Sikkerhetsgraderte anskaffelser er anskaffelser der leverandøren kan få tilgang til sikkerhetgradert informasjon, skjermingsverdige objekter eller skjermingsverdig infrastruktur. Ved anskaffelse av skjermingsverdige ugraderte informasjonssystemer skal det også tas spesielle hensyn.
Alle offentlige virksomheter skal i utgangspunktet gjennomføre offentlige anskaffelser i henhold til lov og forskrift om offenlige anskaffelser.
- I forskrift om offentlige anskaffelse § 2-2 b er det unntak fra loven og forskriften hvis anskaffelsene er «erklært hemmelige eller bare kan utføres under særlige sikkerhetstiltak i henhold til lov, forskrift eller forvaltningsvedtak, og de aktuelle vesentlige interessene ikke kan sikres gjennom mindre inngripende tiltak».
- Hvis virksomheten skal gjøre en anskaffelse som innebærer at leverandører kan få tilgang til eller tilvirker sikkerhetsgradert informasjon eller får tilgang til et skjermingsverdig objekt eller infrastruktur, er dette en sikkerhetsgradert anskaffelse etter § 9-1 i Sikkerhetsloven. Anskaffelsen skal da gjennomføres som en sikkerhetsgradert anskaffelse i henhold til reglene i sikkerhetsloven kapitel 9 og virksomsikkerhetsforskriften kapitel 13, jf klareringsforskriften kapitel 4.
- Sikkerhetsloven har også bestemmelser som retter seg mot anskaffelser som som ikke er sikkerhetsgradert. Dette gjelder anskaffelser av skjermingsverdige ugraderte informasjonssystemer. Disse anskaffelsene skal gjennomføres etter reglene i lov og forskrift om offentlige anskaffelser, men skal suppleres med enkelt bestemmelser i sikkerhetsloven.
Skjermingsverdig informasjonssystem
Ifølge Sikkerhetslovens §6-1 er et informasjonssystem skjermingsverdig dersom det behandler skjermingsverdig informasjon. Det er også skjermingsverdig dersom det i seg selv har avgjørende betydning for grunnleggende nasjonale funksjoner.
Skjermingsverdig informasjon
Informasjon er skjermingsverdig dersom det kan skade nasjonale sikkerhetsinteresser at informasjonen blir kjent for uvedkommende, går tapt, blir endret eller blir utilgjengelig (Sikkerhetsloven § 5-1). Skjermingsverdi informasjon kan være ugradert og gradert. Skjermingsverdig informasjon skal sikkerhetsgraderes dersom det kan få skadefølger hvis uvedkommende får kjennskap til informasjonen.
Grunnleggende nasjonale funksjoner
Grunnleggende nasjonale funksjoner er tjenester, produksjon og andre former for virksomhet som er av en slik betydning at et helt eller delvis bortfall av funksjonen vil få konsekvenser for statens evne til å ivareta nasjonale interesser. (Sikkerhetsloven §1-5). Departementene har ansvar for å identifisere og holde oversikt over grunnleggende nasjonale funksjoner innenfor sine ansvarsområder og melde inn oversikten til Nasjonal sikkerhetsmyndighet (NSM).
Anskaffelser av skjermingsverdige ugraderte informasjonssystemer
Før du gjør anskaffelsen skal du gjennomføre en egen risikovurdering. Du må vurdere risikoen for at anskaffelsen kan føre til at informasjonssystemet blir rammet av eller brukt til sikkerhetstruende virksomhet.
Deretter utformer du sikkerhetskrav på basis av den risikovurderingen du har gjort. Du må stille krav om at systemet tilfredsstiller generelle sikkerhetskrav og andre krav som som er blitt avdekket i risikovurderingen.
For anskaffelse som gir tilgang til ugraderte skjermingsverdige informasjon eller informasjonssystemer, skal virksomheten og leverandøren fastsette hvordan leverandøren skal forholde seg til kravene som gjelder (virksomhetsforskriften § 18).
Veiledning til sikkerhetsloven
Hvis anskaffelsen din faller inn under sikkerhetsloven, finner du veiledning på veiledning på NSMs sider.