Forskrift om sikkerhetsgraderte anskaffelser

DatoFOR-2001-07-01-753
DepartementForsvarsdepartementet
PublisertI 2001 hefte 9
Ikrafttredelse01.07.2001
Sist endretFOR-2016-12-16-1642 fra 01.01.2017
Endrer
Gjelder forNorge
HjemmelLOV-1998-03-20-10-§29, FOR-2001-06-29-721
Kunngjort06.07.2001
KorttittelForskrift om sikkerhetsgraderte anskaffelser

Kapitteloversikt:

Hjemmel: Fastsatt av Forsvarsdepartementet 1. juli 2001 med hjemmel i kgl.res. av 29. juni 2001 nr. 721, jf. lov av 20. mars 1998 nr. 10 om forebyggende sikkerhetstjeneste (sikkerhetsloven) § 29.
Endringer: Endret ved forskrifter 22 juni 2012 nr. 641, 16 des 2016 nr. 1642.

Kapittel 1. Alminnelige bestemmelser

§ 1-1.Formål og virkeområde

Forskriften har samme formål og virkeområde som sikkerhetsloven.

Bestemmelsene i forskriften som gjelder for leverandører gjelder tilsvarende for underleverandører.

For en leverandør som er en fysisk person gjelder forskriften så langt den passer.

§ 1-2.Definisjoner

I forskriften forstås med:

1.Leverandør; et rettssubjekt som ikke er forvaltningsorgan og som leverer varer eller tjenester i forbindelse med en sikkerhetsgradert anskaffelse.
2.Underleverandør; den som forestår leveranser til leverandøren i forbindelse med en sikkerhetsgradert anskaffelse.
3.Graderingsspesifikasjon; en spesifisert liste over hvilke sikkerhetsgraderinger anskaffelsen omfatter, jf. sikkerhetsloven § 27 andre ledd bokstav a.

For øvrig gjelder definisjonene i sikkerhetsloven § 3.

Kapittel 2. Sikkerhetsmessige krav til anskaffelsen

§ 2-1.Vurdering av sikkerhetsgradering

Ved anskaffelse av varer og tjenester skal anskaffelsesmyndigheten vurdere behovet for å sikkerhetsgradere anskaffelsen eller deler av den. Dersom anskaffelsesmyndigheten er en annen virksomhet enn den som skal bruke varen eller tjenesten, er det bruker som skal foreta vurderingen. Det skal i vurderingen tas stilling til om anskaffelsen vil innebære utlevering av skjermingsverdig informasjon til leverandøren, om leverandøren får behov for å tilvirke skjermingsverdig informasjon, eller om informasjon om selve anskaffelsen må sikkerhetsgraderes.

§ 2-2.Graderingsspesifikasjon

Dersom en vurdering som nevnt i § 2-1 går ut på at det er behov for å sikkerhetsgradere anskaffelsen eller deler av den, skal virksomheten som skal bruke varen eller tjenesten utarbeide graderingsspesifikasjon.

Dersom flere virksomheter er brukere, skal den enkelte virksomhet utarbeide graderingsspesifikasjon for eget bruksområde. Anskaffelsesmyndigheten skal utarbeide graderingsspesifikasjon for områder som er felles for brukerne.

Graderingsspesifikasjonen skal godkjennes av den virksomhet som skal bruke varen eller tjenesten. Dersom bruker er en annen virksomhet enn anskaffelsesmyndigheten, skal graderingsspesifikasjonen i tillegg godkjennes av anskaffelsesmyndigheten. Dersom brukeren og anskaffelsesmyndigheten ikke kommer til enighet, skal saken fremmes til NSM for avgjørelse.

Spesifikasjonen skal som minimum inneholde opplysninger om graderingsnivåene for følgende deler av anskaffelsen:

1.Anbudsdokumenter.
2.Kontrakten, kontraktsvilkår og kontraktsinngåelse.
3.Tegninger og kravspesifikasjoner.
4.Informasjon om enkeltkomponenter, faser, trinn ved anlegg og sammenstilling av enkeltkomponenter frem til endelig produkt.
5.Andre aktuelle data, herunder eventuelle tekst- og ytelsesdata og lignende.
6.Det endelige resultat.
§ 2-3.Utvelgelse av leverandør

Utvelgelse av leverandør for sikkerhetsgradert anskaffelse skal skje i samsvar med de alminnelige bestemmelser som gjelder for forvaltningens anskaffelsesvirksomhet.

Anskaffelsesmyndigheten skal ved anbudsinnbydelse begrense spredningen av skjermingsverdig informasjon til det som er høyst nødvendig.

Anskaffelsesmyndigheten skal orientere aktuelle leverandører om hvilke sikkerhetsmessige krav som stilles i forbindelse med utførelsen av den sikkerhetsgraderte anskaffelsen.

§ 2-4.Utlevering og tilvirkning av skjermingsverdig informasjon i forhold til leverandør

Skjermingsverdig informasjon kan utleveres til, eller av, en leverandør dersom følgende vilkår er oppfylt:

1.Det er behov for en sikkerhetsgradert anskaffelse.
2.Leverandøren har leverandørklarering, dersom dette kreves etter sikkerhetsloven § 28.
3.Det er inngått en sikkerhetsavtale for den aktuelle anskaffelsen.
4.Leverandøren er kjent med de aktuelle sikkerhetsbestemmelsene.
5.Personellet som leverandøren skal benytte, er autorisert og eventuelt sikkerhetsklarert i samsvar med sikkerhetsloven § 19.
6.Det foreligger ikke opplysninger som gjør det tvilsomt om leverandøren er sikkerhetsmessig skikket.
7.Det foreligger firmaattest fra Foretaksregisteret eller Enhetsregisteret for kontroll av identitet og grunnleggende opplysninger om leverandøren.

Anskaffelsesmyndigheten skal for hvert enkelt oppdrag kontrollere at leverandøren oppfyller de nødvendige sikkerhetskravene før skjermingsverdig informasjon på nivå KONFIDENSIELT eller høyere kan utleveres eller tilvirkes. Når anskaffelsesmyndigheten har brakt på det rene at sikkerhetskravene etter lov, forskrift og pålegg er oppfylt, meddeles dette skriftlig til NSM.

Første ledd nr. 2 og andre ledd gjelder ikke dersom det ikke skal oppbevares skjermingsverdig informasjon hos leverandøren.

NSM skal utpeke en bestemt anskaffelsesmyndighet som sikkerhetsansvarlig overfor leverandører som leverer til sikkerhetsgraderte anskaffelser for flere anskaffelsesmyndigheter.

0Endret ved forskrifter 22 juni 2012 nr. 641 (i kraft 1 juli 2012), 16 des 2016 nr. 1642 (i kraft 1 jan 2017).
§ 2-5.Sikkerhetsavtale

Sikkerhetsavtalen skal henvise til denne forskrift og sikkerhetsloven, og skal som minimum regulere forhold vedrørende

1.prosjektets navn og sikkerhetsgradering med graderingsspesifikasjon vedlagt,
2.innhenting av taushetserklæring fra og autorisasjon av personell hos leverandøren som vil kunne få tilgang til skjermingsverdig informasjon,
3.utlevering og bekjentgjøring av skjermingsverdig informasjon til tredjepart, herunder til underleverandører, konsulenter, målgrupper for markedsføring og media,
4.forvaltning av skjermingsverdig informasjon, herunder eventuell godkjenning for bruk av informasjonssystemer og tilbakelevering av lagringsmedium,
5.omkostninger ved sikkerhetstiltak,
6.flytting av lokaliteter som krever ny sikkerhetsmessig godkjenning,
7.endringer i styre, endring av daglig leder og endring av firmanavn med videre,
8.tilbakelevering av skjermingsverdig informasjon ved utløp av en eventuell anbudsfrist og ved det sikkerhetsgraderte oppdragets slutt,
9.rutiner for varsling og tiltak ved insolvens, gjeldsforhandling og konkurs,
10.tiltak og konsekvenser ved sikkerhetsbrudd,
11.rett til sikkerhetsinspeksjon for anskaffelsesmyndighet og NSM,
12.spesielle vilkår,
13.sikkerhetsavtalens gyldighetstid, og
14.endringer i sikkerhetsavtalen.

Ved anskaffelse der det kreves leverandørklarering i henhold til sikkerhetsloven § 28, skal sikkerhetsavtalen i tillegg regulere forhold vedrørende sikkerhetsklarering av personell og endringer i eierinteresser eller eierform hos leverandøren. Anskaffelsesmyndigheten skal formidle kopi av sikkerhetsavtalen til NSM.

Sikkerhetsavtalen er først gyldig når den er signert av anskaffelsesmyndighetens leder og leverandørens daglig leder. Myndigheten til å signere sikkerhetsavtalen kan delegeres og delegeringen skal i så fall fremgå skriftlig som vedlegg til sikkerhetsavtalen.

0Endret ved forskrift 22 juni 2012 nr. 641 (i kraft 1 juli 2012).
§ 2-6.Tilbakelevering av skjermingsverdig informasjon fra leverandør

Anskaffelsesmyndigheten skal sørge for at skjermingsverdig informasjon straks blir inndratt fra anbydere som ikke engasjeres i anskaffelsen.

Ved anskaffelsens slutt skal anskaffelsesmyndigheten trekke tilbake all skjermingsverdig informasjon fra leverandøren, med mindre NSM samtykker i annet. Som del av anskaffelsen regnes også eventuell service- og garantitid. Anskaffelsesmyndigheten skal skriftlig, eller på annen måte godkjent av NSM, orientere NSM om at anskaffelsen er avsluttet.

Dersom anskaffelsesmyndigheten får kjennskap til forhold som kan ha betydning for leverandørens sikkerhetsmessige skikkethet, jf. sikkerhetsloven § 28 fjerde ledd, skal forholdet meldes NSM. Finner NSM at leverandøren ikke er sikkerhetsmessig skikket, skal anskaffelsesmyndigheten inndra all skjermingsverdig informasjon fra leverandøren og eventuell leverandørklarering skal opphøre.

§ 2-7.Gjennomføring av sikkerhetstiltak hos leverandøren

Leverandørens ansvar for en sikkerhetsgradert anskaffelse omfatter også ansvaret for den forebyggende sikkerheten. Mangler som leverandøren selv ikke kan rette, skal straks rapporteres til anskaffelsesmyndigheten. Leverandøren skal også rapportere om sikkerhetstruende hendelser, jf. forskrift om sikkerhetsadministrasjon § 5-5, § 5-6 og § 5-7, og om forhold som reiser tvil om noen som har befatning med den sikkerhetsgraderte anskaffelsen, oppfyller sikkerhetskravene.

Personer som kan få tilgang til sikkerhetsgradert informasjon, skal sikkerhetsklareres og autoriseres i samsvar med sikkerhetsloven kapittel 6 og forskrift om personellsikkerhet kapittel 3. Leverandøren fremmer anmodninger om personklarering til anskaffelsesmyndigheten etter vurdering av sikkerhetsleder.

Anskaffelsesmyndigheten skal sørge for at leverandøren inspiseres jevnlig og minst en gang hver 18. måned i løpet av anskaffelsen. Anskaffelsesmyndigheten kan pålegge underordnede anskaffelsesmyndigheter eller bemyndige andre anskaffelsesmyndigheter til å utføre inspeksjon dersom det er behov for det.

I forbindelse med inspeksjoner etter fjerde ledd, skal anskaffelsesmyndigheten utarbeide en inspeksjonsrapport. Inspeksjonsrapporten skal formidles til leverandøren med kopi til NSM.

0Endret ved forskrift 16 des 2016 nr. 1642 (i kraft 1 jan 2017).

Kapittel 3. Leverandørklarering

§ 3-1.Utstedelse av leverandørklarering

Ved anskaffelser som medfører tilgang til eller behov for å tilvirke informasjon sikkerhetsgradert KONFIDENSIELT eller høyere, eller der det av andre grunner anses nødvendig, skal det foreligge en leverandørklarering for det aktuelle graderingsnivået.

Anskaffelsesmyndigheten skal henvende seg til NSM for å få bekreftet om den nødvendige leverandørklareringen foreligger. Dersom en slik klarering ikke foreligger, skal anskaffelsesmyndigheten anmode NSM om en leverandørklarering med graderingsspesifikasjon og egenopplysninger fra leverandøren. NSM kan innhente ytterligere opplysninger om leverandøren.

NSM skal treffe en avgjørelse om leverandørklarering og meddele resultatet til anskaffelsesmyndigheten.

En leverandørklarering er gyldig i inntil fem år. Dersom det fortsatt vil foreligge et behov for slik klarering når klareringsperioden utløper, skal anskaffelsesmyndigheten i god tid før utløpstidspunktet anmode om en reklarering av leverandøren. Endringer av betydning for leverandørklareringen skal rapporteres til NSM i samsvar med sikkerhetsloven § 28 fjerde ledd.

Bestemmelsene i sikkerhetsloven § 25 og forskrift om personellsikkerhet § 4-4, § 4-5 og § 5-8 gjelder tilsvarende så langt de passer for avgjørelser om leverandørklarering og utlevering av gradert informasjon.

0Endret ved forskrift 16 des 2016 nr. 1642 (i kraft 1 jan 2017).
§ 3-2.Vurderingsgrunnlaget for leverandørklarering

Ved vurdering av om en leverandørklarering skal gis, kan følgende opplysninger knyttet til leverandøren vektlegges:

1.økonomiske forhold, også risikoen for insolvens
2.eierform og eierinteresser
3.sikkerhetsmessige forhold for daglig leder og styret
4.sikkerhetsorganisasjonen
5.gjennomføring av sikkerhetstiltak i samsvar med § 2-7
6.eventuelle straffbare forhold, også forhold som kvalifiserer til foretaksstraff
7.forhold som ellers kan gi grunn til å frykte at leverandøren vil kunne opptre i strid med sikkerhetsmessige interesser.

Før en leverandørklarering kan gis, må styret og den daglige lederen være sikkerhetsklarert. Dersom det ikke er mulig å sikkerhetsklarere et styremedlem, skal vedkommende gjennom en erklæring til anskaffelsesmyndigheten gi avkall på innsynsretten for skjermingsverdig informasjon. Det kan utpekes og sikkerhetsklareres stedfortredere for styremedlemmer som ikke blir sikkerhetsklarert.

0Endret ved forskrifter 22 juni 2012 nr. 641 (i kraft 1 juli 2012), 16 des 2016 nr. 1642 (i kraft 1 jan 2017).
§ 3-3.Egenopplysninger fra leverandøren

Leverandøren skal som minimum gi følgende egenopplysninger til anskaffelsesmyndigheten:

1.navnet på firmaet, adresse og eierform
2.utenlandske eierinteresser i leverandøren med angivelse av nasjonalitet
3.leverandørens eierinteresser i utlandet med angivelse av nasjonalitet
4.hvem som sitter i styret og ledelsen, med navn, fødselsdato og nasjonalitet
5.oppdrag for utenlandske oppdragsgivere
6.utenlandshandelens størrelsesandel av den totale årsomsetningen
7.næringsinteresser som personer i leverandørens styre eller ledelse har i utlandet
8.utenlandske statsborgere hos leverandøren som har behov for tilgang til skjermingsverdig informasjon
9.skisser eller tegninger over de lokalene som er tenkt benyttet i forbindelse med anskaffelsen.
0Endret ved forskrift 16 des 2016 nr. 1642 (i kraft 1 jan 2017).

Kapittel 4. Internasjonale sikkerhetsgraderte anskaffelser

§ 4-1.Anskaffelse fra norsk leverandør til utlandet eller internasjonal organisasjon

Dersom fremmed stat, utenlandsk virksomhet eller internasjonal organisasjon ønsker å bruke norsk leverandør ved egen sikkerhetsgradert anskaffelse, kan vedkommende utenlandske sikkerhetsmyndighet eller internasjonal organisasjon inngå overenskomst med Norge om sikkerhetsmessig ansvar og tilsyn overfor leverandøren. Nasjonale sikkerhetsbestemmelser gjelder for en slik anskaffelse og NSM kan for å ivareta Norges forpliktelser pålegge annet forvaltningsorgan å utføre inspeksjoner og annet tilsyn med leverandøren, med mindre annet følger av sikkerhetsavtalen.

§ 4-2.Anskaffelse fra utenlandsk leverandør til norsk anskaffelsesmyndighet

Anskaffelsesmyndigheten skal orientere NSM dersom det er mulig at utenlandsk leverandør vil bli brukt i sikkerhetsgradert anskaffelse. NSM kan innhente nødvendig informasjon om hvorvidt leverandøren innehar gyldig leverandørklarering gitt av hjemlandet. NSM skal deretter gi nødvendige anvisninger til anskaffelsesmyndigheten om sikkerhetsavtale må utarbeides og hvilken type sikkerhetsdokumentasjon som skal utarbeides for anskaffelsen.

Sikkerhetsgradert informasjon kan ikke utleveres til eller tilvirkes av leverandøren før NSM har gitt samtykke.

Alle henvendelser vedrørende sikkerheten hos utenlandsk leverandør skal skje via NSM.

§ 4-3.Besøksprosedyrer for adgang

Før utenlandsk representant kan gis adgang til sikkerhetsgradert informasjon hos norsk anskaffelsesmyndighet eller leverandør, skal hjemmel for tilgangen og representantens identitet og autorisasjon kontrolleres. Kontrollen skal utføres i samsvar med gjeldende bestemmelser eller avtaler om sikkerhetsmessige besøksprosedyrer.

Dersom norsk anskaffelsesmyndighet eller leverandør kan få adgang til informasjon som er sikkerhetsgradert av og som er hos utenlandsk anskaffelsesmyndighet eller leverandør, skal gjeldende avtaler om sikkerhetsmessige besøksprosedyrer følges.

Kapittel 5. Insolvens, gjeldsforhandling og konkurs

§ 5-1.Prosedyrer og tiltak ved insolvens og gjeldsforhandling

Dersom det er sannsynlig at leverandøren blir insolvent i nær fremtid, eller at det blir åpnet gjeldsforhandling, skal leverandøren uten ugrunnet opphold informere anskaffelsesmyndigheten og NSM, og holde dem løpende orientert om utviklingen. Lagringsmedier hos leverandøren som inneholder sikkerhetsgradert informasjon, skal om mulig samles og holdes adskilt fra lagringsmedier som bare inneholder ugradert informasjon. Leverandøren skal samle inn alt materiell som gir adgang til lagringsmedier som inneholder sikkerhetsgradert informasjon, og levere dette til anskaffelsesmyndigheten.

0Endret ved forskrift 16 des 2016 nr. 1642 (i kraft 1 jan 2017).
§ 5-2.Prosedyrer og tiltak ved konkurs

Ved begjæring om konkurs skal prosedyrer og tiltak i § 5-1 gjennomføres i tillegg til andre og tredje ledd i denne paragrafen.

Ved konkursåpning skal anskaffelsesmyndigheten sørge for at uvedkommende, herunder bobestyrer, ikke får adgang til sikkerhetsgradert informasjon hos leverandøren. Anskaffelsesmyndigheten skal merke aktuelle områder med «SPERRET - KONTAKT SKIFTERETTEN». Leverandøren skal ikke gi skjermingsverdig informasjon til skifteretten, bostyret, bobestyrer eller andre uten samtykke fra anskaffelsesmyndigheten eller NSM.

Under skifterettens behandling av en konkursbegjæring, skal anskaffelsesmyndigheten gjøre retten oppmerksom på at det hos leverandøren oppbevares sikkerhetsgradert informasjon tilhørende anskaffelsesmyndigheten, som ikke lovlig kan omsettes og derfor ikke inngår i kreditorenes beslagsrett, jf. sikkerhetsloven § 28 fjerde ledd. Anskaffelsesmyndigheten skal gjøre skifteretten oppmerksom på at personell, herunder bobestyrer, bare kan gis tilgang til sikkerhetsgradert informasjon dersom skifteretten gir slik autorisasjon og om nødvendig sikkerhetsklarering.

Er det grunn til å tro at driften vil bli forsøkt videreført av konkursboet, kan anskaffelsesmyndigheten eller NSM heve avtalen om anskaffelsen overfor konkursboet.

§ 5-3.Varsling til tilsynsmyndigheten og pålegg om ytterligere sikkerhetstiltak

Dersom anskaffelsesmyndigheten blir kjent med opplysninger om sannsynlighet for insolvens, gjeldsforhandling eller konkurs hos leverandøren, skal NSM orienteres uten ugrunnet opphold.

Anskaffelsesmyndigheten og NSM kan gi leverandøren pålegg om ytterligere sikkerhetstiltak. Dersom sikkerhetstiltakene i sterk grad innvirker eller kan innvirke på driften frem mot konkursåpning eller konkursboets videre drift, kan anskaffelsesmyndigheten fjerne sikkerhetsgradert informasjon og treffe andre tiltak slik at drift som ikke berører den sikkerhetsgraderte anskaffelsen kan fortsette.

Kapittel 6. Administrative bestemmelser og ikrafttredelse

§ 6-1.Register over leverandører

NSM skal føre et sentralt register over alle leverandørklareringer og inngåtte avtaler om sikkerhetsgraderte anskaffelser.

Anskaffelsesmyndigheten skal føre register over sine sikkerhetsgraderte anskaffelser og leverandørene som gjennomfører disse, og til enhver tid ha en kopi av den ajourførte oversikten. En oversikt over sikkerhetsgraderte anskaffelser som krever leverandørklarering, og de leverandørene som leverer til slike anskaffelser, skal årlig innrapporteres til NSM. NSM skal kontrollere oversikten opp mot det sentrale registeret nevnt i første ledd.

0Endret ved forskrift 16 des 2016 nr. 1642 (i kraft 1 jan 2017).
§ 6-2.Omkostninger

Omkostninger som påløper hos forvaltningsorganer for å oppfylle krav i denne forskriften, skal dekkes av det organet som er pålagt å utføre vedkommende tiltak, med mindre annet er avtalt mellom involverte organer eller mellom anskaffelsesmyndigheten og leverandøren.

Leverandørers omkostninger skal dekkes i samsvar med sikkerhetsloven § 27 tredje ledd.

§ 6-3.Ikrafttredelse

Denne forskrift trer i kraft 1. juli 2001.