Av partner Karen Anne Rekkedal og advokatfullmektiger Ellev Sandtrøen og Guro Skar Forseth i Advokatfirmaet Selmer AS
I Selmers tredje artikkel om sikkerhetsgraderte anskaffelser, vil vi gjennomgå noen punkter som vi mener er viktig å være oppmerksomme på når man vurderer å gjennomføre eller delta på en sikkerhetsgradert anskaffelse.
Plikt til ivaretakelse av samfunnskritiske verdier
Vår utnyttelse av verdifulle ressurser som fornybar energi, olje og gass, infrastruktur, forskning og teknologi avhenger av god forvaltning og vern mot trusler. Norske offentlige og private virksomheter ivaretar verdiene for oss, og vi er avhengige av at disse virksomhetene følger retningslinjer som sikrer verdiene på en forsvarlig måte. Sikkerhetslovens bestemmelser er et viktig virkemiddel for å forhindre tap av verdifulle ressurser, og det er derfor avgjørende at kunnskapen om denne loven er tilstrekkelig innad i virksomheter som er underlagt den.
I henhold til Nasjonal Sikkerhetsmyndighets (NSM) årlige sikkerhetsrapport Risiko 2020 gjennomgår departementene i disse dager hvilke samfunnsverdier som må beskyttes, og identifiserer grunnleggende nasjonale funksjoner og virksomheter som understøtter disse funksjonene. Alle virksomhetene som i denne sammenheng underlegges sikkerhetsloven har en plikt til å kartlegge sine verdier slik at de kan sikres forsvarlig, herunder også egne sårbarheter som følge av avhengigheten til andre virksomheter.
Kompetansemangel vil utfordre sikkerheten
Når en oppdragsgiver må dele skjermingsverdig verdier med leverandørene sine, og således gjennomfører en sikkerhetsgradert anskaffelse, vil leverandøren bli underlagt sikkerhetsloven. Kravene som blir pålagt leverandøren skal fremgå av anskaffelsesdokumentene, og oppdragsgiver må derfor ha tilstrekkelig kunnskap om bestemmelsene i sikkerhetsloven og egne skjermingsverdige verdier. Manglende kunnskap om risikovurdering gjør at oppdragsgiver ikke er i stand til å avgjøre hva som utgjør et forsvarlig sikkerhetsnivå for egne skjermingsverdige verdier og deres betydning for grunnleggende nasjonale funksjoner. NSM anbefaler derfor i sin sikkerhetsrapport at oppdragsgivere gjør jevnlige og grundige risikovurderinger av sine verdier.
Deltakelse i sikkerhetsgradert anskaffelse
Dersom du som leverandør ønsker å delta i en konkurranse hvor leverandørene vil få tilgang til skjermingsverdig informasjon, objekt eller infrastruktur, må det foretas en grundig vurdering av kravene som stilles i anskaffelsesdokumentene for å kartlegge omfanget av ressursene som er nødvendig for å oppfylle gjennomføringen av konkurransen og kontrakten. Dette vil i stor grad avhenge av hvilket graderings- eller klassifiseringsnivå verdiene ligger på. I den ene enden finner man krav om sikkerhetsavtale og autorisasjon for verdier som ligger på nivå BEGRENSET, i den andre enden kan leverandøren pålegges krav om sikkerhetsklarering, leverandørklarering, fysisk sikring, og anskaffelse av eget IKT-utstyr for oppbevaring av gradert informasjon for skjermingsverdige verdier, på nivå HEMMELIG.
Utenlandske leverandører eller underleverandører
I enkelte tilfeller kan det være aktuelt å benytte en utenlandsk leverandør i en sikkerhetsgradert anskaffelse. Med utenlandsk leverandør menes en leverandør med lokaler utenfor norsk jurisdiksjon eller som driver sin virksomhet fra en annen stats jurisdiksjon.
Dersom oppdragsgiver skal benytte en leverandør lokalisert i et annet land, må det foreligge en godkjennelse fra NSM. Oppdragsgiver må dermed i slike tilfeller fremsende en forespørsel til NSM hvor leverandøren, og det land hvor denne er lokalisert, identifiseres. For anskaffelser som innebærer at leverandøren vil få tilgang til norsk sikkerhetsgradert informasjon eller skjermingsverdig objekt eller infrastruktur, vil NSM, som hovedregel, bare kunne gi en slik godkjenning hvis det foreligger en bilateral sikkerhetsavtale mellom myndighetene i Norge og myndighetene i landet hvor leverandøren er lokalisert. Muligheten til å benytte utenlandske leverandører eller underleverandører vil således være begrenset i sikkerhetsgraderte anskaffelser.
Krav til innholdet i anskaffelsesdokumentene
Der oppdragsgivere stiller krav til sikkerhet etter sikkerhetsloven i en anskaffelse, skal dette fremgå av anskaffelsesdokumentene. Vi har sett flere tilfeller hvor oppdragsgiver kun skriver at leverandørene må følge kravene i sikkerhetsloven, uten å spesifisere dette nærmere. Dette er ikke tilstrekkelig. Oppdragsgiver må spesifisere kravene, for å gi leverandørene en mulighet til å foreta en fullverdig vurdering av konsekvensene av å inngi et bindende tilbud i konkurransen. Dersom du som leverandør ønsker å delta i en konkurranse hvor kravene som stilles ikke er klare, anbefaler vi at man benytter seg av en eventuell markedsdialog forut for tilbudsinngivelse, eller muligheten “spørsmål og svar” forut for tilbudsfrist, for å avklare uklarheten med oppdragsgiver.
Ressurskrevende tiltak
Oppdragsgivere som skal gjennomføre en sikkerhetsgradert anskaffelse må foreta en grundig vurdering av hvilke tiltak som er nødvendig for å beskytte den skjermingsverdige verdien. Et viktig spørsmål i vurderingen er om det er mulig å legge forholdene til rette for å gjennomføre anskaffelsen uten å gi leverandøren tilgang til den aktuelle informasjonen, objektet eller infrastrukturen. Dersom svaret er nei, må oppdragsgiver forsøke å avgrense tilgangen i størst mulig grad. Slike vurderinger er påkrevd gjennom sikkerhetsloven, men kan også være ressursbesparende fordi tiltakene som blir pålagt leverandøren som en følge av informasjonsdelingen kan være svært kostnadstyngende og tidsmessig krevende å gjennomføre. Noen eksempler på tiltak som kan bli pålagt leverandøren er gjennomføring av leverandør-, adgangs- og sikkerhetsklarering, noe som vil begrense hvem som kan utføre arbeidet med avtalen, krav til egne rom eller oppbevaring hos leverandøren med begrenset innsyn og tilgang, krav til vakthold, og krav til IKT-sikkerhet og datasystemer for oppbevaring av informasjon.
Bli den første til å kommentere på "Sikkerhetsgraderte anskaffelser, del III – tips til en god prosess"