Ved sikkerhetsgraderte anskaffelser skal det som hovedregel inngås en sikkerhetsavtale mellom oppdragsgiveren og leverandøren. Oppdragsgiver er den som skal gjennomføre en sikkerhetsgradert anskaffelse. Begrepet «oppdragsgiver» kan omfatte alle former for virksomhet som omfattes av sikkerhetsloven § 1-2 første ledd eller § 1-3. Ved vurderingen av om en virksomhet omfattes av loven er det uten betydning om det er et privat selskap, foretak, forvaltningsorgan, forvaltningsbedrift, et hel- eller deleid statlig selskap, statsforetak, ideell organisasjon, stiftelse eller annet. Oppdragsgiveren anskaffer varer eller tjenester fra en leverandør. Underleverandør er den som understøtter leveranser til (hoved)leverandøren, og kravet om sikkerhetsavtale kan gjelde også underleverandøren.

Sikkerhetsavtalen formaliserer sikkerhetsmessige aspekter i forbindelse med en sikkerhetsgradert anskaffelse, og skal legge til rette for at lokale forhold, praktisk gjennomføring og detaljer av betydning for sikkerheten kan reguleres tilfredsstillende.

Før en sikkerhetsgradert anskaffelse iverksettes, skal sikkerhetsavtale mellom oppdragsgiver og leverandør være inngått. Dette fremgår av sikkerhetsloven:

§ 9-2. Sikkerhetsavtale med leverandør

Før en sikkerhetsgradert anskaffelse iverksettes, skal virksomheten inngå en sikkerhetsavtale med leverandøren. Dersom en utenlandsk leverandør eller dennes personell må klareres eller gis tilgang til sikkerhetsgradert informasjon, skal sikkerhetsmyndigheten godkjenne leverandøren før det inngås en sikkerhetsavtale.

 

Sikkerhetsavtalen skal tydeliggjøre og konkretisere partenes plikter og ansvar etter loven. Sikkerhetsavtalen skal alltid inneholde hvilken sikkerhetsgrad anskaffelsen skal ha, jf. §§ 5-3 og 7-2, spesifisert for hver del av oppdraget, og hvordan leverandøren skal forholde seg til de av lovens krav som gjelder for anskaffelsen.

 

Leverandøren må selv dekke utgifter til å oppfylle krav som følger av lovens bestemmelser, hvis ikke noe annet følger av sikkerhetsavtalen.

 

Kongen kan gi forskrift om innholdet i en sikkerhetsavtale og om unntak fra kravet om sikkerhetsavtale.

Hvilken sikkerhetsgrad og hvilke krav som gjelder for den enkelte anskaffelsen vil avhenge av hva leverandøren får tilgang til ved anskaffelsen, jf. virksomhetssikkerhetsforskriften § 79.

Det må i denne  sammenheng gjennomføres en vurdering av anskaffelsens sikkerhetsgrad og/eller -klasse, jf. sikkerhetsloven § 5-3 og § 7-2.

Dersom sikkerhetsgraden øker i løpet av anskaffelsen, kan det være nødvendig å revidere eller inngå ny sikkerhetsavtale samt foreta ny leverandørklarering.

Nærmere beskrivelse av sikkerhetsavtalens innhold følger av virksomhetssikkerhetsforskriften:

§ 80. Krav til sikkerhetsavtalen når en leverandør skal ha tilgang til sikkerhetsgradert informasjon, et skjermingsverdig objekt eller skjermingsverdig infrastruktur.

 

Dersom en leverandør skal ha tilgang til sikkerhetsgradert informasjon, et skjermingsverdig objekt eller skjermingsverdig infrastruktur i eller fra sine egne lokaler, skal det fremgå av sikkerhetsavtalen etter sikkerhetsloven § 9-2

 

a) hvilken sikkerhets- eller klassifiseringsgrad informasjonen, objektet eller infrastrukturen har

b) hvem som skal få tilgang til den sikkerhetsgraderte informasjonen eller det skjermingsverdige objektet eller infrastrukturen

c) hvordan den sikkerhetsgraderte informasjonen skal formidles mellom avtalepartene

d) hvilket informasjonssystem som skal brukes for å behandle den sikkerhetsgraderte informasjonen, eller for å få tilgang til det skjermingsverdige objektet eller infrastrukturen, og hvem som er ansvarlig for å godkjenne systemet

e) hvilke lokaler den sikkerhetsgraderte informasjonen skal behandles i

f) hvordan det skal varsles om sikkerhetstruende virksomhet og avvik fra sikkerhetskrav g) om den sikkerhetsgraderte informasjonen skal leveres tilbake eller destrueres når oppdraget er avsluttet.

 

En sikkerhetsavtale kan tas inn i det ordinære avtaledokumentet for anskaffelsen.

Leverandøren er omfattet av sikkerhetslovens bestemmelser uavhengig av om det inngås en sikkerhetsavtale, men sikkerhetsavtalen tydeliggjør og operasjonaliserer de sikkerhetskrav som gjelder for den enkelte anskaffelse. Oppdragsgiver bør gjennom sikkerhetsavtalen skaffe seg adgang til å kontrollere at leverandøren etterlever gjeldende sikkerhetskrav for anskaffelsen. Avtalen skal tydeliggjøre og konkretisere partenes plikter og ansvar. Mislighold kan utløse sanksjoner som er hjemlet i sikkerhetsloven. Ofte framgår sanksjonene av avtalen. NSM anbefaler partene å benytte NSMs mal for sikkerhetsavtale.

Det følger av virksomhetssikkerhetsforskriften at det i særskilte tilfeller kan gjøres unntak fra krav om sikkerhetsavtale:

§ 81. Unntak fra krav om sikkerhetsavtale

Det kreves ikke sikkerhetsavtale etter sikkerhetsloven § 9-2 dersom leverandørens personell bare skal gis tilgang til sikkerhetsgradert informasjon, skjermingsverdige objekter eller skjermingsverdig infrastruktur under oppsyn av en representant for oppdragsgiveren.

Med «oppsyn» menes at en representant for oppdragsgiveren, for eksempel en ansatt eller innleid personell, har kontroll over hvor i lokalene leverandørens personell til enhver tid oppholder seg, eller hvilke operasjoner leverandørens personell gjør i et informasjonssystem for behandling av sikkerhetsgradert informasjon.

For at oppsynet fra oppdragsgiverens representant skal gi en reell beskyttelse må representanten ha kontroll med hva leverandørens personell til enhver tid foretar seg. Dette medfører at representanten må ha tilstrekkelig kompetanse til å forstå om leverandøren vil ha mulighet til å skade objektet eller infrastrukturen, eller hente ut, endre eller slette informasjon.

Et eksempel der det ikke kreves sikkerhetsavtale kan være når leverandørens personell må ha tilgang til skjermingsverdig objekt eller infrastruktur for å utføre arbeid eller vedlikehold. Oppdragsgiver må da følge leverandørens personell og sørge for at den/disse ikke får tilgang til annet enn det som er relevant for oppdraget.

Paragrafene 80 og 81 gir ikke en uttømmende liste over mulige situasjoner og omstendigheter. Det kan derfor tenkes anskaffelser som ikke kommer inn under virksomhetssikkerhetsforskriften § 80 eller § 81, men hvor kravet om sikkerhetsavtale etter sikkerhetsloven § 9-2 likevel gjelder.