Sikkerhet i anskaffelser

Messebygg og soldat Bardufoss

Sikkerhet i anskaffelser

Sikkerhetsloven med tilhørende forskrifter gjelder for Forsvarsbygg og våre leverandører ved anskaffelser som omfatter skjermingsverdige verdier eller sikkerhetsgradert informasjon. Dette stiller særskilte krav til både virksomheten og leverandørkjeden.

Forsvarsbygg har ansvar for å hindre at uvedkommende får tilgang som kan true nasjonal sikkerhet gjennom forstyrrelser, kartlegging eller sabotasje.

Ulike sikkerhetskrav

Kravene til forebyggende sikkerhet avhenger av leverandørens tilganger og beskyttelsesbehovet for informasjonen, objektet eller infrastrukturen. Kravene må oppfylles før tilganger gis. Ulike krav kan eksempelvis være:

  1. Personell som skal ha tilgang til sikkerhetsgradert informasjon må på forhånd være autorisert og sikkerhetsklarert. Tilsvarende gjelder for tilgang til skjermingsverdige objekter og infrastruktur, og som en hovedregel for å få adgang til Forsvarets og Forsvarsbyggs lokasjoner.

    • Krav om sikkerhetsklarering gjelder ikke for graderingsnivået BEGRENSET.
    • Leverandørpersonell må søke om sikkerhetsklarering på fastsatt skjema, personopplysningsblankett for sikkerhetsklarering (forkortet POB).
    • Søknader skal koordineres med din kontaktperson i Forsvarsbygg og sendes via Sentral anmodende myndighet (SAM) i Forsvarsbygg. SAM sender søknadene videre til Forsvarets sikkerhetsavdeling (FSA), som er klareringsmyndighet i forsvarssektoren.
    • Søknader som sendes på andre måter enn det som er beskrevet ovenfor, vil bli returnert uten å bli saksbehandlet.

    Når sikkerhetsklarering foreligger og et oppdrag for Forsvarsbygg skal påbegynnes, vil en kontaktperson i Forsvarsbygg gjennomføre autorisasjonssamtale med alle som skal utføre arbeid for oss.


    Gå til skjemaer for bruk i klarerings- og autorisasjonsprosessen

  2. Ved sikkerhetsgraderte anskaffelser skal det som hovedregel inngås en sikkerhetsavtale mellom Forsvarsbygg og leverandøren.

    En sikkerhetsgradert anskaffelse innebærer at leverandøren kan få tilgang til, eller produsere, sikkerhetsgradert informasjon - eller få tilgang til et skjermingsverdige objekter og infrastruktur.

    Formålet med sikkerhetsavtalen er å:

    • Formalisere sikkerhetsmessige forhold knyttet til den sikkerhetsgraderte anskaffelsen.
    • Tydeliggjøre og konkretisere partenes ansvar og plikter etter lov om nasjonal sikkerhet (sikkerhetsloven).
    • Forsvarsbygg skal inngå sikkerhetsavtale med hver enkelt underleverandør i kjeden så langt det er nødvendig.

  3. Forsvarsbygg har ansvar for at leverandører vi benytter ikke utgjør en risiko for nasjonale sikkerhetsinteresser. For å ivareta dette ansvaret, må vi ha:

    • Ha kunnskap om leverandørene og deres eiere.
    • Vi må vite hvem som faktisk får tilgang til de skjermingsverdiene verdiene vi er satt til å beskytte, og være trygg på at verdiene forvaltes i samsvar med regelverket.

  4. Ved sikkerhetsgraderte anskaffelser som omfatter tilgang til informasjon gradert KONFIDENSIELT eller høyere, eller objekter/infrastruktur klassifisert KRITISK eller høyere, må leverandøren som virksomhet klareres. Leverandørklarering må også foreligge dersom det er nødvendig for å oppnå et forsvarlig sikkerhetsnivå i anskaffelsen.

    • Leverandørklarering gis av Nasjonal sikkerhetsmyndighet (NSM).
    • Krav om autorisasjon og sikkerhetsklarering for leverandørens ansatte kommer i tillegg til en eventuell leverandørklarering.

  5. Leverandører som skal produsere og oppbevare sikkerhetsgradert informasjon i egne lokaler, og eventuelt ha skjermingsverdig informasjonssystem hos seg, må oppfylle sikkerhetslovens krav til et forsvarlig sikkerhetsnivå.

    • Leverandøren må i slike tilfeller etablere et styringssystem for sikkerhet som skal bidra til å sikre et forsvarlig sikkerhetsnivå i virksomheten. Videre skal leverandøren foreta risikovurderinger for å identifisere sikkerhetstiltak som må innføres for å oppnå det definerte sikkerhetsnivået.
    • Forsvarsbygg, Nasjonal sikkerhetsmyndighet og klareringsmyndigheten skal påse at nødvendige tiltak er iverksatt og følges opp for å opprettholde et forsvarlig sikkerhetsnivå. For dette formålet gjennomføres det kontroll og inspeksjoner hos våre leverandører.

  6. Leverandører som behandler skjermingsverdige informasjonsystemer og/eller håndterer sikkerhetsgradert informasjon i egne lokaler, må utarbeide sikkerhetsdokumentasjon som beskriver virksomhetens forutsetninger og evne til å ivareta sikkerheten.

    • Dokumentet skal presentere styringssystemet for sikkerhet, og det skal lages rutiner og prosesser som viser hvordan sikkerhetsarbeidet skal utføres i virksomheten.
    • Sikkerhetsdokumentasjonen skal bidra til å gi et forsvarlig sikkerhetsnivå for skjermingsverdige verdier hos leverandøren.

  7. Risikovurdering er en systematisk kartlegging av verdier, sårbarheter og trusler. Hensikten med risikovurderinger er å ha oversikt over hvilke trusler og sårbarheter som er knyttet til virksomhetens skjermingsverdige verdier, og fastsette forsvarlig sikkerhetsnivå for verdiene.

    • Ved å ha kunnskap om trussel- og risikobildet, kan leverandøren håndtere risikoen ved å etablere og følge opp målrettede sikkerhetstiltak som reduserer de identifiserte sårbarhetene.

    • Vurderingene skal sikre at sikkerhetsnivået tilpasses faktisk risiko i det aktuelle oppdraget

  8. Riktig sikkerhetskompetanse er en forutsetning for å kunne håndtere skjermingsverdige verdier på en forsvarlig og lovmessig måte.

    • Forsvarsbygg er ansvarlig for å gi våre leverandører tilstrekkelig opplæring og informasjon om forebyggende sikkerhet før arbeidet startes.
    • Manglende opplæring skal meldes til kontaktperson i Forsvarsbygg umiddelbart.

Nyttige lenker