Trusselvurdering: Vektlegg sikkerhets- og beredskapshensyn i anskaffelsesprosesser

TOPICS::
Anbud365: Trusselvurdering: Vektlegg sikkerhets- og beredskapshensyn i anskaffelsesprosesserSjef for Etterretningstjenesten, Nils Andreas Stensønes (fra venstre), sjef Politiets sikkerhetstjeneste, Beate Gangås, og sjef Nasjonal sikkerhetsmyndighet, Arne Christian Haugstøyl, la i dag frem sine respektive trusselvurderinger for 2025 (foto: Synne Kvam / Forsvarsdepartementet).

Innlegg av: Lennart Hovland 5. februar 2025

Skriv ut artikkelen

Virksomhetene må sørge for at leverandører har tilstrekkelig risiko- og sikkerhetsforståelse. Uten nødvendige sikkerhetstiltak evner ikke norske virksomheter å ha god nok kontroll over verdier av betydning for nasjonal sikkerhet. Dette understreker Nasjonal sikkerhetsmyndighet (NSM) i sin trusselvurdering for 2025, der det for øvrig gis 11 sikkerhets-anbefalinger til hjelp til oppdragsgivere. Vektlegg sikkerhets- og beredskapshensyn i anskaffelsesprosesser, er punkt 1 på listen over gode råd i en stadig mer krevende tid.

I dag har Etterretningstjenesten i Forsvaret, PST og Nasjonal sikkerhetsmyndighet (NSM) lagt fram hver sin åpne trusselvurdering for 2025.

Tre trusselvurderinger

Russland, Kina, Iran og Nord-Korea er blant landene som benytter en rekke metoder for å anskaffe og utnytte sivil, vestlig teknologi til militære formål. Kompliserte anskaffelsesnettverk tilslører sluttbrukeren for både leverandøren og statlige eksportkontrollmekanismer, skriver Etterretningstjenesten. PST følger opp og skriver at russiske aktører også i 2025 vil utføre fordekt anskaffelsesvirksomhet mot virksomheter i Norge som produserer eller utvikler varer, tjenester og teknologi av militær nytteverdi.

NSM peker i sin trusselvurdering for 2025, «Risiko 2025», på at den nye langtidsplanen for forsvarssektoren fordrer en økning i antallet anskaffelser der sikkerhetshensyn må ivaretas. Flere leverandører vil få betydning for nasjonal sikkerhet. Trusselaktørene leter langs hele kjeden av leverandører for å finne og utnytte sårbarheter og skaffe tilganger som kan svekke norsk forsvarsevne. Det gjør det enda viktigere at sikkerhet får nødvendig fokus i anskaffelsesprosesser.

De gjør ikke sikkerhetsvurderinger

NSM understreker at spesielt i store prosjekter kan det være utfordrende for oppdragsgiver å ha oversikt over og kontroll med alle leverandører og hva de får tilgang til. Det øker sannsynligheten for at trusselaktører kan få adgang til det Norge søker å beskytte, og:

– Manglende kontroll med leverandørkjeder kan også øke konsentrasjonsrisikoen. Da kan det oppstå avhengigheter til enkeltleverandører og enkeltland, noe som medfører økt risiko for bortfall og i verste fall kan utnyttes til press og påvirkning. Mange virksomheter underlagt sikkerhetsloven gjør ikke risikovurderinger før de iverksetter anskaffelser, eller så er vurderingene som gjøres mangelfulle.

Kontroll med skjermingsverdige verdier

Gode risikovurderinger, heter det i «Risiko 2025», er viktig for å avklare beskyttelsesbehov og iverksette nødvendige sikkerhetstiltak i anskaffelsesprosessen. Oppdragsgiver må ta høyde for at verdien eller beskyttelsesbehovet knyttet til anskaffelsen kan endre seg i framtiden. Dersom det ikke tas nødvendige grep fra start, øker risikoen for at trusselaktører sikrer tilgang til verdier som senere får et høyere beskyttelsesbehov.

– Oppdragsgivere i sikkerhetsgraderte anskaffelser må ha kontroll med skjermingsverdige verdier som leverandører gis tilgang til, understrekes det. Gode rutiner i anskaffelsesprosesser er viktige for å ha kontroll med skjermingsverdige verdier. For eksempel må virksomheten ha kontroll på hvem som skal ha tilgang til objekt og infrastruktur som understøtter grunnleggende nasjonale funksjoner og sikre at sikkerhetsgradert informasjon ikke kommer på avveie.

11 anbefalinger

I sin trusselvurdering for 2025 gir NSM en liste med anbefalinger for oppdragsgivere i anskaffelsesprosesser:

• Vektlegg sikkerhets- og beredskapshensyn i anskaffelsesprosesser.
• Ha rutiner for å sikre god tverrfaglig kompetanse i anskaffelsesprosessen.
• Kartlegg hvilke verdier anskaffelsen har betydning for.
• Gjennomfør gode og dekkende risikovurderinger for å velge riktige sikkerhetstiltaki anskaffelsesprosessen.
• Sikre at relevante krav til sikkerhet framgår av konkurransevilkår og kontrakt.
• Sikre flyt av oppdatert informasjon om endringer eller hendelser som påvirker risikovurderinger og valg av sikkerhetstiltak i hele leverandørkjeden.
• Sikre oversikt over underleverandører og leverandørkjeden i sin helhet.
• Etabler gode mekanismer for å følge opp leverandører.
• Sikre at tilgang til skjermingsverdige verdier opphører ved kontraktslutt.
• Prioriter og ressurssett sikkerhet i anskaffelser.
• Virksomheter må overholde krav om årlig å oversende oversikt over alle gjennomførte sikkerhetsgraderte anskaffelser til NSM.

Manglende oppfølging i sikkerhetsgraderte anskaffelser
I 2023 ble NSM varslet om at det ble oppbevart graderte dokumenter i et konkursbo til en privat virksomhet. Dokumentene var fra en rekke offentlige oppdragsgivere, og det var en bekymring for at ingen tok ansvar for disse. NSM hentet dokumentene kun kort tid før huseier overtok lokalene med gjenværende inventar. Oppdragsgivere har ansvar for sikkerhet i hele anskaffelsen. Dette inkluderer å sørge for at leverandør leverer tilbake gradert informasjon eller bekrefter at den er destruert når oppdraget er avsluttet samt tilbakekall av tilganger til skjermingsverdig objekt og infrastruktur

DEL TWEET PIN DEL

Relaterte innlegg

Bli den første til å kommentere på "Trusselvurdering: Vektlegg sikkerhets- og beredskapshensyn i anskaffelsesprosesser"

Legg inn kommentar

Epostadressen din vil ikke vises.


*


Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.