– Ved sikkerhetsgraderte anskaffelser må det iverksettes tiltak slik at anskaffelsene gjennomføres med et forsvarlig sikkerhetsnivå. Det er virksomheten som gjennomfører anskaffelsen som er ansvarlig for å vurdere risiko og ivareta kravet til forsvarlig sikkerhet. Vurdering av risiko omfatter også risiko i egne leverandørkjeder. Dette fremgår av svar fra justis- og beredskapsminister Emilie Mehl på et skriftlig spørsmål fra Stortinget. Hun la til at selskaper med kinesisk eierskap vil kunne utelukkes dersom det er nødvendig for at sikkerheten i anskaffelsen skal være forsvarlig.
Det var stortingsrepresentant Grunde Almeland som brakte temaet på banen ved ete skriftlig spørsmål til til justis- og beredskapsminister Emilie Mehl. – Finnes det i dag, spurte han, etablert praksis eller regler som gjør at en leverandør som har teknologi fra selskapene Hikvision og Dahua i sin underleverandørkjede er utelukket fra å delta i en sikkerhetsgradert anskaffelse av den art som gir leverandør tilgang til skjermingsverdig objekt eller infrastruktur?
Flere norske private sikkerhetsselskaper tilbyr overvåkningsteknologi fra det kinesiske statlig eide selskapet Hikvision. Sammen med det delvis statlig eide selskapet Dahua, er Hikvision markedsledende globalt innen overvåkningsteknologi og overvåkningskameraer. Det er avslørt at selskapene har tvilsom sikkerhet, ifølge Almeland. Han trakk også fram at kinesiske virksomheter, ifølge Nasjonal sikkerhetsmyndighet (NSM), i stor grad kan pålegges å utlevere informasjon til kinesisk etterretning, og at man derfor må regne med at informasjon og observasjoner tilgjengelig for det kinesiske firmaet kan tilkomme kinesisk etterretning.
Leverandører kan bli utelukket
Til dette pekte justis- og beredskapsministeren på at sikkerhetslovens bestemmelser om sikkerhetsgraderte anskaffelser vil kunne medføre at bestemte leverandører kan bli utelukket fra å delta i en anskaffelse. – Ved sikkerhetsgraderte anskaffelser til skjermingsverdig objekt eller infrastruktur må det iverksettes tiltak slik at anskaffelsene gjennomføres med et forsvarlig sikkerhetsnivå, understreket hun. Det er virksomheten som gjennomfører anskaffelsen som er ansvarlig for å vurdere risiko og ivareta kravet til forsvarlig sikkerhet. Vurdering av risiko omfatter også risiko i egne leverandørkjeder.
Sikkerhetsloven har også mekanismer for kontroll av selskaper som skal leverandørklarerers, og: – Sikkerhetsloven åpner for at eier av skjermingsverdig objekt eller infrastruktur, gjennom risikovurderinger som nevnt over, vil kunne utelukke produkter og leverandører som kommer fra land vi ikke har et sikkerhetsmessig samarbeid med. Dette innebærer at selskaper med kinesisk eierskap vil kunne utelukkes dersom det er nødvendig for at sikkerheten i anskaffelsen skal være forsvarlig, konstaterte statsråden.
Kinesiske leverandører
I et svar på et annet spørsmål fra samme Almeland påpekte statsråden at hvorvidt bruk av kameraovervåkningssystemer fra kinesiske leverandører utgjør en risiko for nasjonal sikkerhet, er avhengig av hvor de benyttes og hvordan systemene er satt opp. Dette er avgjørende for om kinesiske myndigheter kan få tilgang på data fra disse systemene eller ikke, og må inngå i virksomhetenes vurdering av risikoen.
– Et risikobilde i stadig endring utfordrer oss, og vi må være forberedt på å revidere risikovurderinger og tiltak i takt med et stadig endret trussel- og risikobilde. Digitalisering og teknologiutvikling medfører økt effektivisering og fornyelse, men introduserer samtidig nye sårbarheter, avhengigheter og konsentrasjonsrisiko. Dette kan utnyttes av en trusselaktør og må derfor håndteres, poengterte justis- og beredskapsministeren.
Bli den første til å kommentere på "Ved sikkerhetsgraderte anskaffelser: Sjekk risiko i hele leverandørkjeden"