Sikkerhetsloven og offentlige anskaffelser

Sikkerhetsgraderte anskaffelser er anskaffelser der leverandøren kan få tilgang til sikkerhetgradert informasjon, skjermingsverdige objekter eller skjermingsverdig infrastruktur. Ved anskaffelse av skjermingsverdige ugraderte informasjonssystemer skal det også tas spesielle hensyn.

Alle offentlige virksomheter skal i utgangspunktet gjennomføre offentlige anskaffelser i henhold til  lov og forskrift om offenlige anskaffelser.

  • I forskrift om offentlige anskaffelse § 2-2 b er det unntak fra loven og forskriften hvis anskaffelsene er «erklært hemmelige eller bare kan utføres under særlige sikkerhetstiltak i henhold til lov, forskrift eller forvaltningsvedtak, og de aktuelle vesentlige interessene ikke kan sikres gjennom mindre inngripende tiltak».
  • Hvis virksomheten skal gjøre en anskaffelse som innebærer at leverandører kan få tilgang til eller tilvirker sikkerhetsgradert informasjon eller får tilgang til et skjermingsverdig objekt eller infrastruktur, er dette en sikkerhetsgradert anskaffelse etter § 9-1 i Sikkerhetsloven. Anskaffelsen skal da gjennomføres som en sikkerhetsgradert anskaffelse i henhold til reglene i sikkerhetsloven kapitel 9 og virksomsikkerhetsforskriften kapitel 13, jf klareringsforskriften kapitel 4.
  • Sikkerhetsloven har også bestemmelser som retter seg mot anskaffelser som  som ikke er sikkerhetsgradert. Dette gjelder anskaffelser av skjermingsverdige ugraderte informasjonssystemer. Disse anskaffelsene skal gjennomføres etter reglene i lov og forskrift om offentlige anskaffelser, men skal suppleres med enkelt bestemmelser i sikkerhetsloven.

Skjermingsverdig informasjonssystem

Ifølge Sikkerhetslovens §6-1 er et informasjonssystem skjermingsverdig dersom det behandler skjermingsverdig informasjon. Det er også skjermingsverdig dersom det i seg selv har avgjørende betydning for grunnleggende nasjonale funksjoner.

Skjermingsverdig informasjon

Informasjon er skjermingsverdig dersom det kan skade nasjonale sikkerhetsinteresser at informasjonen blir kjent for uvedkommende, går tapt, blir endret eller blir utilgjengelig (Sikkerhetsloven § 5-1). Skjermingsverdi informasjon kan være ugradert og gradert. Skjermingsverdig informasjon skal sikkerhetsgraderes dersom det kan få skadefølger hvis uvedkommende får kjennskap til informasjonen.

Grunnleggende nasjonale funksjoner

Grunnleggende nasjonale funksjoner er tjenester, produksjon og andre former for virksomhet som er av en slik betydning at et helt eller delvis bortfall av funksjonen vil få konsekvenser for statens evne til å ivareta nasjonale interesser. (Sikkerhetsloven §1-5). Departementene har ansvar for å identifisere og holde oversikt over grunnleggende nasjonale funksjoner innenfor sine ansvarsområder og melde inn oversikten til Nasjonal sikkerhetsmyndighet (NSM).

Anskaffelser av skjermingsverdige ugraderte informasjonssystemer

Før du gjør anskaffelsen skal du  gjennomføre en egen risikovurdering. Du må vurdere risikoen for at anskaffelsen kan føre til at informasjonssystemet blir rammet av eller brukt til sikkerhetstruende virksomhet.  

Deretter utformer du sikkerhetskrav på basis av den risikovurderingen du har gjort. Du må stille krav om at systemet tilfredstiller generelle sikkerhetskrav og andre krav som som er blitt avdekket i risikovurderingen. 

For anskaffelse som gir tilgang til ugraderte skjermingsverdige informasjon eller informasjonssystemer, skal virksomheten og leverandøren fastsette hvordan leverandøren skal forholde seg til kravene som gjelder (virksomhetsforskriften § 18).

Veiledning til sikkerhetsloven

Hvis anskaffelsen din faller inn under sikkerhetsloven, finner du veiledning på veiledning på NSMs sider.

Se også

Oppdatert: 16. juni 2023

Fant du det du lette etter?

Nei

Det beklager vi!

Tilbakemeldingen din er anonym og vil ikke bli besvart. Vi bruker den til å forbedre nettsidene. Hvis du vil ha svar fra oss, ta kontakt på telefon, e-post eller kundesenter på nett.