Ved sikkerhetsgraderte anskaffelser skal det som hovedregel inngås en sikkerhetsavtale mellom oppdragsgiveren og leverandøren. Oppdragsgiver er den som skal gjennomføre en sikkerhetsgradert anskaffelse. Begrepet «oppdragsgiver» kan omfatte alle former for virksomhet som omfattes av sikkerhetsloven § 1-2 første ledd eller § 1-3. Ved vurderingen av om en virksomhet omfattes av loven er det uten betydning hvilken type virksomhet det er tale om: om det er et privat selskap, foretak, forvaltningsorgan, et hel- eller deleid statlig selskap, statsforetak, ideell organisasjon, stiftelse eller annet. Oppdragsgiveren anskaffer varer eller tjenester fra en leverandør. Underleverandør er den som understøtter leveranser til (hoved)leverandøren, og kravet om sikkerhetsavtale kan gjelde også underleverandøren.

Sikkerhetsavtalen formaliserer sikkerhetsmessige aspekter mellom partene i en sikkerhetsgradert anskaffelse, og skal legge til rette for at lokale forhold, praktisk gjennomføring og detaljer av betydning for sikkerheten kan reguleres tilfredsstillende. Oppdragsgiveren skal inngå sikkerhetsavtale med hver enkelt underleverandør i kjeden så langt det er nødvendig å dele sikkerhetsgradert informasjon eller gi tilgang til klassifisert objekt. Oppdragsgiveren må også ta i betraktning den samlede mengden informasjon leverandøren vil kunne få tilgang til i løpet leveransens varighet. Leverandører har ikke anledning til å dele gradert informasjon eller gi tilganger nedover i leverandørkjeden uten godkjenning fra oppdragsgiver.

Før en sikkerhetsgradert anskaffelse iverksettes, skal sikkerhetsavtale mellom oppdragsgiver og leverandør være inngått. Dette fremgår av sikkerhetsloven:

§ 9-2. Sikkerhetsavtale med leverandør

Før en sikkerhetsgradert anskaffelse iverksettes, skal virksomheten inngå en sikkerhetsavtale med leverandøren. Dersom en utenlandsk leverandør eller dennes personell må klareres eller gis tilgang til sikkerhetsgradert informasjon, skal sikkerhetsmyndigheten godkjenne leverandøren før det inngås en sikkerhetsavtale.

Sikkerhetsavtalen skal tydeliggjøre og konkretisere partenes plikter og ansvar etter loven. Sikkerhetsavtalen skal alltid inneholde hvilken sikkerhetsgrad anskaffelsen skal ha, jf. §§ 5-3 og 7-2, spesifisert for hver del av oppdraget, og hvordan leverandøren skal forholde seg til de av lovens krav som gjelder for anskaffelsen.

Leverandøren må selv dekke utgifter til å oppfylle krav som følger av lovens bestemmelser, hvis ikke noe annet følger av sikkerhetsavtalen.

Kongen kan gi forskrift om innholdet i en sikkerhetsavtale og om unntak fra kravet om sikkerhetsavtale.

Hvilken sikkerhetsgrad og hvilke krav som gjelder for den enkelte anskaffelsen vil avhenge av hva leverandøren får tilgang til ved anskaffelsen, jf. virksomhetssikkerhetsforskriften § 79. Det må i denne sammenheng gjennomføres en vurdering av hva leverandøren skal få tilgang til og hvilken risiko tilgangen kan medføre, dvs. anskaffelsens sikkerhetsgrad og/eller -klasse, jf. sikkerhetsloven § 5-3 og § 7-2.

Dersom sikkerhetsgraden øker i løpet av anskaffelsen, kan det være nødvendig å revidere eller inngå ny sikkerhetsavtale samt foreta ny leverandørklarering.

Nærmere beskrivelse av minimumskrav til sikkerhetsavtalens innhold følger av virksomhetssikkerhetsforskriften:

§ 80. Krav til sikkerhetsavtalen når en leverandør skal ha tilgang til sikkerhetsgradert informasjon, et skjermingsverdig objekt eller skjermingsverdig infrastruktur.
 

Dersom en leverandør skal ha tilgang til sikkerhetsgradert informasjon, et skjermingsverdig objekt eller skjermingsverdig infrastruktur i eller fra sine egne lokaler, skal det fremgå av sikkerhetsavtalen etter sikkerhetsloven § 9-2
a) hvilken sikkerhets- eller klassifiseringsgrad informasjonen, objektet eller infrastrukturen har
b) hvem som skal få tilgang til den sikkerhetsgraderte informasjonen eller det skjermingsverdige objektet eller infrastrukturen
c) hvordan den sikkerhetsgraderte informasjonen skal formidles mellom avtalepartene
d) hvilket informasjonssystem som skal brukes for å behandle den sikkerhetsgraderte informasjonen, eller for å få tilgang til det skjermingsverdige objektet eller infrastrukturen, og hvem som er ansvarlig for å godkjenne systemet
e) hvilke lokaler den sikkerhetsgraderte informasjonen skal behandles i
f) hvordan det skal varsles om sikkerhetstruende virksomhet og avvik fra sikkerhetskrav
g) om den sikkerhetsgraderte informasjonen skal leveres tilbake eller destrueres når oppdraget er avsluttet.
 

En sikkerhetsavtale kan tas inn i det ordinære avtaledokumentet for anskaffelsen.

Leverandøren er omfattet av sikkerhetslovens bestemmelser uavhengig av om det inngås en sikkerhetsavtale, men sikkerhetsavtalen tydeliggjør og operasjonaliserer de sikkerhetskrav som gjelder for den enkelte anskaffelse. Oppdragsgiver bør gjennom sikkerhetsavtalen skaffe seg adgang til å kontrollere at leverandøren etterlever gjeldende sikkerhetskrav for anskaffelsen. Avtalen skal tydeliggjøre og konkretisere partenes plikter og ansvar. Mislighold kan utløse sanksjoner som er hjemlet i sikkerhetsloven. Ofte framgår sanksjonene av avtalen. NSM anbefaler partene å benytte NSMs forslag til mal for sikkerhetsavtale.

Oppdragsgiver skal ha, eller skaffe seg oversikt over den aktuelle underleverandørkjeden som vil kunne ha betydning for tilgang til graderte verdier eller objekter. På bakgrunn av oversikten, vil oppdragsgiver kunne vurdere om det skal stilles spesielle krav i sikkerhetsavtalen og/eller kontrakts-/avtaleforhold som gir oppdragsgiver innsikt, varsling, eller lignende f.eks. konkrete krav til oppdatering av informasjon om underleverandører. Det må legges til grunn at leverandøren skal varsle oppdragsgiver om endringer i underleverandørforholdene, regulert ved avtale, unntaket er hvis det åpenbart ikke vil være relevant for beskyttelsen av eller tilgangen til de skjermingsverdige verdiene. 

Uansett nivå på anskaffelsen bør verdi- og risikovurderingen inneholde vurdering av underleverandørforhold og hvilken betydning de kan få for skjermingsverdige verdier eller tilganger. På bakgrunn av den vil oppdragsgiver kunne vurdere om det skal stilles spesielle krav i sikkerhetsavtalen og/eller kontrakts-/avtaleforhold som gir oppdragsgiver innsikt, varsling, eller lignende, f.eks. endring av daglig leder, sikkerhetsansvarlig, vesentlige eierinteresseendringer, eierform osv.   

Det følger av virksomhetssikkerhetsforskriften at det i særskilte tilfeller kan gjøres unntak fra krav om sikkerhetsavtale:

§ 81. Unntak fra krav om sikkerhetsavtale
Det kreves ikke sikkerhetsavtale etter sikkerhetsloven § 9-2 dersom leverandørens personell bare skal gis tilgang til sikkerhetsgradert informasjon, skjermingsverdige objekter eller skjermingsverdig infrastruktur under oppsyn av en representant for oppdragsgiveren.

Med «oppsyn» menes at en representant for oppdragsgiveren, for eksempel en ansatt eller innleid personell, har kontroll over hvor i lokalene leverandørens personell til enhver tid oppholder seg, eller hvilke operasjoner leverandørens personell gjør i et informasjonssystem for behandling av sikkerhetsgradert informasjon.

For at oppsynet fra oppdragsgiverens representant skal gi en reell beskyttelse må representanten ha kontroll med hva leverandørens personell til enhver tid foretar seg. Dette medfører at representanten må ha tilstrekkelig kompetanse til å forstå om leverandøren vil ha mulighet til å skade objektet eller infrastrukturen, eller hente ut, endre eller slette informasjon, eller etterlate noe som vil kunne gjøre det senere.

Et eksempel der det ikke kreves sikkerhetsavtale kan være når leverandørens personell må ha tilgang til skjermingsverdig objekt eller infrastruktur for å utføre kortvarig og enkelt arbeid eller vedlikehold av begrenset omgang. Oppdragsgiver må da følge leverandørens personell og sørge for at den/disse ikke får tilgang til annet enn det som er relevant for oppdraget.

Paragrafene 80 og 81 gir ikke en uttømmende liste over mulige situasjoner og omstendigheter. Det kan derfor tenkes anskaffelser som ikke kommer inn under virksomhetssikkerhetsforskriften § 80 eller § 81, men hvor kravet om sikkerhetsavtale etter sikkerhetsloven § 9-2 likevel gjelder.