Veileder i anskaffelser etter sikkerhetsloven
Varslingsplikt ved «ikke ubetydelig risiko»
Både sikkerhetsgraderte anskaffelser og anskaffelser til skjermingsverdige, ugraderte verdier er underlagt en varslingsplikt hvis anskaffelsen utgjør en «ikke ubetydelig risiko» for sikkerhetstruende virksomhet. Kapitlene nedenfor gir en nærmere forklaring av plikten til å vurdere risiko, plikten til å identifisere risikoreduserende tiltak og til slutt selve varslingsplikten.
Departementene ønsker å få kjennskap til risikofylte anskaffelser på et så tidlig tidspunkt som mulig. Oppdragsgiveren vil selv ha ansvaret for å vurdere risiko ved anskaffelsen, og for å iverksette risikoreduserende tiltak. Oppdragsgiverens håndtering vil være det primære, og det vil kun i noen få saker være aktuelt å varsle myndighetene.
Uavhengig av om anskaffelsen er sikkerhetsgradert eller ikke, kan bestemmelsen i sikkerhetsloven § 9-4 komme til anvendelse. Den sikkerhetsmessige risikoen ved en anskaffelse kan være høy i begge kategorier av anskaffelser. I sikkerhetsgraderte anskaffelser vil sikkerhetslovens krav til anskaffelsene normalt gi oppdragsgiveren de nødvendige tiltakene for å redusere risikoen. Likevel kan risikovurderingen etter sikkerhetsloven § 9-4 indentifisere ytterligere tiltak for å oppnå «ubetydelig risiko».
Hvordan aktørene, i første rekke oppdragsgiveren, skal håndtere den sikkerhetsmessige risikoen ved anskaffelser til skjermingsverdig informasjonssystem, objekt eller infrastruktur, forklares nærmere i de neste kapitlene og er illustrert i figuren under:
§ 9-4. Varslingsplikt og myndighet til å fatte vedtak ved anskaffelser til skjermingsverdig informasjonssystem, objekt eller infrastruktur.
Ved anskaffelser til skjermingsverdig informasjonssystem, objekt eller infrastruktur skal virksomheten vurdere om anskaffelsen kan innebære en ikke ubetydelig risiko for at informasjonssystemet, objektet eller infrastrukturen kan bli rammet av eller brukt til sikkerhetstruende virksomhet.
Plikten til å foreta en slik vurdering gjelder ikke dersom anskaffelsen åpenbart ikke innebærer noen slik risiko.
Virksomheten skal varsle departementet dersom vurderingen viser at anskaffelsen innebærer risiko som nevnt i første ledd. Virksomheter som ikke er underlagt noe departement, skal varsle sikkerhetsmyndigheten. Varslingsplikten gjelder uten hinder av taushetsplikt. Plikten gjelder ikke dersom virksomheten selv iverksetter tiltak som fjerner risikoen eller gjør den ubetydelig.
Departementet som mottar et varsel etter andre ledd, kan be relevante organer uttale seg om risikoen ved anskaffelsen og om leverandørens sikkerhetsmessige pålitelighet.
Dersom anskaffelsen til et skjermingsverdig informasjonssystem, objekt eller infrastruktur kan innebære en ikke ubetydelig risiko som nevnt i første ledd, kan Kongen i statsråd fatte vedtak om at anskaffelsen ikke skal gjennomføres, eller om at det skal settes vilkår for den. Dette gjelder også dersom det er inngått avtale om anskaffelsen. Dersom det ikke fattes vedtak etter første punktum, skal departementet orientere virksomheten om det. Et vedtak etter første punktum er et særlig tvangsgrunnlag etter tvangsfullbyrdelsesloven kapittel 13.
Kongen i statsråd kan gi forskrift om varslingsplikten og om myndigheten til å fatte vedtak