Oppdragsgiveren skal etter sikkerhetsloven § 4-1 andre ledd påse at leverandøren har tilstrekkelig risiko- og sikkerhetsforståelse. Sikkerhetslovens forarbeider (Prop. 153 L) presiserer at en slik plikt også omfatter risiko- og sikkerhetsforståelse hos eventuelle underleverandører. Formålet med bestemmelsen er å slå fast at en virksomhet ikke kan frasi seg ansvaret for det forebyggende sikkerhetsarbeidet.

Ved tilfeller av at en leverandør kan benytte seg av underleverandører som en del av den sikkerhetsgraderte anskaffelsen anbefales det at oppdragsgiveren:

  • gjennomfører verdi og risikovurdering før anskaffelsen gjennomføres og at en slik vurdering også tar høyde for bruken av underleverandører
  • velger anskaffelsesstrategi og tar de nødvendige forbehold tidlig slik at man vil kunne beskytte de verdiene som er identifisert på riktig måte
  • inngår egne sikkerhetsavtaler med underleverandører som kan få tilgang til sikkerhetsgradert informasjon eller kan få tilgang til skjermingsverdig objekt eller infrastruktur
  • kartlegger hvilke underleverandører som benyttes i en sikkerhetsgradert anskaffelse og regulerer gjennom sikkerhetsavtalen hvilke endringer i bruk av underleverandører varsles til oppdragsgiveren
  • kjenner til og foretar verdivurderinger av hvilken informasjon som deles med eventuelle underleverandører
  • vurderer om det er behov for å inngå en sikkerhetsavtale med eventuelle underleverandører eller om det er grunn til å søke om en leverandørklarering for underleverandøren
  • vurderer forholdene på nytt når anskaffelsen er i faser hvor leverandørforholdene er bedre kjent eller nye underleverandører blir aktuelle og vurderer behovet for å inngå egne sikkerhetsavtaler med eksisterende eller nye underleverandører i løpet av anskaffelsen
  • vurdere den samlede verdien leverandøren direkte eller indirekte vil få tilgang til over tid