Oppdragsgiveren har plikt til å vurdere risiko ved anskaffelser til skjermingsverdig informasjonssystem, objekt eller infrastruktur. Plikten følger av sikkerhetsloven § 9-4 første ledd, og vurderingstemaet er «om anskaffelsen kan innebære en ikke ubetydelig risiko for at informasjonssystemet, objektet eller infrastrukturen kan bli rammet av eller brukt til sikkerhetstruende virksomhet». Regelen er gjentatt i virksomhetssikkerhetsforskriften § 18 første ledd, men er der avgrenset til risiko for påvirkning fra leverandøren selv eller dennes personell.

Reglene om risikovurdering, risikoreduserende tiltak og varslingsplikt i sikkerhetsloven § 9-4 har likhetstrekk med reglene om risikovurdering, risikoreduserende tiltak og varslingsplikt i sikkerhetslovens kapittel 4, men formålet er forskjellig. Formålet med reglene i § 9-4 er å forebygge at anskaffelser fører til at skjermingsverdige verdier blir rammet av eller brukt til sikkerhetstruende virksomhet. Formålet med reglene i lovens kapittel 4 er å sikre et forsvarlig sikkerhetsnivå.

Risikovurdering krever både kompetanse og kunnskap. Oppdragsgivernes forutsetninger for å kunne vurdere risiko varierer. Den som eier et skjermingsverdig informasjonssystem, objekt eller infrastruktur, må kunne forventes å ha inngående kunnskap om informasjonssystemets, objektets eller infrastrukturens funksjon og betydning for samfunnet. Kunnskap om potensielle sårbarheter ved informasjonssystemet, objektet eller infrastrukturen må også kunne forventes. Slik tar risikovurderingen hensyn til særtrekk ved både oppdragsgiverens virksomhet og den konkrete anskaffelsen. Men kunnskap om mulige trusler og trusselaktører kan trolig ikke forventes i samme grad hos alle oppdragsgivere. Mange oppdragsgivere vil i sine risikovurderinger derfor måtte fokusere på sårbarheter og mulige konsekvenser av sikkerhetstruende virksomhet og ikke på trusler.

En risikovurdering vil være en sammensatt vurdering som i tillegg til sårbarhet og konsekvenser også omfatter sannsynlighet. Sannsynligheten for at sikkerhetstruende virksomhet inntreffer vil være ett blant flere momenter i risikovurderingen, og må ses i sammenheng med de mulige konsekvensene av den sikkerhetstruende virksomheten. Det er viktig å være oppmerksom på at dersom konsekvensene av sikkerhetstruende virksomhet er alvorlige, kan risikoen være høy selv om sannsynligheten er lav. Og motsatt kan stor sannsynlighet tilsi høy risiko, selv om konsekvensene antas å være mindre alvorlige. Formuleringen «ikke ubetydelig risiko» angir ingen høy terskel, men innebærer at varslingsplikten oppstår i situasjoner hvor risikovurderingen tilsier risiko ut over det normale, altså en risiko som er høyere enn den «ubetydelige» risiko som normalt aksepteres i andre situasjoner og andre anskaffelser.

Risikoen for å «bli rammet av eller brukt til sikkerhetstruende virksomhet» omfatter både det å gjennomføre sikkerhetstruende virksomhet under anskaffelsen og det å tilrettelegge for at sikkerhetstruende virksomhet kan gjennomføres på et senere tidspunkt. Et eksempel på sistnevnte kategori er å programmere inn en bakdør i et datasystem som kan utnyttes i ettertid.

Eksempler der disse bestemmelsene kommer til anvendelse og risiko må vurderes, kan være ved leveranse av hardware til kritisk infrastruktur, kjølings- og ventilasjonsarbeider til et serverrom eller anskaffelse av et styringssystem som i seg selv ikke er sikkerhetsgradert.