13 Sikkerhetsgraderte anskaffelser
13.1 Gjeldende rett
Gjeldende bestemmelser om sikkerhetsgraderte anskaffelser står i sikkerhetsloven kapittel 7, §§ 27 til 29 a. En sikkerhetsgradert anskaffelse er definert som en «anskaffelse, foretatt av anskaffelsesmyndighet som innebærer at leverandøren av varen eller tjenesten vil kunne få tilgang til skjermingsverdig informasjon eller objekt, eller som innebærer at anskaffelsen må sikkerhetsgraderes av andre årsaker», jf. gjeldende sikkerhetslov § 3 første ledd nr. 17. Leverandører i forbindelse med sikkerhetsgraderte anskaffelser blir automatisk underlagt sikkerhetslovens bestemmelser, jf. sikkerhetsloven § 2 andre ledd, noe som medfører at et større antall private rettssubjekter er underlagt sikkerhetslovens bestemmelser.
Gjeldende § 27 oppstiller krav om at det skal inngås en sikkerhetsavtale mellom anskaffelsesmyndigheten og leverandøren før leverandøren får tilgang til skjermingsverdig informasjon. Dersom det skal gis tilgang til skjermingsverdig objekt praktiseres det i dag bare krav om sikkerhetsavtale dersom Nasjonal sikkerhetsmyndighet (NSM) krever det, eller det av andre grunner er nødvendig å sikkerhetsgradere anskaffelsen.
Skal det inngås en sikkerhetsavtale med en utenlandsk leverandør, kan det først skje etter godkjenning fra NSM, jf. § 27 første ledd tredje punktum. Det kreves at det foreligger en bi- eller multilateral avtale eller annen type arrangement om utveksling og plikt til gjensidig beskyttelse av sikkerhetsgradert informasjon mellom norske myndigheter og hjemstaten til leverandøren, jf. forskrift 1. juli 2001 nr. 753 (forskrift om sikkerhetsgraderte anskaffelser), kapittel 4. De nærmere kravene til innholdet i en sikkerhetsavtale framgår av § 27 andre ledd, og av forskrift om sikkerhetsgraderte anskaffelser § 2-5.
Gjeldende § 28 oppstiller krav om at en leverandør skal leverandørklareres dersom denne skal gis tilgang til informasjon gradert KONFIDENSIELT eller høyere, eller dersom det av andre grunner anses nødvendig. En leverandørklarering innebærer at det foretas en vurdering av leverandørens sikkerhetsmessige skikkethet og evne til forsvarlig håndtering av skjermingsverdig informasjon. Leverandørklarering skal kun gis dersom det ikke foreligger rimelig tvil om at leverandøren er sikkerhetsmessig skikket. For at en utenlandsk leverandør skal kunne leverandørklareres må det foreligge en bi- eller multilateral avtale om utveksling og plikt til gjensidige beskyttelse av sikkerhetsgradert informasjon mellom norske myndigheter og hjemstaten til leverandøren. I dag er det NSM som er klareringsmyndighet for leverandørklareringer.
En leverandørklarering gjaldt tidligere kun for det enkelte oppdrag, og falt automatisk bort når oppdraget var utført. 1. januar 2017 ble bestemmelsen endret slik at den nå gir Kongen myndighet til å bestemme varigheten av leverandørklareringen, se gjeldende sikkerhetslov § 28 første ledd andre punktum. Det følger av forskrift om sikkerhetsgraderte anskaffelser § 3-1 fjerde ledd at leverandørklareringen har en varighet på inntil fem år. Bakgrunnen for endringen var å bringe praksis i Norge nærmere praksis i sammenlignbare land, gjøre prosessen med leverandørklarering enklere og redusere antall søknader om leverandørklarering, jf. Prop. 97 L (2015–2016) kapittel 10.5.
§ 28 tredje ledd oppstiller en plikt for leverandøren til uten ugrunnet opphold å orientere NSM om alle relevante opplysninger av betydning for klareringsspørsmålet. De nærmere kriteriene og krav til egenopplysninger fra leverandøren er nærmere regulert i forskrift om sikkerhetsgraderte anskaffelser §§ 3-2 og 3-3.
Etter at leverandørklarering er gitt skal NSM blant annet informeres om endringer i styre eller ledelse, forandringer i eierstrukturen, flytting av lokaliteter og utstyr, åpning av gjeldsforhandlinger eller begjæring om konkurs, og om andre forhold som kan ha betydning for leverandørens sikkerhetsmessige skikkethet. Dersom forholdene representerer en sikkerhetsrisiko som ikke kan elimineres gjennom forebyggende sikkerhetstiltak, kan NSM inndra leverandørklareringen, jf. § 28 fjerde ledd. Det følger også av § 28 fjerde ledd siste punktum, at skjermingsverdig informasjon eller objekt ikke kan overføres til ny eier eller inngå i bobehandling ved gjeldsforhandling eller konkurs, med mindre NSM samtykker til dette. Saksbehandlingsreglene i sikkerhetsloven kapittel 6 om personellsikkerhet, herunder bestemmelsen om begrunnelse og klage, gjelder så langt de passer for leverandørklareringer, jf. § 28 femte ledd.
1. januar 2017 trådte ny § 29 a i kraft. Bakgrunnen for bestemmelsen er redegjort for i Prop. 97 L (2015–2016), kapittel 11. I korte trekk oppstiller § 29 a en varslingsplikt ved alle anskaffelser til kritisk infrastruktur, uavhengig av om virksomheten som foretar anskaffelsen er underlagt sikkerhetsloven. Kritisk infrastruktur er i sikkerhetsloven § 3 første ledd nr. 21 definert som «anlegg og systemer som er nødvendige for å opprettholde samfunnets grunnleggende behov og funksjoner». Dersom anskaffelsen «innebærer en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført mot eller ved bruk av infrastrukturen», skal overordnet departement varsles. Dersom virksomheten ikke er underlagt noe departement skal varselet sendes til Forsvarsdepartementet. Det departementet som mottar varsel etter andre ledd, bør innhente en rådgivende uttalelse fra relevante organer om leveransens risikopotensial, og leverandørens sikkerhetsmessige pålitelighet. I Prop. 97 L (2015–2016), side 65 nevnes Politiets sikkerhetstjeneste, Etterretningstjenesten og NSM som aktuelle organer. Dersom anskaffelsen ikke bør gjennomføres, eller det bør stilles nærmere vilkår for gjennomførelsen, skal saken fremmes for Kongen i statsråd. I proposisjonen presiseres det også at vedtaket må være innrettet på en slik måte at lovens formål ivaretas. Det presiseres at formålsbegrensningen blant annet vil innebære at det ikke er hjemmel for å gripe inn ved risiko for industrispionasje som kun er egnet til å skade en enkeltbedrifts forretningsvirksomhet. Det vises for øvrig til utvalgets gjennomgang av gjeldende rett i NOU 2016: 19 kapittel 11.1 til 11.3.
13.2 Utvalgets forslag
Utvalget har vurdert hvorvidt det eksisterende regelverket om sikkerhetsgraderte anskaffelser har en balansert og hensiktsmessig tilnærming når det gjelder sikkerhetshensyn på den ene siden og bedriftsøkonomiske hensyn på den andre. Utvalget har også tatt stilling til hvorvidt innretningen på forslaget til ny lov, herunder utvidelsen av lovens virkeområde, nødvendiggjør endringer i regelverket om sikkerhetsgraderte anskaffelser.
Utvalget har i kapittel 11.3, side 223–224 gjennomgått gjeldende sikkerhetslov, anskaffelsesloven, forskrift om offentlige anskaffelser, forskrift om forsvars- og sikkerhetsanskaffelser, energiloven, beredskapsforskriften og finanstilsynsloven. Utvalget har også gjennomgått vurderingene om tidsbasert leverandørklarering, og varslingsplikt ved anskaffelser til kritisk infrastruktur i Prop. 97 L (2015–2016).
Utvalget kom til at «det fortsatt er behov for regelverk for sikkerhetsgraderte anskaffelser.» Det vises i NOU 2016: 19 kapittel 11.4, side 224 til at regelverket er et:
«viktig virkemiddel for å kunne sikre at leverandører til virksomheter av kritisk betydning for grunnleggende nasjonale funksjoner, sikkerhetsmessig er til å stole på. Regelverket for sikkerhetsgraderte anskaffelser bør således gjelde for alle virksomheter som omfattes av loven.»
Utvalget foreslår å videreføre reguleringen som framgår av dagens §§ 27 og 28, for alle virksomheter som omfattes av loven.
Utvalget støtter videre endringen fra oppdragsbasert til tidsbasert leverandørklarering:
«Endringen vil, slik utvalget ser det, være et viktig bidrag for å effektivisere prosessene knyttet til sikkerhetsgraderte anskaffelser. Endringer medfører også at regelverket er mer i tråd med hvordan dette er regulert i andre sammenlignbare nasjoner. For norske leverandører vil tidsbasert leverandørklarering også gjøre det lettere å konkurrere om oppdrag på det internasjonale markedet.»
Når det gjelder § 29 a om anskaffelser til kritisk infrastruktur uttaler utvalget:
«Innretning med at virksomhetene plikter å gjennomføre en risikovurdering ved anskaffelser er, slik utvalget ser det, også i tråd med den innretning utvalget har på forslaget til ny sikkerhetslov. De øvrige endringene utvalget foreslår, særlig når det gjelder de foreslåtte mekanismene om deling av trusselinformasjon, også setter virksomhetene i bedre stand til å kunne gjøre en forsvarlig risikovurdering ved slike anskaffelser.»
Utvalget uttaler imidlertid at
«plikten til å gjøre risikovurderinger, må avgrenses til de virksomheter som faktisk omfattes av loven, det vil si de virksomheter som råder over skjermingsverdige objekter eller skjermingsverdig infrastruktur.»
Sistnevnte medfører en endring fra gjeldende § 29 a, som gjelder alle anskaffelser til kritisk infrastruktur. Endringen må imidlertid ses i sammenheng med at virkeområdet til loven utvides, jf. kapittel 1. Om dette uttaler utvalget på side 224:
«Utvalgets forslag til utvidelse av lovens virkeområde, vil medføre at virksomheter som råder over infrastruktur av kritisk betydning for grunnleggende nasjonale funksjoner vil bli underlagt loven. Hvorvidt dette innebærer at alle virksomheter som er ment å omfattes av den foreslåtte § 29 a, også omfattes av bestemmelsen i utvalgets lovforslag, vil avhenge av hvilke vurderinger departementene og Sikkerhetsmyndigheten gjør når det gjelder vedtak overfor virksomheter som skal underlegges loven.»
Om forholdet til anskaffelsesregelverket viser utvalget på side 224 til departementets uttalelse i Prop. 97 L (2015–2016), side 48 hvor det framgår at
«for offentlige oppdragsgivere må regelverket om sikkerhetsgraderte anskaffelser ses i sammenheng med regelverket for offentlige anskaffelser. En sikkerhetsgradert anskaffelse er i utgangspunktet omfattet av anskaffelsesloven og forskrift om forsvars- og sikkerhetsanskaffelser. Nevnte lov og forskrift gjelder i midlertid ikke der en anskaffelse kan unntas med hjemmel i EØS-avtalen artikkel 123.»
13.3 Høringsinstansenes syn
Avinor, BDO, Forsvars- og sikkerhetsindustriens forening (FSi), Nasjonal sikkerhetsmyndighet (NSM), Norges Ingeniør- og Teknologorganisasjon (NITO), Norges vassdrags- og energidirektorat (NVE), Norsk olje og gass, Olje- og energidepartementet, Oslo politidistrikt, Samferdselsdepartementet, Statnett, Telenor Norge AS, Utenriksdepartementet og Energi Norge har kommentert utvalgets forslag til regelverk for sikkerhetsgraderte anskaffelser. De aller fleste er positive til forslaget. Statnett og Energi Norge mener imidlertid at behovet for sikkerhet i forbindelse med anskaffelser til kraftsektoren best reguleres gjennom sektorspesifikt regelverk.
Norsk olje og gass har spilt inn at utvalgets forslag til kapittel 9 bør
«avgrenses mot privat virksomhet som ikke er omfattet av forskrift om forsvars- og sikkehetsanskaffelser. Alternativt må det gjøres en grundig kost-nytte vurdering av hvilken virkning dette forslaget vil kunne få for privat virksomhet.»
Energi Norge, NVE, Statnett og Olje- og energidepartementet er opptatt av at kravene i regelverket ikke må medføre en dårligere anskaffelse, og det må heller ikke legge unødvendige hindringer for konkurransen. Olje- og energidepartementet viser til viktigheten av å
«vektlegge hensynet til funksjonalitet og kvalitet ved det som anskaffes. Kravet om sikkerhetsgradering av anskaffelsen, herunder inngåelse av sikkerhetsavtaler, må ikke medføre en dårligere anskaffelse».
Olje- og energidepartementet viser videre til:
«I mange bransjer er det nødvendig å kunne bruke også utenlandske leverandører eller underleverandører. Det er også viktig at det ikke legges unødvendige hindringer for konkurranse.»
Statnett viser til at mange av deres anlegg vil kunne bli underlagt regimet om skjermingsverdige objekter, jf. forslaget til § 7-1, og at mange av disse har et svært stort antall leverandører, hvor mange er utenlandske:
«Felles for disse er også i denne sammenheng en avhengighet av utenlandske leverandører. Det finnes ikke norske leverandører for en rekke produkter til disse anleggene og systemene. Det store antallet utenlandske leverandører fører til et sett med utfordringer knyttet til forslaget som kan gå direkte ut over forsyningssikkerheten.»
Energi Norge viser videre til at
«i Statkrafts kraftanlegg i Norge er det alene over 3100 leverandører. I forhold til antall leverandører til anleggene som er klassifisert i «høyeste» klasse er det i underkant 900 ulike leverandører. Bare et av Statkrafts klasse 3 anlegg har færre enn 50 ulike leverandører og det er flere som har opp mot 100. Mange leverandører kan nok forhåndsklareres for leveranse til anlegg som kommer inn under sikkerhetsloven, men det er neppe praktisk mulig å forhåndsklarere alle tenkelige leverandører. Det er derfor en reell bekymring at reparasjonstiden vil øke ved feil i anleggene på grunn av økt byråkrati, i tillegg til økte kostnader knyttet til byråkratiet.»
Statnett og NVE mener det bør være opp til virksomhetene når og hvilke krav som skal gjelde i det enkelte tilfelle. NVE uttaler:
«Forslaget inneholder krav til sikkerhetsavtale, leverandøravklaring og varslingsplikt. Det kan være områder og bransjer hvor alle tre er nødvendige, men NVE stiller spørsmål ved om dette bør være generelle krav. Vi mener det gir en bedre regulering å stille krav til at virksomhetene i sine ROS-analyser må vurdere om det er spesielle anskaffelser hvor sikkerhetsavtaler, leverandørklaringer og varslingsplikt anses nødvendig.»
NSM har uttalt:
«Det bør vurderes å tydeliggjøre i lovforslaget at eventuelle leverandører må kunne tilfredsstille alle relevante krav i loven for å kunne få tilgang til sikkerhetsgradert informasjon/skjermingsverdig objekt og infrastruktur, før man kan tildeles en gradert kontrakt.»
NSM mener videre at den internasjonale dimensjonen av regelverket bør tydeliggjøres:
«Det er gjennom dette regelverket at man sikrer norske leverandørers tilgang til det internasjonale markedet som involverer utenlandsk sikkerhetsgradert informasjon, og gjør det mulig for norske virksomheter å benytte leverandører fra utlandet dersom det er behov for dette. De internasjonale sikkerhetsgraderte anskaffelser er nært knyttet opp til bilaterale og multilaterale sikkerhetsavtaler som Norge har inngått med andre stater/organisasjoner. NSM mener at det er viktig at også denne delen av regimet reflekteres på en god måte i regelverket. Det bør vurderes om denne dimensjonen bør tydeliggjøres i lovforslaget eller om det er tilstrekkelig á beskrive dette nærmere i en lovproposisjon. Nærmere konkrete bestemmelser må uansett utformes i forskrifts form.»
NITO har spilt inn at det er behov for å beholde kjernekompetanse nasjonalt i de virksomhetene som er underlagt loven:
«NITOs mener summen av utsatte (eller privatiserte) tjenester kan være av et slikt omfang at det oppstår en avhengighet. Avhengigheten kan medføre at det over tid er vanskelig å ta denne kunnskapen/kompetansen tilbake til ordinær drift. En stats egen evne til å ivareta funksjoner og støttefunksjoner er viktig elementer i statens samfunnssikkerhet. NITO vil videre påpeke at tjenester som skal outsources må vurderes både enkeltvis og i sum med tanke på kryssavhengigheter og samlet risiko. Det gjelder både for virksomheten, sektoren og for Norge. Fokus må være på at virksomheten skal kunne fortsette å levere de samfunnskritiske tjenestene også dersom de outsourcede tjenestene faller bort (krise/krig) eller kompromitteres (spionasje/sabotasje/terror).
NITO vil spesielt peke på at fortsatt leveranse og funksjon må opprettholdes dersom tjenestene eller driften er outsourcet til utlandet (utflagging). Er tjeneste eller drift samlet innenlands, skal tjenesteleverandøren kunne dokumentere et visst minstenivå av sikkerhet som samsvarer med virksomhetens sikkerhetsbehov.»
Oslo politidistrikt uttaler:
«Definisjonen omfatter ikke at en leverandør selv kan utarbeide sikkerhetsgradert informasjon. Dette er noe som leverandører gjør både i form av selve leveransen samt i form av intern sikkerhetstjeneste. Det foreslås derfor at teksten gis et tillegg: Med sikkerhetsgradert anskaffelse menes en anskaffelse som innebærer at leverandøren av varen eller tjenesten vil kunne få tilgang til eller selv tilvirke sikkerhetsgradert informasjon.»
Energi Norge mener videre at forholdet mellom regelverket og EU-retten er for dårlig utredet, og viser til:
«Endringene i sikkerhetsloven setter ikke regelverket om offentlige anskaffelser til side. Om forholdet mellom regelverket for offentlige anskaffelser og sikkerhetslovens bestemmelser viser NOUen til hva Forsvarsdepartementet skriver om sikkerhetsgraderte anskaffelser i Prop. 97 L (2015–2016): [f]or offentlige oppdragsgivere må regelverket om sikkerhetsgraderte anskaffelser sees i sammenheng med regelverket for offentlige anskaffelser. En sikkerhetsgradert anskaffelse er i utgangspunktet omfattet av [anskaffelsesloven] og [forskrift om forsvars- og sikkerhetsanskaffelser]. Nevnte lov og forskrift gjelder imidlertid ikke der en anskaffelse kan unntas med hjemmel i EØS-avtalen artikkel 123. Virksomheter underlagt anskaffelsesregelverket for forsyningssektorene må således følge dette regelverket, selv om anskaffelsen er underlagt varslingsplikt i henhold til sikkerhetslovens bestemmelser. Dette forholdet kompliserer ytterligere anskaffelsesprosessen og åpner for potensielle erstatningskrav og søksmål. Det er uklart i hvilken grad EU-rett om fri flyt av varer og tjenester er vurdert i denne sammenheng. Dette bør tydeliggjøres i den videre behandlingen av lovforslaget.»
Når det gjelder den konkrete utformingen av bestemmelsene har NVE og NSM spilt inn at det bør presiseres hvem «anskaffelsesmyndigheten» i § 9-2 er, slik at det kommer tydeligere fram at bestemmelsen også gjelder for de private virksomhetene som er underlagt loven. NSM foreslår:
«I denne kontekst synes ikke begrepet «anskaffelsesmyndigheten» helt treffende. NSM foreslår derfor at det heller benyttes formuleringen «virksomheten som gjennomfører anskaffelsen».
Når det gjelder forslaget til § 9-3 er alle de høringsinstansene som har uttalt seg positive til at leverandørklarering fra 1. januar 2017 har blitt gjort tidsbasert, med en varighet på 5 år.
BDO og NSM mener imidlertid at klareringsmyndigheten bør være den samme som for personklarering. NSM viser til sin anbefaling i Sikkerhetsfaglig råd, og uttaler:
«Forsvarsdepartementet bør fremme et forslag om at sikkerhetsloven endres slik at Kongen kan utpeke klareringsmyndigheter og klageinstans for saker om leverandørklarering og andre myndighetsavgjørelser på området. NSM registrerer at utvalget ikke har fulgt opp denne anbefalingen, men anbefaler at det gjøre en fornyet vurdering slik at det åpnes for at klareringsmyndighet for leverandører også kan legges til andre enn Sikkerhetsmyndigheten.»
Telenor AS har videre spilt inn:
«Det må tas hensyn til at elektronisk kommunikasjon både er en samfunnskritisk funksjon, en kommersiell tjeneste, samt del av et globalt økosystem når det skal avgjøres om anskaffelsen omfattes av regelverket for sikkerhetsgradert anskaffelse. Herunder hvilke krav som skal stilles til anskaffende myndighet (det private rettssubjektet) og leverandør, og hvilke leverandører som kan godkjennes for hvilke leveranser. Det bør vurderes å innføre differensiert leverandørklarering hvor det tas hensyn til at det er en forskjell på leverandørgodkjenning for «rikets sikkerhet» og «samfunnssikkerhet».
Utenriksdepartementet har tatt opp:
«Dersom en aktuell leverandør ikke er leverandørklarert kan tidkrevende klareringsprosesser med NSM likevel medføre forsinkelser i konkrete anskaffelsesaker. Det kan derfor være fordelaktig om oppdragsgiver kunne anmode NSM om leverandørklarering av navngitte leverandører også med henblikk på fremtidige anskaffelsessaker, og uavhengig av konkrete anskaffelsesprosesser. Dermed vil oppdragsgivere kunne etablere «lister» over klarerte leverandører som oppdragsgivere uten tidsspille kan innhente tilbud fra og tildele kontrakter til.»
Til forslaget § 9-4 mener Telenor,Samferdselsdepartementet og Statnett at det er høyst usikkert hvor kapable virksomhetene er til selv å vurdere risiko, særlig gjelder dette de små virksomhetene. Statnett uttaler om dette:
«Statnett er usikker på i hvilken grad en virksomhet med kritisk infrastruktur vil være i stand til å vurdere den konkrete risikoen for et konkret objekt eller en infrastruktur. Hvis vi legger trefaktormodellen til grunn (side 44) hvor risiko ses på som forholdet mellom trusler, verdier og sårbarhet, vil en virksomhet kunne angi verdi og sårbarhet. Samtidig vil kunnskap og kompetanse om truslene rettet mot konkrete objekter og infrastrukturer kunne variere. Etter Statnetts syn må virksomhetens risikovurdering derfor kunne avgrenses til hvilken konsekvens bortfall av planlagt anskaffelse har for formål og virkeområde i §§ 1-1 og 1-2, eksempelvis om bortfall vil kunne skade grunnleggende nasjonale funksjoner. Samtidig er det fremdeles Statnetts primære syn at det er mer hensiktsmessig å la energiloven ivareta formålet § 29a.»
13.4 Departementets vurdering
13.4.1 Generelt
Departementet er langt på vei enig i utvalgets vurderinger og foreslår at regelverket for sikkerhetsgraderte anskaffelser videreføres. Det vil da også i ny lov være et krav om sikkerhetsavtale, leverandørklarering og at virksomhetene pålegges en varslingsplikt ved sikkerhetsgraderte anskaffelser. Anskaffelsen er sikkerhetsgradert hvor leverandøren vil håndtere sikkerhetsgradert informasjon, eller får tilgang til skjermingsverdig objekt eller infrastruktur, jf. § 9-1. Leverandøren i en sikkerhetsgradert anskaffelse blir underlagt loven, jf. § 1-2 andre ledd. Departementet foreslår at bestemmelsene langt på vei utformes i tråd med utvalgets forslag, men med noen språklige forenklinger. Det foreslås også at de nærmere kravene til sikkerhetsavtalen vil fremgår av forskrift, og at det i forskrift kan gjøres unntak fra kravet om sikkerhetsavtale. Departementet ser behov for at det i det videre arbeidet med gjennomføringen av loven utredes nærmere om det skal gjøres tilpasninger slik at også leverandører til skjermingsverdige informasjonssystemer omfattes av loven, jf. § 6-1.
13.4.2 Virkeområde for reglene om sikkerhetsgraderte anskaffelser
Departementet har merket seg at høringsinstansene gjennomgående er positive til forslaget, men at flere har innspill til virkeområdet for og den nærmere utformingen av bestemmelsene om sikkerhetsgraderte anskaffelser. Flere av høringsinstansene har spilt inn at hensynet til sikkerhet ikke må legge unødvendige begrensninger på konkurransen, herunder leverandørtilfanget, særlig ved bruk av utenlandske leverandører.
Norsk olje og gass har i sitt høringsinnspill gitt uttrykk for at bestemmelsene om sikkerhetsgraderte anskaffelser ikke bør gjelde for de private virksomheter som allerede er og vil bli underlagt loven. Departementet deler ikke denne oppfatningen, og viser til at de virksomheter som underlegges sikkerhetsloven anses som så viktige for den nasjonale sikkerheten at det er et klart behov for å kunne føre kontroll med leverandørene til disse, uavhengig av om virksomheten som foretar anskaffelsen er en offentlig eller en privat aktør. Regelverket for sikkerhetsgraderte anskaffelser vil dessuten gi virksomhetene et nødvendig virkemiddel i arbeidet med forbyggende sikkerhetsarbeid i egen virksomhet, jf. lovens kapittel 4 om forebyggende sikkerhetsarbeid. Lovforslaget innebærer derfor at alle virksomhetene som blir underlagt loven, jf. § 1-2 annet ledd, jf. § 1-3, må forholde seg til regelverket om sikkerhetsgraderte anskaffelser.
Hvilke krav som stilles til virksomheten og leverandøren, vil imidlertid variere ut fra graderingsnivået på informasjonen, objektet eller infrastrukturen leverandøren får tilgang til ved anskaffelsen. Kravene vil også variere ut fra om informasjonen skal oppbevares hos leverandøren eller ikke. Slik departementet ser det, vil ikke kravene gå lenger enn det som er nødvendig av hensyn til nasjonale sikkerhetsinteresser i det enkelte tilfelle.
Eksempelvis vil kravet om leverandørklarering i utgangspunktet bare komme til anvendelse hvor leverandøren skal tilvirke eller oppbevare informasjon gradert KONFIDENSIELT eller høyere. I de tilfellene hvor leverandørens personell kun får tilgang til gradert informasjon, skjermingsverdig objekt eller infrastruktur hos virksomheten som foretar anskaffelsen, vil det i utgangspunktet kun være et krav om at personellsikkerhetsreglene i kapittel 8 følges. I tillegg kommer eventuelle krav som følger av det forebyggende sikkerhetsarbeidet i den anskaffende virksomheten, herunder reglene om informasjonssikkerhet og informasjonssystemsikkerhet i kapittel 5 og 6. Departementet understreker imidlertid at leverandørklarering likevel kan være aktuelt dersom det anses som nødvendig av andre grunner. Utvalget har ikke utredet dette nærmere, men skriver i særmerknaden til § 9-3 at det i første rekke vil være
«de tilfeller der leverandøren kun vil få tilgang til klassifiserte områder innen skjermingsverdig objekt eller infrastruktur, hvor ansvarlig departement har truffet vedtak om krav til adgangsklarering, jf. § 7-3. Hvorvidt det kreves leverandørklarering for anskaffelser til skjermingsverdig objekt eller infrastruktur, må avgjøres konkret. I vurderingen bør det særlig tas hensyn til hvorvidt leverandørens personell får tilgang til deler av objektet eller infrastrukturen som har et høyt skadepotensial.»
Forslaget innebærer at det kan fastsettes i forskrift for hvilke andre tilfeller det vil være et krav om leverandørklarering.
Når det gjelder innspillet fra NVE om at det også vil være en sikkerhetsgradert anskaffelse når anskaffelsen medfører at leverandøren får tilgang til skjermingsverdig objekt etter § 7-1, viser departementet til at dette i utgangspunktet er en videreføring av gjeldende rett. Departementet viser også til det som framgår over, at kravene i regelverket vil variere, alt etter hva leverandøren og personellet som skal utføre oppdraget får tilgang til. I tråd med Oslo politidistrikts innspill har departementet tatt inn en presisering i § 9-1 for å tydeliggjøre at det også vil være en sikkerhetsgradert anskaffelse i de tilfeller leverandøren selv tilvirker sikkerhetsgradert informasjon.
13.4.3 Sikkerhetsavtale
Når det gjelder utvalgets forslag til § 9-2, understreker departementet at sikkerhetsavtalen skal tydeliggjøre og konkretisere de krav loven og tilhørende forskrifter oppstiller for virksomheten og leverandøren i forbindelse med anskaffelsen. Departementet foreslår at dette tydeliggjøres i § 9-2 andre ledd. Departement foreslår videre at det av lovteksten fremgår at sikkerhetsavtalen skal inneholde hvilken sikkerhetsgrad anskaffelsen skal ha, og hvordan leverandøren skal forholde seg til de krav som gjelder for anskaffelsen. Hvilken sikkerhetsgrad anskaffelsen skal ha vil avhenge av graderingsnivået på den informasjon, objekt eller infrastruktur leverandøren vil kunne få adgang til i forbindelse med anskaffelsen. Etter departementets oppfatning er sikkerhetsavtalen viktig for at leverandøren skal bli bevisst på hvilke av sikkerhetslovens krav som gjelder for den aktuelle anskaffelsen, og hvilke sikkerhetstiltak som må være på plass for å oppfylle disse kravene.
Departementet bemerker at kravet til omfanget av sikkerhetsavtalen vil måtte tilpasses graderingsnivået på anskaffelsen, og omfanget av de sikkerhetstiltak som må være på plass når anskaffelsen gjennomføres. I de tilfellene der hvor personell fra en leverandør skal gis tilgang til en del av et skjermingsverdig objekt med krav om adgangskontroll, jf. § 7-3, og kravet skal oppfylles ved at personellet følges rundt av sikkerhetspersonell, vil kravet til sikkerhetsavtale eksempelvis kunne være oppfylt ved at det tas inn en bestemmelse i kontrakten med leverandøren om dette, se eksempelet i særmerknaden. Hvor anskaffelsen innebærer at leverandøren skal oppbevare høyt gradert informasjon vil det imidlertid være mer omfattende krav til innholdet i avtalen.
Etter departementets syn vil ikke en sikkerhetsavtale i seg selv medføre økt ulempe for leverandørene. Eventuelle ulemper for leverandørene følger av å bli underlagt sikkerhetslovens bestemmelser, jf. § 1-2 andre ledd, herunder de krav til behandling av informasjon og adgangskontroll som gjelder for den informasjon, objekt eller infrastruktur leverandøren får tilgang til gjennom anskaffelsen. Eksempelvis kan det oppstå ulemper for leverandøren ved at det stilles krav til håndtering av sikkerhetsgradert informasjon, eller ved at leverandørens personell må oppfylle krav til adgangs- eller sikkerhetsklarering hvor leverandøren gis tilgang til skjermingsverdig objekt, jf. § 7-1.
Lovforslaget legger opp til at de nærmere kravene til innhold i sikkerhetsavtalen fastsettes i forskrift. Hvilke krav som stilles vil avhenge av anskaffelsens graderingsnivå. Utvalgets forslag til § 9-2 andre ledd, bokstav b og c, og kravene i gjeldende forskrift om sikkerhetsgraderte anskaffelser § 2-5, vil bli vurdert videreført i forskrift. Forskrift om sikkerhetsgraderte anskaffelser trådte i kraft før bestemmelsene om objektsikkerhet. Det vil derfor være naturlig at det i det videre forskriftsarbeidet også utredes hvilke nærmere krav til sikkerhetsavtalen som skal gjelde når leverandøren skal ha tilgang til skjermingsverdig objekt eller infrastruktur. Departementet ser videre at det i enkelte særlige tilfeller vil kunne være behov for å gjøre unntak fra kravet om sikkerhetsavtale, eksempelvis hvor det fremstår som åpenbart unødvendig at en slik avtale inngås. For hvilke tilfeller unntak vil være aktuelt må imidlertid utredes nærmere i det videre forskriftsarbeidet. Det åpnes derfor for at det i forskrift kan fastsettes unntak fra kravet om sikkerhetsavtale.
Flere av høringsinstansene mener det er uklart hva som ligger i «anskaffelsesmyndigheten». Departementet foreslår derfor en omformulering, slik at det klart framgår at sikkerhetsavtalen skal inngås mellom virksomheten som gjennomfører anskaffelsen og leverandøren. Det er også tatt inn en presisering i overskriften for å tydeliggjøre hvem som er partene til sikkerhetsavtalen.
Der hvor utenlandske leverandører, eller personell fra utenlandske leverandører, må klareres eller gis tilgang til sikkerhetsgradert informasjon, oppstiller § 9-2 krav om at sikkerhetsmyndigheten skal godkjenne leverandøren. I disse tilfellene må det, som i dag, foreligge en bi- eller multilateral avtale om utveksling og plikt til gjensidig beskyttelse av sikkerhetsgradert informasjon mellom norske myndigheter og hjemstaten til leverandøren. I dag kontakter NSM sikkerhetsmyndighetene i hjemstaten til leverandøren, som vil bekrefte eller avkrefte hvorvidt leverandøren eller personell fra leverandøren oppfyller de av sikkerhetslovens krav som gjelder i forbindelse med anskaffelsen, eksempelvis om leverandøren har gyldig leverandørklarering eller om leverandørens personell har nødvendige klareringer. Sikkerhetsmyndigheten i hjemstaten vil også kunne føre sikkerhetsmessig tilsyn med leverandørens utførelse av anskaffelsen i disse tilfellene.
Dersom leverandøren eller personellet ikke har nødvendige klareringer, kan sikkerhetsmyndigheten anmode sikkerhetsmyndigheten i hjemstaten om å foreta nødvendige klareringer. Eventuelt må sikkerhetsmyndigheten og/eller klareringsmyndigheten kunne utveksle nødvendig informasjon med sikkerhetsmyndigheten i hjemstaten for selv å kunne klarere leverandøren eller personellet. Den nærmere prosessen for godkjenning av utenlandsk leverandør må reguleres i forskrift.
13.4.4 Leverandørklarering
Når det gjelder forslaget til § 9-3 om leverandørklarering vil departementet først understreke at dette kun er absolutt hvor leverandøren skal oppbevare sikkerhetsgradert informasjon, gradert KONFIDENSIELT eller høyere. Hvor leverandørens personell bare skal utføre arbeid hos virksomheten som er underlagt sikkerhetsloven, vil det normalt være tilstrekkelig at reglene om personellklarering følges, jf. lovforslagets kapittel 8. Departementet bemerker at i de tilfeller hvor leverandørklarering ikke kan gis, vil hensynet til nasjonal sikkerhet veie tyngre enn hensynet til et eventuelt økonomisk tap hos virksomheten eller leverandøren som er underlagt loven.
NSM og BDO har spilt inn at det bør være samme klareringsmyndighet for personell, som for leverandørklarering. Det vises særlig til mulighetene for positive synergieffekter, samtidig som NSM rendyrkes som klageinstans. For å gjøre regelverket mer fleksibelt for framtidige organisatoriske endringer, foreslår departementet at Kongen gis myndighet til å utpeke hvem som er klareringsmyndighet for leverandørklareringer.
Når det gjelder leverandørklareringens varighet slutter departementet seg til utvalgets vurdering, og viser samtidig til vurderingene i Prop. 97 L (2015–2016) kapittel 10.5. Slik departementet ser det vil tidsbaserte leverandørklareringer også ivareta innspillet fra Utenriksdepartementet som ønsker en mulighet til å kunne forhåndsklarere leverandører. Tidsbasert leverandørklarering videreføres derfor med hjemmel i § 9-3. Departementet bemerker at selv om en leverandør har leverandørklarering, må det inngås en sikkerhetsavtale for hver enkelt anskaffelse, ettersom kravene etter loven og forskriftene vil kunne variere for den enkelte anskaffelse.
13.4.5 Varslingsplikt ved anskaffelser til skjermingsverdige objekter, informasjonssystemer og infrastruktur
Når det gjelder høringsinstansenes innvendinger mot varslingsplikten i § 9-4, viser departementet til de vurderinger som ble gjort i Prop. 97 L (2015–2016), kapittel 11.4. Etter departementets syn ivaretar de vurderinger som ble gjort i proposisjonen også de innvendinger som har kommet i forbindelse med denne høringen. Når det gjelder innspillet fra Telenor, Samferdselsdepartementet og Statnett om usikkerheten knyttet til virksomhetenes evne til å foreta risikovurderinger, viser departementet særlig til kapittel 11.4.2, hvor det blant annet framgår:
«Alle eierne av kritisk infrastruktur må kunne forventes å ha inngående kunnskap om egen infrastruktur. Dette innebærer både kunnskap om verdien av infrastrukturen, altså dens betydning for samfunnet, og om potensielle sårbarheter ved infrastrukturen. Det kan derimot ikke forventes at alle eiere av kritisk infrastruktur skal ha kunnskap om mulige trusler og aktører som kan utgjøre en trussel. Dette er informasjon som primært besittes av myndighetene, og som i varierende grad deles med andre. Mange virksomheter vil i sine risikovurderinger derfor måtte fokusere på sårbarheter ved infrastrukturen og ikke på trusler. Virksomhetene vil både måtte undersøke om anskaffelsen teknisk eller fysisk sett åpner en mulighet for at noen kan utføre eller legge til rette for sikkerhetstruende virksomhet og vurdere mulige konsekvenser av slik virksomhet.»
For nærmere om den risikovurdering som skal foretas viser departementet til Prop. 97 L (2015–2016) kapittel 11.4.2.
Når det gjelder utvalgets forslag til avgrensning av bestemmelsens virkeområde antar departementet at dette vil være av mindre praktisk betydning, da lovens virkeområde utvides til også å omfatte eiere av skjermingsverdig infrastruktur. Departementet har imidlertid også kommet til at bestemmelsen bør omfatte virksomheter som råder over skjermingsverdige informasjonssystemer, for å tilpasse bestemmelsen til at skjermingsverdige informasjonssystemer nå er omfattet av loven, jf. forslaget § 6-1.
Det er videre tatt inn en justering i § 9-4 første ledd for å tilpasse bestemmelsen til endringen i begrepsbruken til «sikkerhetstruende virksomhet», jf. kapittel 6.4.2 og særmerknaden til § 1-1 bokstav b.
13.4.6 Forholdet til annet regelverk
Statnett og Energi Norge har spilt inn at behovet for sikkerhet i anskaffelsesprosessen i tilstrekkelig grad ivaretas i eksisterende sektorregelverk, og at det eventuelle behovet for tilpasninger best ivaretas gjennom en revisjon av dette regelverket.
Til dette viser departementet til at både utvalget og flertallet av høringsinstansene er enige om behovet for å utvikle en dynamisk sektorovergripende rammelov, for best mulig å kunne møte dagens risikobilde. Departementet deler denne oppfatningen, og ser det derfor som hensiktsmessig at reguleringen av sikkerhetsgraderte anskaffelser videreføres i en sektorovergripende lov. Loven vil angi de krav som virksomhetene må oppfylle av hensyn til nasjonal sikkerhet, mens sektorregelverket kan ha utfyllende bestemmelser tilpasset egen sektor.
Flere av høringsinstansene har videre stilt spørsmål om forholdet mellom regelverket for sikkerhetsgraderte anskaffelser og regelverket for offentlige anskaffelser. Departementet viser til at regelverket for offentlige anskaffelser gjelder offentlige myndigheter og enkelte private virksomheter, jf. anskaffelsesloven § 2 andre ledd, mens regelverket for sikkerhetsgraderte anskaffelser også vil gjelde for andre private virksomheter som underlegges loven, jf. forslaget til § 1-3. Virksomheter som er underlagt begge regelverkene , bør allerede ved utformingen av konkurransegrunnlaget ta stilling til om en leverandør vil kunne få tilgang til sikkerhetsgradert informasjon, skjermingsverdig objekt eller infrastruktur, og hvilke av sikkerhetslovens krav leverandøren må oppfylle ved anskaffelsen. Der hvor varslingsplikten i § 9-4 kan bli aktuell viser departementet til de forslag til utforming av konkurransegrunnlag og praktiske føringer som framgår av Prop. 97 L (2015–2016), kapittel 11.4.8.
Etter departementets syn vil det ikke oppstå konflikt med våre EØS-forpliktelser, da eventuelle begrensninger for konkurransen ikke vil gå lenger enn strengt nødvendig av hensyn til Norges nasjonale sikkerhet. Ved mange høyt graderte anskaffelser vil antakelig EØS – avtalens artikkel 123 komme til anvendelse, og da slik at anskaffelsen er unntatt kravene i anskaffelsesregelverket i sin helhet.
Når det gjelder innspillet fra NITO, om behovet for at virksomheter som er underlagt loven også kan opprettholde sin funksjon i krise og krig, uten bruk av utenlandske leverandører, vil departementet vise til at det er klart uheldig dersom en virksomhet som er av avgjørende betydning for grunnleggende nasjonale funksjoner, ikke kan utføre sine oppgaver i en krise- og krigssituasjon. Departementet antar imidlertid at dette til en viss grad avhjelpes gjennom bestemmelsene om eierskapskontroll i kapittel 10. Disse bestemmelsene gir mulighet til å føre kontroll med aktørene som gjennom eierskap i virksomheten utøver innflytelse på beslutningen om å «outsource» tjenester. Utvalgets forslag til bestemmelse om eierskapskontroll gir imidlertid ikke mulighet til å føre direkte kontroll med forvaltning av virksomhetene, herunder om virksomhetene «outsourcer» tjenestene. En slik bestemmelse har ikke vært nærmere vurdert av utvalget, og departementet har derfor ikke tilstrekkelig grunnlag for å foreslå en slik bestemmelse.
Departementet vil imidlertid bemerke at bestemmelsene om varslingsplikt ved anskaffelser til skjermingsverdig informasjonssystem, objekt og infrastruktur pålegger virksomheten en plikt til å vurdere hvorvidt anskaffelsen kan innebære en risiko for sikkerhetstruende virksomhet. Denne plikten vil naturlig nok også gjelde dersom virksomheten ønsker å «outsource» tjenester til en utenlandsk leverandør. I ytterste konsekvens vil myndighetene kunne fatte vedtak om å nekte at virksomheten «outsourcer» tjenester dersom dette innebærer en uakseptabel risiko. Departementet viser til at forslagets § 6-2 vil kunne medføre begrensninger på bruk av utenlandske leverandører.