Virksomheten skal varsle sitt ansvarlige departement, eller Nasjonal sikkerhetsmyndighet hvis den ikke er underlagt et departement, dersom risikovurderingen viser at anskaffelsen innebærer en «ikke ubetydelig risiko» for sikkerhetstruende virksomhet i en forestående eller pågående anskaffelse.

Når en oppdragsgiver varsler departementet eller Nasjonal sikkerhetsmyndighet om en slik risiko, bør departementet normalt innhente rådgivende uttalelser fra relevante organer. I sikkerhetslovens forarbeider nevnes Politiets sikkerhetstjeneste, Etterretningstjenesten og Nasjonal sikkerhetsmyndighet som aktuelle organer.

Etter at nødvendig informasjon er samlet inn, kan departementet avgjøre saken i dialog med den aktuelle virksomheten. Ett mulig utfall på dette stadiet er at oppdragsgiveren og departementet i fellesskap identifiserer risikoreduserende tiltak som løser saken.

Kommer departementet til at anskaffelsen ikke bør gjennomføres eller at det bør stilles nærmere vilkår for gjennomførelsen, fremmer departementet saken for Kongen i statsråd. For å muliggjøre en forsvarlig risikovurdering i den videre saksbehandlingen, skal varselet inneholde den informasjonen som er angitt i virksomhetssikkerhetsforskriften § 19 første ledd.

§ 19. Varslingsplikt om anskaffelser til skjermingsverdig informasjonssystem, objekt og infrastruktur

Et varsel etter sikkerhetsloven § 9-4 skal opplyse om følgende:
a) hva anskaffelsen gjelder
b) leverandørens navn, adresse, organisasjonsnummer, nasjonalitet, styremedlemmer og eiere
c) hvordan oppdragsgiveren vurderer risikoen for at skjermingsverdige verdier kan bli rammet av sikkerhetstruende virksomhet ved anskaffelsen
d) hvordan oppdragsgiveren vil håndtere risikoen
e) om det vil gjenstå en ikke ubetydelig risiko også etter at tiltak er iverksatt
f) om anskaffelsen likevel bør gjennomføres
g) andre forhold som oppdragsgiveren antar kan ha betydning for vurderingen av risikoen forbundet med anskaffelsen.

Med anskaffelse i sikkerhetsloven § 9-4 menes også tilleggsanskaffelser og kontrakter som tildeles under en rammeavtale.

Departementet skal innen 60 arbeidsdager orientere oppdragsgiveren om anskaffelsen kan gjennomføres, eller om at saken skal behandles av Kongen i statsråd. Fristen regnes fra det tidspunktet departementet har mottatt varselet. Har departementet innen 50 arbeidsdager framsatt et skriftlig krav om ytterligere opplysninger, avbrytes fristen inntil dette svaret er mottatt.

Varslingsplikten gjelder uavhengig av andre former for lovbestemt varslingsplikt, siden disse oftest vil ha et annet formål enn sikkerhetslovens. Varslingsplikten gjelder uten hinder av lovbestemt taushetsplikt.

Et varsel etter § 9-4 vil føre til at anskaffelsen tar lengre tid enn ellers. Saksbehandling hos Kongen i statsråd kan medføre ytterligere tidsbruk og involverer flere aktører. Både av hensyn til sikkerheten i anskaffelsen og av hensyn til aktørenes ressursbruk, vil det oftest være en fordel om risikoen avklares før oppdragsgiveren kunngjør anskaffelsen. Dersom det ikke er mulig, bør oppdragsgiveren orientere om en mulig varslingsprosedyre ved kunngjøringen eller for øvrig så snart som mulig. Mest mulig informasjon tidligst mulig vil kunne redusere usikkerheten for aktørene. Samtidig kan det tenkes tilfeller der trusselbildet brått endres, slik at varslingsplikt oppstår og varsel kan gis først underveis i anskaffelsesprosedyren.

Sikkerhetslovens forarbeider presiserer at et vedtak fra Kongen i statsråd må være innrettet på en slik måte at lovens formål ivaretas. For eksempel er det ikke hjemmel til å gripe inn ved risiko for industrispionasje som kun er egnet til å skade en enkeltbedrifts forretningsvirksomhet. For øvrig kan Kongen i statsråd i prinsippet fatte alle typer vedtak. Den mest inngripende typen vedtak vil være å stanse en anskaffelse eller å forby bruk av visse leverandører. En mindre inngripende type vedtak er å stille vilkår om å iverksette risikoreduserende tiltak.

Et eventuelt vedtak fra Kongen i statsråd som stiller vilkår eller nekter anskaffelsen gjennomført, kan etter omstendighetene medføre erstatningskrav fra tilbydere eller leverandører.