Veileder i anskaffelser etter sikkerhetsloven
Kontroll av om leverandøren oppfyller sikkerhetskravene
Som hovedregel skal klareringsmyndigheten føre kontroll med om leverandøren oppfyller sikkerhetskravene som gjelder for å inneha leverandørklarering. Kontroll med leverandører av sikkerhetsgraderte anskaffelser gjøres i den hensikt å avgjøre om leverandøren er sikkerhetsmessig skikket til, som ledd i sin leveranse, å få tilgang til eller tilvirke sikkerhetsgradert informasjon eller få tilgang til skjermingsverdig objekt eller infrastruktur.
Dette reguleres i klareringsforskriften:
§ 36. Kontroll av om leverandøren oppfyller sikkerhetskravene
Før leverandøren kan klareres, skal klareringsmyndigheten kontrollere at leverandøren oppfyller kravene til sikkerhetsstyring og beskyttelse av skjermingsverdige verdier i sikkerhetsloven og virksomhetsikkerhetsforskriften som gjelder for anskaffelsen. Dersom leverandøren ikke oppfyller kravene til sikkerhetsstyring eller ikke har gjennomført tilstrekkelige sikkerhetstiltak, skal en leverandørklarering ikke gis eller gis på vilkår. Klareringsmyndigheten skal kontrollere leverandøren på nytt dersom det i klareringens gyldighetstid er nødvendig ut fra en risikovurdering, er nødvendig som ledd i en reklarering eller dersom leverandøren selv ber om det. Er det gjennomført tilsyn med leverandøren, skal klareringsmyndigheten innhente en rapport fra tilsynsmyndigheten om tilsynet. Leverandøren skal motta skriftlig varsel før klareringsmyndigheten gjennomfører en stedlig kontroll. Kontrollen kan likevel gjennomføres uten varsel dersom det av sikkerhetshensyn er nødvendig å gjennomføre kontrollen uten at leverandøren varsles. Klareringsmyndigheten skal utarbeide en rapport fra kontrollen. Kontrollen etter første og andre ledd kan etter avtale med klareringsmyndigheten gjennomføres av oppdragsgiveren. Dersom det følger av sikkerhetsavtale mellom Norge og annen stat eller internasjonal organisasjon at kontrollen skal gjennomføres av andre, jf. virksomhetsikkerhetsforskriften § 84 andre ledd, skal klareringsmyndigheten be myndighetene i staten om å gjennomføre kontrollen.
Kontroll etter § 36 første og andre ledd kan oppdragsgiver og NSM avtale at oppdragsgiveren skal gjennomføre på vegne av sikkerhetsmyndigheten, jf. klareringsforskriften § 36 fjerde ledd. Dersom en slik fullmakt gis, er det en forutsetning at oppdragsgiveren har tilstrekkelig fagkompetanse. Avtalen vil inneholde avklaringer av hvem som skal gjøre hvilke oppgaver.
Dersom leverandøren ikke oppfyller kravene til sikkerhetsstyring eller ikke har gjennomført tilstrekkelige sikkerhetstiltak, kan leverandørklarering gis på vilkår, jf. § 36 første ledd. For at klarering på vilkår skal kunne gis, må det foreligge en risikovurdering foretatt av klareringsmyndigheten. I utgangspunktet er dette en snever unntaksbestemmelse og utfallet av risikovurderingen vil stå sentralt i vurderingen av om leverandørklarering på vilkår kan gis. Eksempelvis kan leverandørklarering gis på vilkår dersom leverandøren har iverksatt en prosess for sikring av objekt eller infrastruktur, kompenserende tiltak er på plass, og det vurderes at leverandøren ellers er sikkerhetsmessig skikket.