Av Åse Rieber-Mohn (advokat), Hedvig Moe (advokat) og Wenche Sædal (partner) – alle Thommessen
Årets nasjonale trusselvurderinger er tydelig på at oppdragsgivere representerer potensielle mål for aktører som ønsker seg tilgang til informasjon, eller en rolle i Norges forvaltning. En posisjon som leverandør kan i verste fall gi mulighet til fysisk sabotasje eller cyberangrep. Det er derfor viktig å gjøre grundige vurderinger av sikkerhetsaspekter i anskaffelsesprosesser. Men hvilket ansvar og mulighetsrom har den enkelte innkjøper når det gjelder utestengelse av aktører som representerer en mulig sikkerhetsrisiko?
Manglende føringer
Den siste tiden har flere ytret ønske om klarere retningslinjer fra politisk eller administrativt hold for når tredjelandsleverandører bør nektes adgang til konkurranser om offentlige kontrakter.
Dette har blant annet vært påpekt av advokat Harald Alfsen til Anbud365, samt løftet frem i intervju med advokat Hedvig Moe, en av artikkelforfatterne, i Dagens Næringsliv, der det tas til orde for at anskaffelsesregelverket ikke i tilstrekkelig grad tar høyde for den sikkerhetspolitiske situasjonen Norge befinner seg i. Nasjonal sikkerhetsmyndighet (NSM) synes å dele dette synet og har i sin risikorapport for 2024 pekt på sikkerhetsbevissthet i anskaffelser som et sentralt element for å sikre norsk infrastruktur.
Spørsmålet om avvisning kan i praksis være svært krevende å vurdere for den enkelte innkjøper, og by på tolkningsutfordringer knyttet til flere regelverk. Tydeligere føringer vil kunne tilrettelegge for økt sikkerhet i anskaffelser, samtidig som det vil skape større forutsigbarhet for potensielle leverandører slik at de unngår å bruke ressurser på konkurranser hvor de uansett avvises.
Sikkerhetsrisiko og avvisning
I praksis oppstår avvisningsproblematikken særlig i relasjon til:
- leverandører som ikke er rettighetshavere etter anskaffelsesregelverket, og som utgjør en sikkerhetstrussel som beskrevet over, og
- leverandører som – i utgangspunktet – er rettighetshavere etter anskaffelsesregelverket, men f.eks. eies av, eller har annen nær tilknytning til, aktører som utgjør en sikkerhetstrussel.
Sistnevnte kan for eksempel bli et spørsmål der en leverandør har kinesiske eller russiske aktører på eiersiden.
Anskaffelsesregelverket inneholder p.t. ingen eksplisitte avvisningsbestemmelser knyttet til sikkerhetstruende adferd, utenfor forsvars- og sikkerhetsområdet. Oppdragsgivere er derfor henvist til å avvise aktørene i medhold av rettighetshaverbegrepet i anskaffelsesloven § 3, eller i medhold av kan-avvisningsbestemmelsene knyttet til f.eks. brudd på opplysningsplikt eller dokumenterte brudd på etiske eller rettslige regler.
Avvisning av leverandører som ikke er rettighetshavere
En rettighetshaver er etter LOA § 3 enhver leverandør som enten er fra en EØS-stat, er etablert i et land som er medlem av WTO-avtalen for offentlige innkjøp (GPA) eller som er medlem i andre internasjonale avtaler Norge er en del av.
I forarbeidene til anskaffelsesloven (Ot.prp.51 L (2015-2016)) fremgår det at leverandører som ikke er rettighetshavere, har “ingen rettigheter etter anskaffelsesloven”. Samme prinsipp ble også nylig slått fast av Generaladvokaten i en pågående sak for EU-domstolen (sak C-652/22), der klager var tyrkisk. Tyrkia er som kjent ikke en del av EU, og er heller ikke part i GPA-avtalen (en del av WTO-samarbeidet). Det var etter generaladvokatens mening derfor heller ikke mulig for EU-domstolen å behandle de prejudisielle spørsmål knyttet til den tyrkiske leverandørens rettigheter, og disse måtte da avvises fra behandling.
Oppdragsgiver har dermed adgang til å avvise leverandører som ikke er rettighetshavere etter anskaffelsesregelverket, uten nærmere begrunnelse. Avgjørelsen om avvisning er i utgangspunktet opp til den enkelte oppdragsgiver.
Sanksjonsregelverket har også en rolle opp mot anskaffelsesreglene. For Russlands vedkommende har eksempelvis ikke oppdragsgiver et handlingsrom. Leverandører med tilknytning til Russland skal etter sanksjonsforskriften (Ukraina-forskriften) § 8n avvises fra konkurranser. Det er imidlertid ikke all tilknytning som skal lede til avvisning etter bestemmelsen.
KOFA har i sak 2023/587 uttalt seg generelt om adgangen til å avvise tilbud/leverandør for brudd på Ukraina-forskriften, i tilfeller hvor forskriften er gjort til en del av konkurransegrunnlaget. KOFA la til grunn at brudd på forbudet i § 8n mot at leverandøren eller underleverandører er eid eller kontrollert av russiske personer eller selskaper, kan gi grunnlag for avvisning under konkurransen og for heving i kontraktfasen. Omstendighetene i den konkrete saken, derunder at leverandørs produkter ble solgt av russiske forhandlere og at Russland var et viktig marked for underleverandørene, var imidlertid ikke omfattet av § 8n. Det forelå dermed ikke avvisningsgrunnlag.
Norge har ilagt en rekke land sanksjoner, men det er så langt kun Russland det er knyttet en konkret avvisningsbestemmelse til. For vurdering av avvisning av aktører med tilknytning til øvrige land, kan det være hensiktsmessig å se hen til de landene PST nevner som en trussel i sin årlige trusselvurdering. Dette gjelder blant annet Iran, Nord-Korea og Kina. Ingen av disse er rettighetshavere etter anskaffelsesregelverket, og de to første er også på Norges sanksjonsliste.
Det bør uansett foretas en konkret vurdering i hvert enkelt tilfelle, der man vurderer hvilken risiko som ligger i anskaffelsen. Det vil eksempelvis kunne være forsvarlig og hensiktsmessig å tillate tredjelandsleverandører å delta i konkurranser med lav sikkerhetsrisiko, mens man ikke tillater dette for anskaffelser med høy sikkerhetsrisiko.
Behov for tydeligere føringer
Det sikkerhetsmessige landskapet er i stadig utvikling og kan være krevende å få oversikt over. For å ivareta både forutsigbarhet for potensielle leverandører og hensynet til rikets sikkerhet, vil det være nyttig med tydeligere føringer for hvordan sikkerhetsrisiko skal håndteres i anskaffelsesprosesser.
For å vurdere konsekvenser for nasjonal sikkerhet, er det viktig å se på hvilken sektor og bransje som er aktuell, sett opp mot stater som kan være problematiske som leverandører. De årlige trusselvurderingene gir indikasjoner på sektorer som kan ansees som sikkerhetssensitive, men her er det nødvendig med konkrete vurderinger i hvert tilfelle. Dette kan brukes til en innledende risikovurdering for å ta stilling til om det er behov for ekstra tiltak i konkurranse- eller kontraktsgjennomføringen.
Det er allerede laget veiledere for krav oppdragsgivere kan stille for å ta ned risiko i sikkerhetsgraderte anskaffelser, og disse kravene kan også være nyttige å se hen til dersom man vurderer tiltak i “vanlige” anskaffelser med en økt sikkerhetsrisiko.
Eksempler på slike tiltak kan være:
- beskrive rettighetshaverbegrepet og oppdragsgivers avvisningsmulighet i konkurransedokumentene,
- konfidensialitetsavtale med valgte leverandør, slik at informasjon ikke kan deles med hjemlandets myndigheter,
- tekniske krav knyttet til sikkerhet, f.eks. kryptering av data, og
- innta kontraktsbestemmelser som ivaretar sikkerhetsaspekter i kontraktsgjennomføringen, eksempelvis bestemmelser om oppdragsgivers mulighet til å foreta revisjon, kontroll og stikkprøver, samt en utredelsesrett i avtalen for oppdragsgiver ved endring av eierforhold hos leverandør.
Det gjenstår å se om politikere eller fagmyndigheter plukker opp signalene, slik at offentlige anskaffelser i større grad kan bidra til å beskytte mot de sikkerhetstrusler Norge står overfor – i tråd med trussel- og risikobildet som beskrives av de hemmelige tjenestene.
Bli den første til å kommentere på "Tredjelandsleverandører og risiko i offentlige anskaffelser"