Dersom en anskaffelse kan gi leverandøren eller dennes personell en mulighet til å påvirke et skjermingsverdig informasjonssystem eller objekt eller en skjermingsverdig infrastruktur, skal oppdragsgiveren vurdere risikoen for at informasjonssystemet, objektet eller infrastrukturen kan bli rammet av eller brukt til sikkerhetstruende virksomhet, og hvordan risikoen skal håndteres. Dersom virksomheten kommer til at anskaffelsen vil medføre en ikke ubetydelig risiko, skal virksomheten varsle departementet etter sikkerhetsloven § 9-4.Dersom en anskaffelse gir tilgang til skjermingsverdige informasjonssystemer eller skjermingsverdig ugradert informasjon, skal det inngås en avtale mellom virksomheten og leverandøren, hvor det fastsettes hvordan leverandøren skal forholde seg til de kravene som gjelder for anskaffelsen.
