Av partner Karen Anne Rekkedal og advokatfullmektiger Ellev Sandtrøen og Guro Skar Forseth i Advokatfirmaet Selmer AS
Advokatfirmaet Selmer har denne høsten en artikkelserie i tre deler om sikkerhet i offentlige anskaffelser. Denne delen av artikkelserien handler om hvem som er underlagt sikkerhetsloven og hva en sikkerhetsgradert anskaffelse er. Del II vil dreie seg om ivaretakelse av sikkerhet i gjennomføringen av anskaffelsen, mens del III vil handle om tips til hva oppdragsgiver og leverandør bør ha fokus på i sikkerhetsgraderte anskaffelser.
Norge forvalter verdifulle naturressurser, norsk forskning og teknologi er langt fremme på mange områder og vi har en geografisk posisjon som er interessant for mange andre nasjoner. Vår utnyttelse av disse ressursene er avhengig av god forvaltning og vern mot trusler. Norske offentlige og private virksomheter ivaretar verdiene for oss, og vi er avhengige av at disse virksomhetene følger retningslinjer som sikrer verdiene på en forsvarlig måte. Den nye sikkerhetsloven som trådte i kraft 1. januar 2019 stiller krav til sikkerhet i anskaffelser og inneholder et eget kapittel om sikkerhetsgraderte anskaffelser. Sikkerhetslovens bestemmelser er et viktig virkemiddel for å forhindre tap av verdifulle ressurser, og det er derfor avgjørende at kunnskapen om denne loven er tilstrekkelig innad i virksomheter som er underlagt den.
Flere vil omfattes av sikkerhetsloven
Sikkerhetsloven gjelder for statlige, fylkeskommunale og kommunale organer. Andre offentlige og private virksomheter kan, basert på en nærmere risikovurdering, bli omfattet av sikkerhetsloven etter vedtak fattet av ansvarlig departement eller Nasjonal Sikkerhetsmyndighet (NSM). Relevant for vurderingen er om virksomheten i) behandler sikkerhetsgradert informasjon, ii) råder over informasjon, informasjonssystemer, objekter eller infrastruktur som har avgjørende betydning for grunnleggende nasjonale funksjoner eller iii) driver aktivitet som har avgjørende betydning for grunnleggende nasjonale funksjoner.
Hvilke virksomheter som blir underlagt den nye sikkerhetsloven vil bli utpekt i tiden fremover.
I henhold til kongelig resolusjon kunngjort 20. desember 2018, skal departementene identifisere grunnleggende nasjonale funksjoner og fatte vedtak overfor virksomheter innen rimelig tid. Hva som anses som rimelig tid vil være avhengig av størrelsen på samfunnssektoren det gjelder, omfanget av skjermingsverdige verdier, kompleksiteten på verdikjedene, og den sikkerhetsfaglige kompetansen i det aktuelle departementet. Det forventes dermed at antall virksomheter som omfattes av sikkerhetsloven vil øke i tiden fremover. Aktuelle virksomheter er de som administrerer kritiske infrastruktursystemer som matforsyning, vann og avløp, finansielle tjenester, energiforsyning, elektronisk kommunikasjon og transport. Virksomheter som ble utpekt etter forrige sikkerhetslov er også omfattet av den nye sikkerhetsloven.
Virksomhetene som blir utpekt har krav på forhåndsvarsel, og vedtak om at en virksomhet skal underlegges sikkerhetsloven er enkeltvedtak som kan påklages etter forvaltningsloven. Etter at vedtak er truffet gis virksomhetene en rimelig frist til å oppfylle krav gitt i eller med hjemmel i sikkerhetsloven.
Sikkerhetsloven gjelder videre for leverandører som leverer varer eller tjenester i sikkerhetsgraderte anskaffelser. Tilsvarende vil gjelde for underleverandører til slike leverandører dersom de får tilgang eller tilvirker til skjermingsverdige verdier.
Formålet med sikkerhetsloven er å beskytte skjermingsverdige verdier mot tilsiktede handlinger som direkte eller indirekte kan skade nasjonale sikkerhetsinteresser, eller såkalt sikkerhetstruende virksomhet, og leverandører som omfattes av sikkerhetsloven i forbindelse med en sikkerhetsgradert anskaffelse er således kun omfattet i den grad det er nødvendig for å ivareta den skjermingsverdige verdien.
Når foreligger en sikkerhetsgradert anskaffelse?
En sikkerhetsgradert anskaffelse er en anskaffelse som innebærer at leverandøren kan få tilgang til eller tilvirker sikkerhetsgradert informasjon eller få tilgang til et skjermingsverdig objekt eller infrastruktur.
Sikkerhetsgradert informasjon er informasjon som kan skade nasjonale sikkerhetsinteresser om den blir kjent for uvedkommende. Nasjonale sikkerhetsinteresser omfatter mer enn forsvar, politi og beredskap, og kan inkludere informasjon om blant annet økonomisk handlefrihet, samfunnets grunnleggende funksjonalitet og befolkningens grunnleggende sikkerhet. Det betyr at informasjon om viktige funksjoner innenfor for eksempel petroleumssektoren eller bank- og finans vil kunne bli sikkerhetsgradert.
Som et eksempel på en anskaffelse hvor leverandøren kan få tilgang til sikkerhetsgradert informasjon nevner veilederen til departementet at politiet skal kjøpet kryptert radioutstyr. Et annet eksempel kan være levering av IKT- tjenester til Norges Bank. I dette tilfellet vil leverandørene kunne få kjennskap til eller tilvirke sikkerhetsgradert informasjon i forbindelse med styringen av norsk økonomi.
Virksomheter som tilvirker sikkerhetsgradert informasjon, skal sikkerhetsgradere og merke informasjonen. I sikkerhetsloven brukes det ulike sikkerhetsgrader: STRENGT HEMMELIG, HEMMELIG, KONFIDENSIELT og BEGRENSET.
Objekter og infrastruktur er skjermingsverdige dersom det kan skade grunnleggende nasjonale funksjoner om de får redusert funksjonalitet eller blir utsatt for skadeverk, ødeleggelse eller rettsstridig overtakelse. Grunnleggende nasjonale funksjoner er virksomhet av en slik betydning at bortfall av funksjonen vil kunne få betydning for statens evne til å ivareta sikkerhetsinteresser. Eksempler på objekter og infrastruktur som kan bli utpekt som skjermingsverdige er havner, jernbane, høyspentnett, kraftverk, rørledninger, signalanlegg, mobilnett eller betalingssystemer.
Veilederen til departementet nevner som eksempel at det skal kjøpes inn alarmsystemer til et vannverk som er utpekt som skjermingsverdig og med klassifisering kritisk. I dette tilfellet vil leverandøren få tilgang til overvåkningsbilder, samt muligheten til å skru av og på alarmsystemet. Leverandøren vil dermed få tilgang til det skjermingsverdige objektet og sikkerhetslovens bestemmelser om sikkerhetsgraderte anskaffelser kommer til anvendelse.
I sikkerhetsloven brukes det ulike klassifiseringsgrader; MEGET KRITISK, KRITISK og VIKTIG.
Krav til sikkerhetsavtale, klarering og autorisasjon
Ved enhver sikkerhetsgradert anskaffelse skal oppdragsgiver og leverandør inngå sikkerhetsavtale. Dette er en avtale som tydeliggjør hvilke sikkerhetsmessige krav som gjelder for en anskaffelse. Avtalen skal alltid inneholde hvilken sikkerhetsgrad som gjelder for oppdraget og hvordan leverandøren skal forholde seg til kravene som fremgår av sikkerhetsloven.
For at leverandører skal få tilgang til sikkerhetsgradert informasjon gradert KONFIDENSIELT eller høyere eller skjermingsverdig objekt eller infrastruktur klassifisert KRITISK eller høyere kreves leverandørklarering, som knytter seg til virksomheten som sådan. For lavere sikkerhetsgrader kreves ikke klarering med mindre dette er nødvendig for å oppnå et forsvarlig sikkerhetsnivå. Leverandørklareringen skal sikre at leverandørene er i stand til å oppfylle kravene i loven som gjelder for de verdiene leverandøren skal ha tilgang til.
Alt personell som skal få tilgang til sikkerhetsgradert informasjon skal autoriseres. Autorisasjon gis av virksomhetens leder. Dersom personene i tillegg skal ha tilgang til informasjon gradert KONFIDENSIELT eller høyere skal de også ha gyldig sikkerhetsklarering. Denne innhentes fra klareringsmyndigheten.
Ansvarlig departement kan i tillegg bestemme at det skal gjelde krav til adgangsklarering for skjermingsverdige objekter eller infrastruktur. Personer som skal ha adgang til disse må i så fall ha autorisasjon og gyldig adgangsklarering.
Dersom du som leverandør trenger klareringer for å levere på en sikkerhetsgradert anskaffelse er det greit å være klar over at en slik prosess tar tid. Som et eksempel kan nevnes at gjennomsnittlig saksbehandlingstid for sikkerhetsklarering av personell hos NSM var på 100 dager i 2019 i henhold til EOS-utvalgets årsmelding for 2019. Det er derfor viktig at anskaffelsen legger til rette for at leverandøren får tilstrekkelig med tid til å få dette på plass forut for krav om leveranse.
Bli den første til å kommentere på "Sikkerhetsgraderte anskaffelser, del 1: Nærmere om sikkerhetsgraderte anskaffelser"