I enkelte tilfeller kan det være aktuelt å benytte en utenlandsk leverandør i en sikkerhetsgradert anskaffelse. Med utenlandsk leverandør menes en leverandør med lokaler utenfor norsk jurisdiksjon eller som driver sin virksomhet fra en annen stats jurisdiksjon.

Disse anskaffelsene er nærmere regulert i sikkerhetsloven § 9-2 første ledd andre punktum, virksomhetssikkerhetsforskriften § 84, klareringsforskriften § 32 samt i bilaterale sikkerhetsavtaler inngått mellom Norge og myndighetene i andre land.

Ønsker en virksomhet å benytte en leverandør lokalisert i et annet land, må det foreligge en godkjennelse av NSM, jf. sikkerhetslovens § 9-2 første ledd andre punktum. Virksomheten må derfor fremsende en forespørsel til NSM hvor leverandøren, og det land hvor denne er lokalisert, identifiseres. For anskaffelser som innebærer at leverandøren vil få tilgang til norsk sikkerhetsgradert informasjon/informasjonssystem, vil NSM, som hovedregel, bare kunne gi en slik godkjenning hvis det foreligger en bilateral sikkerhetsavtale mellom myndighetene i Norge og myndighetene i landet hvor leverandøren er lokalisert, jf. virksomhetssikkerhetsforskriften § 25.

I de tilfeller det kreves leverandørklarering av en leverandør lokalisert i et annet land, følger det av klareringsforskriften § 32, samt de bilaterale sikkerhetsavtalene myndighetene i Norge har inngått, at sikkerhetsmyndighetene i landet hvor leverandøren er lokalisert gjennomfører klareringsprosessen, og utsteder hva som internasjonalt betegnes som en «Facility Security Clearance». De bilaterale sikkerhetsavtalenes systematikk er at forespørsel og bekreftelse av leverandørklareringer skjer i en prosess mellom de to landenes sikkerhetsmyndigheter. Virksomheten som ønsker å benytte en leverandør i et annet land må derfor forespørre NSM, som deretter vil videresende forespørselen til sikkerhetsmyndigheten i det aktuelle landet. Den annen stats sikkerhetsmyndighet vil gi en bekreftelse tilbake til NSM når leverandørklarering foreligger, og NSM vil deretter informere virksomheten som skal gjennomføre anskaffelsen om dette.

I henhold til de bilaterale sikkerhetsavtalene vil nødvendig sikkerhetsklarering av leverandørens personell bli foretatt av de kompetente myndigheter i landet hvor leverandøren er lokalisert, og sikkerhetsmyndigheten vil der dette er nødvendig bekrefte personellets klareringsstatus. Dette innebærer at det normalt ikke skal utstedes norske sikkerhetsklareringer til leverandørens personell der leverandøren er lokalisert i en annen stat. Det er imidlertid en åpning for at klareringsmyndighetene likevel kan klarere personen, jf. sikkerhetsloven § 8-7.

Sikkerhetsavtalen som blir inngått mellom den norske virksomheten som gjennomfører en sikkerhetsgradert anskaffelse og leverandøren i en annen stat forutsettes fremsendt til NSM. NSM vil i henhold til internasjonale forpliktelser etter de bilaterale sikkerhetsavtalene fremsende disse til sikkerhetsmyndigheten i landet hvor leverandøren er lokalisert, hvor de vil tjene som grunnlag for kontroll med leverandøren. Internasjonalt vil disse avtalene gjerne bli omtalt som «Security Clauses», eller i kontrakter som krever mer omfattende sikkerhetsmessige reguleringer som «Project Security Instructions» (PSI).

Der leverandørens personell har behov for å gjennomføre et besøk i Norge i forbindelse med en sikkerhetsgradert anskaffelse, må besøket gjennomføres i samsvar med virksomhetssikkerhetsforskriften § 87. Denne bestemmelsen stiller krav om at den besøkendes identitet og klarering skal kontrolleres. Utfyllende bestemmelser om gjennomføring av besøk som vil gi tilgang til sikkerhetsgradert informasjon følger av de ulike bilaterale sikkerhetsavtalene Norge har inngått. Det bærende prinsipp i disse avtalene er at besøksanmodninger (internasjonalt omtalt som «Request for Visit» (RfV)) som vil gi tilgang til sikkerhetsgradert informasjon skal fremsendes og klareres gjennom statenes respektive kompetente sikkerhetsmyndigheter, og at personellets sikkerhetsklarering bekreftes av leverandørenes sikkerhetsmyndighet som ledd i denne prosessen. I denne prosessen benyttes et internasjonalt anerkjent skjema. I Norge er utøvelsen av besøkskontrollregimet delegert til Forsvarets sikkerhetsavdeling (FSA).

I den sikkerhetsgraderte kontraktens løpetid vil sikkerhetsmyndighetene i landet hvor leverandøren er lokalisert være forpliktet til å forestå sikkerhetsmessig oppfølging og tilsyn med leverandøren. Denne oppfølgingen vil bli gjennomført i henhold til det aktuelle landets nasjonale lovgivning, og plikten følger av den bilaterale sikkerhetsavtalen mellom myndighetene i Norge og myndighetene i det aktuelle landet.

Prosessen knyttet til bruk av leverandører i et annet land kan illustreres slik: 

Skjema over prosess

Klareringsmyndigheten eller oppdragsgiver skal ikke føre kontroll dersom det følger av sikkerhetsavtale mellom Norge og annen stat eller internasjonal organisasjon at kontrollen skal gjennomføres av andre.