Sikkerhetsloven og offentlige anskaffelser

Sikkerhetsgraderte anskaffelser er anskaffelser der leverandøren kan få tilgang til sikkerhetgradert informasjon, skjermingsverdige objekter eller skjermingsverdig infrastruktur. Ved anskaffelse av skjermingsverdige ugraderte informasjonssystemer skal det også tas spesielle hensyn.

Alle offentlige virksomheter skal i utgangspunktet gjennomføre offentlige anskaffelser i henhold til  lov og forskrift om offenlige anskaffelser.

  • I forskrift om offentlige anskaffelse § 2-2 b er det unntak fra loven og forskriften hvis anskaffelsene er «erklært hemmelige eller bare kan utføres under særlige sikkerhetstiltak i henhold til lov, forskrift eller forvaltningsvedtak, og de aktuelle vesentlige interessene ikke kan sikres gjennom mindre inngripende tiltak».
  • Hvis virksomheten skal gjøre en anskaffelse som innebærer at leverandører kan få tilgang til eller tilvirker sikkerhetsgradert informasjon eller får tilgang til et skjermingsverdig objekt eller infrastruktur, er dette en sikkerhetsgradert anskaffelse etter § 9-1 i Sikkerhetsloven. Anskaffelsen skal da gjennomføres som en sikkerhetsgradert anskaffelse i henhold til reglene i sikkerhetsloven kapitel 9 og virksomsikkerhetsforskriften kapitel 13, jf klareringsforskriften kapitel 4.
  • Sikkerhetsloven har også bestemmelser som retter seg mot anskaffelser som  som ikke er sikkerhetsgradert. Dette gjelder anskaffelser av skjermingsverdige ugraderte informasjonssystemer. Disse anskaffelsene skal gjennomføres etter reglene i lov og forskrift om offentlige anskaffelser, men skal suppleres med enkelt bestemmelser i sikkerhetsloven.

Hva er et skjermingsverdig informasjonssystem?

Ifølge Sikkerhetslovens §6-1 er et informasjonssystem skjermingsverdig dersom det behandler skjermingsverdig informasjon. Det er også skjermingsverdig dersom det i seg selv har avgjørende betydning for grunnleggende nasjonale funksjoner.

Hva er skjermingsverdig informasjon?

Informasjon er skjermingsverdig dersom det kan skade nasjonale sikkerhetsinteresser at informasjonen blir kjent for uvedkommende, går tapt, blir endret eller blir utilgjengelig (Sikkerhetsloven § 5-1). Skjermingsverdi informasjon kan være ugradert og gradert. Skjermingsverdig informasjon skal sikkerhetsgraderes dersom det kan få skadefølger hvis uvedkommende får kjennskap til informasjonen.

Hva er grunnleggende nasjonale funksjoner?

Grunnleggende nasjonale funksjoner er tjenester, produksjon og andre former for virksomhet som er av en slik betydning at et helt eller delvis bortfall av funksjonen vil få konsekvenser for statens evne til å ivareta nasjonale interesser. (Sikkerhetsloven §1-5). Departementene har ansvar for å identifisere og holde oversikt over grunnleggende nasjonale funksjoner innenfor sine ansvarsområder og melde inn oversikten til Nasjonal sikkerhetsmyndighet (NSM).

Anskaffelser av skjermingsverdige ugraderte informasjonssystemer

Før du gjør anskaffelsen skal du  gjennomføre en egen risikovurdering hvor du vurderer risikoen for at anskaffelsen kan føre til at informasjonssystemet kan bli rammet av eller brukt til sikkerhetstruende virksomhet.  

Deretter utformer du sikkerhetskrav på basis av den risikovurderingen du har gjort. Du må stille krav om at systemet tilfredstiller generelle sikkerhetskrav og andre krav som som er blitt avdekket i risikovurderingen. 

Der en anskaffelse gir tilgang til ugraderte skjermingsverdige informasjonssystemer eller ugradert skjermingsverdig informasjon, skal det inngås en avtale mellom virksomheten og leverandøren hvor det fastsettes hvordan leverandøren skal forholde seg til kravene som gjelder for anskaffelsen (virksomsikkerhetsforskriften § 18)

Veiledning til sikkerhetsloven

NSM forvalter sikkerhetsloven og utgir veiledere om hvordan loven skal forstås. Disse veilederne er å finne på NSMs hjemmeside.

Se også

Oppdatert: 25. august 2020

Fant du det du lette etter?

Det beklager vi!

Hva lette du etter? Bruk gjerne stikkord