Av partner Karen Anne Rekkedal og advokatfullmektiger Ellev Sandtrøen og Guro Skar Forseth i Advokatfirmaet Selmer AS
Som tidligere beskrevet i del I av Selmers artikkelserie om sikkerhetsgraderte anskaffelser, vil statlige, fylkeskommunale og kommunale organer samt andre utpekte virksomheter være underlagt bestemmelsene i sikkerhetsloven. I tillegg vil sikkerhetsloven gjelde for leverandører av varer og tjenester i forbindelse med sikkerhetsgraderte anskaffelser. Del I i artikkelserien har gått nærmere inn på hva en sikkerhetsgradert anskaffelse er. I denne delen av artikkelserien vil vi gjennomgå selve gjennomføringen av den sikkerhetsgraderte anskaffelsen, og herunder mulige problemstillinger leverandørene kan møte på underveis i anskaffelsen.
En anskaffelse er en sikkerhetsgradert anskaffelse dersom en offentlig eller privat virksomhet utlyser en vare-, tjeneste- eller bygge- og anleggskontrakt som medfører at en eller flere leverandører får tilgang til eller tilvirker sikkerhetsgradert informasjon eller får tilgang til et skjermingsverdig objekt eller infrastruktur. Det er ikke avgjørende for definisjonen på hvilket tidspunkt leverandøren får tilgang til den sikkerhetsgraderte informasjonen eller det skjermingsverdige objektet eller infrastrukturen, da dette kan skje både under selve gjennomføringen av konkurransen og i selve utførelsen av kontrakten. Hensikten bak prosedyrene i sikkerhetslovens kapittel 9 om sikkerhetsgraderte anskaffelser er å beskytte den graderte informasjonen eller det klassifiserte objektet mot tilsiktede handlinger som direkte eller indirekte kan skade nasjonale sikkerhetsinteresser, eller såkalt sikkerhetstruende virksomhet.
Anskaffelsesregelverket og sikkerhetsloven
Det er flere forskrifter som regulerer gjennomføringen av en anskaffelse, herunder anskaffelsesforskriften, forsyningsforskriften, konsesjonskontraktforskriften og forskrift om forsvars- og sikkerhetsanskaffelser (FOSA). FOSA er spesielt tilrettelagt for å kunne ivareta sikkerhetshensyn i anskaffelsesprosesser, og i anskaffelser på forsvars- og sikkerhetsområdet hvor FOSA får anvendelse gjelder ikke anskaffelsesforskriften og forsyningsforskriften. FOSA har mer fleksible regler enn regelverkene i klassisk sektor, og benyttes på tildeling av kontrakter på forsvars- og sikkerhetsområdet som gjelder levering av forsvarsmateriell med tilhørende delkomponenter, levering av gradert materiell med tilhørende delkomponenter, utførelse av bygge- og anleggsarbeider og levering av varer og tjenester som har direkte sammenheng med forsvarsmateriell eller gradert materiell, bygge- og anleggsarbeider og tjenester til spesifikke forsvarsformål, samt graderte bygge- og anleggsarbeider og graderte tjenester. FOSAs virkeområde er med dette videre enn anskaffelser kun til forsvarsformål, og FOSA kan dermed benyttes av alle oppdragsgivere som skal gjennomføre anskaffelser hvor leverandøren skal levere materiell eller tjenester som er eller skal graderes og som er til sikkerhetsformål. Dersom oppdragsgiver gjennomfører en anskaffelse som ikke omfattes av FOSA men likevel har behov for ivaretakelse av sikkerhet, for eksempel dersom det gjennomføres en sikkerhetsgradert anskaffelse, men der materiellet eller tjenesten ikke er til sikkerhetsformål, er de øvrige anskaffelsesforskriftene også lagt opp slik at oppdragsgiver kan stille krav til sikkerhet under gjennomføringen av anskaffelsen.
Videre vil sikkerhetsloven med tilhørende forskrifter stille krav til hvordan oppdragsgivere og leverandører må ta hensyn til sikkerhet i anskaffelser.
Anskaffelsesregelverket gjelder for offentlige myndigheter og enkelte private virksomheter, mens regelverket for sikkerhetsgraderte anskaffelser også vil gjelde for andre private virksomheter som er underlagt sikkerhetsloven. For førstnevnte gruppe vil regelverket om sikkerhetsgraderte anskaffelser virke i sammenheng med regelverket for offentlige anskaffelser. Vi vil i det følgende hovedsakelig fokusere på virksomheter som er underlagt begge regelverkene.
Praktisk gjennomføring av sikkerhetsgraderte anskaffelser
Oppdragsgivere som er underlagt sikkerhetsloven må allerede i planleggingsfasen av en anskaffelse ta stilling til risikoene den aktuelle anskaffelsen innebærer, og herunder om leverandørene vil få tilgang til sikkerhetsgradert informasjon, skjermingsverdig informasjonssystem, objekt eller infrastruktur. Dette vil få betydning for hvordan anskaffelsen skal gjennomføres, både med tanke på anskaffelsesregelverk og anskaffelsesprosedyre, samt om sikkerhetslovens krav får anvendelse.
Dersom leverandørene skal få tilgang til gradert informasjon eller skjermingsverdig informasjonssystem, objekt eller infrastruktur i forbindelse med anskaffelsen, vil sikkerhetsloven legger føringer for hva som kan eller skal skje på hvert enkelt stadium i prosessen. Oppdragsgiver må således vurdere på hvilket tidspunkt det er strengt nødvendig å dele den sikkerhetsgraderte informasjonen med leverandørene. Dersom oppdragsgiver må gi tilgang til den sikkerhetsgraderte informasjonen allerede i konkurransegjennomføringsfasen må det inngås sikkerhetsavtale med alle tilbyderne, samt at disse eventuelt må sikkerhetsklareres og leverandørklareres på korrekt nivå forut for utlevering av informasjonen.
I slike tilfeller kan det være hensiktsmessig å gjennomføre en prekvalifisering for å redusere antall leverandører i forkant av utleveringen av konkurransegrunnlaget.
For å skape en mest mulig effektiv prosess kan imidlertid oppdragsgiver forsøke å strukturere anskaffelsen slik at det kun er nødvendig å gi valgte leverandør tilgang til den skjermingsverdige verdien under kontraktsgjennomføringen. I slike tilfeller må kravene til sikkerhet stilles som en forutsetning for kontraktsinngåelse eller som kontraktsvilkår.
Når man som leverandør opplever at det ikke er mulig å inngi et godt tilbud fordi oppdragsgiver tilbakeholder nødvendig informasjon, anbefaler vi å kontakte oppdragsgiver for å avklare om det er behov for en slik tilbakeholdelse. Dersom det viser seg at tilbakeholdelsen er nødvendig fordi det vil kreve uforholdsmessig mye ressurser å dele informasjonen på dette stadiet i konkurransen, for eksempel der leverandørene må leverandørklareres i forkant av utlevering, må leverandørene inngi tilbud basert på kun den informasjonen som allerede foreligger.
Der det stilles krav til sikkerhet i anskaffelsen, må oppdragsgiver hensynta dette når det settes frister for leverandørene i anskaffelsesprosessen. Dette vil kunne innebære en langvarig vedståelsesfrist i tilfelle leverandøren som vinner konkurransen ikke vil klare å innfri de nødvendige sikkerhetskravene.
Krav til leverandøren i en sikkerhetsgradert anskaffelse
Der oppdragsgivere stiller krav til sikkerhet etter sikkerhetsloven, må dette fremgå av konkurransegrunnlaget. Det er ikke tilstrekkelig for oppdragsgiver kun å henvise til sikkerhetsloven i anskaffelsesdokumentene uten å gi konkrete føringer for leverandøren, da kravene som medfølger en sikkerhetsgradert anskaffelse kan få stor betydning både for konkurransefasen og kontraktsgjennomføringsfasen. Som et eksempel kan oppdragsgiver stille krav til sikkerhetsavtale, leverandørklarering, adgangskontroll, personklarering, vakthold, og krav til IKT-systemer og fysiske lokasjoner for oppbevaring av materiell og informasjon. Tiltakene leverandørene må oppfylle har i de fleste tilfeller en prismessig konsekvens, og kan ta lang tid å utføre. Det er derfor viktig at det som forventes av leverandøren i en slik prosess fremgår klart i anskaffelsesdokumentene, slik at anskaffelsen fremstår som forutberegnelig for leverandørene som ønsker å delta i konkurransen.
Som leverandør til virksomheter som driver innen samfunnskritiske sektorer, for eksempel energiforsyning, infrastruktur, elektronisk kommunikasjon og finansielle tjenester, bør man ha fokus på hvilke krav som stilles til sikkerhet i anskaffelser som utføres av oppdragsgiverne, da disse kravene potensielt kan innebære store kostnader i kontraktsgjennomføringen.
Vi har erfart at oppdragsgivere ved flere anskaffelser er for lite presise med tanke på hva som kreves av leverandørene til overholdelse av sikkerhet. Oppdragsgivere setter for eksempel kun et overordnet krav om at leverandøren er ansvarlig for å overholde de til enhver tid gjeldende kravene i sikkerhetsloven, uten å oppgi gradering av informasjon eller klassifisering av objekt, uten å presisere hva kravet innebærer i forhold til bruk av utenlandske leverandører, og uten å si noe om innholdet i en eventuell sikkerhetsavtale. Videre har vi sett at oppdragsgivere kun for sikkerhets skyld kan stille krav til overholdelse av sikkerhetslovgivningen, uten at oppdragsgiver selv på dette tidspunktet er kjent med at man er underlagt sikkerhetsloven. Dette er problematisk for leverandørene å forholde seg til, og får betydning for om leverandørene kan ta på seg oppdraget som er lyst ut.
Vi anser det som en selvfølge at sikkerhetslovens bestemmelser skal følges, men krav om overholdelse der det ikke er behov for det vil unødvendig begrense konkurransen og totalt sett føre til en dyrere anskaffelse enn nødvendig.
Vi anbefaler at leverandørene bruker muligheten til å stille spørsmål til oppdragsgiver i konkurransefasen når anskaffelsesdokumentene inneholder sikkerhetsrelaterte krav, for å i størst mulig grad klargjøre innholdet i forpliktelsen, og for å etterprøve om kravene er nødvendige. Aktuelle spørsmål til oppdragsgiver kan for eksempel være hvordan kostnader relatert til oppbevaring av informasjon, ombygging av lokaler og adgangskontroll skal fordeles dersom dette aktualiserer seg, samt om oppdragsgiver vil gi leverandøren utsatte eller forlengede leveransefrister dersom det blir behov for person- eller leverandørklarering under kontraktsgjennomføringen.
Bli den første til å kommentere på "Sikkerhetsgraderte anskaffelser, del II – ivaretakelse av sikkerhet i anskaffelsens gjennomføring"