Ved behov for leverandørklarering skal oppdragsgiveren be klareringsmyndigheten om å klarere leverandøren. Dette følger av virksomhetssikkerhetsforskriften:

§ 85. Forespørsel om leverandørklarering

Oppdragsgivere skal be klareringsmyndigheten om en leverandørklarering. Forespørselen skal inneholde informasjon om det høyeste graderingsnivå i anskaffelsen, jf. § 79, og egenopplysninger fra leverandøren, jf. klareringsforskriften § 35 [§ 34 red.anm.].

Ved forespørsel om leverandørklarering skal oppdragsgiver vurdere graderingsnivået samt oversende egenopplysninger fra leverandøren til klareringsmyndigheten. Det stilles samme sikkerhetsmessige krav til underleverandør som til hovedleverandør. Dette fremkommer av virksomhetssikkerhetsforskriften:

§ 79. Vurdering av graderingsnivået for ulike deler av en sikkerhetsgradert anskaffelse

Oppdragsgiveren skal ta stilling til hva tilbydere, leverandører og underleverandører kan få tilgang til av sikkerhetsgradert informasjon, skjermingsverdige objekter eller skjermingsverdig infrastruktur i de ulike fasene av en sikkerhetsgradert anskaffelse.

Og klareringsforskriften:

§ 34. Egenopplysninger fra leverandøren

En leverandør som skal klareres, skal gi samtykke til å bli kontrollert og i skjema fastsatt av Nasjonal sikkerhetsmyndighet gi opplysninger om

a) leverandørens navn, adresse og eierstruktur

b) utenlandske eierinteresser i leverandøren

c) leverandørens eierinteresser i utlandet

d) navn, fødselsnummer og statsborgerskap for virksomhetens leder

e) pågående oppdrag for utenlandske oppdragsgivere, med opplysninger om oppdragsgivere og hvilken andel av leverandørens omsetning oppdragene utgjør.

 

Leverandøren skal sammen med skjemaet levere skisser eller tegninger over lokalene som skal brukes til behandling og oppbevaring av sikkerhetsgradert informasjon.

Ved gjennomføringen av leverandørklarering vil klareringsmyndigheten legge til grunn det vurderingsgrunnlaget som fremgår av klareringsforskriften § 33 og kan innhente ytterligere opplysninger om leverandøren fra kilder som fremkommer i klareringsforskriften § 35.

Det bemerkes særskilt at før en leverandørklarering kan gis, skal leverandørens leder og styremedlemmer klareres for det samme nivå som det er bedt om leverandørklarering for, jf. klareringsforskriften § 33 andre ledd. En personkontroll av personer i leverandørens styre og ledelse skal være en del av vurderingsgrunnlaget, jf. sikkerhetsloven § 9-3 andre ledd tredje punktum. Der hvor et styremedlem eller virksomhetens leder ikke kan klareres, kan vedkommende gi avkall på rett til innsyn i sikkerhetsgradert informasjon eller tilgang til skjermingsverdig objekt/infrastruktur. Gitt at sikkerhetsklarering er en inngripende prosess, legger NSM til grunn at det ikke er et krav at det før innsynsretten fraskrives må være gjennomført en klareringsprosess med et negativt utfall. Det anbefales at NSMs skjema for avkall på innsynsrett benyttes.

Leverandørklareringens varighet fremgår av klareringsforskriften:

§ 38. Leverandørklareringers gyldighetstid

En leverandørklarering kan gis for inntil fem år, med mindre annet følger av avtale mellom Norge og en annen stat eller internasjonal organisasjon.

Bestemmelsen åpner for en viss fleksibilitet i form av at leverandørklarering kan gis for inntil fem år. Kortere leverandørklarering kan gis dersom det er åpenbart at leverandørklareringen ikke vil bli benyttet i fem år, eller at leverandøren ikke ønsker å opprettholde sikkerhetstiltakene etter at oppdraget som utløser klareringsbehovet er avsluttet. Nasjonal sikkerhetsmyndighet klarerer norske leverandører i forbindelse med sikkerhetsgraderte anskaffelser. Utenlandske leverandører klareres av myndigheten i sitt hjemland, jf. klareringsforskriften § 32. Oppdragsgiveren sender sin forespørsel om klareringsstatus eller leverandøklarering til Nasjonal sikkerhetsmyndighet, også når det gjelder en utenlandsk leverandør.