Når en oppdragsgiver varsler departementet om ikke ubetydelig risiko for sikkerhetstruende virksomhet (ved anskaffelser til skjermingsverdig informasjonssystem, objekt og infrastruktur), bør departementet normalt innhente rådgivende uttalelser fra relevante organer, som EOS-tjenestene.

Etter at nødvendig informasjon er samlet inn, kan departementet avgjøre saken i dialog med den aktuelle virksomheten. Et mulig utfall på dette stadiet er at oppdragsgiveren og departementet i fellesskap identifiserer risikoreduserende tiltak som løser saken.

Kommer departementet til at anskaffelsen ikke bør gjennomføres eller at det bør stilles nærmere vilkår for utførelsen, fremmer departementet saken for Kongen i statsråd, se § 9-4 fjerde ledd. For å muliggjøre en forsvarlig risikovurdering i den videre saksbehandlingen, skal varselet inneholde den informasjonen som er angitt i virksomhetsikkerhetsforskriften § 19 første ledd. Det forutsettes at virksomhetene har vurdert om risikoen kan reduseres tilstrekkelig ved egne tiltak.

Saksbehandling hos Kongen i statsråd kan medføre ytterligere tidsbruk og involverer flere aktører. Både av hensyn til sikkerheten i anskaffelsen og av hensyn til aktørenes ressursbruk, vil det oftest være en fordel om risikoen avklares så tidlig som mulig før oppdragsgiveren kunngjør anskaffelsen. Dersom det ikke er mulig, bør oppdragsgiveren orientere om en mulig varslingsprosedyre ved kunngjøringen eller for øvrig så snart som mulig. Mest mulig informasjon tidligst mulig vil kunne redusere usikkerheten for aktørene. Samtidig kan det tenkes tilfeller der trusselbildet brått endres, slik at varslingsplikt oppstår og varsel kan gis først underveis i anskaffelsesprosess.