Ved anskaffelser skal oppdragsgiver vurdere om anskaffelsen faller inn under kapittel 9 i sikkerhetsloven. Bestemmelsene, vurderingene og virkemidlene er knyttet til den enkelte anskaffelse og risikoen den kan medføre. Det er imidlertid sentralt at anskaffelsens verdi vurderes helhetlig, slik at all informasjon leverandøren vil få tilgang til, direkte eller indirekte, tas i betraktning. Verdivurderingen må være bredt anlagt. Den skal ikke bare omfatte informasjon leverandøren fysisk får utlevert fra oppdragsgiver, men må også omfatte den innsikt og den kunnskap leverandøren samlet sett vil opparbeide gjennom oppdraget. En anskaffelse har alltid en kontekst. En situasjon hvor et samlet bilde blir sikkerhetsgradert, kan like godt oppstå hos en underleverandør som hos hovedleverandøren. Oppdragsgiver skal ha oversikt over leverandørkjeden og inngå sikkerhetsavtaler også med underleverandører.

Verdi- og risikovurderingen bør omfatte hvilken betydning underleverandørforhold kan få for skjermingsverdige verdier eller tilganger. Oppdragsgiver skal ha, eller skaffe seg oversikt over den aktuelle underleverandørkjeden som vil kunne ha betydning for tilgang til skjermingsverdige verdier eller objekter. På bakgrunn av den vil oppdragsgiver kunne vurdere om det skal stilles spesielle krav i sikkerhetsavtalen og/eller kontrakts-/avtaleforhold som gir oppdragsgiver innsikt, varsling, eller annen oppdatert informasjon, f.eks. konkrete krav til oppdatering av informasjon om underleverandører. Det må legges til grunn at leverandøren skal varsle oppdragsgiver om endringer i underleverandørforholdene, regulert ved avtale, unntaket er hvis det åpenbart ikke vil være relevant for beskyttelsen av eller tilgangen til de skjermingsverdige verdiene.

Det er viktig at verdivurderingen gjøres tidlig i anskaffelsesløpet, med en kontekst og i et levetidsperspektiv, slik at verdivurderingen kan omfatte de avhengigheter som skapes og at oppdragsgiver han ha et informert syn på den informasjonen som kan sammenstilles hos leverandører.

Hvis verdivurderingen blir gjort tidlig nok, kan oppdragsgiver etablere en anskaffelsesstrategi i tråd med beskyttelsesbehovene, sammen med de andre behovene som ligger til grunn for anskaffelsesstrategien. Oppdragsgiver kan da velge anskaffelsesmetodene innenfor de mulighetene lovverket gir.

I et anskaffelsesløp kan det også være nødvendig å revurdere verdivurderingen når nye forhold blir kjent, enten det gjelder vurderinger som er gjort tidligere eller ikke. Det er ikke gitt at alle avhengigheter eller underleverandørkjeden kan være kjent på forhånd. En revurdert verdivurdering basert på nye forhold kan utløse et behov for å inngå egne sikkerhetsavtaler med underleverandører, der det før anskaffelsen ikke var et behov for dette. En revurdert verdivurdering kan også utløse behov for å iverksette en leverandørklareringsprosess, varsling eller andre sikkerhetstiltak i den aktuelle anskaffelsen, eller i andre anskaffelser.

Verdivurdering skal bidra til å oppfylle sikkerhetslovens formål (§1-1). Det er viktig at en verdivurdering ikke gjøres uten sammenheng. Den må bidra til å forstå aktivitetens betydning for å kunne oppfylle lovens formål.