10 Sikkerhetsgraderte anskaffelser – varighet av leverandørklarering
10.1 Gjeldende rett
En sikkerhetsgradert anskaffelse er en anskaffelse som medfører at leverandøren får tilgang til eller må tilvirke skjermingsverdig informasjon, eller kan få tilgang til et skjermingsverdig objekt, eller som innebærer at anskaffelsen må sikkerhetsgraderes av andre årsaker, jf. sikkerhetsloven § 3 nr. 17. I slike anskaffelser stiller sikkerhetsloven krav om at det, som en del av anskaffelsen, skal implementeres særskilte sikkerhetstiltak.
Ved sikkerhetsgraderte anskaffelser, på alle graderingsnivåer, skal det inngås sikkerhetsavtale mellom anskaffelsesmyndigheten og leverandøren. Før en leverandør kan få tilgang til skjermingsverdig informasjon som er sikkerhetsgradert KONFIDENSIELT eller høyere, eller dersom det av andre grunner anses nødvendig, skal leverandøren i tillegg ha gyldig leverandørklarering for angitt sikkerhetsgrad, jf. sikkerhetsloven § 28 første ledd.
En leverandørklarering innebærer at det foretas en vurdering av leverandørens sikkerhetsmessige skikkethet og evne til forsvarlig håndtering av skjermingsverdig informasjon. En leverandørklarering gjelder for det enkelte oppdrag. Dette betyr at det må søkes om klarering for hvert enkelt oppdrag, og klareringen faller automatisk bort når oppdraget er fullført. Det er i forarbeidene (Ot.prp. nr. 49 (1996–97) s. 61 flg.) ikke begrunnet nærmere hvorfor denne begrensningen er valgt, men det framgår at bestemmelsen er en videreføring fra tidligere direktiver. Virksomheten som gjennomfører en sikkerhetsgradert anskaffelse, må søke om leverandørklaring for den enkelte sikkerhetsgraderte anskaffelsen. Nasjonal sikkerhetsmyndighet (NSM) er klaringsmyndighet, jf. § 28 første ledd siste punktum. En leverandør som innehar en leverandørklarering, skal uten ugrunnet opphold orientere NSM om endringer i styre eller ledelse, forandringer i eierstrukturen, flytting av lokaliteter og utstyr, åpning av gjeldsforhandlinger eller begjæring om konkurs, og om andre forhold som kan ha betydning for leverandørens sikkerhetsmessige skikkethet. Hvis forholdene anses å representere en sikkerhetsrisiko som ikke kan elimineres gjennom forebyggende sikkerhetstiltak, kan NSM inndra leverandørklareringen, jf. § 28 fjerde ledd, jf. forskrift om forsvars- og sikkerhetsanskaffelser § 3-3. Saksbehandlingsreglene i sikkerhetsloven kapittel 6 om personellsikkerhet, herunder bestemmelsen om begrunnelse og klage, gjelder så langt det passer for leverandørklaringer, jf. § 28 femte ledd.
10.2 Utenlandsk rett og NATO
I Sverige er det statlige myndigheter, kommuner og landsting som kan foreta anskaffelser som innebærer tilgang til informasjon om rikets sikkerhet. Disse skal i så fall inngå en sikkerhetsavtale med leverandøren på det aktuelle sikkerhetsnivået. Kravet om inngåelse av sikkerhetsavtale gjelder ikke for alle leverandører, og gjelder for eksempel ikke for rettssubjekter som offentlige organer utøver rettslig myndighet over. Dette gjelder selv om virksomhetene utøver virksomhet som har betydning for rikets sikkerhet eller har til oppgave å beskytte mot terrorisme.
Dansk industrisikkerhet bygger på bestemmelsene i Statsministerens sikkerhedscirkulære, NATOs industrisikkerhetsbestemmelser og de standarder som er etablert i MISWIG-samarbeidet (Multinational Industrial Security Working Group), en arbeidsgruppe som også Norge er medlem av. Sikkerhedscirkulæret gir ikke konkrete bestemmelser om sikkerhetsgraderte anskaffelser. Med hjemmel i sirkulæret er det for Forsvaret fastsatt egne «Bestemmelser for den militære sikkerhedstjeneste». Her gis det også bestemmelser om sikkerhetsgraderte anskaffelser foretatt av Forsvaret, samt internasjonale sikkerhetsgraderte anskaffelser. Forsvarets Efterretningstjeneste forestår sikkerhetsmessig godkjenning og oppfølging av leverandører i forbindelse med sikkerhetsgraderte anskaffelser. Forsvarets Efterretningstjeneste fastsetter leverandørklareringens varighet i forbindelse med godkjennelsen av den enkelte søknad.
I Storbritannia må alle leverandører til statlige myndigheter som kan få tilgang til informasjon eller verdier sikkerhetsgradert SECRET eller høyere, ha en leverandørklarering. Leverandørklarerte virksomheter føres inn i den såkalte «List X», og omtales som «List X Contractors». Ordningen er tidsbasert: så lenge en leverandør står på «List X» kan den benyttes til sikkerhetsgraderte kontrakter. «List X Contractors»-regimet forvaltes av det britiske forsvarsdepartementet, og det er utarbeidet særskilte sikkerhetskrav som leverandørene må tilfredsstille i «Security Requirement for List X Contractors».
Sikkerhetsgraderte anskaffelser til NATO reguleres i «NATO Security Policy». Regelverket oppstiller de sikkerhetskrav som kommer til anvendelse ved NATO- sikkerhetsgraderte kontrakter, jf. dokument «C-M(2002)49 Enclosure G» og «AC/35-D/2003»». Regelverket er inkorporert i norsk regelverk. For alle kontrakter gradert NATO CONFIDENTIAL eller høyere, skal det foreligge en «Facility Security Clearance» (FSC) før leverandøren gis tilgang til sikkerhetsgradert informasjon. Dette gjelder også hvis gradert informasjon må frigis i anbuds- eller forhandlingsfasen. Leverandørklarering gis av myndighetene i det landet leverandøren er hjemmehørende. Varigheten av en leverandørklarering vil følge av de enkelte nasjoners regelverk på området. De krav som stilles til leverandører kommer tilsvarende til anvendelse for underleverandører. Regelverket har særskilte reguleringer for tildeling av NATO-graderte kontrakter til industri fra land som ikke er medlem av alliansen.
For offentlige oppdragsgivere må regelverket om sikkerhetsgraderte anskaffelser sees i sammenheng med regelverket for offentlige anskaffelser. En sikkerhetsgradert anskaffelse er i utgangspunktet omfattet av lov 16. juli 1999 nr. 69 om offentlige anskaffelser og forskrift 4. oktober 2013 nr. 1185 om forsvars- og sikkerhetsanskaffelser. Nevnte lov og forskrift gjelder imidlertid ikke der en anskaffelse kan unntas med hjemmel i EØS-avtalen artikkel 123. Dette er også reflektert i forskrift om sikkerhetsgraderte anskaffelser § 2-3. Endringene som foreslås er etter departementets vurdering ikke i strid med EØS-avtalen.
10.3 Høringsforslaget
I høringsnotatet foreslo departementet endring av sikkerhetsloven § 28 første ledd andre punktum, slik at leverandørklarering gis etter anmodning fra en anskaffelsesmyndighet, men med en tidsavgrenset varighet. Systemet med klarering for hvert enkelt oppdrag er i dag for tungvint og genererer et unødvendig høyt antall søknader om leverandørklarering. Tilnærmingen synes også å være i utakt med praksis i en del andre land så vel som med internasjonalt regelverk. Forslaget forutsetter endring i forskrift om sikkerhetsgraderte anskaffelser. Formålet med forslaget var å effektivisere arbeidet med sikkerhetsgraderte anskaffelser. I høringsnotatet side 26 skriver departementet:
«Med et slikt forslag vil det ikke være nødvendig for industrien å søke klarering for det enkelte oppdrag. Der leverandøren fortsatt innehar en leverandørklarering, vil en bekreftelse fra Nasjonal sikkerhetsmyndighet om at gyldig leverandørklarering foreligger, være tilstrekkelig. Industrien har også uttalt seg positivt til en slik endring fra oppdragsbasert til tidsbasert leverandørklarering. Det blir blant annet pekt på at dagens ordning er en byråkratiserende prosedyre og at den gjør det vanskeligere for utenlandske kunder, som ikke er innforstått med det norske systemet.
Departementet foreslår at det fastsettes i forskrift hvor lenge en leverandørklaring skal gjelde. Sett hen til hva som gjelder for personellklareringer, mener departementet at en leverandørklaring for eksempel kan gis for en periode på fem år. Det må i så fall innføres et regime for tildeling og oppfølging. Dette må reguleres nærmere i forskrift. Bestemmelsene må sikre tildeling av leverandørklaringer på like vilkår og en forsvarlig oppfølging av leverandører i klareringsperioden.»
Departementet har i høringsnotatet vurdert hvorvidt det skal settes begrensninger for hvem som kan søke om en leverandørklarering eller ikke, og har særlig vurdert to alternativer:
«Ett alternativ er at bedrifter kan bli leverandørklarert etter søknad, uten at det er krav om å dokumentere noe reelt behov. På den måten kan alle potensielle leverandører stille likt i framtidige konkurranser om oppdrag. Ulempen ved en slik ordning er at det kan bli oppfattet og framstilt som en offentlig sikkerhetsmessig godkjenning, og et kvalitetsstempel, som virksomheter kan ønske å ha for å styrke sin generelle markedsmessige posisjon. Dette kan føre til at det blir behandlet og gitt flere leverandørklaringer enn det reelt sett er behov for. Departementet antar at en slik utvikling i en viss utstrekning vil kunne motvirkes ved for eksempel å ha et søknadsgebyr av en viss størrelsesorden. En annen side ved en slik ordning er at personell i leverandørens styre og ledelse skal sikkerhetsklareres som ledd i en leverandørklarering. Sikkerhetsklarering er regnet som et inngripende virkemiddel som ikke bør benyttes uten i de tilfeller hvor det foreligger et reelt behov. Leverandørklarering etter søknad vil derfor kunne utfordre prinsippet om en restriktiv personellklareringspraksis.
Det andre alternativet er at leverandørklaring gis etter dokumentert behov, med en tilhørende anmodning om leverandørklarering fra en anskaffelsesmyndighet. Dette vil være i samsvar med den ordning som i dag er etablert for sikkerhetsklarering av personer. Departementet mener denne løsningen vil sikre at saker ikke blir behandlet med mindre det foreligger et reelt behov.»
10.4 Høringsinstansenes syn
Omtrent alle høringsinstansene støtter departementets forslag om å gå fra oppdragsbasert til tidsbasert leverandørklarering. I høringsnotatet har departementet antydet fem år som naturlig varighet av leverandørklareringer. Flertallet av høringsinstansene stiller seg positive til det og legger vekt på at det vil effektivisere arbeidet med sikkerhetsgraderte anskaffelser. Utlendingsdirektoratet mener tidsbasert leverandørklarering forutsetter at godkjenningen ikke gis for et så langt tidsrom at det skapes usikkerhet om klareringen kvalitetsmessig er holdt vedlike mot slutten av klareringsperioden. Mnemonic mener en slik klarering må gis under forutsetning av at leverandøren forplikter seg til å varsle klareringsmyndighet om eventuelle større endringer i løpet av 5 års-perioden: «Alternativt må klareringsperioden reduseres med de konsekvensene det har for tidsbruk». Mnemonic anbefaler også å vurdere om det finnes eksisterende sertifiseringsordninger det kan være hensiktsmessig å knytte en slik leverandørklarering opp mot, hvor man eventuelt kan stille ytterligere krav. Fylkesmannen i Vest-Agder uttaler:
«Imidlertid er det en kjensgjerning at mye kan skje på eiersiden i leverandørbedriftene i løpet av forholdsvis kort tid. En ting er at de driftsforholdene som kunden kommer i kontakt med kan være forholdsvis stabile. En annen ting er eierforholdene rundt leverandøren. Disse kan forandre raskt og for den del flyttes til land som Norge har spesielt fokus på sikkerhetsmessig. Denne utviklingen må kunne fanges opp og evt. medføre en revurdering av leverandørklareringen også før den løper ut.»
Nasjonal sikkerhetsmyndighet (NSM) mener bestemmelsen, brukt riktig og aktivt, kan gi økt sikkerhet, og mener at hjemmelsgrunnlaget for informasjonsinnhenting bør tydeliggjøres i bestemmelsen og/eller i forarbeidene:
«Det må sikres at de offentlige organer som skal gi rådgivende uttalelse etter anmodning fra et departement, har de tilstrekkelige hjemler til å innhente all informasjon av betydning for anskaffelsen, herunder informasjon om leverandøren, fra alle relevante kilder og registre i inn- og utland.»
Forsvarets logistikkorganisasjon/Investering(FLO/I) mener loven bør åpne for at NSM kan delegere klareringsmyndighet – leverandørklarering til en sektor.
«Hovedtyngden av de leverandører som i dag omfattes av sikkerhetsloven er leverandører til forsvarssektoren. FLO erfarer at disse i betydelig grad finner det vanskelig å forstå og etterleve loven og at de ønsker én aktør å forholde seg til både hva gjelder, rådgivning, godkjenninger og tilsyn.
Når leverandørklarereringer for en periode av 5 år gis til en leverandør må det samtidig utpekes én som skal være sikkerhetsmessig ansvarlig (sektor/forvaltningsorgan) for leverandøren i perioden.
En slik mulighet vil redusere NSMs kontrollspenn og gjøre det enklere for leverandører å forholde seg til loven. Samtidig vil det åpne for muligheten til at en innen en sektor gir én aktør hovedansvaret for å koordinere innen sektoren. Den nye materielletaten bør kunne være en slik aktør innen forsvarssektoren f.eks. på området sikkerhetsgraderte anskaffelser.»
For å unngå store effektiviserings- og kostnadstap i anskaffelsesprosessene, er det etter Forsvarsbyggs syn avgjørende at det avsettes nødvendige ressurser hos klarerende myndigheter til å gjennomføre leverandørklareringer. Forsvars- og sikkerhetsindustrien (FSi) understreker at det er viktig å få behandlet søknad om klarering også i tilfeller hvor det ikke foreligger noen opplagt anskaffelse eller anskaffelsesmyndighet, men saklige behov for klarering, eksempelvis deltakelse på militære øvelser, forsvarsstudier, NATO-studier og møter hos utenlandske forsvarsbedrifter.
Norges Bank anbefaler at NSM etablerer en forenklet norsk leverandørklarering på basis av leverandørklarering i definerte samarbeidsland (f.eks. basert på britiske «List X»). Norges Bank mener at en tydeligere definert og gjennomført ordning for leverandørklareringer, samt ordninger med noen grad av overførbare leverandørklareringer fra andre land, vil være med på å motvirke fare for at utenlandske leverandører ser det som regulatorisk og politisk risikabelt å gå inn i prosjekter i Norge. Videre påpeker Norges Bank at leverandørklarering også er aktuelt for konsulenter som yter tjenester i forbindelse med sikring av skjermingsverdige objekter eller drifter systemer knyttet til skjermingsverdige objekter.
Norsk Romsenter savner en vurdering knyttet til sikkerhetsgraderte anskaffelser for EU og European Space Agency (ESA) tilsvarende det som er gjort for NATO, men mener det er fornuftig å endre systemet slik det er foreslått.
10.5 Departementets vurderinger
Departementets forslag innebærer en endring fra oppdragsbasert til tidsbasert leverandørklarering. I sikkerhetsloven § 28 første ledd andre punktum står det at leverandørklareringen gjelder for det enkelte oppdrag. Departementet har i høringsnotatet foreslått å endre denne bestemmelsen til en forskriftshjemmel, som gir Kongen myndighet til å bestemme den generelle gyldighetstid for leverandørklareringer. I høringsnotatet antyder departementet en varighet på fem år, tilsvarende den varighet som gjelder for personellklareringer. Departementet foreslår imidlertid ikke å lovfeste hvor lenge en leverandørklarering skal gjelde.
Forslaget om tidsbasert leverandørklarering forutsetter en endring av forskrift om sikkerhetsgraderte anskaffelser. De nærmere regler om tildeling og oppfølging av en tidsbestemt leverandørklarering vil framgå av forskrift. Forslag til endringer i forskriften vil bli sendt på alminnelig høring. Lovforslaget vil ikke tre i kraft før nødvendige endringer i forskrift har vært på høring. Det vil også være naturlig at endringer i lov og forskrift trer i kraft fra samme dato. Samtidig er det en nødvendig forutsetning for lovforslaget at det avsettes nødvendige ressurser til gjennomføringen av tidsbasert leverandørklarering, se punkt 12.3.
Flere av høringsinstansene foreslår endringer i sikkerhetsloven som krever nærmere utredning og eventuelt høring. Dette gjelder blant annet adgangen til å delegere klareringsmyndighet etter sikkerhetsloven § 28 første ledd tredje punktum, foreta leverandørklarering av konsulenter som yter tjenester i forbindelse med sikring av skjermingsverdige objekter og personer som deltar på militære øvelser, forsvarsstudier, møter hos utenlandske forsvarsbedrifter mv. Departementet vil ikke gå nærmere inn på disse spørsmålene i denne omgang. Departementet anser det videre heller ikke som naturlig å drøfte spørsmålet om NSM bør etablere en forenklet norsk leverandørklarering på basis av leverandørklarering i definerte samarbeidsland, da dette ikke er et spørsmål som krever lovregulering.