Generelt om sikkerhet i offentlige anskaffelser
Både den nylig vedtatte sikkerhetsloven og anskaffelsesregelverket skal ivareta sikkerhetshensyn, men det er ikke alltid like enkelt å kombinere hensynet til sikkerhet opp mot anskaffelsesreglenes grunnleggende krav til blant annet konkurranse og gjennomsiktighet. Nærings- og fiskeridepartementet og Forsvarsdepartementet har nå gitt ut en «Veileder om ivaretakelse av sikkerhet i offentlige anskaffelser», som vil kunne gi noen råd.
Offentlige organer som er underlagt anskaffelsesregelverket vil som en hovedregel også være underlagt sikkerhetsloven. Sikkerhetsloven stiller særlige krav til enkelte anskaffelser og en anskaffelse kan dermed både være underlagt anskaffelsesregelverket og sikkerhetsloven. Ikke alle anskaffelser der det er nødvendig å stille krav til sikkerhet vil imidlertid være underlagt sikkerhetsloven. Det kan også være tilfeller der en anskaffelse er unntatt fra anskaffelsesregelverket, men hvor sikkerhetshensyn likevel gjør seg gjeldende. Veilederen viser for eksempel til at EØS-avtalen artikkel 123 unntar anskaffelser til forsvarssektoren, kritisk infrastruktur som er av vesentlig sikkerhetsinteresser og øvrig sikkerhetsanskaffelser, og til anskaffelsesforskriften § 2-2 som gir adgang til å unnta anskaffelser som gjelder sikkerhetsmessige forhold eller som er erklært hemmelige, eller som bare kan utføres under særlige sikkerhetstiltak.
Veilederen har som formål å synliggjøre sammenhengen mellom regelverkene og handlingsrommet anskaffelsesregelverket gir for å ivareta sikkerhetshensyn. Det presiseres imidlertid at de enkelte anskaffelser må vurderes konkret, og at det er viktig å knytte til seg nødvendig sikkerhetsfaglige kompetanse.
Veilederen har som formål å synliggjøre sammenhengen mellom regelverkene og handlingsrommet anskaffelsesregelverket gir for å ivareta sikkerhetshensyn. Det presiseres imidlertid at de enkelte anskaffelser må vurderes konkret, og at det er viktig å knytte til seg nødvendig sikkerhetsfaglige kompetanse.
Risikovurdering
En anskaffelsesprosess består av flere faser der oppdragsgiverne må foreta ulike vurderinger og beslutninger for å sikre at anskaffelsen både gir god behovsdekning og at den blir gjennomført i henhold til lover og regler. For å sikre at relevante sikkerhetshensyn ivaretas, peker veilederen på at det i alle anskaffelser er viktig å identifisere disse tidlig. Allerede i planleggingsfasen må derfor oppdragsgiveren gjennomføre risikovurderinger. I noen tilfeller vil dette etter relevant regelverk også være et krav. For eksempel stilles det krav til risikostyring etter sikkerhetsloven. Veilederen gir nærmere retningslinjer for slike risikovurderinger og viser til at slike må ta utgangspunkt i tre hoveddeler; identifisering, som skal lede til en oversikt over relevante sikkerhetsrisikoer knyttet til anskaffelsen, risikoanalyse av sikkerhetsrisikoene, og en evaluering som skal ta stilling til hvilke risikoer som kan aksepteres, og hvilke som krever nærmere håndtering.
For å sikre at relevante sikkerhetshensyn ivaretas, peker veilederen på at det i alle anskaffelser er viktig å identifisere disse tidlig. Allerede i planleggingsfasen må derfor oppdragsgiveren gjennomføre risikovurderinger.
Krav til sikkerhet etter sikkerhetsloven i anskaffelsesprosessen
Sikkerhetsloven er en rammelov som gjelder for statlige, fylkeskommunale og kommunale organer, leverandører av varer og tjenester i forbindelse med sikkerhetsgraderte anskaffelser og for virksomheter som blir utpekt av departementene. Loven har som formål å regulere forebyggende sikkerhetsarbeid i virksomheter av betydning for nasjonal sikkerhet.
Sikkerhetsloven har egne regler om sikkerhetsgraderte anskaffelser. Dette er anskaffelser som innebærer at leverandøren av varen eller tjenesten kan få tilgang til eller tilvirker sikkerhetsgradert informasjon, eller få tilgang til et skjermingsverdig objekt eller infrastruktur.
Der risikoanalysen viser at anskaffelsen vil gjelde en sikkerhetsgradert anskaffelse underlagt sikkerhetsloven, er det viktig å være oppmerksom på de særlige krav som da gjelder og ivareta disse i anskaffelsesprosessen. Veilederen gir en nærmere gjennomgang av disse, men viser også til at NSM arbeider med egen veileder om sikkerhetsgraderte anskaffelser etter sikkerhetsloven som vil bli publisert senere.
For sikkerhetsgraderte anskaffelser stilles det i sikkerhetsloven kapittel 9 krav til sikkerhetsavtale med leverandørene, leverandørklarering og varslingsplikt til myndighetene. Hvilke krav og på hvilket tidspunkt i anskaffelsen kravene må oppfylles, avhenger av når leverandøren eller personellet får tilgang til skjermingsverdig informasjon, informasjonssystem, infrastruktur eller objekt. Oppdragsgiverne må ta hensyn til disse pliktene tidlig i planleggingen av anskaffelsene og ta hensyn til at krav til sikkerhet kan ta tid og at krav kan stilles i flere faser av anskaffelsen. Gis tilbydere tilgang til sikkerhetsgradert informasjon allerede i konkurransefasen, må det for eksempel inngås sikkerhetsavtale og innhentes leverandørklarering fra alle tilbyderne. Gis det tilgangen først i forbindelse med kontraktsgjennomføringen, kan det være tilstrekkelig med sikkerhetsavtale og leverandørklarering med valgt tilbyder.
Ved sikkerhetsgraderte anskaffelser stilles i tillegg krav til personellsikkerhet. Personer som skal få tilgang til sikkerhetsgradert informasjon, skal autoriseres og eventuelt sikkerhetsklareres. Kravet gjelder for alle graderingsnivåer, det vil si for informasjon som er gradert BEGRENSET og oppover. Dersom en utenlandsk leverandør eller dennes personell må klareres eller gis tilgang til sikkerhetsgradert informasjon, skal sikkerhetsmyndigheten godkjenne leverandøren før det inngås en sikkerhetsavtale.
Hvilke krav og på hvilket tidspunkt i anskaffelsen kravene må oppfylles, avhenger av når leverandøren eller personellet får tilgang til skjermingsverdig informasjon, informasjonssystem, infrastruktur eller objekt.
Krav til ivaretakelse av sikkerhet etter anskaffelsesregelverket
I mange tilfeller er sikkerhetshensynene ikke av en slik karakter at sikkerhetsloven gjelder. Likevel kan oppdragsgivere i en anskaffelsesprosess ha behov for å stille krav til at ulike sikkerhetshensyn ivaretas. Veilederen viser til at slike krav kan stilles i de ulike fasene av anskaffelsesprosessen; som kvalifikasjonskrav, som tildelingskriterier, i kravspesifikasjonen, eller i kontraktsvilkårene.
Gjennom å stille krav til leverandørenes kvalifikasjoner, kan oppdragsgivere sikre at leverandørene har tilstrekkelige tekniske og faglige kvalifikasjoner. Veilederen viser blant annet til og gir eksempler på at man ved krav til leverandørenes erfaring kan sikre at leverandøren har erfaring med å ivareta nødvendige sikkerhetshensyn i det omfang som anses ønskelig. Videre vises til at det kan stilles visse krav til testing og kontroll i kvalifikasjonskravene.
Når det gjelder tildelingskriteriene, gir veilederen begrenset veiledning. Det pekes imidlertid på et helt sentralt poeng; at tildelingskriteriene ikke er egnet til å stille krav som er helt nødvendig for å ivareta sikkerhetshensyn og at eventuelle kriterier derfor heller bør benyttes for å oppnå en merverdi utover minstekrav. Videre vises til de generelle krav som alltid gjelder for fastsettelse av tildelingskriterier; at de må ha tilknytning til leveransen og ikke gi ubegrenset valgfrihet.
For ivaretakelse av sikkerhetshensyn fremstår regulering i kravspesifikasjonen og kontraktsvilkårene som særlig relevant. Veilederen viser også til at oppdragsgivere kan benytte både kravspesifikasjonen og kontraktsvilkår til å stille krav til ivaretakelse av sikkerhet. Relevante krav til sikkerhet kan for eksempel stilles som absolutte krav i kravspesifikasjonen slik at leverandører som ikke oppfyller kravene kan avvises. Gjennom kontrakten kan sikkerhetshensyn ivaretas gjennom krav til konfidensialitet, mulighet for revisjon og stedlig kontroll, samt sanksjoner ved mislighold. Gjennom denne typen vilkår forpliktes leverandøren til å overholde sikkerhetskravene i kontrakten for øvrig, og oppdragsgiveren gis mulighet til etterprøve leverandørens opplysninger.
