Ved sikkerhetsgradert anskaffelse som medfører at leverandøren kan få tilgang til informasjon gradert KONFIDENSIELT eller høyere, eller objekt og infrastruktur klassifisert KRITISK eller høyere, skal leverandøren klareres. Leverandørklarering må også foreligge dersom dette er nødvendig for å oppnå forsvarlig sikkerhetsnivå i anskaffelsen. Oppdragsgiveren er forpliktet til å sørge for at leverandørene har tilstrekkelig risiko- og sikkerhetsforståelse, jf. sikkerhetsloven § 4-1 andre ledd.

Kravet om leverandørklarering er et eksempel på at høyere klarerings-/klassifiseringsnivå sikres med sterkere tiltak. Sikkerhetsloven § 9-3 andre ledd peker på at det ikke skal være «noen rimelig grunn til å tvile på at leverandøren er sikkerhetsmessig skikket». I dette ligger det blant annet at leverandøren skal være skikket til å bidra i, og ivareta eget ansvar i, det forebyggende sikkerhetsarbeidet.

Leverandørklarering av virksomheter etter sikkerhetsloven kan være tidkrevende og må medregnes i planleggingen av anskaffelsen.

Kravet til leverandørklarering fremgår av sikkerhetsloven:

§ 9-3. Leverandørklarering        

Før en leverandør kan få tilgang til informasjon gradert KONFIDENSIELT eller høyere, skal leverandøren ha gyldig klarering for angitt sikkerhetsgrad. Leverandøren skal også klareres dersom det er nødvendig av andre grunner.

En leverandørklarering skal bare gis dersom det ikke er noen rimelig grunn til å tvile på at leverandøren er sikkerhetsmessig skikket. I vurderingen skal det bare legges vekt på forhold som kan innvirke på leverandørens evne og vilje til å gjøre forebyggende sikkerhetsarbeid etter loven. En personkontroll av personer i leverandørens styre og ledelse skal være en del av vurderingsgrunnlaget.

Leverandøren skal gi klareringsmyndigheten alle opplysninger som kan ha betydning for leverandørklareringen.

Leverandøren skal så snart som mulig orientere klareringsmyndigheten om endringer i styret eller ledelsen, endringer i eierstrukturen, flytting av lokaliteter og utstyr, åpning av gjeldsforhandling, begjæring om konkurs og annet som kan påvirke vurderingen av om leverandøren er sikkerhetsmessig skikket. Dersom det oppstår en sikkerhetsrisiko som ikke kan fjernes med forebyggende sikkerhetstiltak, kan klareringsmyndigheten inndra leverandørklareringen. Sikkerhetsgradert informasjon eller skjermingsverdige objekter eller infrastruktur kan ikke overføres til en ny eier eller inngå i bobehandling ved gjeldsforhandling eller konkurs hvis ikke klareringsmyndigheten har samtykket til det.

For øvrig gjelder reglene i kapittel 8 så langt de passer.

Kongen utpeker en klareringsmyndighet for leverandørklarering. Kongen kan gi forskrift om krav til leverandørklarering og varigheten av klareringen.

Saksbehandlingsreglene i sikkerhetsloven kapittel 8 om personellsikkerhet, herunder bestemmelsene om begrunnelse og klage i klareringssaker, gjelder «så langt de passer» for leverandørklareringer. Det er klagerett, men sammenlignet med klage etter ordinære forvaltningsrettslige regler vil klageren i klareringssaker ha noe færre rettigheter. Eksempelvis kan klareringsmyndigheten normalt ikke gi innsyn i sikkerhetsgraderte opplysninger som inngår i vurderingsgrunnlaget og begrunnelsen.

Kravet til leverandørklarering er videre presisert i virksomhetssikkerhetsforskriften:

§ 83. Krav om leverandørklarering
En leverandør til en sikkerhetsgradert anskaffelse skal ha leverandørklarering når det er nødvendig for å oppnå et forsvarlig sikkerhetsnivå under anskaffelsen. Leverandøren skal uansett ha leverandørklarering dersom den skal
a) ha tilgang til eller oppbevare informasjon gradert KONFIDENSIELT eller høyere i sine egne informasjonssystemer eller lokaler

b) ha elektronisk tilgang fra sine egne informasjonssystemer eller lokaler til objekter eller infrastruktur klassifisert KRITISK eller MEGET KRITISK

c) råde over objekter eller infrastruktur som tilhører oppdragsgiveren, og som er klassifisert KRITISK eller MEGET KRITISK. 

Hvorvidt det kreves leverandørklarering for anskaffelser til skjermingsverdig objekt eller infrastruktur må avgjøres i hvert enkelt tilfelle, med mindre tilfellet faller inn under bestemmelsens bokstav a til c. I vurderingen av nødvendighetskravet i bestemmelsens første setning, skal det blant annet legges vekt på om leverandørens personell får tilgang til hele eller deler av objektet eller infrastrukturen og om dette har et høyt skadepotensial.

Eksempler:

  • Leverandøren eier en lokasjon hvor det er etablert et datasenter og har mulighet til å skru av strøm eller kjøling. Dette vil kunne påvirke tilgjengeligheten og til dels integriteten til tjenesten.
  • Leverandøren er et vaktselskap som har ansvaret for beskyttelsen av objekt eller infrastruktur og kan påvirke alarm, adgangskontroll og overvåkningssensorer. Dette kan påvirke objektet eller infrastrukturens tilgjengelighet og konfidensialitet.

Med «råde over» i § 83 bokstav c menes at en leverandør eller dennes personell har objektet eller infrastrukturen under sin kontroll og kan påvirke objektet eller infrastrukturens integritet, tilgjengelighet eller konfidensialitet.

Der oppdragsgiveren og leverandøren inngår sikkerhetsavtale, men leverandøren ikke faller inn under bokstav a til c i § 83, kan en leverandørklarering likevel være nødvendig for å oppnå et forsvarlig sikkerhetsnivå. I slike saker vil først oppdragsgiveren og senere leverandørklareringsmyndigheten vurdere forholdene som er relevante i anskaffelsen i leverandørklareringen. Følgende kan være relevante forhold i vurderingen:

  • Sikkerhetsgraderingen/klassifiseringen i anskaffelsen
  • Kriteriene nevnt i klareringsforskriften § 33

Bestemmelsens krav om leverandørklarering gjelder også i tilbudsfasen av en anskaffelse, selv om det i tilbudsfasen ofte er utrykket tilbyder og ikke leverandør som brukes. Virksomhetssikkerhetsforskriften § 79 nevner tilbydere eksplisitt, men ofte må tilbyderne innfortolkes der hvor loven og forskriftene omtaler leverandører.

Det vil være hensiktsmessig å forsøke å begrense graderingsnivå og omfang av utlevering av gradert informasjon i en tilbudsfase, både for å ivareta fremdriften til anskaffelsen og for å ivareta prinsippet om minst mulig inngripende tiltak overfor leverandøren.