Sikkerhetsgraderte anskaffelser

Ved anskaffelser av varer eller tjenester til virksomheter underlagt sikkerhetsloven, som må frigi sikkerhetsgradert informasjon i denne forbindelse, vil det tidvis være aktuelt å klarere/godkjenne leverandører for denne informasjonen. Arbeidsområdet sikkerhetsgraderte anskaffelser tar for seg alle forhold knyttet til klarering av leverandører og skjerming av informasjon som inngår i en sikkerhetsgradert anskaffelse.

Hva er en sikkerhetsgradert anskaffelse?

Det er en anskaffelse, foretatt av en anskaffelsesmyndighet, som medfører at leverandøren av varen eller tjenesten vil kunne få tilgang til skjermingsverdig informasjon eller objekt.  Eller når anskaffelsen må sikkerhetsklareres av andre årsaker.  For en leverandør som er en fysisk person gjelder forskrift om sikkerhetsgraderte anskaffelser så langt den passer. Før sikkerhetsgradert informasjon i forbindelse med en sikkerhetsgradert anskaffelse utleveres til leverandør må sikkerhetsavtale være inngått og ved behov leverandørklarering være innvilget. (s-lovens § 3 punkt 14) 

Anskaffende myndighet 

Ethvert forvaltningsorgan i stat og kommune, som har til hensikt å anskaffe en vare eller tjeneste, kan være anskaffende myndighet. Rollen som anskaffende myndighet medfører sikkerhetsmessig ansvar for leverandør, som innebærer tilsynsaktiviteter hos denne, der rådgiving, veiledning, kontroll og oppfølging er suksessfaktorer for å få etablert en tilfredsstillende forebyggende sikkerhetstjeneste, iht sikkerhetsloven, hos leverandøren. (s-lovens § 3 punkt 13)

Hvem bestemmer hvilken gradering en anskaffelse skal ha?

Anskaffende myndighet må selv foreta en verdivurdering av selve anskaffelsen. Det kan være snakk om å sikkerhetsgradere hele, eller deler av anskaffelsen. Ved en slik vurdering må anskaffende myndighet ta stilling til om anskaffelsen vil innebære utlevering av skjermingsverdig informasjon til en leverandør. Hvis dette er tilfelle, må anskaffende myndighet utarbeide en graderingsspesifikasjon over anskaffelsen. Dette står nærmere omtalt i forskrift om sikkerhetsgraderte anskaffelser samt veiledning i verdivurdering. (forskrift om sikkerhetsgraderte anskaffelser § 2-1)

Utvelgelse av leverandør?

Det er anskaffende myndighet som velger ut en leverandør til en sikkerhetsgradert anskaffelse i henhold til de alminnelige bestemmelser som gjelder for forvaltningens anskaffelsesvirksomhet.  Det vises til forskrift om sikkerhetsgraderte anskaffelser § 2-3 kan hele eller deler av anskaffelsen sikkerhetsgraderes. Paragraf 1-3 (2) a i forskrift til lov om offentlige anskaffelser kan hjemle unntak fra denne bestemmelsen. (forskrift om sikkerhetsgraderte anskaffelser § 2-3)

Utlevering av sikkerhetsgradert informasjon til leverandør

Anskaffende myndighet skal ved anbudsinnbydelse begrense spredning av skjermingsverdig informasjon til det som er høyst nødvendig.  Sikkerhetsgradert informasjon, kan ikke under noen omstendighet, utleveres uten gyldig sikkerhetsavtale mellom anskaffende myndighet og leverandør. (forskrift om sikkerhetsgraderte anskaffelser § 2-4)

Sikkerhetsavtale

En sikkerhetsavtale skal utarbeides av den anskaffende myndighet som foretar en sikkerhetsgradert anskaffelse. Avtalen er gyldig når den er undertegnet av både leverandørens daglige leder og anskaffelsesmyndighetens leder. Myndigheten til å signere sikkerhetsavtale kan delegeres.  Sikkerhetsavtale skal inngås på nivå BEGRENSET eller høyere. Anskaffende myndighet er ansvarlig for å formidle en kopi av sikkerhetsavtalen med graderingsspesifikasjon til Nasjonal sikkerhetsmyndighet (NSM). (s-loven § 27 og forskrift om sikkerhetsgraderte anskaffelser § 2-5)

Når og hvem trenger leverandørklarering? 

Leverandørklarering må foreligge når en anskaffende myndighet ønsker å skaffe varer eller tjenester, fra en leverandør, der sikkerhetsgradert informasjon gradert KONFIDENSIELT eller høyere må utleveres. NSM innvilger leverandørklarering etter søknad fra anskaffende myndighet. Søknaden skal inneholde graderingsspesifikasjon og egenopplysninger i forbindelse med leverandørklarering.
På nivå BEGRENSET trenger ikke anskaffende myndighet å søke NSM om tillatelse, men forsikre seg om at leverandøren er sikkerhetsmessig skikket til å oppbevare og behandle denne sikkerhetsgraderte informasjonen. (s-loven § 28)

Gyldighet for en leverandørklarering

En leverandørklarering gjelder for den enkelte anskaffelse og er gyldig så lenge anskaffelsen pågår i tillegg til service- og garantitid.  Leverandørklarering kan opphøre dersom leverandøren ikke lenger vurderes til å være sikkerhetsmessig skikket. (s-loven § 28 og forskrift om sikkerhetsgraderte anskaffelser § 3-3)

Klarering av personell hos leverandør med leverandørklarering

Leverandøren som innehar en leverandørklarering, skal fremme anmodninger om personklarering til anskaffelsesmyndigheten. Leverandørens daglige leder og styremedlemmer, samt andre personer som får tilgang til sikkerhetsgradert informasjon, skal sikkerhetsklareres. Dersom det ikke er nødvendig eller mulig å gi et styremedlem sikkerhetsklarering, skal erklæring om fraskrivelse av innsynsrett innhentes. (forskrift om sikkerhetsgraderte anskaffelser § 2-7)

Konsulentbistand

Personell hos leverandør, som skal utføre leveransen på oppdragstedet, skal anskaffende myndighet sørge for at personellet blir autorisert og eventuelt sikkerhetsklarert. (forskrift om sikkerhetsgraderte anskaffelser § 2-4, 2. ledd)