Leverandøren er selv ansvarlig for det forebyggende sikkerhetsarbeidet, jf. sikkerhetsloven § 4-1 første ledd. I tillegg har oppdragsgiveren etter sikkerhetsloven § 4-1 andre ledd et ansvar for å påse at leverandøren har tilstrekkelig risiko- og sikkerhetsforståelse. En naturlig konsekvens av dette vil være at oppdragsgiveren må føre kontroll med at leverandøren følger opp kravene i sikkerhetsavtalen, uavhengig av klareringsmyndighetens kontroll eller tilsynsmyndighetens tilsyn. En slik kontrollmulighet bør avtalefestes i sikkerhetsavtalen mellom partene. Dette er ikke kontrollmyndighet som beskrevet i klareringsforskriften § 36, men å anse som en andrepartskontroll på linje med annen kontraktsoppfølging av leverandøren, for eksempel knyttet til pris eller kvalitet. Konsekvensen av at leverandøren ikke oppfyller kravene til avtalen bør avtalefestes, men kan ikke knyttes til sikkerhetslovens tvangsmidler eller tilbakekall av leverandørklarering.

§ 4-1. Sikkerhetsstyring

Virksomhetens leder har ansvar for det forebyggende sikkerhetsarbeidet. Forebyggende sikkerhetsarbeid skal være en del av virksomhetens styringssystem. Sikkerhetstilstanden i virksomheten skal regelmessig kontrolleres.

Virksomheten skal sørge for at ansatte, leverandører og oppdragstakere har tilstrekkelig risiko- og sikkerhetsforståelse. For leverandører til sikkerhetsgraderte anskaffelser gjelder kapittel 9.

Kongen kan gi forskrift om sikkerhetsstyring.

Oppdragsgivers forpliktelser etter sikkerhetslovens §4-1 innebærer blant annet at oppdragsgiveren skal gi råd og veiledning, gjennomføre autorisasjonssamtaler, påse at det er gjennomført personellklareringer på riktig nivå og at godkjenninger av informasjonssystemer er foretatt der loven krever dette.

Leverandører til sikkerhetsgraderte anskaffelser har et selvstendig ansvar for det forebyggende sikkerhetsarbeidet i forbindelse med den konkrete anskaffelsen, herunder en plikt til å sørge for opplæring av eget personell. Dette gjelder for alle graderings-/klassifiseringsnivåer, også for sikkerhetsgraderte anskaffelser for nivå BEGRENSET/VIKTIG hvor det ikke er krav til leverandørklareringer.

Informasjon av betydning for leverandørklareringen må sendes tilsynsmyndigheten. Virksomhetens (både oppdragsgivers og leverandørs) plikt til å varsle tilsynsmyndigheten følger av sikkerhetsloven § 4-5.

Videre har oppdragsgiver ansvar for å anmode klareringsmyndigheten om klarering av leverandørens personell, jf. virksomhetssikkerhetsforskriften § 69:

§ 69. Autorisasjon av autorisasjonsansvarlig og personell hos leverandøren

Oppdragsgiveren skal autorisere den autorisasjonsansvarlige hos leverandøren og personell hos leverandøren som bare får tilgang til skjermingsverdig informasjon, skjermingsverdige objekter eller skjermingsverdig infrastruktur hos oppdragsgiveren.

Oppdragsgiveren skal anmode om klarering av leverandørens personell i den utstrekning dette er nødvendig for den sikkerhetsgraderte anskaffelsen, samt gjennomføre autorisasjon av leverandørens personell. Forespørsel om klarering sendes klareringsmyndigheten.