Forskrift om sikkerhetsgraderte anskaffelser.

DatoFOR-2001-07-01-753
DepartementForsvarsdepartementet
PublisertI 2001 hefte 9
Ikrafttredelse01.07.2001
Sist endretFOR-2012-06-22-641 fra 01.07.2012
Endrer
Gjelder forNorge
HjemmelLOV-1998-03-20-10-§29, FOR-2001-06-29-721
Kunngjort06.07.2001
KorttittelForskrift om sikkerhetsgraderte anskaffelser

Kapitteloversikt:

Hjemmel: Fastsatt av Forsvarsdepartementet 1. juli 2001 med hjemmel i kgl.res. av 29. juni 2001 nr. 721, jf. lov av 20. mars 1998 nr. 10 om forebyggende sikkerhetstjeneste (sikkerhetsloven) § 29.
Endringer: Endret ved forskrift 22 juni 2012 nr. 641.

Kapittel 1. Alminnelige bestemmelser

§ 1-1.Formål og virkeområde

Forskriften har samme formål og virkeområde som sikkerhetsloven.

Bestemmelsene i forskriften som gjelder for leverandører gjelder tilsvarende for underleverandører.

For en leverandør som er en fysisk person gjelder forskriften så langt den passer.

§ 1-2.Definisjoner

I forskriften forstås med:

1.Leverandør; et rettssubjekt som ikke er forvaltningsorgan og som leverer varer eller tjenester i forbindelse med en sikkerhetsgradert anskaffelse.
2.Underleverandør; den som forestår leveranser til leverandøren i forbindelse med en sikkerhetsgradert anskaffelse.
3.Graderingsspesifikasjon; en spesifisert liste over hvilke sikkerhetsgraderinger anskaffelsen omfatter, jf. sikkerhetsloven § 27 andre ledd bokstav a.

For øvrig gjelder definisjonene i sikkerhetsloven § 3.

Kapittel 2. Sikkerhetsmessige krav til anskaffelsen

§ 2-1.Vurdering av sikkerhetsgradering

Ved anskaffelse av varer og tjenester skal anskaffelsesmyndigheten vurdere behovet for å sikkerhetsgradere anskaffelsen eller deler av den. Dersom anskaffelsesmyndigheten er en annen virksomhet enn den som skal bruke varen eller tjenesten, er det bruker som skal foreta vurderingen. Det skal i vurderingen tas stilling til om anskaffelsen vil innebære utlevering av skjermingsverdig informasjon til leverandøren, om leverandøren får behov for å tilvirke skjermingsverdig informasjon, eller om informasjon om selve anskaffelsen må sikkerhetsgraderes.

§ 2-2.Graderingsspesifikasjon

Dersom en vurdering som nevnt i § 2-1 går ut på at det er behov for å sikkerhetsgradere anskaffelsen eller deler av den, skal virksomheten som skal bruke varen eller tjenesten utarbeide graderingsspesifikasjon.

Dersom flere virksomheter er brukere, skal den enkelte virksomhet utarbeide graderingsspesifikasjon for eget bruksområde. Anskaffelsesmyndigheten skal utarbeide graderingsspesifikasjon for områder som er felles for brukerne.

Graderingsspesifikasjonen skal godkjennes av den virksomhet som skal bruke varen eller tjenesten. Dersom bruker er en annen virksomhet enn anskaffelsesmyndigheten, skal graderingsspesifikasjonen i tillegg godkjennes av anskaffelsesmyndigheten. Dersom brukeren og anskaffelsesmyndigheten ikke kommer til enighet, skal saken fremmes til NSM for avgjørelse.

Spesifikasjonen skal som minimum inneholde opplysninger om graderingsnivåene for følgende deler av anskaffelsen:

1.Anbudsdokumenter.
2.Kontrakten, kontraktsvilkår og kontraktsinngåelse.
3.Tegninger og kravspesifikasjoner.
4.Informasjon om enkeltkomponenter, faser, trinn ved anlegg og sammenstilling av enkeltkomponenter frem til endelig produkt.
5.Andre aktuelle data, herunder eventuelle tekst- og ytelsesdata og lignende.
6.Det endelige resultat.
§ 2-3.Utvelgelse av leverandør

Utvelgelse av leverandør for sikkerhetsgradert anskaffelse skal skje i samsvar med de alminnelige bestemmelser som gjelder for forvaltningens anskaffelsesvirksomhet.

Anskaffelsesmyndigheten skal ved anbudsinnbydelse begrense spredningen av skjermingsverdig informasjon til det som er høyst nødvendig.

Anskaffelsesmyndigheten skal orientere aktuelle leverandører om hvilke sikkerhetsmessige krav som stilles i forbindelse med utførelsen av den sikkerhetsgraderte anskaffelsen.

§ 2-4.Utlevering og tilvirkning av skjermingsverdig informasjon i forhold til leverandør

Skjermingsverdig informasjon kan utleveres til eller tilvirkes av en leverandør dersom følgende vilkår er oppfylt:

1.Det er behov for en sikkerhetsgradert anskaffelse,
2.leverandøren om nødvendig innehar leverandørklarering, jf. sikkerhetsloven § 28,
3.sikkerhetsavtale er inngått,
4.leverandøren er kjent med aktuelle sikkerhetsbestemmelser,
5.personellet leverandøren skal benytte er autorisert og eventuelt sikkerhetsklarert i samsvar med sikkerhetsloven § 19,
6.det ikke foreligger opplysninger som gjør det tvilsomt om leverandøren er sikkerhetsmessig skikket, og
7.firmaattest foreligger fra foretaksregisteret eller enhetsregisteret for kontroll av identitet og grunnleggende opplysninger om leverandøren.

Første ledd gjelder ikke dersom det ikke skal oppbevares skjermingsverdig informasjon i leverandørens lokaliteter.

Innehar leverandøren leverandørklarering i forbindelse med oppdrag for flere anskaffelsesmyndigheter, skal NSM utpeke en bestemt anskaffelsesmyndighet som skal være sikkerhetsmessig ansvarlig overfor leverandøren.

Dersom en leverandør som har leverandørklarering for en pågående anskaffelse benyttes for en ny sikkerhetsgradert anskaffelse, skal det fattes ny avgjørelse om leverandørklarering. NSM avgjør om egenopplysninger skal oppdateres og eventuelle ytterligere opplysninger innhentes i samsvar med § 3-2.

0Endret ved forskrift 22 juni 2012 nr. 641 (i kraft 1 juli 2012).
§ 2-5.Sikkerhetsavtale

Sikkerhetsavtalen skal henvise til denne forskrift og sikkerhetsloven, og skal som minimum regulere forhold vedrørende

1.prosjektets navn og sikkerhetsgradering med graderingsspesifikasjon vedlagt,
2.innhenting av taushetserklæring fra og autorisasjon av personell hos leverandøren som vil kunne få tilgang til skjermingsverdig informasjon,
3.utlevering og bekjentgjøring av skjermingsverdig informasjon til tredjepart, herunder til underleverandører, konsulenter, målgrupper for markedsføring og media,
4.forvaltning av skjermingsverdig informasjon, herunder eventuell godkjenning for bruk av informasjonssystemer og tilbakelevering av lagringsmedium,
5.omkostninger ved sikkerhetstiltak,
6.flytting av lokaliteter som krever ny sikkerhetsmessig godkjenning,
7.endringer i styre, endring av daglig leder og endring av firmanavn med videre,
8.tilbakelevering av skjermingsverdig informasjon ved utløp av en eventuell anbudsfrist og ved det sikkerhetsgraderte oppdragets slutt,
9.rutiner for varsling og tiltak ved insolvens, gjeldsforhandling og konkurs,
10.tiltak og konsekvenser ved sikkerhetsbrudd,
11.rett til sikkerhetsinspeksjon for anskaffelsesmyndighet og NSM,
12.spesielle vilkår,
13.sikkerhetsavtalens gyldighetstid, og
14.endringer i sikkerhetsavtalen.

Ved anskaffelse der det kreves leverandørklarering i henhold til sikkerhetsloven § 28, skal sikkerhetsavtalen i tillegg regulere forhold vedrørende sikkerhetsklarering av personell og endringer i eierinteresser eller eierform hos leverandøren. Anskaffelsesmyndigheten skal formidle kopi av sikkerhetsavtalen til NSM.

Sikkerhetsavtalen er først gyldig når den er signert av anskaffelsesmyndighetens leder og leverandørens daglig leder. Myndigheten til å signere sikkerhetsavtalen kan delegeres og delegeringen skal i så fall fremgå skriftlig som vedlegg til sikkerhetsavtalen.

0Endret ved forskrift 22 juni 2012 nr. 641 (i kraft 1 juli 2012).
§ 2-6.Tilbakelevering av skjermingsverdig informasjon fra leverandør

Anskaffelsesmyndigheten skal sørge for at skjermingsverdig informasjon straks blir inndratt fra anbydere som ikke engasjeres i anskaffelsen.

Ved anskaffelsens slutt skal anskaffelsesmyndigheten trekke tilbake all skjermingsverdig informasjon fra leverandøren, med mindre NSM samtykker i annet. Som del av anskaffelsen regnes også eventuell service- og garantitid. Anskaffelsesmyndigheten skal skriftlig, eller på annen måte godkjent av NSM, orientere NSM om at anskaffelsen er avsluttet.

Dersom anskaffelsesmyndigheten får kjennskap til forhold som kan ha betydning for leverandørens sikkerhetsmessige skikkethet, jf. sikkerhetsloven § 28 fjerde ledd, skal forholdet meldes NSM. Finner NSM at leverandøren ikke er sikkerhetsmessig skikket, skal anskaffelsesmyndigheten inndra all skjermingsverdig informasjon fra leverandøren og eventuell leverandørklarering skal opphøre.

§ 2-7.Gjennomføring av sikkerhetstiltak hos leverandøren

Leverandørens ansvar for en sikkerhetsgradert anskaffelse omfatter også ansvaret for den forebyggende sikkerhet. Mangler som leverandøren selv ikke kan rette på, skal straks rapporteres til anskaffelsesmyndigheten. Leverandøren skal også rapportere om sikkerhetstruende hendelser, jf. forskrift om sikkerhetsadministrasjon, og om forhold som reiser tvil om den sikkerhetsmessige skikkethet til noen som har befatning med den sikkerhetsgraderte anskaffelsen.

Personer som kan få tilgang til sikkerhetsgradert informasjon, herunder styre og daglig leder, skal sikkerhetsklareres og autoriseres i samsvar med sikkerhetsloven kapittel 6 og forskrift om personellsikkerhet. Leverandøren fremmer anmodninger om personklarering til anskaffelsesmyndigheten etter behov som vurderes av sikkerhetsleder.

Dersom det ikke er nødvendig eller mulig å gi et styremedlem sikkerhetsklarering, skal anskaffelsesmyndigheten innhente en erklæring om fraskrivelse av innsynsrett i skjermingsverdig informasjon fra vedkommende. Det kan utpekes stedfortredere som sikkerhetsklareres for styremedlemmer som ikke blir sikkerhetsklarert. Leverandøren skal rette seg etter øvrige gjeldende bestemmelser om sikkerhetsadministrasjon, personellsikkerhet, informasjonssikkerhet og objektsikkerhet.

Anskaffelsesmyndigheten skal foreta sikkerhetsinspeksjon hos leverandøren før leverandørklarering kan gis.

Når anskaffelsesmyndigheten har brakt på det rene at sikkerhetstiltak etter lov, forskrift og pålegg er gjennomført, meddeles dette skriftlig til NSM.

Anskaffelsesmyndigheten skal sørge for at leverandøren inspiseres jevnlig og minst en gang hver 18. måned i løpet av anskaffelsen. Anskaffelsesmyndigheten kan pålegge underordnede anskaffelsesmyndigheter eller bemyndige andre anskaffelsesmyndigheter å utføre inspeksjon dersom det er hensiktsmessig.

I forbindelse med inspeksjoner nevnt i denne paragraf skal anskaffelsesmyndigheten utarbeide inspeksjonsrapport. Inspeksjonsrapporten skal formidles til leverandøren med kopi til NSM.

Kapittel 3. Leverandørklarering

§ 3-1.Vurderingsgrunnlag for leverandørklarering

Ved vurdering av om leverandørklarering skal gis, kan følgende opplysninger knyttet til leverandøren vektlegges:

1.Økonomiske forhold, herunder muligheten for insolvens.
2.Eierform og eierinteresser.
3.Sikkerhetsmessige forhold for daglig leder og styre.
4.Sikkerhetsorganisasjonen.
5.Gjennomføring av sikkerhetstiltak i samsvar med § 2-7.
6.Mulige straffbare forhold, herunder forhold som kvalifiserer til foretaksstraff.
7.Andre forhold som kan gi grunn til å frykte at leverandøren vil kunne opptre i strid med sikkerhetsmessige interesser.
§ 3-2.Gjennomføring av leverandørklarering

Leverandøren skal som minimum gi følgende egenopplysninger til anskaffelsesmyndigheten:

1.Navn (firma), adresse og eierform.
2.Utenlandske eierinteresser i leverandøren med angivelse av nasjonalitet.
3.Leverandørens eierinteresser i utlandet med angivelse av nasjonalitet.
4.Norske og utenlandske statsborgere i styre og ledelse med navn, fødselsdato og nasjonalitet.
5.Oppdrag for utenlandske oppdragsgivere.
6.Utenlandshandelens størrelse av total årsomsetning.
7.Næringsinteresser som personer i leverandørens styre og ledelse har i utlandet.
8.Utenlandske statsborgere hos leverandøren som har behov for tilgang til skjermingsverdig informasjon.
9.Skisse/tegninger over de lokaliteter som er tenkt benyttet ved anskaffelsen.

Anskaffelsesmyndigheten skal fremme anmodning om leverandørklarering med graderingsspesifikasjon og egenopplysninger fra leverandøren til NSM. NSM kan innhente ytterligere opplysninger om leverandøren.

NSM skal treffe avgjørelse om leverandørklarering og meddele resultatet til anskaffelsesmyndigheten.

Bestemmelsene i sikkerhetsloven § 25 og forskrift om personellsikkerhet § 4-4, § 4-5 og § 5-8 gjelder tilsvarende så langt de passer for avgjørelser om leverandørklarering og utlevering av informasjon gradert BEGRENSET til leverandør.

0Endret ved forskrift 22 juni 2012 nr. 641 (i kraft 1 juli 2012).
§ 3-3.Bortfall og tilbakekallelse av leverandørklarering

Leverandørklarering gis for den enkelte sikkerhetsgraderte anskaffelse og bortfaller straks anskaffelsen er utført.

Leverandørklarering kan tilbakekalles i samsvar med sikkerhetsloven § 28 fjerde ledd.

Kapittel 4. Internasjonale sikkerhetsgraderte anskaffelser

§ 4-1.Anskaffelse fra norsk leverandør til utlandet eller internasjonal organisasjon

Dersom fremmed stat, utenlandsk virksomhet eller internasjonal organisasjon ønsker å bruke norsk leverandør ved egen sikkerhetsgradert anskaffelse, kan vedkommende utenlandske sikkerhetsmyndighet eller internasjonal organisasjon inngå overenskomst med Norge om sikkerhetsmessig ansvar og tilsyn overfor leverandøren. Nasjonale sikkerhetsbestemmelser gjelder for en slik anskaffelse og NSM kan for å ivareta Norges forpliktelser pålegge annet forvaltningsorgan å utføre inspeksjoner og annet tilsyn med leverandøren, med mindre annet følger av sikkerhetsavtalen.

§ 4-2.Anskaffelse fra utenlandsk leverandør til norsk anskaffelsesmyndighet

Anskaffelsesmyndigheten skal orientere NSM dersom det er mulig at utenlandsk leverandør vil bli brukt i sikkerhetsgradert anskaffelse. NSM kan innhente nødvendig informasjon om hvorvidt leverandøren innehar gyldig leverandørklarering gitt av hjemlandet. NSM skal deretter gi nødvendige anvisninger til anskaffelsesmyndigheten om sikkerhetsavtale må utarbeides og hvilken type sikkerhetsdokumentasjon som skal utarbeides for anskaffelsen.

Sikkerhetsgradert informasjon kan ikke utleveres til eller tilvirkes av leverandøren før NSM har gitt samtykke.

Alle henvendelser vedrørende sikkerheten hos utenlandsk leverandør skal skje via NSM.

§ 4-3.Besøksprosedyrer for adgang

Før utenlandsk representant kan gis adgang til sikkerhetsgradert informasjon hos norsk anskaffelsesmyndighet eller leverandør, skal hjemmel for tilgangen og representantens identitet og autorisasjon kontrolleres. Kontrollen skal utføres i samsvar med gjeldende bestemmelser eller avtaler om sikkerhetsmessige besøksprosedyrer.

Dersom norsk anskaffelsesmyndighet eller leverandør kan få adgang til informasjon som er sikkerhetsgradert av og som er hos utenlandsk anskaffelsesmyndighet eller leverandør, skal gjeldende avtaler om sikkerhetsmessige besøksprosedyrer følges.

Kapittel 5. Insolvens, gjeldsforhandling og konkurs

§ 5-1.Prosedyrer og tiltak ved insolvens og gjeldsforhandling

Dersom det er sannsynlig at leverandøren blir insolvent i nær fremtid eller det blir åpnet gjeldsforhandling, skal leverandøren uten ugrunnet opphold informere anskaffelsesmyndigheten og holde denne løpende orientert om utviklingen. Lagringsmedium med sikkerhetsgradert informasjon hos leverandøren skal om mulig samles og holdes adskilt fra lagringmedium som har bare ugradert informasjon. Leverandøren skal samle inn materiell som gir adgang til lagringsmedium med sikkerhetsgradert informasjon og levere dette til anskaffelsesmyndigheten.

§ 5-2.Prosedyrer og tiltak ved konkurs

Ved begjæring om konkurs skal prosedyrer og tiltak i § 5-1 gjennomføres i tillegg til andre og tredje ledd i denne paragrafen.

Ved konkursåpning skal anskaffelsesmyndigheten sørge for at uvedkommende, herunder bobestyrer, ikke får adgang til sikkerhetsgradert informasjon hos leverandøren. Anskaffelsesmyndigheten skal merke aktuelle områder med «SPERRET - KONTAKT SKIFTERETTEN». Leverandøren skal ikke gi skjermingsverdig informasjon til skifteretten, bostyret, bobestyrer eller andre uten samtykke fra anskaffelsesmyndigheten eller NSM.

Under skifterettens behandling av en konkursbegjæring, skal anskaffelsesmyndigheten gjøre retten oppmerksom på at det hos leverandøren oppbevares sikkerhetsgradert informasjon tilhørende anskaffelsesmyndigheten, som ikke lovlig kan omsettes og derfor ikke inngår i kreditorenes beslagsrett, jf. sikkerhetsloven § 28 fjerde ledd. Anskaffelsesmyndigheten skal gjøre skifteretten oppmerksom på at personell, herunder bobestyrer, bare kan gis tilgang til sikkerhetsgradert informasjon dersom skifteretten gir slik autorisasjon og om nødvendig sikkerhetsklarering.

Er det grunn til å tro at driften vil bli forsøkt videreført av konkursboet, kan anskaffelsesmyndigheten eller NSM heve avtalen om anskaffelsen overfor konkursboet.

§ 5-3.Varsling til tilsynsmyndigheten og pålegg om ytterligere sikkerhetstiltak

Dersom anskaffelsesmyndigheten blir kjent med opplysninger om sannsynlighet for insolvens, gjeldsforhandling eller konkurs hos leverandøren, skal NSM orienteres uten ugrunnet opphold.

Anskaffelsesmyndigheten og NSM kan gi leverandøren pålegg om ytterligere sikkerhetstiltak. Dersom sikkerhetstiltakene i sterk grad innvirker eller kan innvirke på driften frem mot konkursåpning eller konkursboets videre drift, kan anskaffelsesmyndigheten fjerne sikkerhetsgradert informasjon og treffe andre tiltak slik at drift som ikke berører den sikkerhetsgraderte anskaffelsen kan fortsette.

Kapittel 6. Administrative bestemmelser og ikrafttredelse

§ 6-1.Register over leverandører

NSM skal føre et sentralt register over alle leverandørklareringer og hvilke sikkerhetsgraderte anskaffelser disse er tilknyttet.

Anskaffelsesmyndigheten skal føre register over sine leverandører og hvilke sikkerhetsgraderte anskaffelser disse er tilknyttet. Kopi av ajourført oversikt skal foreligge ved arkivet for å forhindre forsendelse av skjermingsverdig informasjon til virksomheter eller personer som ikke er autorisert. Oversikt over leverandører og sikkerhetsgraderte anskaffelser hvor leverandørklarering kreves, skal årlig innrapporteres til NSM. NSM skal kontrollere oversikten opp mot sentralt register.

§ 6-2.Omkostninger

Omkostninger som påløper hos forvaltningsorganer for å oppfylle krav i denne forskriften, skal dekkes av det organet som er pålagt å utføre vedkommende tiltak, med mindre annet er avtalt mellom involverte organer eller mellom anskaffelsesmyndigheten og leverandøren.

Leverandørers omkostninger skal dekkes i samsvar med sikkerhetsloven § 27 tredje ledd.

§ 6-3.Ikrafttredelse

Denne forskrift trer i kraft 1. juli 2001.