Virksomheter som skal anskaffe varer eller tjenester til skjermingsverdig informasjonssystem, objekt eller infrastruktur, plikter å vurdere om anskaffelsen innebærer en ikke ubetydelig risiko for at verdiene blir rammet av eller brukt til sikkerhetstruende virksomhet, jf. sikkerhetsloven § 9-4. Hvis denne vurderingen viser at det foreligger en slik risiko og at risiko ikke kan redusere, skal virksomheten varsle departementet. Eksempelvis, kan en utenlandsk leverandør senke priser for å levere billigere teknologi til et skjermingsverdig objekt i Norge. Tilgangen til objektet kan potensielt utnyttes til sikkerhetstruende virksomhet.

Virksomheter som ikke er underlagt noe departement, skal varsle NSM. Varslingsplikten gjelder uavhengig av eventuell taushetsplikt.

Dersom anskaffelsen er sikkerhetsgradert og leverandøren har en leverandørklarering, skal for øvrig leverandøren også orientere klareringsmyndigheten om endringer i eierstrukturen, jf. sikkerhetsloven § 9-3 fjerde ledd.