Kapittel 13. Sikkerhetsgraderte anskaffelser

§ 79. Vurdering av graderingsnivået for ulike deler av en sikkerhetsgradert anskaffelse

Oppdragsgiveren skal ta stilling til hva tilbydere, leverandører og underleverandører kan få tilgang til av sikkerhetsgradert informasjon, skjermingsverdige objekter eller skjermingsverdig infrastruktur i de ulike fasene av en sikkerhetsgradert anskaffelse.

§ 80. Krav til sikkerhetsavtalen når en leverandør skal ha tilgang til sikkerhetsgradert informasjon, et skjermingsverdig objekt eller skjermingsverdig infrastruktur

Dersom en leverandør skal ha tilgang til sikkerhetsgradert informasjon, et skjermingsverdig objekt eller skjermingsverdig infrastruktur i eller fra sine egne lokaler, skal det fremgå av sikkerhetsavtalen etter sikkerhetsloven § 9-2

a.
hvilken sikkerhets- eller klassifiseringsgrad informasjonen, objektet eller infrastrukturen har
b.
hvem som skal få tilgang til den sikkerhetsgraderte informasjonen eller det skjermingsverdige objektet eller infrastrukturen
c.
hvordan den sikkerhetsgraderte informasjonen skal formidles mellom avtalepartene
d.
hvilket informasjonssystem som skal brukes for å behandle den sikkerhetsgraderte informasjonen, eller for å få tilgang til det skjermingsverdige objektet eller infrastrukturen, og hvem som er ansvarlig for å godkjenne systemet
e.
hvilke lokaler den sikkerhetsgraderte informasjonen skal behandles i
f.
hvordan det skal varsles om sikkerhetstruende virksomhet og avvik fra sikkerhetskrav
g.
om den sikkerhetsgraderte informasjonen skal leveres tilbake eller destrueres når oppdraget er avsluttet.

En sikkerhetsavtale kan tas inn i det ordinære avtaledokumentet for anskaffelsen.

§ 81. Unntak fra krav om sikkerhetsavtale

Det kreves ikke sikkerhetsavtale etter sikkerhetsloven § 9-2 dersom leverandørens personell bare skal gis tilgang til sikkerhetsgradert informasjon, skjermingsverdige objekter eller skjermingsverdig infrastruktur under oppsyn av en representant for oppdragsgiveren.

§ 82. Tilbakelevering av sikkerhetsgradert informasjon

En tilbydere som ikke tildeles kontrakten, skal levere tilbake sikkerhetsgradert informasjon uten unødig opphold.

Leverandører skal levere tilbake sikkerhetsgradert informasjon når kontraktsforholdet opphører. En eventuell service- og garantitid inngår i kontraktsforholdet. Oppdragsgiveren skal melde fra til klareringsmyndigheten om at kontraktsforholdet har opphørt.

Dersom klareringsmyndigheten tilbakekaller en leverandørklarering etter sikkerhetsloven § 9-3 fjerde ledd, skal oppdragsgiveren inndra all sikkerhetsgradert informasjon fra leverandøren.

§ 83. Krav om leverandørklarering

En leverandør til en sikkerhetsgradert anskaffelse skal ha leverandørklarering når det er nødvendig for å oppnå et forsvarlig sikkerhetsnivå under anskaffelsen. Leverandøren skal uansett ha leverandørklarering dersom den skal

a.
ha tilgang til eller oppbevare informasjon gradert KONFIDENSIELT eller høyere i sine egne informasjonssystemer eller lokaler
b.
ha elektronisk tilgang fra sine egne informasjonssystemer eller lokaler til objekter eller infrastruktur klassifisert KRITISK eller MEGET KRITISK
c.
råde over objekter eller infrastruktur som tilhører oppdragsgiveren, og som er klassifisert KRITISK eller MEGET KRITISK.

§ 84. Leverandører med lokaler utenfor norsk jurisdiksjon og utenlandske leverandører

Dersom en leverandør som skal klareres etter § 83, driver virksomheten sin fra en annen stats jurisdiksjon, eller skal behandle eller oppbevare informasjon i lokaler utenfor norsk jurisdiksjon, må Norge ha en sikkerhetsavtale med staten som har jurisdiksjon der lokalene ligger eller virksomheten drives fra. Det samme gjelder dersom leverandøren skal ha tilgang til informasjonssystem som er sikkerhetsgradert eller klassifisert som skjermingsverdig infrastruktur, fra egne lokaler utenfor norsk jurisdiksjon, eller skal råde over objektet eller infrastrukturen i eller fra lokaler utenfor norsk jurisdiksjon.

Det skal følge av sikkerhetsavtalen hvem som skal kontrollere at leverandøren oppfyller kravene gitt i eller med hjemmel i sikkerhetsloven, eller tilsvarende krav i sikkerhetsregelverket til den andre staten, jf. klareringsforskriften § 37.

§ 85. Forespørsel om leverandørklarering

Oppdragsgivere skal be klareringsmyndigheten om en leverandørklarering. Forespørselen skal inneholde informasjon om det høyeste graderingsnivå i anskaffelsen, jf. § 79, og egenopplysninger fra leverandøren, jf. klareringsforskriften § 35.

§ 86. Oversikt over sikkerhetsgraderte anskaffelser

Oppdragsgivere skal føre en årlig oversikt over sikkerhetsgraderte anskaffelser til sin virksomhet. Oversikten skal inneholde informasjon om

a.
hva anskaffelsene gjelder
b.
leverandørenes navn, adresse, organisasjonsnummer eller tilsvarende nummer, og nasjonalitet
c.
hvilken sikkerhetsgrad informasjon som leverandørene skal få, eller har fått, tilgang til
d.
det høyeste klassifiseringsnivået til objekter eller infrastruktur som leverandørene skal få, eller har fått, tilgang til
e.
hvor lang tid anskaffelsene tok.

Oversikten skal årlig sendes til klareringsmyndigheten.

Forsvarsdepartementet kan gjøre unntak fra kravet i andre ledd dersom virksomheten har et særlig behov for å skjerme opplysningene av hensyn til sin operative virksomhet.

§ 87. Prosedyrer for besøk fra utlandet

Før et besøk fra en utenlandsk oppdragsgiver eller leverandør som er tilknyttet en sikkerhetsgradert anskaffelse, skal de besøkendes identitet og klarering kontrolleres. Kontrollen skal skje i samsvar med besøksprosedyrene i eller med hjemmel i avtalen mellom Norge og den andre staten.

Første ledd gjelder også dersom oppdragsgiver er en internasjonal organisasjon.

§ 88. Tilsynsmyndighet for leverandører til sikkerhetsgraderte anskaffelser

Nasjonal sikkerhetsmyndighet fører tilsyn med leverandører til sikkerhetsgraderte anskaffelser som har lokaler innenfor norsk jurisdiksjon, med mindre noe annet er avtalt med en sektormyndighet med tilsynsansvar.