En sikkerhetsgradert anskaffelse er en anskaffelse som innebærer at leverandøren av varen eller tjenesten kan få tilgang til eller tilvirker sikkerhetsgradert informasjon, jf. § 5-3, eller få tilgang til et skjermingsverdig objekt eller infrastruktur, jf. § 7-1.
§ 9-2. Sikkerhetsavtale med leverandør
§ 9-2. Sikkerhetsavtale med leverandør
Før en sikkerhetsgradert anskaffelse iverksettes, skal virksomheten inngå en sikkerhetsavtale med leverandøren. Dersom en utenlandsk leverandør eller dennes personell må klareres eller gis tilgang til sikkerhetsgradert informasjon, skal sikkerhetsmyndigheten godkjenne leverandøren før det inngås en sikkerhetsavtale.Sikkerhetsavtalen skal tydeliggjøre og konkretisere partenes plikter og ansvar etter loven. Sikkerhetsavtalen skal alltid inneholde hvilken sikkerhetsgrad anskaffelsen skal ha, jf. §§ 5-3 og 7-2, spesifisert for hver del av oppdraget, og hvordan leverandøren skal forholde seg til de av lovens krav som gjelder for anskaffelsen.Leverandøren må selv dekke utgifter til å oppfylle krav som følger av lovens bestemmelser, hvis ikke noe annet følger av sikkerhetsavtalen.Kongen kan gi forskrift om innholdet i en sikkerhetsavtale og om unntak fra kravet om sikkerhetsavtale.
§ 9-3. Leverandørklarering
§ 9-3. Leverandørklarering
Før en leverandør kan få tilgang til informasjon gradert KONFIDENSIELT eller høyere, skal leverandøren ha gyldig klarering for angitt sikkerhetsgrad. Leverandøren skal også klareres dersom det er nødvendig av andre grunner.En leverandørklarering skal bare gis dersom det ikke er noen rimelig grunn til å tvile på at leverandøren er sikkerhetsmessig skikket. I vurderingen skal det bare legges vekt på forhold som kan innvirke på leverandørens evne og vilje til å gjøre forebyggende sikkerhetsarbeid etter loven. En personkontroll av personer i leverandørens styre og ledelse skal være en del av vurderingsgrunnlaget.Leverandøren skal gi klareringsmyndigheten alle opplysninger som kan ha betydning for leverandørklareringen.Leverandøren skal så snart som mulig orientere klareringsmyndigheten om endringer i styret eller ledelsen, endringer i eierstrukturen, flytting av lokaliteter og utstyr, åpning av gjeldsforhandling, begjæring om konkurs og annet som kan påvirke vurderingen av om leverandøren er sikkerhetsmessig skikket. Dersom det oppstår en sikkerhetsrisiko som ikke kan fjernes med forebyggende sikkerhetstiltak, kan klareringsmyndigheten inndra leverandørklareringen. Sikkerhetsgradert informasjon eller skjermingsverdige objekter eller infrastruktur kan ikke overføres til en ny eier eller inngå i bobehandling ved gjeldsforhandling eller konkurs hvis ikke klareringsmyndigheten har samtykket til det.For øvrig gjelder reglene i kapittel 8 så langt de passer.Kongen utpeker en klareringsmyndighet for leverandørklarering. Kongen kan gi forskrift om krav til leverandørklarering og varigheten av klareringen.
§ 9-4. Varslingsplikt og myndighet til å fatte vedtak ved anskaffelser til skjermingsverdig informasjonssystem, objekt og infrastruktur
§ 9-4. Varslingsplikt og myndighet til å fatte vedtak ved anskaffelser til skjermingsverdig informasjonssystem, objekt og infrastruktur
Ved anskaffelser til skjermingsverdig informasjonssystem, objekt eller infrastruktur skal virksomheten vurdere om anskaffelsen kan innebære en ikke ubetydelig risiko for at informasjonssystemet, objektet eller infrastrukturen kan bli rammet av eller brukt til sikkerhetstruende virksomhet. Plikten til å foreta en slik vurdering gjelder ikke dersom anskaffelsen åpenbart ikke innebærer noen slik risiko.Virksomheten skal varsle departementet dersom vurderingen viser at anskaffelsen innebærer en risiko som nevnt i første ledd. Virksomheter som ikke er underlagt noe departement, skal varsle sikkerhetsmyndigheten. Varslingsplikten gjelder uten hinder av taushetsplikt. Plikten gjelder ikke dersom virksomheten selv iverksetter tiltak som fjerner risikoen eller gjør den ubetydelig.Departementet som mottar et varsel etter andre ledd, kan be relevante organer uttale seg om risikoen ved anskaffelsen og om leverandørens sikkerhetsmessige pålitelighet.Dersom en anskaffelse til et skjermingsverdig informasjonssystem, objekt eller infrastruktur kan innebære en ikke ubetydelig risiko som nevnt i første ledd, kan Kongen i statsråd fatte vedtak om at anskaffelsen ikke skal gjennomføres, eller om at det skal settes vilkår for den. Dette gjelder også dersom det er inngått avtale om anskaffelsen. Dersom det ikke fattes vedtak etter første punktum, skal departementet orientere virksomheten om det. Et vedtak etter første punktum er et særlig tvangsgrunnlag etter tvangsfullbyrdelsesloven kapittel 13.Kongen i statsråd kan gi forskrift om varslingsplikten og om myndigheten til å fatte vedtak.
