Veileder for tilsyn med forebyggende sikkerhetsarbeid
Forholdet til andre virksomheter
Andre virksomheters forebyggende sikkerhetsarbeid kan påvirke sikkerhetsnivået i virksomheten og virksomhetens sikkerhetsarbeid kan påvirke sikkerhetsnivået hos andre enn virksomheten selv. Risiko for slik påvirkning må håndteres til akseptabelt nivå. Dette følger blant annet av sikkerhetslovens generelle krav om sikkerhetsstyring i § 4-1 utdypet blant annet i virksomhetsikkerhetsforskriften §§ 3 og 4.
Krav til forholdet med leverandører og oppdragsgivere fremkommer av sikkerhetsloven:
§ 4-1. Sikkerhetsstyring (annet ledd første setning)
Virksomheten skal sørge for at ansatte, leverandører og oppdragstakere har tilstrekkelig risiko- og sikkerhetsforståelse.
Kravet er utdypet gjennom krav til sikkerhet i anskaffelser i virksomhetsikkerhetsforskriften:
§ 18. Krav til sikkerhet i anskaffelser
Dersom en anskaffelse kan gi leverandøren eller dennes personell en mulighet til å påvirke et skjermingsverdig informasjonssystem eller objekt eller en skjermingsverdig infrastruktur, skal oppdragsgiveren vurdere risikoen for at informasjonssystemet, objektet eller infrastrukturen kan bli rammet av eller brukt til sikkerhetstruende virksomhet, og hvordan risikoen skal håndteres. Dersom virksomheten kommer til at anskaffelsen vil medføre en ikke ubetydelig risiko, skal virksomheten varsle departementet etter sikkerhetsloven § 9-4.
Dersom en anskaffelse gir tilgang til skjermingsverdige informasjonssystemer eller skjermingsverdig ugradert informasjon, skal det inngås en avtale mellom virksomheten og leverandøren, hvor det fastsettes hvordan leverandøren skal forholde seg til de kravene som gjelder for anskaffelsen.
Forholdet til andre virksomheter skal omfattes av de risikovurderinger som ligger til grunn for det forebyggende sikkerhetsarbeidet. Ansvar og myndighet for forebyggende sikkerhetsarbeid mellom virksomheten og andre virksomheter må være avklart og i nødvendig grad formalisert gjennom avtale som også omfatter vilkår om: nødvendig informering av personellet om risiko og sikkerhetsstyrings håndtering av uønskede hendelser … virksomhetene i mellom Anskaffelser som kan gi leverandør, eller dennes personell, mulighet for å påvirke skjermingsverdige verdier skal håndteres som sikkerhetsgradert anskaffelse, jf. virksomhetsikkerhetsforskriften kapittel 13.