetsgradert anskaffelse er en anskaffelse hvor en leverandør av varer eller tjenester kan få
tilgang til eller tilvirker sikkerhetsgradert informasjon, eller hvor leverandøren kan få tilgang til
skjermingsverdig objekt eller infrastruktur.1 Slike verdier har betydning for grunnleggende nasjonale
funksjoner eller nasjonale sikkerhetsinteresser og det stilles derfor strengere krav til
gjennomføringen av sikkerhetsgraderte anskaffelser enn for ordinære anskaffelser.
Formålet med reglene om sikkerhetsgraderte anskaffelser er å sikre at leverandøren eller personell
fra leverandøren oppfyller de samme krav til sikkerhet som gjelder for oppdragsgiver eller
oppdragsgivers personell. Oppdragsgiver er ansvarlig for å ivareta et forsvarlig sikkerhetsnivå i alle
deler av egen virksomhet, også for aktivitet som utføres av andre gjennom anskaffelse av varer og
tjenester. Leverandører og underleverandører til sikkerhetsgraderte anskaffelser underlegges derfor
sikkerhetsloven og må overholde krav til forebyggende sikkerhetsarbeid.2 Det bemerkes at krav til
forsvarlig sikkerhetsnivå og aktuelle sikkerhetstiltak hos leverandøren må tilpasses ut fra faktiske
behov i og krav til anskaffelsen. Det er kun de deler av sikkerhetsloven som er relevant for
anskaffelsen som leverandøren må forholde seg til. Dersom leverandøren eksempelvis får tilgang til
sikkerhetsgradert informasjon, må leverandøren blant annet forholde seg til krav knyttet til
informasjons- og personellsikkerhet.
1 Jf. sikkl § 9-1, jf. §§ 5-3 og 7-1.
2 Jf. sikkl § 1-2 annet ledd, jf. kapittel 4.
VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER
Selv om oppdragsgiver konkluderer med at det ikke er en sikkerhetsgradert anskaffelse, er det viktig
å være oppmerksom på at dette kan endre seg underveis i anskaffelsesprosessen. Anskaffelser kan
være komplekse, langvarige og det kan skje endringer knyttet til verdi, sårbarhet og trussel
underveis. Det må fortløpende tas stilling til endringer som kan påvirke vurderingen av hvordan
anskaffelsen må gjennomføres og om regelverket for sikkerhetsgraderte anskaffelser kommer til
anvendelse.
3.1.1 Oppdragsgivers varslingsplikt
Risikovurderingen av anskaffelsen kan danne grunnlag for varsling ved risiko for at
oppdragsgivers verdier kan bli brukt til sikkerhetstruende virksomhet. Dersom en anskaffelse
kan gi leverandøren eller personell hos leverandøren mulighet til å påvirke skjermingsverdig
informasjonssystem, objekt eller infrastruktur, må oppdragsgiver ta stilling til om det medfører
en ikke ubetydelig risiko for at verdien kan bli rammet av eller brukt til sikkerhetstruende
virksomhet. 7 Plikten til å gjennomføre risikovurdering og eventuell varslingsplikt gjelder ikke
utelukkende i sikkerhetsgraderte anskaffelser, men også anskaffelser til skjermingsverdige
informasjonssystemer.
Varsling og involvering av myndighetene er ment for spesielle situasjoner hvor risikoen
vurderes å være på et nivå utover det som er normalt. I normaltilfeller skal oppdragsgiver
selv, ved risikohåndtering og iverksettelse av risikoreduserende tiltak, fjerne eller redusere
risikoen til et akseptabelt nivå.
Varselet skal inneholde all informasjon som er relevant for å kunne ta stilling til risikoen
forbundet med anskaffelsen. 8 Varsel skal sendes til ansvarlig sektordepartement, eller NSM
dersom virksomheten ikke er underlagt noe departement. Oppdragsgiver skal innen 60 dager
fra varselet er mottatt få orientering om anskaffelsen kan gjennomføres eller om saken må
behandles av Kongen i statsråd.
3.1 Risikovurdering
Oppdragsgiver skal gjennomføre en risikovurdering av anskaffelsen med sikte på å avklare
hvilke sikkerhetsbehov som gjør seg gjeldende og hvilke sikkerhetstiltak det er nødvendig å
iverksette. 4 Det er viktig at risikovurderingene tar for seg alle sikkerhetsrelevante forhold ved
anskaffelsen. Risikovurderingen må inneholde informasjon om hvilke av oppdragsgivers
verdier anskaffelsen kan gi tilgang til og hvilken betydning disse verdiene har for
grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser. I risikovurderingen
må virksomheten også identifisere relevante trusler og avdekke mulige sårbarheter, for å
avklare risiko i anskaffelsen og hvordan denne skal håndteres. Det må sikres dokumentasjon
4 Jf. sikkl § 4-2 første ledd, jf. 4-3 første ledd, jf. virksomhetsikkerhetsforskriften § 12, tredje ledd.
VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER
med gjennomførte risikovurderinger, slik at de er etterprøvbare både for intern og ekstern
kontroll. 5
I trefaktormodellen er risiko et forhold mellom verdi, trusler og sårbarhet. Kilde: NSM.
Anskaffelser kan være komplekse, langvarige og det kan skje endringer knyttet til verdi, sårbarhet
og trussel underveis. Det må fortløpende tas stilling til endringer som kan påvirke vurderingen av
beskyttelsesbehovet og aktuelle sikkerhetstiltak, og om det er behov for gjennomføring av en ny
risikovurdering.
I forkant av at leverandør velges til en anskaffelse må oppdragsgiver avklare om bruk av den
konkrete leverandøren kan komme i konflikt med oppdragsgivers plikt til å ivareta et forsvarlig
sikkerhetsnivå i anskaffelsen. Det må sees i sammenheng sikkerhetskravene som er oppstilt for
anskaffelsen. Videre må oppdragsgiver se hen til tidligere og fremtidige leveranser, og den samlede
informasjonsmengden en leverandør kan bli sittende med. Dersom samme virksomhet benyttes
som leverandør i flere anskaffelser, kan leverandøren få en oversikt over oppdragivers verdier som
samlet sett innebærer at anskaffelsen må gjennomføres som en sikkerhetsgradert anskaffelse.
Omfattende bruk av enkeltleverandører eller bruk av leverandører fra samme land eller områder kan
i tillegg medføre avhengigheter som kan være uheldig i et sikkerhet- og beredskapsperspektiv. Det
vises blant annet til risikoen for at noen aktører kan få stor innflytelse over eller omfattende innsikt i
norske verdikjeder. For virksomheter som har sentrale roller i og som må opprettholde leveranser i
alle deler av krisespennet, er det spesielt viktig å være oppmerksom på hvilke avhengighetsforhold
man har til hvilke aktører. Det er uheldig om man gjør seg helt avhengig av leveranser fra
virksomheter eller nasjoner som det er risiko for at kan bli utilgjengelig ved en eskalering i
krisespennet eller andre geopolitiske endringer. Nasjonal sikkerhet skal ivaretas i fred, krise og krig.
For å redusere risikoen for at man gjør seg for avhengig av enkeltaktører eller at uønskede aktører
får innpass i leverandørkjeder, er det viktig at oppdragsgiver har god oversikt over anskaffelser i sin
virksomhet og hvilke leverandører de benytter i ulike prosesser. Det omfatter også oversikt over
bruk av underleverandører og leverandørkjeden i sin helhet. I sikkerhetsgraderte anskaffelser er
oppdragsgiver pålagt å holde slik oversikt. 6
5 Se gjerne hen til anerkjente standarder for gjennomføring av risikovurderinger.
6 Jf. virksomhetsikkerhetsforskriften § 86.
VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER
3.2 Sikkerhetskrav i konkurransegrunnlaget
Konkurransegrunnlaget bør utarbeides med utgangspunkt i gjennomført risikovurdering og de
sikkerhetshensyn som gjør seg gjeldende. Selv om leverandører til sikkerhetsgraderte anskaffelser
underlegges sikkerhetsloven og plikter å overholde krav til forebyggende sikkerhetsarbeid, kan det
være hensiktsmessig at det tas inn informasjon om dette i konkurransegrunnlaget for å tydeliggjøre
rammene for anskaffelsen.
Videre anbefales det at konkurransegrunnlaget inneholder informasjon om spesifikke sikkerhetskrav
og -kriterier som gjelder for den konkrete anskaffelsen, såfremt det er informasjon som kan deles.
Krav kan knytte seg til tiltak for informasjons-, informasjonssystems-. objekt-, infrastruktur- eller
personellsikkerhet. I en sikkerhetsgradert anskaffelse skal det som hovedregel inngås en
sikkerhetsavtale mellom oppdragsgiver og leverandør, og da bør det fremgå av
konkurransegrunnlaget at det vil stilles krav til inngåelse av en slik avtale. Det vises også til de
særskilte krav som gjelder for å kunne godkjenne utenlandske leverandører, herunder at NSM må
godkjenne disse før det kan inngås en sikkerhetsavtale.9
Dersom det etter regelverket stilles krav om at personell og/eller leverandøren må klareres, bør det
informeres om i konkurransegrunnlaget da det ikke er gitt at det vil være mulig å oppfylle for alle
leverandører.
Der det fremtidige beskyttelsesbehovet ikke er endelig avklart, bør det tas forbehold om at det kan
bli aktuelt å stille ytterligere krav til sikkerhet og hvilke tiltak det kan omfatte.
7 Jf. sikkerhetsloven § 9-4, jf. presisering i virksomhetsikkerhetsforskriften § 18 første ledd.
8 Se virksomhetsikkerhetsforskriften § 19 første ledd.
9 Se sikkerhetsloven § 9-2 første ledd, annet punktum.
VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER
Oppdragsgiver bør unngå å inkludere sikkerhetsgradert informasjon i konkurransegrunnlaget, da
tilbydere må autoriseres og eventuelt klareres for å få tilgang til informasjonen. I tillegg vil dette
medføre at oppdragsgiver som hovedregel må inngå en sikkerhetsavtale med leverandør allerede
på dette tidspunktet i anskaffelsen. For å unngå unødig spredning av sikkerhetsgradert informasjon
og iverksettelse av inngripende og potensielt tidkrevende klareringsprosesser, bør oppdragsgiver
derfor være restriktiv med deling av sikkerhetsgradert informasjon på dette stadiet i
anskaffelsesprosessen. Dersom det likevel er nødvendig å dele sikkerhetsgradert informasjon bør
tilgang primært gis i oppdragsgivers lokaler, for å begrense behovet for å gjennomføre
leverandørklareringer og eventuelle investeringer i sikkerhetstiltak for virksomhetene på dette
stadiet.
3.3.1 Unntak fra krav om sikkerhetsavtale
Dersom leverandørens personell kun får tilgang til sikkerhetsgradert informasjon, skjermingsverdige
objekter eller infrastruktur under oppsyn av en representant fra oppdragsgiver, kreves det ikke
sikkerhetsavtale. I slike tilfeller kan det inntas en bestemmelse i kontrakten med leverandøren som
beskriver ordningen. 12
At personell skal holdes «under oppsyn» kan skje både ved fysisk og logisk kontroll. Som
eksempler nevnes ledsagelse, tilgangsbegrensninger og/eller overvåkning i virksomhetens
informasjonssystemer. 13 At personellet holdes under oppsyn innebærer at oppdragsgiver til enhver
tid må ha kontroll med hvor leverandørens personell befinner seg og/eller hva disse gjør. En
tilfredsstillende kontroll forutsetter at de som gjennomfører denne har tilstrekkelig kompetanse til å
forstå hvordan gitt tilgang skal brukes og avdekke om det skjer avvik fra dette. All tilgang som kan
misbrukes på en måte som kan skade grunnleggende nasjonale funksjoner eller nasjonale
sikkerhetsinteresser bør kunne kontrolleres av oppdragsgiver. Dersom dette er en risiko ved
anskaffelsen må oppdragsgiver sikre nødvendig grad av oppsyn med leverandørens
arbeidsutførelse. Terskelen er derfor høy for å gjøre unntak fra kravet om sikkerhetsavtale.
At personellet må holdes under oppsyn gjelder uavhengig av om de aktuelle personene er klarert og
autorisert for tilgang på aktuelle nivåer. Skal personellet ha selvstendig tilgang er det krav om at det
inngås en sikkerhetsavtale.
Det kan være hensiktsmessig å konkretisere de sikkerhetsmessige aspektene ved anskaffelsen i
kontrakten med leverandøren, selv om det er anledning til å gjøre unntak fra kravet om
sikkerhetsavtale. Det sentrale er at alle parter er omforent om og kjent med hvordan anskaffelsen
skal utføres i tråd med aktuelle sikkerhetskrav.
3.3 Sikkerhetsavtale
Sikkerhetsavtale skal som hovedregel inngås i alle sikkerhetsgraderte anskaffelser. 10 Det gjelder
også sikkerhetsgraderte anskaffelser hvor både oppdragsgiver og leverandør er offentlige
virksomheter. Formålet med en sikkerhetsavtale er å tydeliggjøre og konkretisere krav
sikkerhetsloven og tilhørende forskrifter stiller til oppdragsgiver og leverandør for å ivareta et
forsvarlig sikkerhetsnivå i anskaffelsen. I tillegg skal avtalen sikre en omforent forståelse av roller og
ansvar i det forebyggende sikkerhetsarbeidet.
Sikkerhetsavtalen skal inngås før leverandøren får tilgang til sikkerhetsgradert informasjon eller
utpekte og klassifiserte verdier. Dersom man underveis i anskaffelsesprosessen ser at det er behov
for mer eller mindre omfattende sikkerhetskrav, må sikkerhetsavtalen oppdateres slik at den
reflekterer de til enhver tid gjeldende krav for anskaffelsen. Sikkerhetsavtalen skal også oppdateres
dersom det skjer andre endringer av betydning for ivaretakelse av et forsvarlig sikkerhetsnivå.
Behovet for fortløpende vurdering av risiko gjør seg dermed gjeldende før, under og etter at kontrakt
er inngått. Kontrakten mellom oppdragsgiver og leverandør bør derfor regulere hvilket handlingsrom
oppdragsgiver har til å gjøre endringer i sikkerhetskrav og hvem som skal bære ansvaret for
tilleggskostnader som følge av endrede sikkerhetskrav.
Omfanget av sikkerhetsavtalen må ta utgangspunkt i hva som skal anskaffes, hvem som kan få
tilgang til oppdragsgivers verdier og hvor tilgangen skal skje fra. 11 Sikkerhetsavtalen skal alltid
inneholde informasjon om hvilken sikkerhetsgrad anskaffelsen skal ha, spesifisert for hver del av
oppdraget, og hvordan leverandøren skal forholde seg til de av lovens krav som gjelder for
anskaffelsen. I anskaffelser hvor personell fra leverandøren kun får tilgang til aktuelle verdier hos
oppdragsgiver, vil det være hensiktsmessig å innta informasjon om hvilket personell som skal
klareres, for hva og hvordan disse skal følges opp. Oppdragsgiver må vurdere konkret hva det er
behov for å regulere i sikkerhetsavtalen, og om det er nødvendig å innta elementer utover det som
regelverket oppstiller krav om for å oppnå formålet med inngåelse av en sikkerhetsavtale.
For å sikre oppdragsgiver nødvendig oversikt over leverandørkjeden og involverte aktører, kan det
være hensiktsmessig at det i sikkerhetsavtalen inkluderes varslingsplikt ved endringer i eierskap og
eierskapsstruktur hos leverandøren. Det vises til at leverandører til sikkerhetsgraderte anskaffelser
uten leverandørklarering ikke er pålagt noen slik varslingsplikt i regelverket.
10 Jf. sikkl § 9-2 første ledd.
11 Jf. sikkl § 9-2 annet ledd for minimumskrav til innholdet i sikkerhetsavtalen og virksomhetsikkerhetsforskriften § 80 for
krav i de tilfeller hvor leverandøren skal få tilgang fra egne lokaler.
VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER
Dersom underleverandører har behov for tilgang til sikkerhetsgradert informasjon, skjermingsverdig
objekt eller infrastruktur, må oppdragsgiver inngå sikkerhetsavtale med hver enkelt av disse.
Hovedleverandør har ikke anledning til å gi tilgang til slike verdier uten at det er godkjent av
oppdragsgiver. Hovedleverandøren må derfor holde oppdragsgiver forløpende orientert om
endringer knyttet til bruk av underleverandører. Det bør inntas krav om dette i sikkerhetsavtalen
mellom oppdragsgiver og leverandør.
En sikkerhetsavtale må ikke utformes som et selvstendig avtaledokument og kan inntas i det
ordinære avtaledokumentet for anskaffelsen, dersom det er hensiktsmessig.
3.4.1 Krav om leverandørklarering
I følgende tilfeller er det nødvendig med leverandørklarering: 15
• Leverandøren skal ha tilgang til eller oppbevare informasjon gradert KONFIDENSIELT eller
høyere i egne informasjonssystemer eller lokaler.
• Leverandøren skal ha elektronisk tilgang til objekt eller infrastruktur klassifisert KRITISK eller
MEGET KRITISK fra egne informasjonssystemer eller lokaler.
• Leverandøren skal råde over objekter eller infrastruktur som tilhører oppdragsgiver, og som er
klassifisert KRITISK eller MEGET KRITISK.
Begrepet «råde over» skal forstås som de tilfeller hvor leverandøren har objektet eller
infrastrukturen i sin besittelse, og omfatter både fysisk og elektronisk rådighet. 16 I tilfeller hvor
leverandøren har «elektronisk tilgang» fra egne informasjonssystemer eller lokaler, kan
leverandøren i noen tilfeller også «råde over» objektet eller infrastrukturen. Hvorvidt tilgangen faller
inn under andre eller tredje kulepunkt er imidlertid ikke avgjørende for om det kreves
leverandørklarering.
14 Se sikkl § 9-3 jf. klareringsforskriften kapittel 4
15 Jf. sikkl § 9-3 første ledd, jf. virksomhetsikkerhetsforskriften § 83.
16 Jf. høringsnotat til forslag til forskrifter til ny sikkerhetslov (02.07.2018), punkt 7.11.5.
VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER
Virksomheter underlagt loven som følge av at de er offentlige organer eller fordi det er fattet vedtak
om at loven skal gjelde for dem, 17 skal ikke leverandørklareres når de er leverandører til
sikkerhetsgraderte anskaffelser. I disse tilfellene er det kun behov for sikkerhetsavtale.
3.4.2 Andre tilfeller hvor leverandørklarering kan være aktuelt
Utover de opplistede tilfellene hvor det kreves leverandørklarering, må det vurderes konkret om
tiltaket er nødvendig. I vurderingen vil det være relevant å se hen til hvilke verdier anskaffelsen
knytter seg til, verdienes betydning for grunnleggende nasjonale funksjoner eller nasjonale
sikkerhetsinteresser, hvem som får tilgang og hvor tilgangen skjer fra. Under følger eksempler på
tilfeller hvor leverandørklarering kan være nødvendig for å ivareta et forsvarlig sikkerhetsnivå i
anskaffelsen:
• I anskaffelser hvor endelig verdi ikke er avklart, eller det er sannsynlig at skadepotensialet ved
bortfall i fremtiden vil øke (se punkt 2.2.1). Terskelen vil imidlertid være høy i slike tilfeller og
det vil stilles strenge krav til nødvendigheten av tiltaket.
• I tilfeller hvor tilgang til verdier bare skjer hos oppdragsgiver kan det være behov for
leverandørklarering om verdiene er høyt gradert eller klassifisert og har et særlig
beskyttelsesbehov.
• Dersom en leverandør benyttes inn i flere sikkerhetsgraderte anskaffelser kan den totale
oversikten leverandøren får over skjermingsverdige verdier bli svært omfattende. Mengden
informasjon kan tilsi at det er behov for en større grad av kontroll med leverandøren og dens
sikkerhetsmessige skikkethet.
• Det kan videre være behov for leverandørklarering ved tilgang til objekter og infrastruktur
klassifisert på lavere nivå (VIKTIG). Som eksempel vises det til objekter og infrastruktur som i
utgangspunktet har stor betydning for grunnleggende nasjonale funksjoner eller nasjonale
sikkerhetsinteresser, men som er klassifisert på et lavere nivå grunnet høy grad av redundans
og/eller reparasjonskapasitet eller lignende forhold.
• For objekter eller infrastrukturer med tilsvarende eller lignende funksjonalitet med store likheter
knyttet til sårbarheter, beskyttelsesbehov og innførte sikkerhetstiltak. Tilgang til eller
informasjon om et objekt eller en infrastruktur kan da gi tilgang til eller informasjon om lignende
objekter eller infrastrukturer. Det bør tas stilling til hvilken oversikt og hvilke tilganger
leverandøren i realiteten får. Dette punktet kan gjerne sees i sammenheng med forrige punkt.
3.4.3.1 Anmodning om leverandørklarering
NSM er klareringsmyndighet for leverandørklareringer og skal føre register over innvilgede
klareringer.20
Det er oppdragsgiver som skal anmode NSM om leverandørklarering, ettersom oppdragsgiver har
oversikt over og kan begrunne hvorfor det er et behov for klarering.21 Klareringsforespørsler skal
avslås dersom det ikke foreligger et faktisk behov, da det ikke unødig skal iverksettes
sikkerhetstiltak som griper inn i virksomheters og enkeltpersoners rettsfære.22
Forespørselen skal inneholde informasjon om det høyeste graderings- eller klassifiseringsnivået i
anskaffelsen, leverandørens samtykke til at NSM gjennomfører kontroll, og opplysninger fra
leverandøren knyttet til egen virksomhet.23
Oppdragsgiver må i forespørselen angi hva leverandøren og dets personell kan få tilgang til av
verdier. Dette får betydning for omfanget av personkontrollen øverste ledelse og personellet skal
gjennom. For tilgang til objekter og infrastruktur som er utpekt og klassifisert som skjermingsverdige
objekter, er det adgangsklarering som skal benyttes.24 For tilgang til informasjon som er
sikkerhetsgradert KONFIDENSIELT eller høyere skal sikkerhetsklarering benyttes. En
sikkerhetsklarering for KONFIDENSIELT eller høyere vil også gi adgang til skjermingsverdige
objekter og infrastrukturer på alle klassifiseringsnivåer.25
3.4.3.2 Sikkerhetsklarering av virksomhetens leder og styremedlemmer
Styret og leder hos leverandøren skal klareres på det samme nivået som det er bedt om
leverandørklarering for.26 Kravet begrunnes i nevnte personer sin innflytelse over og tilganger i
virksomheten. Krav om klarering av virksomhetens leder vil som utgangspunkt gjelde daglig leder.
Daglig leder vil normalt vil være ansvarlig for virksomhetens sikkerhetsstyringssystem og
beskyttelse av verdier virksomheten råder over, og kan derfor tilegne seg tilgang til disse. Hva
gjelder styremedlemmer, må disse ha innsyn i virksomhetens informasjon for å kunne ivareta sitt
ansvar. Det innebærer at de kan få tilgang til sikkerhetsgradert informasjon eller skjermingsverdig
objekt eller infrastruktur. Personkontrollen av virksomhetens leder og styremedlemmer skal derfor
inngå i vurderingsgrunnlaget for om det skal gis leverandørklarering.27
Om noen i virksomhetens styre eller dennes leder ikke kan klareres, eksempelvis som følge av
manglende tilknytning til Norge, kan leverandørklarering likevel gis dersom vedkommende gir avkall
på retten til innsyn.28 Det må likevel være tilstrekkelig antall sikkerhetsklarerte styremedlemmer til at
styret er beslutningsdyktig. Dette vil legge begrensinger på hvor mange styremedlemmer som kan
gi avkall på retten til innsyn.
NSM må få informasjon om hvordan leverandøren sikrer at avkallet er reelt og at aktuelle personer
ikke vil få tilgang til sikkerhetsgradert informasjon, skjermingsverdig objekt eller infrastruktur. Som
20 Jf. klareringsforskriften § 32 og klareringsforskriften § 39.
21 Jf. virksomhetsikkerhetsforskriften § 85 og klareringsforskriften § 3 annet ledd.
22 Jf. sikkl §§ 8-2 første ledd og 8-3 første ledd, jf. klareringsforskriften § 4
23 Se klareringsforskriften § 34 og skjemaer til bruk ved leverandørklarering på NSM sin nettside.
24 Jf. sikkl § 8-3 første ledd, jf. § 7-1 første og annet ledd.
25 Jf. klareringsforskriften § 16.
26 Jf. klareringsforskriften § 33 annet ledd.
27 Jf. sikkl § 9-3 annet ledd.
28 Jf. klareringsforskriften § 33 tredje ledd.
VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER
klareringsmyndighet er det NSM som avgjør om avkall på retten til innsyn gir mulighet til innvilgelse
av leverandørklarering.
3.4.3.3 Kontroll av leverandør
Før en leverandør kan klareres, skal NSM kontrollere at leverandøren oppfyller de krav til
sikkerhetsstyring og beskyttelse av skjermingsverdige verdier som er relevante for den konkrete
anskaffelsen.29 Kontrollen kan skje ved innhenting av dokumentasjon, stedlig revisjon eller ved
inspeksjoner. Det skal være notoritet med gjennomførte kontroller, i form av at det utarbeides en
rapport.
Etter avtale med NSM kan kontrollen gjennomføres av oppdragsgiver. Oppdragsgiver må i slike
tilfeller utarbeide en rapport fra kontrollen som vil inngå i klareringsmyndighetens vurdering av om
leverandørklarering skal gis.
Dersom det i klareringsperiodens gyldighetstid skjer endringer eller det fremkommer opplysninger
av betydning for vurderingen av om leverandøren er sikkerhetsmessig skikket, skal det
gjennomføres ny kontroll med leverandøren. Det kan oppstå situasjoner som endrer
klareringsmyndighetens tidligere vurdering av om leverandøren er sikkerhetsmessig skikket til å
inneha leverandørklarering. Leverandøren skal skriftlig varsles om at det skal gjennomføres kontroll,
såfremt det ikke er nødvendig å unnlate varsel av sikkerhetshensyn.
3.4.3.4 Vurderingsgrunnlag
Innvilgelse av leverandørklarering forutsetter at det ikke er noen rimelig grunn til å betvile
leverandørens sikkerhetsmessige skikkethet. I vurderingen er det kun forhold som kan innvirke på
leverandørens evne og vilje til å gjøre forebyggende sikkerhetsarbeid som skal vektlegges.
Leverandøren må derfor oppfylle relevante krav i sikkerhetsloven og virksomhetsikkerhetsforskriften
før en leverandørklarering kan innvilges.30
NSM må ha nødvendig grad av tillit til at virksomheten som klareres vil opptre i henhold til
sikkerhetslovens krav. Det sentrale i vurderingen av leverandørens sikkerhetsmessige skikkethet er
at det ikke foreligger forhold som gir grunn til å tro at leverandøren vil kunne opptre i strid med
nasjonale sikkerhetsinteresser. For å kunne foreta en kvalifisert vurdering av dette er NSM
avhengig av et godt informasjonsgrunnlag. Som ledd i informasjonsinnhentingen skal leverandøren
selv gi informasjon om egen virksomhet, i tillegg til at NSM kan innhente informasjon fra relevante
registre.31 Kontrollrapporter skal inngå i vurderingsgrunnlaget, se punkt 3.5.3.3. Hvis det er
gjennomført tilsyn etter sikkerhetsloven med leverandøren, vil det være relevant å innhente
tilsynsrapporten.
Informasjon om økonomiske forhold, tilknytning til andre stater og virksomhetens eventuelle
straffehistorikk er eksempler på forhold som kan være relevant i vurderingen av sikkerhetsmessig
skikkethet. Økonomiske utfordringer kan føre til at man lar seg friste til å handle i strid med
nasjonale sikkerhetsinteresser, dersom det medfører økonomisk vinning. Slike utfordringer kan
også gi indikasjoner på en virksomhets evne og vilje til å ivareta sine forpliktelser. Dersom det
foreligger tilknytning til andre stater må det blant annet tas stilling til om tilknytningen er av en slik art
at det foreligger en risiko for at virksomheten kan havne i en lojalitetskonflikt, eller være sårbar for
press, fristelser eller forledelser. Det kan også sees hen til relevante forhold ved leverandørens
29 Jf. klareringsforskriften § 36.
30 Jf. klareringsforskriften § 33 første ledd.
31 Jf. klareringsforskriften §§ 34 og 35.
VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER
ledelse og styre, siden de vil kunne påvirke virksomhetens evne og vilje til å utføre forebyggende
sikkerhetsarbeid. Alle relevante forhold skal vurderes, både de som taler for og imot at klarering gis.
Kommer NSM frem til at det er grunn til å betvile leverandørens sikkerhetsmessige skikkethet eller
at leverandøren ikke oppfyller nødvendige krav, skal ikke klarering gis. I slike tilfeller vil hensynet til
nasjonal sikkerhet veie tyngre enn hensynet til oppdragsgiver og leverandøren, og deres behov for
at leverandøren klareres. En klarering kan gis på vilkår dersom det kan redusere risikoen til et
akseptabelt nivå.
Ved en reklarering må NSM på ny ta stilling til om leverandøren er sikkerhetsmessig skikket, basert
på et oppdatert informasjonsgrunnlag og ny kontroll av virksomheten.
3.4.3.5 Leverandørklareringstidens gyldighetstid og endringer i klareringstidens gyldighet
Leverandørklareringer kan vare i inntil fem år, men kan også gis for en kortere tidsperiode dersom
det på klareringstidspunktet er klart at det ikke er behov for en varighet på fem år.32
Leverandørklarerte virksomheter plikter å orientere NSM om endringer som kan påvirke vurderingen
av om leverandøren er sikkerhetsmessig skikket.33 Det stilles krav om at det varsles om endringer i
styret eller ledelsen, endringer i eierstrukturen, flytting av lokaliteter og utstyr, åpning av
gjeldsforhandlinger, begjæring om konkurs og annet relevante forhold.
Dersom det i klareringstidens gyldighetstid oppstår en sikkerhetsrisiko som ikke kan fjernes eller det
oppdages avvik fra gjeldende sikkerhetskrav, kan klareringen tilbakekalles.34 Som utgangspunkt
skal det fastsettes en rimelig frist for retting før en klarering tilbakekalles. Hva som er en rimelig frist
må ta utgangspunkt i en konkret vurdering av forholdets alvorlighetsgrad og konsekvensene opp
mot nasjonale sikkerhetsinteresser. Avvik som er av en slik karakter at det umiddelbart kan få
negative konsekvenser for nasjonale sikkerhetsinteresser, kan gi grunnlag for å tilbakekalle
leverandørklareringen uten at det er gitt forutgående frist. Et eksempel på dette kan være tilfeller
hvor leverandøren gir tilgang til sikkerhetsgradert informasjon eller skjermingsverdige objekter, uten
at det føres kontroll med om de som har fått tilgang har nødvendig klarering og/eller autorisasjon.
3.4.3 Leverandørklareringsprosessen
Leverandørklarering skal være innvilget før det gis tilgang til sikkerhetsgradert informasjon,
skjermingsverdig objekt eller infrastruktur, uavhengig av når i anskaffelsesprosessen behovet
oppstår.
Bestemmelsene om personellsikkerhet i sikkerhetsloven kapittel 8 gjelder så langt de passer for
leverandørklareringsprosessen.18 Det er i all hovedsak bestemmelsene om klage og begrunnelse
som vil få tilsvarende anvendelse.19
17 Jf. sikkl § 1-3
18 Jf. sikkl § 9-3 femte ledd.
19 Se Prop. 153 L (2016-2017), punkt 19.9 (merknad til § 9-3).
VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER
3.4.4 Autorisasjon
I tillegg til gyldig klarering, må de som skal gis tilgang til sikkerhetsgradert informasjon,
skjermingsverdige objekter eller infrastruktur være autorisert.35 Virksomhetens leder er
autorisasjonsansvarlig og har ansvar for sikkerhetsmessig ledelse og kontroll av autoriserte
personer. For leverandører til sikkerhetsgraderte anskaffelser vil virksomhetens leder være daglig
leder eller den med tilsvarende innflytelse over virksomhetens drift.36
I sikkerhetsgraderte anskaffelser er det oppdragsgiver som skal autorisere autorisasjonsansvarlig
hos leverandøren.37 Dette begrunnes i at det er oppdragsgiver som eier aktuelle verdier og har
ansvar for å ivareta et forsvarlig sikkerhetsnivå for verdiene. Personell hos leverandøren som kun
får tilgang til sikkerhetsgradert informasjon, skjermingsverdig objekt eller infrastruktur hos
oppdragsgiver, skal derfor også autoriseres av oppdragsgiver. I de tilfeller hvor tilgangen skjer fra
leverandørens egne informasjonssystemer eller lokaler, eller leverandøren råder over verdiene i
32 Jf. klareringsforskriften § 38.
33 Jf. sikkl § 9-3 fjerde ledd.
34 Jf. sikkerhetsloven § 9-3 fjerde ledd, jf. klareringsforskriften § 37.
35 Jf. sikkl § 8-1 første ledd, jf. § 8-9.
36 Se høringsnotat til forslag til forskrifter til ny sikkerhetslov (02.07.2018), punkt 8.5.3.
37 Jf. virksomhetsikkerhetsforskriften § 69.
VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER
egne lokaler, er det autorisasjonsansvarlig hos leverandøren som skal autorisere leverandørens
personell.
Dersom oppdragsgiver er utenlandsk, er NSM ansvarlig for å autorisere autorisasjonsansvarlig hos
den norske leverandøren.
3.4 Leverandørklarering
Leverandørklarering er et tiltak som kun kan benyttes i sikkerhetsgraderte anskaffelser. Det er et
inngripende tiltak og skal kun benyttes når regelverket sier det er nødvendig for å oppnå et
forsvarlig sikkerhetsnivå.
Formålet med leverandørklarering er å sikre kontroll med og tillit til leverandører av varer eller
tjenester som kan ha betydning for nasjonal sikkerhet. Både leverandøren og personer i dennes
styre og ledelse skal klareres, som et ledd i vurderingen av om leverandøren er sikkerhetsmessig
12 Jf. virksomhetsikkerhetsforskriften § 81 og Prop. 153 L, punkt 13.4.3, side 142.
13 Jf. høringsnotat til forslag til forskrifter til ny sikkerhetslov (02.07.2018), punkt 7.11.3.
VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER
skikket til å få tilgang til sikkerhetsgradert informasjon eller skjermingsverdig objekt eller
infrastruktur. 14
Leverandørklareringsprosess: norske leverandører
Oppdragsgiver
Steg 1 Steg 2 Steg 3 Steg 4*
NSM
Anmoder NSM om Sender inn Kontroll av at innsendt informasjon er Ved behov: oppdragsgiver
leverandørklarering egenopplysninger komplett og klareringsstatus for leder og må anmode om klarering av
Leverandør styremedlemmer hos leverandør leder/styremedlemmer
Steg 9 Steg 8 Steg 7 Steg 6 Steg 5
Innvilger Vurderer Innhenter
Leverandør lukker Kontroll av leverandør (NSM
leverandørklarering sikkerhetsmessig informasjon fra ulike
eventuelle avvik kan delegere til oppdragsgiver)
hvis vilkår er oppfylt skikkethet registre
Steg10 Steg 11 Steg 12 Steg 13 Steg 14
Autoriserer Varsler NSM om endringer av
Inngår Oppfølging av Risikobasert kontroll betydning for sikkerhetsmessig
virksomhetens
sikkerhetsavtale leverandør av leverandør skikkethet
leder
*Den videre prosessen forutsetter at nødvendige klareringer gis
Figuren illustrerer gangen i en sikkerhetsgradert anskaffelse hvor leverandøren skal klareres. Kilde: NSM.
3.5 Oppdragsgivers oppfølging av leverandørforhold
Selv om leverandøren har et selvstendig ansvar for iverksetting av nødvendige sikkerhetstiltak, har
oppdragsgiver et sikkerhetsmessig oppfølgingsansvar overfor leverandøren. Oppdragsgiver skal
forsikre seg om at leverandøren har nødvendig risiko- og sikkerhetsforståelse og at leverandøren
oppfyller krav til forebyggende sikkerhetsarbeid som er nødvendig i den konkrete anskaffelsen.38
Det er viktig at oppdragsgiver etablerer gode mekanismer for å følge opp leverandører de benytter i
sin virksomhet, slik at de får informasjon om endringer eller hendelser som kan ha påvirkning på
vurderingen av risiko og hvilke sikkerhetstiltak som er nødvendig.
Oppdragsgiver skal ha oversikt over alle sikkerhetsgraderte anskaffelser de gjennomfører, og hvilke
leverandører og underleverandører de benytter seg av i sikkerhetsgraderte anskaffelser. Oversikten
over pågående sikkerhetsgraderte anskaffelser skal årlig oversendes til NSM som er ansvarlig for å
føre register over sikkerhetsgraderte anskaffelser. Med hensynvisning til NSM sitt ansvar for å
gjennomføre tilsyn med leverandører til sikkerhetsgraderte anskaffelser er det viktig at
oppdragsgivere overholder plikten til å føre oversikt og formidle denne til NSM.39 I tillegg til den
årlige oversikten er det ønskelig at virksomheter holder NSM fortløpende oppdatert om leverandører
de benytter i sikkerhetsgraderte anskaffelser og nivå på anskaffelsen, slik at NSM til enhver tid har
oversikt over hvilke virksomheter som er underlagt sikkerhetsloven som leverandører.
3.6.1 Sikkerhetsavtale
Dersom en utenlandsk leverandør eller leverandørens personell skal få tilgang til sikkerhetsgradert
informasjon eller det er nødvendig med klarering av leverandør og/eller personellet, skal NSM
38 Jf. sikkl § 4-1 annet ledd og Prop. 153 L (2016-2017), punkt 19.4 (merknad til § 4-1).
39 jf. Jf. klareringsforskriften § 39 annet ledd og virksomhetsikkerhetsforskriften § 88.
40 Jf. virksomhetsikkerhetsforskriften §§ 25 og 84.
VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER
godkjenne leverandøren før det inngås en sikkerhetsavtale.41 Oppdragiver må derfor fremsende en
forespørsel til NSM med navn på leverandøren og landet denne er lokalisert i fremkommer.
Dersom NSM godkjenner den utenlandske leverandøren og det inngås en sikkerhetsavtale mellom
oppdragsgiver og leverandøren, skal oppdragsgiver sende kopi av sikkerhetsavtalen til NSM. NSM
vil fremsende denne til sikkerhetsmyndigheten i landet hvor leverandøren er lokalisert, hvor den kan
tjene som grunnlag for kontroll med leverandøren. Internasjonalt vil disse avtalene gjerne bli omtalt
som Security Clauses, Security Aspect letter (SAL) eller Project Security Instructions (PSI).
3.6.2 Leverandørklarering
Hvis leverandøren ikke har leverandørklarering og dette er et krav i anskaffelsen, er det
myndighetene i hjemstaten som skal klarere leverandøren.42 Internasjonalt betegnes
leverandørklarering som Facility Security Clearance (FSC). Oppdragsgiver må sende anmodning
om leverandørklarering til NSM, som videresender anmodningen til sikkerhetsmyndigheten i
leverandørens hjemstat. 43 Den annen stats sikkerhetsmyndighet vil gi en bekreftelse tilbake til NSM
om, eller når, en leverandørklarering foreligger, og NSM vil deretter informere oppdragsgiver om
dette.
I den sikkerhetsgraderte anskaffelsens løpetid vil sikkerhetsmyndigheten i landet hvor leverandøren
er lokalisert være forpliktet til å forestå sikkerhetsmessig oppfølging og tilsyn med leverandøren, i
henhold til det aktuelle landets nasjonale lovgivning. Dette har Norge akseptert gjennom de bi- og
multilaterale sikkerhetsavtalene.
Dersom andre lands sikkerhetsmyndigheter eller internasjonale organisasjoner forespør hvorvidt en
norsk leverandør har leverandørklarering, er det kun NSM som kan utlevere slik informasjon.44
Leverandørklareringsprosess: utenlandske leverandører
Oppdragsgiver
Steg 1 Steg 2* Steg 3** Steg 4
NSM
Anmoder NSM om Sjekker om det foreligger en Sjekker om aktuell stat klarerer på Fyller ut FSCIS og anmoder
leverandørklarering avtale mellom Norge og nivået som gjelder for om klarering fra utenlandsk
Leverandør anskaffelsen sikkerhetsmyndighet
aktuell stat
Utenlandsk
sikkerhetsmyndighet
Steg 8 Steg 7 Steg 6 Steg 5***
Innvilger Vurderer om leverandøren Løpende dialog mellom NSM og Initierer klareringsprosess om
leverandørklarering oppfyller krav i nasjonalt utenlandsk myndighet klarering ikke foreligger
hvis vilkår er oppfylt regelverk
Steg9 Steg 10 Steg 11 Steg 12 Steg 13
Mottar informasjon om Inngår Autoriserer Oppfølging av
Eventuell kontroll av
innvilget klarering og sikkerhetsavtale virksomhetens leverandør i tråd med
leverandør
godkjenner leverandøren leder inngått sikkerhetsavtale
*Den videre prosessen forutsetter at det foreligger en bi - eller multilateral avtale mellom Norge og staten leverandøren holder til i
** Dersom aktuell stat ikke klarerer på aktuelt nivå er det NSM som godkjenner leverandøren
*** Hvis gyldig klarering allerede foreligger godkjenner NSM den utenlandske leverandøren
Figuren illustrerer gangen i en sikkerhetsgradert anskaffelse hvor en utenlandsk leverandør skal klareres. Kilde: NSM.
41 Jf. sikkl § 9-2 første ledd.
42 Jf. klareringsforskriften § 32.
3.6.3 Klarering og autorisering av personell
Klarering av leverandørens personell gjennomføres av myndighetene i hjemstaten, som bekrefter
personellets klareringsstatus til NSM. Som hovedregel skal det derfor ikke utstedes norske
sikkerhetsklareringer til personell hos utenlandske leverandører.
Det stilles heller ikke krav om autorisasjon av autorisasjonsansvarlig eller personell hos utenlandsk
leverandør som har utenlandsk sikkerhetsklarering. Dette følger av de bi- eller multilaterale
avtalene, hvor man anerkjenner det andre landets nasjonale lovgivning for beskyttelse av
sikkerhetsgradert informasjon. Det anbefales imidlertid at oppdragsgiver i sikkerhetsavtale med
utenlandsk leverandør sikrer seg mulighet til å få oversikt over hvilket personell hos leverandøren
som får tilgang til norsk sikkerhetsgradert informasjon.
3.6.4 Vilkår og prosedyrer ved besøk
Ved besøk fra en utenlandsk leverandør, skal besøket gjennomføres i tråd med besøksprosedyrene
i aktuell bi- eller multilaterale avtale.45 De besøkendes identitet og klarering skal kontrolleres og
verifiseres i forkant av besøket.
Utfyllende bestemmelser om gjennomføring av besøk, hvor de besøkende vil få tilgang til
sikkerhetsgradert informasjon, følger av de bi- eller multilaterale avtalene. Det bærende prinsipp i
disse avtalene er at besøksanmodninger, «Request for Visit», skal fremsendes og godkjennes av
statenes respektive sikkerhetsmyndigheter. Som ledd i denne prosessen vil de besøkendes
sikkerhetsklarering bekreftes av sikkerhetsmyndigheten i staten leverandøren holder til i. I Norge er
utøvelsen av besøkskontrollregimet delegert til Forsvarets sikkerhetsavdeling (FSA).
3.6 Utenlandske leverandører
Leverandører som driver virksomheten fra et annet land og under et annet lands jurisdiksjon er å
anse som utenlandsk i forbindelse med sikkerhetsgraderte anskaffelser. Norge har en rekke multi-
og bilaterale sikkerhetsavtaler med andre land. Disse regulerer hvordan sikkerhetsgradert
informasjon som utveksles over landegrensene skal behandles og etablerer en gjensidig plikt til å
beskytte sikkerhetsgradert informasjon som utveksles og/eller tilvirkes. Dette gjør det mulig for
norske oppdragsgivere å benytte seg av utenlandske leverandører. En forutsetning for å kunne
benytte en utenlandsk leverandør i en sikkerhetsgradert anskaffelse er at det foreligger en slik bi-
eller multilateral avtale mellom norske myndigheter og myndighetene i landet leverandøren holder til
i eller driver fra.40
All kommunikasjon med utenlandske sikkerhetsmyndigheter i forbindelse med sikkerhetsgraderte
anskaffelser skal gå via NSM.
3.7.1 Overføring av verdier til nye parter
Det er ikke anledning til å overføre sikkerhetsgradert informasjon, skjermingsverdig objekt eller
infrastruktur til ny eier av en leverandørvirksomhet, uten samtykke fra NSM.47 Verdiene kan heller
ikke inngå i bobehandling ved gjeldsforhandling eller konkurs uten slikt samtykke. Leverandørens
tilgang til nevnte verdier er gitt på bakgrunn av at virksomheten er vurdert som sikkerhetsmessig
skikket og at den oppfyller krav til forebyggende sikkerhetsarbeid. Eierskifte eller bobehandling
45 Jf. virksomhetsikkerhetsforskriften § 87.
46 Jf. virksomhetsikkerhetsforskriften § 82.
47 Jf. sikkl 9-3 fjerde ledd.
VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER
innebærer at andre aktører trer inn, og forutsetningen for tidligere gitt tilgang vil ikke lengre være
tilstede, herunder at nødvendige klareringer ikke lengre foreligger.
3.7 Tilbakelevering
Ved avslutning av samarbeid med hoved- og underleverandører, grunnet endt kontraktsforhold eller
brudd på gjeldende sikkerhetskrav som medfører tilbakekall av leverandørklarering, skal utlevert
sikkerhetsgradert informasjon tilbake til oppdragsgiver.46 Det gjelder også dersom det er utlevert
sikkerhetsgradert informasjon til tilbydere som ikke får tildelt oppdraget.
Tilganger til skjermingsverdige objekter og infrastruktur må også tilbakekalles, det gjelder både for
elektroniske og fysiske tilganger.
Oppdragsgivers ansvar for å sikre tilbakelevering og tilbakekall understreker viktigheten av at
oppdragsgiver har nødvendig oversikt og kontroll med hoved- og underleverandører i
sikkerhetsgraderte anskaffelser.
3.8 Unntak fra sikkerhetskrav
Det kan gjøres unntak fra enkelte av kravene som stilles til sikkerhetsgraderte anskaffelser, dersom
det blir «uforholdsmessig byrdefullt» for virksomheten å oppfylle.48 Terskelen for å gjøre unntak er
høy, både med henvisning til ordlyden og at lovgiver har vurdert sikkerhetstiltakene som nødvendig
for å kunne ivareta et forsvarlig sikkerhetsnivå. Unntak kan være aktuelt dersom oppfyllelse av krav
vil føre til at virksomheten ikke kan fungere slik den skal. Unntak skal være godt begrunnet i
hensynet til virksomhetens aktivitet, og kompenserende tiltak må ha vært vurdert.49
Det kan gjøres unntak fra følgende krav som gjelder for sikkerhetsgraderte anskaffelser:
• inngåelse av sikkerhetsavtale, jf. virksomhetsikkerhetsforskriften § 80 først ledd.
• leverandørklarering for elektronisk tilgang fra egne lokaler til objekter eller infrastruktur
klassifisert KRITISK eller MEGET KRITISK, jf. virksomhetsikkerhetsforskriften § 83, bokstav b.
• leverandørklarering for å råde over objekter eller infrastruktur som tilhører oppdragsgiver, og
som er klassifisert KRITISK eller MEGET KRITISK, jf. virksomhetsikkerhetsforskriften § 83,
bokstav c.
• krav til bi- eller multilateral avtale mellom Norge og annen stat, ved bruk av utenlandske
leverandører eller leverandører med lokaler utenfor norsk jurisdiksjon, jf.
virksomhetsikkerhetsforskriften § 84.
Det er NSM som kan gjøre unntak fra kravene. Der det er utpekt sektormyndighet med tilsynsansvar
vil de ha myndighet til å gjøre unntak fra kravene. Derimot er det kun NSM som kan gjøre unntak for
krav som gjelder for beskyttelse av sikkerhetsgradert informasjon.50
4.1 Forholdet mellom sikkerhetsloven og lov om offentlige anskaffelser
For offentlige og enkelte private virksomheter, vil sikkerhetslovens regler om sikkerhet i anskaffelser
komme i tillegg til reglene som gjelder for offentlige anskaffelser.51 Anskaffelsesregelverket gir
oppdragsgiver et stort handlingsrom for å tilpasse anskaffelsesprosessen ut i fra de faktiske behov,
blant annet til å stille krav og kriterier som ivaretar sikkerhets- og beredskapshensyn.52 Utnyttelse av
handlingsrommet i anskaffelsesregelverket forutsetter imidlertid at oppdragsgiver er kjent med
mulighetene til å tilpasse anskaffelsen etter de faktiske behov, og evner å benytte seg av disse.
48 Jf. virksomhetsikkerhetsforskriften § 20 første ledd.
49 Jf. Prop. 153 L (2016-2017), punkt 10.5.2.2.
50 Jf. virksomhetsikkerhetsforskriften § 20 annet ledd.
51 Jf. Lov om offentlige anskaffelser (LOA) § 2.
52 Se NOU 2024:9 del II for en gjennomgang av handlingsrommet i anskaffelsesregelverket, særlig punkt 4.5, side 108-
111. Se også Veileder om ivaretakelse av sikkerhet i offentlige anskaffelser, utarbeidet av Forsvarsdepartementet og
Nærings- og fiskeridepartementet.
VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER
4.2 Relevante hensyn ved planlegging og gjennomføring av anskaffelser
Med utgangspunkt i gjennomført risikovurdering må oppdragsgiver ta stilling til hvordan
sikkerhetshensyn skal vektes i en anskaffelse. Oppdragsgiver har et skjønn hva gjelder utforming av
tildelingskriteriene og hvordan disse skal vektlegges i anskaffelsesprosessen.
Ved behov for langsiktig robusthet kan det være lite hensiktsmessig med et stort fokus på kortsiktige
konsekvenser for virksomheten, eksempelvis i form av kostnad. Vektlegging av pris fremfor
sikkerhet i en anskaffelsesprosess kan utgjøre en sårbarhet som kan utnyttes av trusselaktører,
fordi det øker risikoen for at mindre virksomheter med nasjonal produksjon kan prises ut av
konkurransen til fordel for større virksomheter med produksjon i lavkostandsland. Det er også kjent
at enkelte stater subsidierer næringslivsaktører slik at de kan vinne anbudskonkurranser i vestlige
land og slik få innpass i verdikjeder. Dette kan ha betydning for nasjonal beredskap, men også by
på sikkerhetsmessige utfordringer dersom produksjonslandet utgjør en risiko for nasjonal sikkerhet.
Endringer i sikkerhets- og geopolitiske forhold kan påvirke vurderingen av hvilke verdier som er
viktig å beskytte, hvordan man skal gå frem for å beskytte disse og hvem vi ønsker å samhandle
med. Et endret situasjonsbilde har blant annet ført til et økt behov for kontroll med teknologi,
infrastruktur og innsatsfaktorer av stor betydning innenfor nasjonal sikkerhet og samfunnssikkerhet.
Internasjonale spenninger påvirker også hva trusselaktører er interessert i og hvordan de går frem
for å oppnå sine mål. De senere år har man sett en økende grad av tilstedeværelse fra
enkeltaktører og -land inn i norske og europeiske verdikjeder, som både kan gi innsikt i informasjon
om, og mulighet for å påvirke, verdier av nasjonal betydning.53 Det kan være enklere å skaffe seg
tilgang til verdier gjennom underleverandører som kan ha et lavere sikkerhetsnivå enn
oppdragsgiver og hovedleverandør. I større anskaffelser med lange og kompliserte
leverandørkjeder kan det også være enklere å skjule egen identitet og faktisk agenda.
4.3 Ivaretakelse av sikkerhet i anskaffelsesprosessen
For virksomheter som er underlagt sikkerhetsloven skal forebyggende sikkerhetsarbeid være en del
av virksomhetens styringssystem, og det skal iverksettes tiltak som er nødvendig for å gi et
forsvarlig sikkerhetsnivå. Kravet til forsvarlig sikkerhetsnivå gjelder for alle virksomhetens aktiviteter,
også i anskaffelser. Det omfatter både sikkerhetsgraderte og ugraderte anskaffelser, selv om det i
de ugraderte anskaffelsene kan variere hvor fremtredende sikkerhetsaspektet er. Selv om det er en
ugradert anskaffelse kan det være nyttig å se hen til regelverket for sikkerhetsgraderte anskaffelser
for veiledning knyttet til hva som må sikres og hvordan dette kan gjøres. Deler av det som tidligere
er gjennomgått i veilederen vil derfor ha relevans i ugraderte anskaffelser hvor oppdragsgiver er
underlagt sikkerhetsloven, se spesielt kapittel 3.1 om risikovurdering, 3.2 om sikkerhet i
konkurransegrunnlaget og 3.5 oppfølging av leverandørforhold.
Det er viktig at oppdragsgiver gjennomfører gode og dekkende vurderinger av hvilke behov som
gjør seg gjeldende, og hvordan disse skal ivaretas. Oppdragsgiver må også avklare hvilke regelverk
og krav som gjelder i den konkrete anskaffelsen, og hvilket handlingsrom man har for å ta hensyn til
og stille krav til sikkerhet. En tidlig avklaring vil gjøre samkjøring med annet regelverk enklere og
lette arbeidet med å implementere nødvendige sikkerhetstiltak på riktig sted i prosessen.
53 Se blant annet de åpne risiko og trusselvurderingene fra EOS-tjenestene fra de siste årene.
VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER
Hvilke tiltak oppdragiver kan iverksette for å sikre et forsvarlig sikkerhetsnivå i anskaffelsen beror på
en konkret og helhetlig vurdering av hvilke behov som gjør seg gjeldende, hvilke tiltak som er
nødvendige, og om disse er forholdsmessige.
For virksomheter som er underlagt sikkerhetsloven vil det være relevant å vurdere behov for
nasjonal kontroll og autonomi, sett i lys av virksomhetens rolle i de ulike deler av krisespekteret, ved
planlegging av anskaffelser. Eksempler på aktuelle tiltak for å ivareta sikkerhetshensyn i
anskaffelser:
• oppdeling av større kontrakter og begrensninger på antall delkontrakter en leverandør kan
tildeles for å unngå avhengighet til enkeltleverandører og fordele risiko
• sikre redundante løsninger for varer og tjenester virksomheten er avhengig av
• begrensninger på antall ledd i leverandørkjeder for å bedre oppdragsgivers mulighet til å ha
oversikt over og kontroll med leverandører
Fordeling av anskaffelser på et større antall aktører bidrar til at flere virksomheter får økt kunnskap
og kompetanse. Det kan spille positivt inn på konkurransedyktigheten til mindre og gjerne lokale
virksomheter, som igjen kan øke nasjonal redundans på kapasitet og kompetanse. Tiltak for å
unngå konsentrasjonsrisiko blant leverandører kan også redusere risiko for at enkeltaktører blir
sittende med en omfattende og potensiell sensitiv verdioversikt. Tiltak for å sikre oversikt og kontroll
med leverandørkjeder gir bedre forutsetninger for å hindre uønskede aktører innpass i
leverandørkjeder og reduserer risiko for utilsiktet avhengighetskonsentrasjon.
I konkurransegrunnlaget kan oppdragsgiver stille krav og kriterier som tilbydere må kunne innfri for
å bli valgt som leverandør i anskaffelsen. Det kan blant annet knytte seg til:
• krav om formell kompetanse, sertifisering, erfaring fra lignende arbeid eller nærmere angitte
kvalifikasjoner for å sikre at leverandør har nødvendig risiko- og sikkerhetsforståelse
• krav til adgangs- og tilgangskontroll for å redusere risiko for uønsket tilgang til
oppdragsgivers verdier
• krav til håndtering av informasjon for å sikre konfidensialitet for sensitiv informasjon
Leverandører fra enkelte land er underlagt lovbestemmelser som pålegger dem et utstrakt
samarbeid med eget lands myndigheter, blant annet knyttet til deling av informasjon. Muligheten for
at leverandøren kan bli pålagt å dele informasjon de får tilgang til i en anskaffelse kan komme i
konflikt med lovpålagt plikt for oppdragsgiver til å beskytte taushetsbelagt informasjon.
4.4 Sikkerhetskrav i kontrakt
Selv om det ikke er krav om inngåelse av sikkerhetsavtale utenfor sikkerhetsgraderte anskaffelser,
bør sikkerhetskrav være en sentral del av kontrakten. Det vil bidra til å sikre en omforent forståelse
av rammene for anskaffelsen og ansvarsfordelingen mellom oppdragsgiver og leverandør.
Ved inngåelse av kontrakt bør oppdragsgivers mulighet for kontroll og tilgang til nødvendig
informasjon reguleres. Informasjon om endringer i hoved- eller underleverandørers eierstruktur vil
her være relevant, da helt eller delvis oppkjøp av en leverandør kan få betydning for
risikovurderingen av anskaffelsen. Av informasjon som kan få slik betydning, vises det blant annet til
VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER
informasjon om at ny/nye eiere har tilknytning til andre stater eller organisasjoner med ulovlig
formål, om de har en historikk med økonomisk mislighold eller annet som kan gi grunn til bekymring
for ivaretakelse av sikkerhet i anskaffelsen. Det er derfor relevant å regulere hvordan partene skal
forholde seg i slike situasjoner, herunder mulighet for avvikling av kontraktsforholdet.
Ved potensiale for at anskaffelsen på et senere tidspunkt kan bli mer sikkerhetssensitiv, er det
hensiktsmessig at det orienteres om hvilke krav en leverandør i så tilfelle kan bli forpliktet til å innfri.
Kontrakten mellom oppdragsgiver og leverandør bør derfor regulere hvilket handlingsrom
oppdragsgiver har til å gjøre endringer i sikkerhetskrav og hvem som skal bære ansvaret for
tilleggskostnader som følge av endrede sikkerhetskrav.
Anskaffelser som kan gi leverandøren tilgang til skjermingsverdige informasjonssystemer eller
skjermingsverdig ugradert informasjon er ikke å anse som sikkerhetsgraderte anskaffelser. I slike
anskaffelser stilles det likevel krav om at oppdragsgiver og leverandør skal inngå en avtale hvor
relevante sikkerhetskrav til anskaffelsen fremkommer54. Ved utarbeidelse av en slik avtale kan det
være hensiktsmessig å se hen til hvilke krav som stilles til innhold i en sikkerhetsavtale.
5 Oppsummering
Det er viktig at oppdragsgiver tidlig avklarer hvilke behov som gjør seg gjeldende for anskaffelsen
og tilpasser anskaffelsesprosessen etter dette, uavhengig av om anskaffelsen er sikkerhetsgradert
eller ikke.
Oppdragsgiver må sikre riktig kompetanse inn i anskaffelsesprosessene slik at alle relevante behov
og hensyn ivaretas, herunder til det som skal anskaffes, prosess og sikkerhet.
Gjennomføring av gode risikovurderinger forutsetter at oppdragsgiver har kjennskap til
virksomhetens verdier og sårbarheter, og at man innhenter nødvendig informasjon om trusler som
er relevant for egen virksomhet og den enkelte anskaffelse.
Hensynet til sikkerhet må vektlegges riktig, slik at det ikke tilsidesettes for mindre tungtveiende
hensyn ved utforming av anskaffelsesprosessen og ved valg av leverandør.
Oppdragsgiver må sørge for ivaretakelse av et forsvarlig sikkerhetsnivå både før, under og etter
kontraktsinngåelse. Det innebærer blant annet etablering av mekanismer som sikrer nødvendig
oppfølging av leverandører og underleverandører, kontroll med gitte tilganger til oppdragsgivers
verdier, og håndtering av sikkerhetstruende hendelser. Oppdragsgiver må ta høyde for at
situasjonsbildet er dynamisk og at endringer kan føre til behov for nye risikovurderinger og tiltak.
54 Jf. virksomhetsikkerhetsforskriften § 18 annet ledd.
VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER
VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER
NSM
Postboks 814
Andre tilfeller hvor leverandørklarering kan være aktuelt
Virksomheter underlagt loven som følge av at de er offentlige organer eller fordi det er fattet vedtak om at loven skal gjelde for dem, 17 skal ikke leverandørklareres når de er leverandører til sikkerhetsgraderte anskaffelser. I disse tilfellene er det kun behov for sikkerhetsavtale. 3.4.2
Utover de opplistede tilfellene hvor det kreves leverandørklarering, må det vurderes konkret om tiltaket er nødvendig. I vurderingen vil det være relevant å se hen til hvilke verdier anskaffelsen knytter seg til, verdienes betydning for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser, hvem som får tilgang og hvor tilgangen skjer fra. Under følger eksempler på tilfeller hvor leverandørklarering kan være nødvendig for å ivareta et forsvarlig sikkerhetsnivå i anskaffelsen: • I anskaffelser hvor endelig verdi ikke er avklart, eller det er sannsynlig at skadepotensialet ved bortfall i fremtiden vil øke (se punkt 2.2.1). Terskelen vil imidlertid være høy i slike tilfeller og det vil stilles strenge krav til nødvendigheten av tiltaket. • I tilfeller hvor tilgang til verdier bare skjer hos oppdragsgiver kan det være behov for leverandørklarering om verdiene er høyt gradert eller klassifisert og har et særlig beskyttelsesbehov. • Dersom en leverandør benyttes inn i flere sikkerhetsgraderte anskaffelser kan den totale oversikten leverandøren får over skjermingsverdige verdier bli svært omfattende. Mengden informasjon kan tilsi at det er behov for en større grad av kontroll med leverandøren og dens sikkerhetsmessige skikkethet. • Det kan videre være behov for leverandørklarering ved tilgang til objekter og infrastruktur klassifisert på lavere nivå (VIKTIG). Som eksempel vises det til objekter og infrastruktur som i utgangspunktet har stor betydning for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser, men som er klassifisert på et lavere nivå grunnet høy grad av redundans og/eller reparasjonskapasitet eller lignende forhold. • For objekter eller infrastrukturer med tilsvarende eller lignende funksjonalitet med store likheter knyttet til sårbarheter, beskyttelsesbehov og innførte sikkerhetstiltak. Tilgang til eller informasjon om et objekt eller en infrastruktur kan da gi tilgang til eller informasjon om lignende objekter eller infrastrukturer. Det bør tas stilling til hvilken oversikt og hvilke tilganger leverandøren i realiteten får. Dette punktet kan gjerne sees i sammenheng med forrige punkt. 3.4.3
Leverandørklarering skal være innvilget før det gis tilgang til sikkerhetsgradert informasjon, skjermingsverdig objekt eller infrastruktur, uavhengig av når i anskaffelsesprosessen behovet oppstår. Bestemmelsene om personellsikkerhet i sikkerhetsloven kapittel 8 gjelder så langt de passer for leverandørklareringsprosessen.18 Det er i all hovedsak bestemmelsene om klage og begrunnelse som vil få tilsvarende anvendelse.19
*Den videre prosessen forutsetter at nødvendige klareringer gis
skikket til å få tilgang til sikkerhetsgradert informasjon eller skjermingsverdig objekt eller infrastruktur. 14 Leverandørklareringsprosess: norske leverandører
Kontroll av at innsendt informasjon er komplett og klareringsstatus for leder og styremedlemmer hos leverandør
Figuren illustrerer gangen i en sikkerhetsgradert anskaffelse hvor leverandøren skal klareres. Kilde: NSM.
I følgende tilfeller er det nødvendig med leverandørklarering: 15 • Leverandøren skal ha tilgang til eller oppbevare informasjon gradert KONFIDENSIELT eller høyere i egne informasjonssystemer eller lokaler. • Leverandøren skal ha elektronisk tilgang til objekt eller infrastruktur klassifisert KRITISK eller MEGET KRITISK fra egne informasjonssystemer eller lokaler. • Leverandøren skal råde over objekter eller infrastruktur som tilhører oppdragsgiver, og som er klassifisert KRITISK eller MEGET KRITISK. Begrepet «råde over» skal forstås som de tilfeller hvor leverandøren har objektet eller infrastrukturen i sin besittelse, og omfatter både fysisk og elektronisk rådighet. 16 I tilfeller hvor leverandøren har «elektronisk tilgang» fra egne informasjonssystemer eller lokaler, kan leverandøren i noen tilfeller også «råde over» objektet eller infrastrukturen. Hvorvidt tilgangen faller inn under andre eller tredje kulepunkt er imidlertid ikke avgjørende for om det kreves leverandørklarering.
14 Se sikkl § 9-3 jf. klareringsforskriften kapittel 4 15 Jf. sikkl § 9-3 første ledd, jf. virksomhetsikkerhetsforskriften § 83. 16 Jf. høringsnotat til forslag til forskrifter til ny sikkerhetslov (02.07.2018), punkt 7.11.5.
Klarering og autorisering av personell
*Den videre prosessen forutsetter at det foreligger en bi - eller multilateral avtale mellom Norge og staten leverandøren holder til i ** Dersom aktuell stat ikke klarerer på aktuelt nivå er det NSM som godkjenner leverandøren *** Hvis gyldig klarering allerede foreligger godkjenner NSM den utenlandske leverandøren
Figuren illustrerer gangen i en sikkerhetsgradert anskaffelse hvor en utenlandsk leverandør skal klareres. Kilde: NSM.
41 Jf. sikkl § 9-2 første ledd. 42 Jf. klareringsforskriften § 32. 43 Facility Security Clearence Information Sheet (FSCIS) 44 Jf. klareringsforskriften § 40.
Klarering av leverandørens personell gjennomføres av myndighetene i hjemstaten, som bekrefter personellets klareringsstatus til NSM. Som hovedregel skal det derfor ikke utstedes norske sikkerhetsklareringer til personell hos utenlandske leverandører. Det stilles heller ikke krav om autorisasjon av autorisasjonsansvarlig eller personell hos utenlandsk leverandør som har utenlandsk sikkerhetsklarering. Dette følger av de bi- eller multilaterale avtalene, hvor man anerkjenner det andre landets nasjonale lovgivning for beskyttelse av sikkerhetsgradert informasjon. Det anbefales imidlertid at oppdragsgiver i sikkerhetsavtale med utenlandsk leverandør sikrer seg mulighet til å få oversikt over hvilket personell hos leverandøren som får tilgang til norsk sikkerhetsgradert informasjon. 3.6.4
Ved besøk fra en utenlandsk leverandør, skal besøket gjennomføres i tråd med besøksprosedyrene i aktuell bi- eller multilaterale avtale.45 De besøkendes identitet og klarering skal kontrolleres og verifiseres i forkant av besøket. Utfyllende bestemmelser om gjennomføring av besøk, hvor de besøkende vil få tilgang til sikkerhetsgradert informasjon, følger av de bi- eller multilaterale avtalene. Det bærende prinsipp i disse avtalene er at besøksanmodninger, «Request for Visit», skal fremsendes og godkjennes av statenes respektive sikkerhetsmyndigheter. Som ledd i denne prosessen vil de besøkendes sikkerhetsklarering bekreftes av sikkerhetsmyndigheten i staten leverandøren holder til i. I Norge er utøvelsen av besøkskontrollregimet delegert til Forsvarets sikkerhetsavdeling (FSA).
3.7 Tilbakelevering Ved avslutning av samarbeid med hoved- og underleverandører, grunnet endt kontraktsforhold eller brudd på gjeldende sikkerhetskrav som medfører tilbakekall av leverandørklarering, skal utlevert sikkerhetsgradert informasjon tilbake til oppdragsgiver.46 Det gjelder også dersom det er utlevert sikkerhetsgradert informasjon til tilbydere som ikke får tildelt oppdraget. Tilganger til skjermingsverdige objekter og infrastruktur må også tilbakekalles, det gjelder både for elektroniske og fysiske tilganger. Oppdragsgivers ansvar for å sikre tilbakelevering og tilbakekall understreker viktigheten av at oppdragsgiver har nødvendig oversikt og kontroll med hoved- og underleverandører i sikkerhetsgraderte anskaffelser. 3.7.1
Siste versjon endret Dato: 03.06.2025 Kun henvisninger/referanser
Veileder fra NSM Veileder for ivaretakelse av sikkerhet i anskaffelser Versjon 1.0
Nasjonal sikkerhetsmyndighet (NSM) er sikkerhetsmyndighet etter lov om nasjonal sikkerhet (sikkerhetsloven) og fagorgan for forebyggende sikkerhet. NSM gir informasjon, råd og veiledning om forebyggende sikkerhetsarbeid og krav til tiltak. NSM har tre kategorier av veiledere. Veiledere lov og forskrift Håndbøker Tekniske veiledere Veilederne representerer NSMs syn på hvordan lover og forskrifter er å forstå. De utdyper krav og gir tekniske og prosedyremessige anbefalinger. Veiledere legges til grunn for NSMs arbeid knyttet til godkjenninger og tilsyn. NSM tilbyr også kurs på sentrale områder, både som e-læring og fysiske kurs. Mer informasjon finnes på NSMs nettsider. Vi anbefaler at NSMs ulike veiledninger leses i sammenheng for å sikre en helhetlig tilnærming til forebyggende sikkerhetsarbeid. Ugraderte veiledere er åpent tilgjengelige på NSMs nettsider. Graderte veiledere er tilgjengelige på graderte samhandlingsplattformer og kan formidles fra NSM iht. tjenstlige behov. NSM oppdaterer jevnlig dokumentene. Siste versjon av ugraderte veiledere er alltid tilgjengelig på NSMs nettsider. NSMs veiledere er dokumenter som er ment å gi støtte til offentlige og private virksomheters arbeid med forebyggende sikkerhet. Virksomheter som er omfattet av sikkerhetsloven skal ha nødvendig informasjon om hvordan de kan oppnå forsvarlig sikkerhet NSM utgir også andre publikasjoner av mer generell karakter, som ikke har status som veiledere, eksempelvis generelle grunnprinsipper for sikkerhet og andre rådgivende dokumenter. Vi håper veilederne gir god støtte til arbeidet med forebyggende sikkerhet og mottar gjerne tilbakemeldinger dersom det er behov for endringer eller andre veiledere.
Unntak fra krav om sikkerhetsavtale
Dersom underleverandører har behov for tilgang til sikkerhetsgradert informasjon, skjermingsverdig objekt eller infrastruktur, må oppdragsgiver inngå sikkerhetsavtale med hver enkelt av disse. Hovedleverandør har ikke anledning til å gi tilgang til slike verdier uten at det er godkjent av oppdragsgiver. Hovedleverandøren må derfor holde oppdragsgiver forløpende orientert om endringer knyttet til bruk av underleverandører. Det bør inntas krav om dette i sikkerhetsavtalen mellom oppdragsgiver og leverandør. En sikkerhetsavtale må ikke utformes som et selvstendig avtaledokument og kan inntas i det ordinære avtaledokumentet for anskaffelsen, dersom det er hensiktsmessig. 3.3.1
Dersom leverandørens personell kun får tilgang til sikkerhetsgradert informasjon, skjermingsverdige objekter eller infrastruktur under oppsyn av en representant fra oppdragsgiver, kreves det ikke sikkerhetsavtale. I slike tilfeller kan det inntas en bestemmelse i kontrakten med leverandøren som beskriver ordningen. 12 At personell skal holdes «under oppsyn» kan skje både ved fysisk og logisk kontroll. Som eksempler nevnes ledsagelse, tilgangsbegrensninger og/eller overvåkning i virksomhetens informasjonssystemer. 13 At personellet holdes under oppsyn innebærer at oppdragsgiver til enhver tid må ha kontroll med hvor leverandørens personell befinner seg og/eller hva disse gjør. En tilfredsstillende kontroll forutsetter at de som gjennomfører denne har tilstrekkelig kompetanse til å forstå hvordan gitt tilgang skal brukes og avdekke om det skjer avvik fra dette. All tilgang som kan misbrukes på en måte som kan skade grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser bør kunne kontrolleres av oppdragsgiver. Dersom dette er en risiko ved anskaffelsen må oppdragsgiver sikre nødvendig grad av oppsyn med leverandørens arbeidsutførelse. Terskelen er derfor høy for å gjøre unntak fra kravet om sikkerhetsavtale. At personellet må holdes under oppsyn gjelder uavhengig av om de aktuelle personene er klarert og autorisert for tilgang på aktuelle nivåer. Skal personellet ha selvstendig tilgang er det krav om at det inngås en sikkerhetsavtale. Det kan være hensiktsmessig å konkretisere de sikkerhetsmessige aspektene ved anskaffelsen i kontrakten med leverandøren, selv om det er anledning til å gjøre unntak fra kravet om sikkerhetsavtale. Det sentrale er at alle parter er omforent om og kjent med hvordan anskaffelsen skal utføres i tråd med aktuelle sikkerhetskrav.
3.4 Leverandørklarering Leverandørklarering er et tiltak som kun kan benyttes i sikkerhetsgraderte anskaffelser. Det er et inngripende tiltak og skal kun benyttes når regelverket sier det er nødvendig for å oppnå et forsvarlig sikkerhetsnivå. Formålet med leverandørklarering er å sikre kontroll med og tillit til leverandører av varer eller tjenester som kan ha betydning for nasjonal sikkerhet. Både leverandøren og personer i dennes styre og ledelse skal klareres, som et ledd i vurderingen av om leverandøren er sikkerhetsmessig
12 Jf. virksomhetsikkerhetsforskriften § 81 og Prop. 153 L, punkt 13.4.3, side 142. 13 Jf. høringsnotat til forslag til forskrifter til ny sikkerhetslov (02.07.2018), punkt 7.11.3.
VEILEDER FOR IVARETAKELSE AV SIKKERHET I ANSKAFFELSER
Det er ikke anledning til å overføre sikkerhetsgradert informasjon, skjermingsverdig objekt eller infrastruktur til ny eier av en leverandørvirksomhet, uten samtykke fra NSM.47 Verdiene kan heller ikke inngå i bobehandling ved gjeldsforhandling eller konkurs uten slikt samtykke. Leverandørens tilgang til nevnte verdier er gitt på bakgrunn av at virksomheten er vurdert som sikkerhetsmessig skikket og at den oppfyller krav til forebyggende sikkerhetsarbeid. Eierskifte eller bobehandling
innebærer at andre aktører trer inn, og forutsetningen for tidligere gitt tilgang vil ikke lengre være tilstede, herunder at nødvendige klareringer ikke lengre foreligger.
3.8 Unntak fra sikkerhetskrav Det kan gjøres unntak fra enkelte av kravene som stilles til sikkerhetsgraderte anskaffelser, dersom det blir «uforholdsmessig byrdefullt» for virksomheten å oppfylle.48 Terskelen for å gjøre unntak er høy, både med henvisning til ordlyden og at lovgiver har vurdert sikkerhetstiltakene som nødvendig for å kunne ivareta et forsvarlig sikkerhetsnivå. Unntak kan være aktuelt dersom oppfyllelse av krav vil føre til at virksomheten ikke kan fungere slik den skal. Unntak skal være godt begrunnet i hensynet til virksomhetens aktivitet, og kompenserende tiltak må ha vært vurdert.49 Det kan gjøres unntak fra følgende krav som gjelder for sikkerhetsgraderte anskaffelser: • inngåelse av sikkerhetsavtale, jf. virksomhetsikkerhetsforskriften § 80 først ledd. • leverandørklarering for elektronisk tilgang fra egne lokaler til objekter eller infrastruktur klassifisert KRITISK eller MEGET KRITISK, jf. virksomhetsikkerhetsforskriften § 83, bokstav b. • leverandørklarering for å råde over objekter eller infrastruktur som tilhører oppdragsgiver, og som er klassifisert KRITISK eller MEGET KRITISK, jf. virksomhetsikkerhetsforskriften § 83, bokstav c. • krav til bi- eller multilateral avtale mellom Norge og annen stat, ved bruk av utenlandske leverandører eller leverandører med lokaler utenfor norsk jurisdiksjon, jf. virksomhetsikkerhetsforskriften § 84. Det er NSM som kan gjøre unntak fra kravene. Der det er utpekt sektormyndighet med tilsynsansvar vil de ha myndighet til å gjøre unntak fra kravene. Derimot er det kun NSM som kan gjøre unntak for krav som gjelder for beskyttelse av sikkerhetsgradert informasjon.50
4.1 Forholdet mellom sikkerhetsloven og lov om offentlige anskaffelser For offentlige og enkelte private virksomheter, vil sikkerhetslovens regler om sikkerhet i anskaffelser komme i tillegg til reglene som gjelder for offentlige anskaffelser.51 Anskaffelsesregelverket gir oppdragsgiver et stort handlingsrom for å tilpasse anskaffelsesprosessen ut i fra de faktiske behov, blant annet til å stille krav og kriterier som ivaretar sikkerhets- og beredskapshensyn.52 Utnyttelse av handlingsrommet i anskaffelsesregelverket forutsetter imidlertid at oppdragsgiver er kjent med mulighetene til å tilpasse anskaffelsen etter de faktiske behov, og evner å benytte seg av disse.
48 Jf. virksomhetsikkerhetsforskriften § 20 første ledd. 49 Jf. Prop. 153 L (2016-2017), punkt 10.5.2.2. 50 Jf. virksomhetsikkerhetsforskriften § 20 annet ledd. 51 Jf. Lov om offentlige anskaffelser (LOA) § 2. 52 Se NOU 2024:9 del II for en gjennomgang av handlingsrommet i anskaffelsesregelverket, særlig punkt 4.5, side 108-
111. Se også Veileder om ivaretakelse av sikkerhet i offentlige anskaffelser, utarbeidet av Forsvarsdepartementet og Nærings- og fiskeridepartementet. NASJONAL SIKKERHETSMYNDIGHET | 21
godkjenne leverandøren før det inngås en sikkerhetsavtale.41 Oppdragiver må derfor fremsende en forespørsel til NSM med navn på leverandøren og landet denne er lokalisert i fremkommer. Dersom NSM godkjenner den utenlandske leverandøren og det inngås en sikkerhetsavtale mellom oppdragsgiver og leverandøren, skal oppdragsgiver sende kopi av sikkerhetsavtalen til NSM. NSM vil fremsende denne til sikkerhetsmyndigheten i landet hvor leverandøren er lokalisert, hvor den kan tjene som grunnlag for kontroll med leverandøren. Internasjonalt vil disse avtalene gjerne bli omtalt som Security Clauses, Security Aspect letter (SAL) eller Project Security Instructions (PSI). 3.6.2
Hvis leverandøren ikke har leverandørklarering og dette er et krav i anskaffelsen, er det myndighetene i hjemstaten som skal klarere leverandøren.42 Internasjonalt betegnes leverandørklarering som Facility Security Clearance (FSC). Oppdragsgiver må sende anmodning om leverandørklarering til NSM, som videresender anmodningen til sikkerhetsmyndigheten i leverandørens hjemstat. 43 Den annen stats sikkerhetsmyndighet vil gi en bekreftelse tilbake til NSM om, eller når, en leverandørklarering foreligger, og NSM vil deretter informere oppdragsgiver om dette. I den sikkerhetsgraderte anskaffelsens løpetid vil sikkerhetsmyndigheten i landet hvor leverandøren er lokalisert være forpliktet til å forestå sikkerhetsmessig oppfølging og tilsyn med leverandøren, i henhold til det aktuelle landets nasjonale lovgivning. Dette har Norge akseptert gjennom de bi- og multilaterale sikkerhetsavtalene. Dersom andre lands sikkerhetsmyndigheter eller internasjonale organisasjoner forespør hvorvidt en norsk leverandør har leverandørklarering, er det kun NSM som kan utlevere slik informasjon.44 Leverandørklareringsprosess: utenlandske leverandører
Sjekker om det foreligger en avtale mellom Norge og aktuell stat
Steg 3** Sjekker om aktuell stat klarerer på nivået som gjelder for anskaffelsen
Steg 4 Fyller ut FSCIS og anmoder om klarering fra utenlandsk sikkerhetsmyndighet
Risikovurderingen av anskaffelsen kan danne grunnlag for varsling ved risiko for at oppdragsgivers verdier kan bli brukt til sikkerhetstruende virksomhet. Dersom en anskaffelse kan gi leverandøren eller personell hos leverandøren mulighet til å påvirke skjermingsverdig informasjonssystem, objekt eller infrastruktur, må oppdragsgiver ta stilling til om det medfører en ikke ubetydelig risiko for at verdien kan bli rammet av eller brukt til sikkerhetstruende virksomhet. 7 Plikten til å gjennomføre risikovurdering og eventuell varslingsplikt gjelder ikke utelukkende i sikkerhetsgraderte anskaffelser, men også anskaffelser til skjermingsverdige informasjonssystemer. Varsling og involvering av myndighetene er ment for spesielle situasjoner hvor risikoen vurderes å være på et nivå utover det som er normalt. I normaltilfeller skal oppdragsgiver selv, ved risikohåndtering og iverksettelse av risikoreduserende tiltak, fjerne eller redusere risikoen til et akseptabelt nivå. Varselet skal inneholde all informasjon som er relevant for å kunne ta stilling til risikoen forbundet med anskaffelsen. 8 Varsel skal sendes til ansvarlig sektordepartement, eller NSM dersom virksomheten ikke er underlagt noe departement. Oppdragsgiver skal innen 60 dager fra varselet er mottatt få orientering om anskaffelsen kan gjennomføres eller om saken må behandles av Kongen i statsråd.
3.2 Sikkerhetskrav i konkurransegrunnlaget Konkurransegrunnlaget bør utarbeides med utgangspunkt i gjennomført risikovurdering og de sikkerhetshensyn som gjør seg gjeldende. Selv om leverandører til sikkerhetsgraderte anskaffelser underlegges sikkerhetsloven og plikter å overholde krav til forebyggende sikkerhetsarbeid, kan det være hensiktsmessig at det tas inn informasjon om dette i konkurransegrunnlaget for å tydeliggjøre rammene for anskaffelsen. Videre anbefales det at konkurransegrunnlaget inneholder informasjon om spesifikke sikkerhetskrav og -kriterier som gjelder for den konkrete anskaffelsen, såfremt det er informasjon som kan deles. Krav kan knytte seg til tiltak for informasjons-, informasjonssystems-. objekt-, infrastruktur- eller personellsikkerhet. I en sikkerhetsgradert anskaffelse skal det som hovedregel inngås en sikkerhetsavtale mellom oppdragsgiver og leverandør, og da bør det fremgå av konkurransegrunnlaget at det vil stilles krav til inngåelse av en slik avtale. Det vises også til de særskilte krav som gjelder for å kunne godkjenne utenlandske leverandører, herunder at NSM må godkjenne disse før det kan inngås en sikkerhetsavtale.9 Dersom det etter regelverket stilles krav om at personell og/eller leverandøren må klareres, bør det informeres om i konkurransegrunnlaget da det ikke er gitt at det vil være mulig å oppfylle for alle leverandører. Der det fremtidige beskyttelsesbehovet ikke er endelig avklart, bør det tas forbehold om at det kan bli aktuelt å stille ytterligere krav til sikkerhet og hvilke tiltak det kan omfatte.
7 Jf. sikkerhetsloven § 9-4, jf. presisering i virksomhetsikkerhetsforskriften § 18 første ledd. 8 Se virksomhetsikkerhetsforskriften § 19 første ledd. 9 Se sikkerhetsloven § 9-2 første ledd, annet punktum.
egne lokaler, er det autorisasjonsansvarlig hos leverandøren som skal autorisere leverandørens personell. Dersom oppdragsgiver er utenlandsk, er NSM ansvarlig for å autorisere autorisasjonsansvarlig hos den norske leverandøren.
3.5 Oppdragsgivers oppfølging av leverandørforhold Selv om leverandøren har et selvstendig ansvar for iverksetting av nødvendige sikkerhetstiltak, har oppdragsgiver et sikkerhetsmessig oppfølgingsansvar overfor leverandøren. Oppdragsgiver skal forsikre seg om at leverandøren har nødvendig risiko- og sikkerhetsforståelse og at leverandøren oppfyller krav til forebyggende sikkerhetsarbeid som er nødvendig i den konkrete anskaffelsen.38 Det er viktig at oppdragsgiver etablerer gode mekanismer for å følge opp leverandører de benytter i sin virksomhet, slik at de får informasjon om endringer eller hendelser som kan ha påvirkning på vurderingen av risiko og hvilke sikkerhetstiltak som er nødvendig. Oppdragsgiver skal ha oversikt over alle sikkerhetsgraderte anskaffelser de gjennomfører, og hvilke leverandører og underleverandører de benytter seg av i sikkerhetsgraderte anskaffelser. Oversikten over pågående sikkerhetsgraderte anskaffelser skal årlig oversendes til NSM som er ansvarlig for å føre register over sikkerhetsgraderte anskaffelser. Med hensynvisning til NSM sitt ansvar for å gjennomføre tilsyn med leverandører til sikkerhetsgraderte anskaffelser er det viktig at oppdragsgivere overholder plikten til å føre oversikt og formidle denne til NSM.39 I tillegg til den årlige oversikten er det ønskelig at virksomheter holder NSM fortløpende oppdatert om leverandører de benytter i sikkerhetsgraderte anskaffelser og nivå på anskaffelsen, slik at NSM til enhver tid har oversikt over hvilke virksomheter som er underlagt sikkerhetsloven som leverandører.
3.6 Utenlandske leverandører Leverandører som driver virksomheten fra et annet land og under et annet lands jurisdiksjon er å anse som utenlandsk i forbindelse med sikkerhetsgraderte anskaffelser. Norge har en rekke multiog bilaterale sikkerhetsavtaler med andre land. Disse regulerer hvordan sikkerhetsgradert informasjon som utveksles over landegrensene skal behandles og etablerer en gjensidig plikt til å beskytte sikkerhetsgradert informasjon som utveksles og/eller tilvirkes. Dette gjør det mulig for norske oppdragsgivere å benytte seg av utenlandske leverandører. En forutsetning for å kunne benytte en utenlandsk leverandør i en sikkerhetsgradert anskaffelse er at det foreligger en slik bieller multilateral avtale mellom norske myndigheter og myndighetene i landet leverandøren holder til i eller driver fra.40 All kommunikasjon med utenlandske sikkerhetsmyndigheter i forbindelse med sikkerhetsgraderte anskaffelser skal gå via NSM. 3.6.1
Dersom en utenlandsk leverandør eller leverandørens personell skal få tilgang til sikkerhetsgradert informasjon eller det er nødvendig med klarering av leverandør og/eller personellet, skal NSM
38 Jf. sikkl § 4-1 annet ledd og Prop. 153 L (2016-2017), punkt 19.4 (merknad til § 4-1). 39 jf. Jf. klareringsforskriften § 39 annet ledd og virksomhetsikkerhetsforskriften § 88.
tilgang for at anskaffelsen omfattes av regelverket for sikkerhetsgraderte anskaffelser. Tilgang omfatter både fysisk og logisk tilgang til oppdragsgivers verdier. En tilgang som gir leverandøren innsikt i sikkerhetsgradert informasjon medfører at anskaffelsen er sikkerhetsgradert, basert på konfidensialitetshensyn. En anskaffelse som gir tilgang som innebærer at leverandøren kan endre, ødelegge, skade eller fjerne et skjermingsverdig objekt eller infrastruktur er sikkerhetsgradert med begrunnelse i tilgjengelighets- og/eller integritetshensyn. Sonderingen mellom hvilke beskyttelseshensyn som er førende for anskaffelsen, gir seg utslag i hvilke sikkerhetskrav som må implementeres for å sikre et forsvarlig sikkerhetsnivå. Oppdragsgiver må derfor få klarhet i hvilke tilganger leverandøren må ha for å utføre sitt oppdrag, og om disse vil kunne gi tilgang til sikkerhetsgradert informasjon, skjermingsverdig objekt eller skjermingsverdig infrastruktur. Oppdragsgiver må ha kunnskap om hvilket handlingsrom en gitt tilgang gir og hvordan denne eventuelt kan misbrukes. Et eksempel på tilgang som gir mulighet for misbruk kan være anskaffelse av komponenter til et skjermingsverdig objekt eller infrastruktur, hvor komponentene kan inneholde en bakdør som kan gi tilgang til systemet på et senere tidspunkt. Dette må også sees i sammenheng med hvilke sikkerhetstiltak som er innført hos oppdragsgiver. Dersom det i et bygg ikke er innført soneinndeling med ulike tilgangsnivåer kan tilgang til bygget gi omfattende innpass til eventuelle verdier som befinner i bygget. Vurderingen av om en leverandør kan få tilgang til oppdragsgivers verdier må være realistisk, ikke enhver tenkt mulighet vil være tilstrekkelig. Risikoaksepten er lavere for høyt graderte eller klassifiserte verdier, sammenlignet med verdier som er gradert eller klassifisert på et lavere nivå.
3 Sikkerhetskrav i sikkerhetsgraderte anskaffelser Sikkerhet skal være en integrert del av hele anskaffelsesprosessen. Kravene som stilles i forbindelse med sikkerhetsgraderte anskaffelser må sees i sammenheng med virksomheters plikt til å opprettholde et forsvarlig sikkerhetsnivå og redusere risikoen for sikkerhetstruende virksomhet. Tiltakene som skal implementeres er å anse som sikkerhetstiltak på lik linje med øvrige sikkerhetstiltak sikkerhetsloven stiller krav om.
3.1 Risikovurdering Oppdragsgiver skal gjennomføre en risikovurdering av anskaffelsen med sikte på å avklare hvilke sikkerhetsbehov som gjør seg gjeldende og hvilke sikkerhetstiltak det er nødvendig å iverksette. 4 Det er viktig at risikovurderingene tar for seg alle sikkerhetsrelevante forhold ved anskaffelsen. Risikovurderingen må inneholde informasjon om hvilke av oppdragsgivers verdier anskaffelsen kan gi tilgang til og hvilken betydning disse verdiene har for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser. I risikovurderingen må virksomheten også identifisere relevante trusler og avdekke mulige sårbarheter, for å avklare risiko i anskaffelsen og hvordan denne skal håndteres. Det må sikres dokumentasjon
informasjon om at ny/nye eiere har tilknytning til andre stater eller organisasjoner med ulovlig formål, om de har en historikk med økonomisk mislighold eller annet som kan gi grunn til bekymring for ivaretakelse av sikkerhet i anskaffelsen. Det er derfor relevant å regulere hvordan partene skal forholde seg i slike situasjoner, herunder mulighet for avvikling av kontraktsforholdet. Ved potensiale for at anskaffelsen på et senere tidspunkt kan bli mer sikkerhetssensitiv, er det hensiktsmessig at det orienteres om hvilke krav en leverandør i så tilfelle kan bli forpliktet til å innfri. Kontrakten mellom oppdragsgiver og leverandør bør derfor regulere hvilket handlingsrom oppdragsgiver har til å gjøre endringer i sikkerhetskrav og hvem som skal bære ansvaret for tilleggskostnader som følge av endrede sikkerhetskrav. Anskaffelser som kan gi leverandøren tilgang til skjermingsverdige informasjonssystemer eller skjermingsverdig ugradert informasjon er ikke å anse som sikkerhetsgraderte anskaffelser. I slike anskaffelser stilles det likevel krav om at oppdragsgiver og leverandør skal inngå en avtale hvor relevante sikkerhetskrav til anskaffelsen fremkommer54. Ved utarbeidelse av en slik avtale kan det være hensiktsmessig å se hen til hvilke krav som stilles til innhold i en sikkerhetsavtale.
Det er viktig at oppdragsgiver tidlig avklarer hvilke behov som gjør seg gjeldende for anskaffelsen og tilpasser anskaffelsesprosessen etter dette, uavhengig av om anskaffelsen er sikkerhetsgradert eller ikke. Oppdragsgiver må sikre riktig kompetanse inn i anskaffelsesprosessene slik at alle relevante behov og hensyn ivaretas, herunder til det som skal anskaffes, prosess og sikkerhet. Gjennomføring av gode risikovurderinger forutsetter at oppdragsgiver har kjennskap til virksomhetens verdier og sårbarheter, og at man innhenter nødvendig informasjon om trusler som er relevant for egen virksomhet og den enkelte anskaffelse. Hensynet til sikkerhet må vektlegges riktig, slik at det ikke tilsidesettes for mindre tungtveiende hensyn ved utforming av anskaffelsesprosessen og ved valg av leverandør. Oppdragsgiver må sørge for ivaretakelse av et forsvarlig sikkerhetsnivå både før, under og etter kontraktsinngåelse. Det innebærer blant annet etablering av mekanismer som sikrer nødvendig oppfølging av leverandører og underleverandører, kontroll med gitte tilganger til oppdragsgivers verdier, og håndtering av sikkerhetstruende hendelser. Oppdragsgiver må ta høyde for at situasjonsbildet er dynamisk og at endringer kan føre til behov for nye risikovurderinger og tiltak.
Vurdering av om en anskaffelse er sikkerhetsgradert _____________5 2.1 Kompetanse ________________________________________________________6 2.2 Oppdragsgivers verdier ______________________________________________6 2.2.1 Fremtidige verdier _______________________________________________________________6
Veilederen gir en innføring i krav som stilles til anskaffelser etter sikkerhetsloven. Veilederen er relevant for alle virksomheter som er underlagt sikkerhetsloven og er skrevet for fagmiljø som planlegger og gjennomfører sikkerhetsrelevante anskaffelser. Aktuelle bestemmelser for anskaffelser etter sikkerhetsloven (sikkl) fremgår av kapittel 9 og § 1-2 annet ledd. I forskrift om virksomheters arbeid med forebyggende sikkerhet (virksomhetsikkerhetsforskriften) er det § 18 og kapittel 13 og som regulerer sikkerhet i anskaffelser og sikkerhetsgraderte anskaffelser. Klareringsforskriften kapittel 4 inneholder relevante bestemmelser for leverandørklarering. Veilederen avgrenses mot generelle anskaffelsesprosedyrer og anskaffelser som følger annen særlovgivning. I punkt 4 vil det helt kort bli redegjort for forholdet mellom sikkerhetsloven og anskaffelsesregelverket. NSM anbefaler å se veilederen i sammenheng med annet veiledningsmateriale NSM har utarbeidet, blant annet knyttet til gjennomføring av verdi- og skadevurdering, risikostyring og personellsikkerhet. Det vil også være hensiktsmessig å se veilederen i sammenheng med de årlige trussel- og risikovurderingene som utgis av Politiets sikkerhetstjeneste, Etterretningstjenesten og NSM. På NSM sine nettsider publiseres det skjema og maler som virksomheter kan benytte når de gjennomfører sikkerhetsgraderte anskaffelser. Det presiseres at slike skjemaer og maler bør tilpasses de konkrete anskaffelsene de benyttes i.
2 Vurdering av om en anskaffelse er sikkerhetsgradert En sikkerhetsgradert anskaffelse er en anskaffelse hvor en leverandør av varer eller tjenester kan få tilgang til eller tilvirker sikkerhetsgradert informasjon, eller hvor leverandøren kan få tilgang til skjermingsverdig objekt eller infrastruktur.1 Slike verdier har betydning for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser og det stilles derfor strengere krav til gjennomføringen av sikkerhetsgraderte anskaffelser enn for ordinære anskaffelser. Formålet med reglene om sikkerhetsgraderte anskaffelser er å sikre at leverandøren eller personell fra leverandøren oppfyller de samme krav til sikkerhet som gjelder for oppdragsgiver eller oppdragsgivers personell. Oppdragsgiver er ansvarlig for å ivareta et forsvarlig sikkerhetsnivå i alle deler av egen virksomhet, også for aktivitet som utføres av andre gjennom anskaffelse av varer og tjenester. Leverandører og underleverandører til sikkerhetsgraderte anskaffelser underlegges derfor sikkerhetsloven og må overholde krav til forebyggende sikkerhetsarbeid.2 Det bemerkes at krav til forsvarlig sikkerhetsnivå og aktuelle sikkerhetstiltak hos leverandøren må tilpasses ut fra faktiske behov i og krav til anskaffelsen. Det er kun de deler av sikkerhetsloven som er relevant for anskaffelsen som leverandøren må forholde seg til. Dersom leverandøren eksempelvis får tilgang til sikkerhetsgradert informasjon, må leverandøren blant annet forholde seg til krav knyttet til informasjons- og personellsikkerhet.
Hvilke tiltak oppdragiver kan iverksette for å sikre et forsvarlig sikkerhetsnivå i anskaffelsen beror på en konkret og helhetlig vurdering av hvilke behov som gjør seg gjeldende, hvilke tiltak som er nødvendige, og om disse er forholdsmessige. For virksomheter som er underlagt sikkerhetsloven vil det være relevant å vurdere behov for nasjonal kontroll og autonomi, sett i lys av virksomhetens rolle i de ulike deler av krisespekteret, ved planlegging av anskaffelser. Eksempler på aktuelle tiltak for å ivareta sikkerhetshensyn i anskaffelser: •
oppdeling av større kontrakter og begrensninger på antall delkontrakter en leverandør kan tildeles for å unngå avhengighet til enkeltleverandører og fordele risiko
sikre redundante løsninger for varer og tjenester virksomheten er avhengig av
begrensninger på antall ledd i leverandørkjeder for å bedre oppdragsgivers mulighet til å ha oversikt over og kontroll med leverandører
Fordeling av anskaffelser på et større antall aktører bidrar til at flere virksomheter får økt kunnskap og kompetanse. Det kan spille positivt inn på konkurransedyktigheten til mindre og gjerne lokale virksomheter, som igjen kan øke nasjonal redundans på kapasitet og kompetanse. Tiltak for å unngå konsentrasjonsrisiko blant leverandører kan også redusere risiko for at enkeltaktører blir sittende med en omfattende og potensiell sensitiv verdioversikt. Tiltak for å sikre oversikt og kontroll med leverandørkjeder gir bedre forutsetninger for å hindre uønskede aktører innpass i leverandørkjeder og reduserer risiko for utilsiktet avhengighetskonsentrasjon. I konkurransegrunnlaget kan oppdragsgiver stille krav og kriterier som tilbydere må kunne innfri for å bli valgt som leverandør i anskaffelsen. Det kan blant annet knytte seg til: •
krav om formell kompetanse, sertifisering, erfaring fra lignende arbeid eller nærmere angitte kvalifikasjoner for å sikre at leverandør har nødvendig risiko- og sikkerhetsforståelse
krav til adgangs- og tilgangskontroll for å redusere risiko for uønsket tilgang til oppdragsgivers verdier
krav til håndtering av informasjon for å sikre konfidensialitet for sensitiv informasjon
Leverandører fra enkelte land er underlagt lovbestemmelser som pålegger dem et utstrakt samarbeid med eget lands myndigheter, blant annet knyttet til deling av informasjon. Muligheten for at leverandøren kan bli pålagt å dele informasjon de får tilgang til i en anskaffelse kan komme i konflikt med lovpålagt plikt for oppdragsgiver til å beskytte taushetsbelagt informasjon.
4.4 Sikkerhetskrav i kontrakt Selv om det ikke er krav om inngåelse av sikkerhetsavtale utenfor sikkerhetsgraderte anskaffelser, bør sikkerhetskrav være en sentral del av kontrakten. Det vil bidra til å sikre en omforent forståelse av rammene for anskaffelsen og ansvarsfordelingen mellom oppdragsgiver og leverandør. Ved inngåelse av kontrakt bør oppdragsgivers mulighet for kontroll og tilgang til nødvendig informasjon reguleres. Informasjon om endringer i hoved- eller underleverandørers eierstruktur vil her være relevant, da helt eller delvis oppkjøp av en leverandør kan få betydning for risikovurderingen av anskaffelsen. Av informasjon som kan få slik betydning, vises det blant annet til NASJONAL SIKKERHETSMYNDIGHET | 23
med gjennomførte risikovurderinger, slik at de er etterprøvbare både for intern og ekstern kontroll. 5
I trefaktormodellen er risiko et forhold mellom verdi, trusler og sårbarhet. Kilde: NSM.
Anskaffelser kan være komplekse, langvarige og det kan skje endringer knyttet til verdi, sårbarhet og trussel underveis. Det må fortløpende tas stilling til endringer som kan påvirke vurderingen av beskyttelsesbehovet og aktuelle sikkerhetstiltak, og om det er behov for gjennomføring av en ny risikovurdering. I forkant av at leverandør velges til en anskaffelse må oppdragsgiver avklare om bruk av den konkrete leverandøren kan komme i konflikt med oppdragsgivers plikt til å ivareta et forsvarlig sikkerhetsnivå i anskaffelsen. Det må sees i sammenheng sikkerhetskravene som er oppstilt for anskaffelsen. Videre må oppdragsgiver se hen til tidligere og fremtidige leveranser, og den samlede informasjonsmengden en leverandør kan bli sittende med. Dersom samme virksomhet benyttes som leverandør i flere anskaffelser, kan leverandøren få en oversikt over oppdragivers verdier som samlet sett innebærer at anskaffelsen må gjennomføres som en sikkerhetsgradert anskaffelse. Omfattende bruk av enkeltleverandører eller bruk av leverandører fra samme land eller områder kan i tillegg medføre avhengigheter som kan være uheldig i et sikkerhet- og beredskapsperspektiv. Det vises blant annet til risikoen for at noen aktører kan få stor innflytelse over eller omfattende innsikt i norske verdikjeder. For virksomheter som har sentrale roller i og som må opprettholde leveranser i alle deler av krisespennet, er det spesielt viktig å være oppmerksom på hvilke avhengighetsforhold man har til hvilke aktører. Det er uheldig om man gjør seg helt avhengig av leveranser fra virksomheter eller nasjoner som det er risiko for at kan bli utilgjengelig ved en eskalering i krisespennet eller andre geopolitiske endringer. Nasjonal sikkerhet skal ivaretas i fred, krise og krig. For å redusere risikoen for at man gjør seg for avhengig av enkeltaktører eller at uønskede aktører får innpass i leverandørkjeder, er det viktig at oppdragsgiver har god oversikt over anskaffelser i sin virksomhet og hvilke leverandører de benytter i ulike prosesser. Det omfatter også oversikt over bruk av underleverandører og leverandørkjeden i sin helhet. I sikkerhetsgraderte anskaffelser er oppdragsgiver pålagt å holde slik oversikt. 6
4.2 Relevante hensyn ved planlegging og gjennomføring av anskaffelser Med utgangspunkt i gjennomført risikovurdering må oppdragsgiver ta stilling til hvordan sikkerhetshensyn skal vektes i en anskaffelse. Oppdragsgiver har et skjønn hva gjelder utforming av tildelingskriteriene og hvordan disse skal vektlegges i anskaffelsesprosessen. Ved behov for langsiktig robusthet kan det være lite hensiktsmessig med et stort fokus på kortsiktige konsekvenser for virksomheten, eksempelvis i form av kostnad. Vektlegging av pris fremfor sikkerhet i en anskaffelsesprosess kan utgjøre en sårbarhet som kan utnyttes av trusselaktører, fordi det øker risikoen for at mindre virksomheter med nasjonal produksjon kan prises ut av konkurransen til fordel for større virksomheter med produksjon i lavkostandsland. Det er også kjent at enkelte stater subsidierer næringslivsaktører slik at de kan vinne anbudskonkurranser i vestlige land og slik få innpass i verdikjeder. Dette kan ha betydning for nasjonal beredskap, men også by på sikkerhetsmessige utfordringer dersom produksjonslandet utgjør en risiko for nasjonal sikkerhet. Endringer i sikkerhets- og geopolitiske forhold kan påvirke vurderingen av hvilke verdier som er viktig å beskytte, hvordan man skal gå frem for å beskytte disse og hvem vi ønsker å samhandle med. Et endret situasjonsbilde har blant annet ført til et økt behov for kontroll med teknologi, infrastruktur og innsatsfaktorer av stor betydning innenfor nasjonal sikkerhet og samfunnssikkerhet. Internasjonale spenninger påvirker også hva trusselaktører er interessert i og hvordan de går frem for å oppnå sine mål. De senere år har man sett en økende grad av tilstedeværelse fra enkeltaktører og -land inn i norske og europeiske verdikjeder, som både kan gi innsikt i informasjon om, og mulighet for å påvirke, verdier av nasjonal betydning.53 Det kan være enklere å skaffe seg tilgang til verdier gjennom underleverandører som kan ha et lavere sikkerhetsnivå enn oppdragsgiver og hovedleverandør. I større anskaffelser med lange og kompliserte leverandørkjeder kan det også være enklere å skjule egen identitet og faktisk agenda.
4.3 Ivaretakelse av sikkerhet i anskaffelsesprosessen For virksomheter som er underlagt sikkerhetsloven skal forebyggende sikkerhetsarbeid være en del av virksomhetens styringssystem, og det skal iverksettes tiltak som er nødvendig for å gi et forsvarlig sikkerhetsnivå. Kravet til forsvarlig sikkerhetsnivå gjelder for alle virksomhetens aktiviteter, også i anskaffelser. Det omfatter både sikkerhetsgraderte og ugraderte anskaffelser, selv om det i de ugraderte anskaffelsene kan variere hvor fremtredende sikkerhetsaspektet er. Selv om det er en ugradert anskaffelse kan det være nyttig å se hen til regelverket for sikkerhetsgraderte anskaffelser for veiledning knyttet til hva som må sikres og hvordan dette kan gjøres. Deler av det som tidligere er gjennomgått i veilederen vil derfor ha relevans i ugraderte anskaffelser hvor oppdragsgiver er underlagt sikkerhetsloven, se spesielt kapittel 3.1 om risikovurdering, 3.2 om sikkerhet i konkurransegrunnlaget og 3.5 oppfølging av leverandørforhold. Det er viktig at oppdragsgiver gjennomfører gode og dekkende vurderinger av hvilke behov som gjør seg gjeldende, og hvordan disse skal ivaretas. Oppdragsgiver må også avklare hvilke regelverk og krav som gjelder i den konkrete anskaffelsen, og hvilket handlingsrom man har for å ta hensyn til og stille krav til sikkerhet. En tidlig avklaring vil gjøre samkjøring med annet regelverk enklere og lette arbeidet med å implementere nødvendige sikkerhetstiltak på riktig sted i prosessen.
Selv om oppdragsgiver konkluderer med at det ikke er en sikkerhetsgradert anskaffelse, er det viktig å være oppmerksom på at dette kan endre seg underveis i anskaffelsesprosessen. Anskaffelser kan være komplekse, langvarige og det kan skje endringer knyttet til verdi, sårbarhet og trussel underveis. Det må fortløpende tas stilling til endringer som kan påvirke vurderingen av hvordan anskaffelsen må gjennomføres og om regelverket for sikkerhetsgraderte anskaffelser kommer til anvendelse.
2.1 Kompetanse En forutsetning for å gjennomføre gode og dekkende vurderinger av hvilke behov som gjør seg gjeldende i den enkelte anskaffelse og tilrettelegge prosessen best mulig, er at oppdragsgiver sikrer riktig kompetanse inn i anskaffelsesprosessene. Det kreves både kunnskap om, og kompetanse på, gjennomføring av anskaffelser og ivaretakelse av helhetlig sikkerhet. Videre er det nødvendig med avtalekompetanse for å sikre godt utarbeidede kontrakter som ivaretar sikkerhet og oppdragsgivers behov for kontroll i hele prosessen. Involvering av brukere av det som anskaffes kan også bidra positivt i arbeidet med å ivareta sikkerhetshensyn og implementere riktige sikkerhetstiltak.
2.2 Oppdragsgivers verdier Oppdragsgiver må avklare hvilke verdier anskaffelsen kan gi tilgang til og hvilken betydning disse har for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser. Det er kun tilgang til sikkerhetsgradert informasjon, skjermingsverdig objekt og skjermingsverdig infrastruktur som kan gjøre en anskaffelse sikkerhetsgradert. Sikkerhetsgradert informasjon er informasjon som må beskyttes fordi det kan skade nasjonale sikkerhetsinteresser om den blir kjent for uvedkommende. Det er virksomheten som tilvirker informasjonen som er ansvarlig for å vurdere skadepotensial og sikkerhetsgradere informasjonen på riktig nivå. Objekter og infrastruktur er skjermingsverdig dersom det kan skade grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser om de får redusert funksjonalitet eller om de blir utsatt for skadeverk, ødeleggelse eller rettstridig overtakelse. Det er ansvarlig sektordepartementet som utpeker og klassifiserer slike verdier. 2.2.1 Fremtidige verdier Anskaffelser kan knytte seg til utvikling eller produksjon av produkter eller etablering av objekter, som man på forhånd ikke vet verdien til. Et eksempel på dette kan være oppføring av et bygg eller utvikling av et informasjonssystem som på sikt kan komme til å bli utpekt som skjermingsverdig. Det kan også tenkes tilfeller hvor det er behov for konfidensialitet i tilknytning til teknologien som er benyttet for å utvikle noe, eller hvordan noe er bygd opp. I tilfellene der det på forhånd ikke er avgjort hvilken verdi noe vil få, må anskaffelsen gjennomføres med utgangspunkt i antatt fremtidig verdi basert på vurderinger av mulig skadepotensial for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser. Det kan være utfordrende å gjennomføre vurderinger av hvilken verdi og beskyttelsesbehov noe vil kunne komme til å få i fremtiden. Oppdragsgiver må etter beste evne gjennomføre kvalifiserte vurderinger av hvilken betydning noe som tilvirkes kan få for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser, herunder potensielt skadepotensial ved bortfall av konfidensialitet, tilgjengelighet eller integritet. Videre må oppdragsgiver må ha oversikt over NASJONAL SIKKERHETSMYNDIGHET | 6
Oppdragsgiver bør unngå å inkludere sikkerhetsgradert informasjon i konkurransegrunnlaget, da tilbydere må autoriseres og eventuelt klareres for å få tilgang til informasjonen. I tillegg vil dette medføre at oppdragsgiver som hovedregel må inngå en sikkerhetsavtale med leverandør allerede på dette tidspunktet i anskaffelsen. For å unngå unødig spredning av sikkerhetsgradert informasjon og iverksettelse av inngripende og potensielt tidkrevende klareringsprosesser, bør oppdragsgiver derfor være restriktiv med deling av sikkerhetsgradert informasjon på dette stadiet i anskaffelsesprosessen. Dersom det likevel er nødvendig å dele sikkerhetsgradert informasjon bør tilgang primært gis i oppdragsgivers lokaler, for å begrense behovet for å gjennomføre leverandørklareringer og eventuelle investeringer i sikkerhetstiltak for virksomhetene på dette stadiet.
3.3 Sikkerhetsavtale Sikkerhetsavtale skal som hovedregel inngås i alle sikkerhetsgraderte anskaffelser. 10 Det gjelder også sikkerhetsgraderte anskaffelser hvor både oppdragsgiver og leverandør er offentlige virksomheter. Formålet med en sikkerhetsavtale er å tydeliggjøre og konkretisere krav sikkerhetsloven og tilhørende forskrifter stiller til oppdragsgiver og leverandør for å ivareta et forsvarlig sikkerhetsnivå i anskaffelsen. I tillegg skal avtalen sikre en omforent forståelse av roller og ansvar i det forebyggende sikkerhetsarbeidet. Sikkerhetsavtalen skal inngås før leverandøren får tilgang til sikkerhetsgradert informasjon eller utpekte og klassifiserte verdier. Dersom man underveis i anskaffelsesprosessen ser at det er behov for mer eller mindre omfattende sikkerhetskrav, må sikkerhetsavtalen oppdateres slik at den reflekterer de til enhver tid gjeldende krav for anskaffelsen. Sikkerhetsavtalen skal også oppdateres dersom det skjer andre endringer av betydning for ivaretakelse av et forsvarlig sikkerhetsnivå. Behovet for fortløpende vurdering av risiko gjør seg dermed gjeldende før, under og etter at kontrakt er inngått. Kontrakten mellom oppdragsgiver og leverandør bør derfor regulere hvilket handlingsrom oppdragsgiver har til å gjøre endringer i sikkerhetskrav og hvem som skal bære ansvaret for tilleggskostnader som følge av endrede sikkerhetskrav. Omfanget av sikkerhetsavtalen må ta utgangspunkt i hva som skal anskaffes, hvem som kan få tilgang til oppdragsgivers verdier og hvor tilgangen skal skje fra. 11 Sikkerhetsavtalen skal alltid inneholde informasjon om hvilken sikkerhetsgrad anskaffelsen skal ha, spesifisert for hver del av oppdraget, og hvordan leverandøren skal forholde seg til de av lovens krav som gjelder for anskaffelsen. I anskaffelser hvor personell fra leverandøren kun får tilgang til aktuelle verdier hos oppdragsgiver, vil det være hensiktsmessig å innta informasjon om hvilket personell som skal klareres, for hva og hvordan disse skal følges opp. Oppdragsgiver må vurdere konkret hva det er behov for å regulere i sikkerhetsavtalen, og om det er nødvendig å innta elementer utover det som regelverket oppstiller krav om for å oppnå formålet med inngåelse av en sikkerhetsavtale. For å sikre oppdragsgiver nødvendig oversikt over leverandørkjeden og involverte aktører, kan det være hensiktsmessig at det i sikkerhetsavtalen inkluderes varslingsplikt ved endringer i eierskap og eierskapsstruktur hos leverandøren. Det vises til at leverandører til sikkerhetsgraderte anskaffelser uten leverandørklarering ikke er pålagt noen slik varslingsplikt i regelverket.
10 Jf. sikkl § 9-2 første ledd. 11 Jf. sikkl § 9-2 annet ledd for minimumskrav til innholdet i sikkerhetsavtalen og virksomhetsikkerhetsforskriften § 80 for
krav i de tilfeller hvor leverandøren skal få tilgang fra egne lokaler. NASJONAL SIKKERHETSMYNDIGHET | 11
klareringsmyndighet er det NSM som avgjør om avkall på retten til innsyn gir mulighet til innvilgelse av leverandørklarering. 3.4.3.3 Kontroll av leverandør Før en leverandør kan klareres, skal NSM kontrollere at leverandøren oppfyller de krav til sikkerhetsstyring og beskyttelse av skjermingsverdige verdier som er relevante for den konkrete anskaffelsen.29 Kontrollen kan skje ved innhenting av dokumentasjon, stedlig revisjon eller ved inspeksjoner. Det skal være notoritet med gjennomførte kontroller, i form av at det utarbeides en rapport. Etter avtale med NSM kan kontrollen gjennomføres av oppdragsgiver. Oppdragsgiver må i slike tilfeller utarbeide en rapport fra kontrollen som vil inngå i klareringsmyndighetens vurdering av om leverandørklarering skal gis. Dersom det i klareringsperiodens gyldighetstid skjer endringer eller det fremkommer opplysninger av betydning for vurderingen av om leverandøren er sikkerhetsmessig skikket, skal det gjennomføres ny kontroll med leverandøren.
Det kan oppstå situasjoner som endrer klareringsmyndighetens tidligere vurdering av om leverandøren er sikkerhetsmessig skikket til å inneha leverandørklarering. Leverandøren skal skriftlig varsles om at det skal gjennomføres kontroll, såfremt det ikke er nødvendig å unnlate varsel av sikkerhetshensyn. 3.4.3.4 Vurderingsgrunnlag Innvilgelse av leverandørklarering forutsetter at det ikke er noen rimelig grunn til å betvile leverandørens sikkerhetsmessige skikkethet. I vurderingen er det kun forhold som kan innvirke på leverandørens evne og vilje til å gjøre forebyggende sikkerhetsarbeid som skal vektlegges. Leverandøren må derfor oppfylle relevante krav i sikkerhetsloven og virksomhetsikkerhetsforskriften før en leverandørklarering kan innvilges.30 NSM må ha nødvendig grad av tillit til at virksomheten som klareres vil opptre i henhold til sikkerhetslovens krav. Det sentrale i vurderingen av leverandørens sikkerhetsmessige skikkethet er at det ikke foreligger forhold som gir grunn til å tro at leverandøren vil kunne opptre i strid med nasjonale sikkerhetsinteresser.
For å kunne foreta en kvalifisert vurdering av dette er NSM avhengig av et godt informasjonsgrunnlag. Som ledd i informasjonsinnhentingen skal leverandøren selv gi informasjon om egen virksomhet, i tillegg til at NSM kan innhente informasjon fra relevante registre.31 Kontrollrapporter skal inngå i vurderingsgrunnlaget, se punkt 3.5.3.3. Hvis det er gjennomført tilsyn etter sikkerhetsloven med leverandøren, vil det være relevant å innhente tilsynsrapporten. Informasjon om økonomiske forhold, tilknytning til andre stater og virksomhetens eventuelle straffehistorikk er eksempler på forhold som kan være relevant i vurderingen av sikkerhetsmessig skikkethet. Økonomiske utfordringer kan føre til at man lar seg friste til å handle i strid med nasjonale sikkerhetsinteresser, dersom det medfører økonomisk vinning. Slike utfordringer kan også gi indikasjoner på en virksomhets evne og vilje til å ivareta sine forpliktelser.
Dersom det foreligger tilknytning til andre stater må det blant annet tas stilling til om tilknytningen er av en slik art at det foreligger en risiko for at virksomheten kan havne i en lojalitetskonflikt, eller være sårbar for press, fristelser eller forledelser. Det kan også sees hen til relevante forhold ved leverandørens 29 Jf. klareringsforskriften § 36. 30 Jf. klareringsforskriften § 33 første ledd. 31 Jf. klareringsforskriften §§ 34 og 35. NASJONAL SIKKERHETSMYNDIGHET | 16
virksomhetens samlede aktiviteter og verdier, og evne å se dette i sammenheng. Hvordan lignende verdier har blitt vurdert tidligere eller hvordan tilsvarende anskaffelsesprosesser har blitt gjennomført, både internt og eksternt, kan være nyttig å se hen til. Vurderingene må inkludere tilgjengelig og oppdatert informasjon om aktuelle sårbarheter og trusler. Oppdragsgiver bør fortløpende gjennomføre vurderinger ved endringer i verdi, trussel og sårbarhet. At endelig verdi ikke er avklart avskjærer ikke muligheten for å gjennomføre anskaffelsen som en sikkerhetsgradert anskaffelse, da sikkerhetsloven ikke stiller krav om leverandøren skal få tilgang til sikkerhetsgradert informasjon eller skjermingsverdig objekt eller infrastruktur. Hvilke sikkerhetstiltak som stilles til tilbydere eller valgte leverandører kan imidlertid ikke basere seg på urealistiske antagelser om at noe på sikt vil bli gradert eller klassifisert på et gitt nivå. Krav om nødvendighet og forholdsmessighet vil begrense oppdragsgivers handlingsrom. Noen sikkerhetstiltak er mer inngripende enn andre og vil kreve at oppdragsgiver er mer sikker på fremtidig verdi for å kunne iverksettes, eksempelvis leverandørklarering. Dersom det er stor usikkerhet omkring fremtidig verdi og ønskede sikkerhetskrav ikke kan implementeres i anskaffelsesprosessen, må oppdragsgiver vurdere om det kan være andre egnede tiltak som kan ivareta sikkerheten i anskaffelsen. Eksempler på dette gis i punkt 4 i veilederen. En anskaffelse som ikke var sikkerhetsgradert ved kontraktsinngåelse, men som i ettertid endrer karakter og som medfører at leverandøren kan få tilgang til sikkerhetsgradert informasjon, skjermingsverdig objekt eller infrastruktur, må oppfylle de krav som stilles til sikkerhetsgraderte anskaffelser.
2.3 Leverandør Leverandørbegrepet i sikkerhetsgraderte anskaffelser omfatter både hoved- og underleverandører.3 Tilbydere vil også være omfattet av begrepet dersom det skal gis tilgang til sikkerhetsgradert informasjon, skjermingsverdig objekt eller infrastruktur allerede i tilbudsfasen. Selv om anskaffelsen innebærer at det kun er enkeltpersoner hos leverandøren som skal utføre arbeid for oppdragsgiver og få tilgang til oppdragsgivers verdier i oppdragsgivers lokaler, vil dette likevel være å anse som en sikkerhetsgradert anskaffelse. Det vises til bruk av begrepet «tjeneste» i sikkerhetsloven og at arbeidet leverandørens personell skal utføre er tjenesten som anskaffes. Leverandørens mulighet til å få tilgang til oppdragsgivers verdier gjennom egne ansatte, medfører at leverandørens personell må identifiseres med leverandøren. Om leverandøren skal råde over sikkerhetsgraderte eller klassifiserte verdier i eller fra egne lokaler eller om det bare er personellet som får tilgang til sikkerhetsgraderte eller klassifiserte verdier i oppdragsgivers lokaler, vil ha betydning for hvilke og hvor omfattende krav sikkerhetsloven stiller til anskaffelsesprosessen. Dersom tilgang til aktuelle verdier skjer i eller fra leverandørens egne lokaler stilles det mer omfattende krav til innholdet i sikkerhetsavtalen enn om tilgangen skjer fra oppdragsgivers lokaler. Se mer om dette i punkt 3.
2.4 Tilgang til For å avklare om anskaffelsen er en sikkerhetsgradert anskaffelse må oppdragsgiver få klarhet i om leverandøren kan få tilgang til oppdragsgivers verdier. Det er ikke et krav om at leverandøren skal få
3.4.3.1 Anmodning om leverandørklarering NSM er klareringsmyndighet for leverandørklareringer og skal føre register over innvilgede klareringer.20 Det er oppdragsgiver som skal anmode NSM om leverandørklarering, ettersom oppdragsgiver har oversikt over og kan begrunne hvorfor det er et behov for klarering.21 Klareringsforespørsler skal avslås dersom det ikke foreligger et faktisk behov, da det ikke unødig skal iverksettes sikkerhetstiltak som griper inn i virksomheters og enkeltpersoners rettsfære.22 Forespørselen skal inneholde informasjon om det høyeste graderings- eller klassifiseringsnivået i anskaffelsen, leverandørens samtykke til at NSM gjennomfører kontroll, og opplysninger fra leverandøren knyttet til egen virksomhet.23 Oppdragsgiver må i forespørselen angi hva leverandøren og dets personell kan få tilgang til av verdier. Dette får betydning for omfanget av personkontrollen øverste ledelse og personellet skal gjennom. For tilgang til objekter og infrastruktur som er utpekt og klassifisert som skjermingsverdige objekter, er det adgangsklarering som skal benyttes.24 For tilgang til informasjon som er sikkerhetsgradert KONFIDENSIELT eller høyere skal sikkerhetsklarering benyttes. En sikkerhetsklarering for KONFIDENSIELT eller høyere vil også gi adgang til skjermingsverdige objekter og infrastrukturer på alle klassifiseringsnivåer.25 3.4.3.2 Sikkerhetsklarering av virksomhetens leder og styremedlemmer Styret og leder hos leverandøren skal klareres på det samme nivået som det er bedt om leverandørklarering for.26 Kravet begrunnes i nevnte personer sin innflytelse over og tilganger i virksomheten. Krav om klarering av virksomhetens leder vil som utgangspunkt gjelde daglig leder. Daglig leder vil normalt vil være ansvarlig for virksomhetens sikkerhetsstyringssystem og beskyttelse av verdier virksomheten råder over, og kan derfor tilegne seg tilgang til disse. Hva gjelder styremedlemmer, må disse ha innsyn i virksomhetens informasjon for å kunne ivareta sitt ansvar. Det innebærer at de kan få tilgang til sikkerhetsgradert informasjon eller skjermingsverdig objekt eller infrastruktur. Personkontrollen av virksomhetens leder og styremedlemmer skal derfor inngå i vurderingsgrunnlaget for om det skal gis leverandørklarering.27 Om noen i virksomhetens styre eller dennes leder ikke kan klareres, eksempelvis som følge av manglende tilknytning til Norge, kan leverandørklarering likevel gis dersom vedkommende gir avkall på retten til innsyn.28 Det må likevel være tilstrekkelig antall sikkerhetsklarerte styremedlemmer til at styret er beslutningsdyktig. Dette vil legge begrensinger på hvor mange styremedlemmer som kan gi avkall på retten til innsyn. NSM må få informasjon om hvordan leverandøren sikrer at avkallet er reelt og at aktuelle personer ikke vil få tilgang til sikkerhetsgradert informasjon, skjermingsverdig objekt eller infrastruktur. Som
20 Jf. klareringsforskriften § 32 og klareringsforskriften § 39. 21 Jf. virksomhetsikkerhetsforskriften § 85 og klareringsforskriften § 3 annet ledd. 22 Jf. sikkl §§ 8-2 første ledd og 8-3 første ledd, jf. klareringsforskriften § 4 23 Se klareringsforskriften § 34 og skjemaer til bruk ved leverandørklarering på NSM sin nettside. 24 Jf. sikkl § 8-3 første ledd, jf. § 7-1 første og annet ledd. 25 Jf. klareringsforskriften § 16.
26 Jf. klareringsforskriften § 33 annet ledd. 27 Jf. sikkl § 9-3 annet ledd. 28 Jf. klareringsforskriften § 33 tredje ledd. NASJONAL SIKKERHETSMYNDIGHET | 15
ledelse og styre, siden de vil kunne påvirke virksomhetens evne og vilje til å utføre forebyggende sikkerhetsarbeid. Alle relevante forhold skal vurderes, både de som taler for og imot at klarering gis. Kommer NSM frem til at det er grunn til å betvile leverandørens sikkerhetsmessige skikkethet eller at leverandøren ikke oppfyller nødvendige krav, skal ikke klarering gis. I slike tilfeller vil hensynet til nasjonal sikkerhet veie tyngre enn hensynet til oppdragsgiver og leverandøren, og deres behov for at leverandøren klareres. En klarering kan gis på vilkår dersom det kan redusere risikoen til et akseptabelt nivå. Ved en reklarering må NSM på ny ta stilling til om leverandøren er sikkerhetsmessig skikket, basert på et oppdatert informasjonsgrunnlag og ny kontroll av virksomheten. 3.4.3.5 Leverandørklareringstidens gyldighetstid og endringer i klareringstidens gyldighet Leverandørklareringer kan vare i inntil fem år, men kan også gis for en kortere tidsperiode dersom det på klareringstidspunktet er klart at det ikke er behov for en varighet på fem år.32 Leverandørklarerte virksomheter plikter å orientere NSM om endringer som kan påvirke vurderingen av om leverandøren er sikkerhetsmessig skikket.33 Det stilles krav om at det varsles om endringer i styret eller ledelsen, endringer i eierstrukturen, flytting av lokaliteter og utstyr, åpning av gjeldsforhandlinger, begjæring om konkurs og annet relevante forhold. Dersom det i klareringstidens gyldighetstid oppstår en sikkerhetsrisiko som ikke kan fjernes eller det oppdages avvik fra gjeldende sikkerhetskrav, kan klareringen tilbakekalles.34 Som utgangspunkt skal det fastsettes en rimelig frist for retting før en klarering tilbakekalles. Hva som er en rimelig frist må ta utgangspunkt i en konkret vurdering av forholdets alvorlighetsgrad og konsekvensene opp mot nasjonale sikkerhetsinteresser. Avvik som er av en slik karakter at det umiddelbart kan få negative konsekvenser for nasjonale sikkerhetsinteresser, kan gi grunnlag for å tilbakekalle leverandørklareringen uten at det er gitt forutgående frist. Et eksempel på dette kan være tilfeller hvor leverandøren gir tilgang til sikkerhetsgradert informasjon eller skjermingsverdige objekter, uten at det føres kontroll med om de som har fått tilgang har nødvendig klarering og/eller autorisasjon. 3.4.4
I tillegg til gyldig klarering, må de som skal gis tilgang til sikkerhetsgradert informasjon, skjermingsverdige objekter eller infrastruktur være autorisert.35 Virksomhetens leder er autorisasjonsansvarlig og har ansvar for sikkerhetsmessig ledelse og kontroll av autoriserte personer. For leverandører til sikkerhetsgraderte anskaffelser vil virksomhetens leder være daglig leder eller den med tilsvarende innflytelse over virksomhetens drift.36 I sikkerhetsgraderte anskaffelser er det oppdragsgiver som skal autorisere autorisasjonsansvarlig hos leverandøren.37 Dette begrunnes i at det er oppdragsgiver som eier aktuelle verdier og har ansvar for å ivareta et forsvarlig sikkerhetsnivå for verdiene. Personell hos leverandøren som kun får tilgang til sikkerhetsgradert informasjon, skjermingsverdig objekt eller infrastruktur hos oppdragsgiver, skal derfor også autoriseres av oppdragsgiver. I de tilfeller hvor tilgangen skjer fra leverandørens egne informasjonssystemer eller lokaler, eller leverandøren råder over verdiene i 32 Jf. klareringsforskriften § 38. 33 Jf. sikkl § 9-3 fjerde ledd. 34 Jf. sikkerhetsloven § 9-3 fjerde ledd, jf. klareringsforskriften § 37. 35 Jf. sikkl § 8-1 første ledd, jf. § 8-9. 36 Se høringsnotat til forslag til forskrifter til ny sikkerhetslov (02.07.2018), punkt 8.5.3. 37 Jf. virksomhetsikkerhetsforskriften § 69.