Sikkerhetsloven definerer en sikkerhetsgradert anskaffelse slik:

§ 9-1. Sikkerhetsgradert anskaffelse En sikkerhetsgradert anskaffelse er en anskaffelse som innebærer at leverandøren av varen eller tjenesten kan få tilgang til eller tilvirker sikkerhetsgradert informasjon, jf. § 5-3, eller få tilgang til et skjermingsverdig objekt eller infrastruktur, jf. § 7-1.

Med leverandører menes i denne sammenhengen alle tilbydere, leverandører og underleverandører i en anskaffelse. Leverandørens personell identifiseres her med leverandøren. Sikkerhetsgradert informasjon er informasjon som kan skade nasjonale sikkerhetsinteresser om den blir kjent for uvedkommende. Objekter og infrastruktur er skjermingsverdige dersom det kan skade grunnleggende nasjonale funksjoner om de får redusert funksjonalitet eller blir utsatt for skadeverk, ødeleggelse eller rettsstridig overtakelse.

En anskaffelse er en sikkerhetsgradert anskaffelse når leverandøren kan få tilgang til visse skjermingsverdige verdier. Men ikke alle skjermingsverdige verdier gjør at anskaffelsen blir en sikkerhetsgradert anskaffelse. Sikkerhetsloven § 9-1 viser at anskaffelsen er en sikkerhetsgradert anskaffelse når

  • leverandøren kan få tilgang til sikkerhetsgradert informasjon,
  • leverandøren tilvirker sikkerhetsgradert informasjon,
  • leverandøren kan få tilgang til et skjermingsverdig objekt, eller
  • leverandøren kan få tilgang til skjermingsverdig infrastruktur.

Skjermingsverdige informasjonssystemer er i utgangspunktet ikke med i opplistingen i § 9-1. Anskaffelser til skjermingsverdige informasjonssystemer kan imidlertid i enkelte tilfeller være sikkerhetsgraderte anskaffelser. For det første kan et skjermingsverdig informasjonssystem utpekes som skjermingsverdig objekt eller skjermingsverdig infrastruktur. For det andre kan en anskaffelse til et skjermingsverdig informasjonssystem føre til at leverandøren får tilgang til sikkerhetsgradert informasjon via informasjonssystemet.

Begrepene «sikkerhetsgradert informasjon» og «skjermingsverdig objekt eller infrastruktur» er sentrale i sikkerhetsloven, også utenfor reglene om sikkerhetsgraderte anskaffelser, og er definert nærmere i § 5-3 og § 7-1.

Sikkerhetsloven med forskrifter stiller krav som både virksomheten og leverandøren må forholde seg til i forbindelse med en anskaffelse. Reglene krever at leverandører som håndterer sikkerhetsgradert informasjon eller har tilgang til skjermingsverdig objekt eller infrastruktur, oppfyller kravene som stilles i sikkerhetsloven og forskriftene for å oppnå forsvarlig sikkerhet. Dette er viktig både for å sikre at sikkerhetsgradert informasjon blir håndtert på en forsvarlig måte og for å sikre at tilgang til skjermingsverdige objekter og infrastruktur ikke misbrukes på en måte som kan få alvorlige skadefølger. Virksomhetssikkerhetsforskriften legger vekt på den enkelte virksomhets selvstendige ansvar.

Videre stiller sikkerhetsloven med forskrifter krav til blant annet risikovurdering og eventuelt varsling i anskaffelser der leverandøren får tilgang til skjermingsverdig ugradert informasjon/informasjonssystem samt der leverandør/personell kan få mulighet til å påvirke skjermingsverdig objekt, infrastruktur eller informasjonssystem.

Sikkerhetsloven regulerer hva som kan eller skal skje i hvilken rekkefølge og på hvilket stadium i anskaffelsesprosessen. Eksempelvis skal partene inngå sikkerhetsavtale før anskaffelsen iverksettes. Imidlertid kan en anskaffelse være kompleks, langvarig, ha mange deler eller bli endret underveis. Med bakgrunn i den lovpålagte risikovurderingen, så vil oppdragsgiver kunne avklare på et tidlig stadium hvor omfattende en sikkerhetsavtale kan bli. Derfor er det nødvendig også å kunne etablere eller endre en sikkerhetsavtale underveis i en anskaffelse, hvis det ikke kan gjøres eller er kjent i de tidlige fasene. Når partene senest må inngå sikkerhetsavtalen avhenger av når i anskaffelsesprosessen oppdragsgiveren velger å gjøre sikkerhetsgradert informasjon tilgjengelig. Sikkerhetsavtalen og de kontrollaktivitetene den kan medføre, skal være ferdig før oppdragsgiveren deler informasjonen. Hvilken leverandørklarering for virksomheten og hvilken sikkerhetsklarering for personellet som er nødvendig – eller om det overhodet er nødvendig med leverandørklarering og sikkerhetsklarering – avhenger av hvilken sikkerhetsgrad eller sikkerhetsklasse oppdragsgiveren har fastsatt for anskaffelsen. Sikkerhetskravene slår inn på ulike stadier, noen allerede før kontraktstildelingen, andre etterpå. Noen sikkerhetskrav er relevante bare i en kort, innledende periode, mens andre gjelder gjennom hele kontraktsperioden.

§ 1-2. Hvem loven gjelder for [andre ledd]

Loven gjelder for leverandører av varer eller tjenester i forbindelse med sikkerhetsgraderte anskaffelser etter kapittel 9.  

Tilbydere, leverandører og underleverandører i sikkerhetsgraderte anskaffelser er i tråd med § 1-2 automatisk underlagt relevante bestemmelser i sikkerhetsloven med forskrifter, altså utover lovens kapittel 9, avgrenset til den sikkerhetsgraderte anskaffelsen. Dette medfører eksempelvis at leverandøren ikke på eget initiativ kan iverksette egne graderte anskaffelser.