8 Eierskapskontroll av leverandører i sikkerhetsgraderte anskaffelser
8.1 Gjeldende rett
En sikkerhetsgradert anskaffelse er i henhold til sikkerhetsloven § 9-1 en anskaffelse som innebærer at leverandøren av varen eller tjenesten kan få tilgang til eller tilvirker sikkerhetsgradert informasjon eller få tilgang til et skjermingsverdig objekt. For alle sikkerhetsgraderte anskaffelser skal oppdragsgiver inngå en sikkerhetsavtale med leverandøren. Formålet med en sikkerhetsavtale er å tydeliggjøre og konkretisere partenes plikter og ansvar etter loven. Når det inngås en sikkerhetsavtale blir leverandører underlagt sikkerhetsloven jf. § 1-2 annet ledd.
Ved sikkerhetsgraderte anskaffelser der en leverandør kan få tilgang til informasjon gradert KONFIDENSIELT eller høyere skal leverandører ha gyldig klarering for angitt sikkerhetsgrad, jf. § 9-3 første ledd. Kravet til leverandørklarering gjelder også «dersom det er nødvendig av andre grunner», jf. § 9-3 første ledd andre punktum. Dette er spesifisert i virksomhetsikkerhetsforskriften § 83 til når «det er nødvendig for å oppnå et forsvarlig sikkerhetsnivå under anskaffelsen.» Det følger videre av første ledd andre punktum at leverandøren uansett skal ha leverandørklarering dersom den blant annet skal ha tilgang til informasjon gradert KONFIDENSIELT eller objekter eller infrastruktur klassifisert KRITISK eller MEGET KRITISK fra egne informasjonssystemer eller lokaler.
Virksomheter med leverandørklarering plikter etter § 9-3 tredje ledd å melde fra til klareringsmyndigheten om forhold som kan ha betydning for klareringen. Etter fjerde ledd plikter leverandørklarerte virksomheter også å gi informasjon om «endringer i styret eller ledelsen, endringer i eierstrukturen, flytting av lokaliteter og utstyr, åpning av gjeldsforhandling, begjæring om konkurs og annet som kan påvirke vurderingen av om leverandøren er sikkerhetsmessig skikket».
8.2 Forslaget i høringsnotatet
I høringsnotatet foreslo departementet at den som vil avhende eller erverve en kvalifisert eierandel i en leverandørklarert virksomhet skal sende melding til sikkerhetsmyndigheten om dette. På samme måte som forslaget om endringer i meldeplikten i § 10-1 første ledd, ble det foreslått at meldeplikten også gjelder virksomhetens leder dersom denne er kjent med ervervet.
Bakgrunnen for høringsforslaget var at inndragning av klareringen til en leverandør ikke alltid er egnet til å fjerne eller redusere sikkerhetsrisikoen som et eierskifte kan ha. Det ble særskilt bedt om høringsinstansenes syn på om forslaget er tilstrekkelig, herunder om eierskapskontrollbestemmelsene i kapittel 10 i tillegg bør omfatte leverandører i sikkerhetsgraderte anskaffelser der det kun er krav om sikkerhetsavtale, ikke leverandørklarering.
8.3 Høringsinstansenes syn
Departementet har ikke registrert negative høringsinnspill til forslaget.
Andøya Space påpeker at dette medfører at melding om endringer i eierskapet må skje på et tidligere tidspunkt enn etter dagens regel, men at meldingen vil bli behandlet etter mer forutsigbare bestemmelser i sikkerhetsloven kapittel 10.
Næringslivets sikkerhetsråd støtter forslaget og påpeker at dagens virkemidler for disse virksomhetene ikke er dekkende. De fremhever at det stadig inngås mer omfattende og langvarige kontrakter mellom offentlige myndigheter og sivile leverandører. Dersom en virksomhet i avtaleperioden får nye eiere som ikke tilfredsstiller kravene til leverandørerklæringen, er det åpenbart at dette kan true norsk sikkerhet. En tilbaketrekning av leverandørerklæringen vil ikke være et tilstrekkelig virkemiddel fordi kontrakten ikke uten videre kan overtas av nye leverandører. Næringslivets sikkerhetsråd støtter også departementets vurdering om at melding om erverv sendes sikkerhetsmyndigheten som da kan følge opp meldingen etter prosedyrene i kapittel 10.
Direktoratet for e-helse uttaler at de er enige i at varslingsplikten som påhviler leverandører i sikkerhetsgraderte anskaffelser om blant annet endret eierstruktur med en eventuell tilbaketrekking av leverandørklarering som konsekvens, jf. § 9-3, ikke i alle tilfeller vil være tilstrekkelig for å forebygge sikkerhetstruende virksomhet. Direktoratet for e-helse støtter derfor forslaget om at meldeplikten etter § 10-1 også skal omfatte leverandører i sikkerhetsgraderte anskaffelser, slik at virkemidlene etter kapittel 10 også vil kunne gjøres gjeldende for disse. De mener imidlertid at det bør vurderes å se nærmere på hvorvidt avgrensningen til leverandørklarerte virksomheter er tilstrekkelig til å ivareta formålet. Direktoratet for e-helse uttaler:
«Etter vårt syn kan det være gode grunner for å utvide forslaget til å omfatte leverandører i sikkerhetsgraderte anskaffelser generelt, da også kontroll over leverandører i sikkerhetsgraderte anskaffelser på lavere graderingsnivå vil kunne utgjøre en risiko for at nasjonale sikkerhetsinteresser blir truet. Selv om skadefølgene presumtivt er mindre ved kompromittering av sikkerhetsgradert informasjon på lavere graderingsnivå, vil det være mange av de samme forhold som gjør seg gjeldende også for disse anskaffelsene, som for anskaffelser hvor det er krav til leverandørklarering. At utenlandske interesser som får tilgang til sikkerhetsgradert informasjon, uavhengig av graderingsnivå, kan utgjøre en risiko for nasjonale sikkerhetsinteresser må ansees å være utvilsomt, og fastslått gjennom sikkerhetslovens system. Dersom en leverandør i en lavere gradert anskaffelse kommer under utenlandsk kontroll som kan utgjøre en trussel mot nasjonale sikkerhetsinteresser, må det foreligge mekanismer som fanger opp dette og adekvate verktøy som skal bidra til å forhindre at så skjer. Selv om vedtak etter § 2-5 kan fungere som en sikkerhetsventil i slike saker, vil det etter direktoratets syn trolig både være mer formålstjenlig, og bidra til bevisstgjøring, at slike anskaffelser også omfattes av kapittel 10.»
Nasjonal sikkerhetsmyndighet mener at forslaget ikke går langt nok og foreslår i likhet med Direktoratet for e-helse at samtlige leverandører i sikkerhetsgraderte anskaffelser bør omfattes av meldeplikten etter sikkerhetsloven § 10-1. De påpeker at også leverandører i sikkerhetsgraderte anskaffelser som ikke har leverandørklarering, vil ha kjennskap til skjermingsverdige verdier som det er behov for å kontrollere hvem som får tilgang til. Leverandørene kan også ha flere oppdragsgivere slik at summen av den informasjon de besitter kan være betydelig selv om de ikke er leverandørklarert.
Statsbygg uttaler at det er positivt at det stilles krav til melding til sikkerhetsmyndigheten dersom det planlegges en avhending eller erverv av en kvalifisert eierandel i en leverandørklarert virksomhet som er underlagt sikkerhetsloven.
8.4 Departementets vurdering
Departementet merker seg at ingen høringsinstanser har motsatt seg forslaget. Tvert imot er flere positive til forslaget og enkelte mener at meldeplikten bør gjelde alle leverandører i sikkerhetsgraderte anskaffelser, ikke kun de leverandørklarerte.
Departementet fastholder at det er behov for ytterligere kontroll med eierskapet i virksomheter i sikkerhetsgraderte anskaffelser enn dagens regelverk åpner for, og går derfor inn for forslaget om å etablere meldeplikt etter § 10-1 for virksomheter som har leverandørklarering. Dette omfatter om lag 60–70 virksomheter per februar 2023.
Departementet merker seg høringsinnspillene om å utvide meldeplikten til å gjelde alle virksomheter i sikkerhetsgraderte anskaffelser, men mener at behovet for en slik utvidelse ikke er tilstrekkelig utredet.
Departementet vurderer at dagens ordning i § 9-3 fjerde ledd om at klareringsmyndigheten kan trekke tilbake leverandørklareringen dersom det skjer endringer i leverandørens eierstruktur som kan utgjøre en sikkerhetsrisiko, ikke alltid er tilstrekkelig for å håndtere sikkerhetsrisikoen.
Forslaget om meldeplikt for virksomheter med leverandørklarering vil kunne være aktuelt for tilfeller hvor det er inngått store og komplekse leveransekontrakter som strekker seg over lang tid. Leverandøren vil kunne ha tilegnet seg mye kompetanse og informasjon om oppdragsgiver som kan utgjøre en sikkerhetsrisiko også etter at leverandørklareringen trekkes tilbake, sikkerhetsgradert informasjon leveres tilbake eller slettes, og kontrakten termineres. Dette vil kunne være informasjon eller kunnskap hos en eller flere enkeltpersoner i virksomheten vedkommende har tilegnet seg gjennom den tilgangen leverandøren har hatt gjennom anskaffelsen, og som kan utgjøre en sikkerhetsrisiko dersom den kommer på avveie. I slike tilfeller er det behov for at bestemmelsene om eierskapskontroll gjøres gjeldende for leverandøren, slik at myndighetene om nødvendig kan fatte et vedtak om å nekte erverv av den aktuelle virksomheten eller stille nærmere vilkår for dette. Ved vurderingen kan det være aktuelt å se hen til hvilke tilganger leverandøren har hatt og hvor mange som har hatt tilgangen. Dersom et fåtall har hatt tilgang kan et alternativt risikoreduserende tiltak være at vedkommende undertegner taushetserklæringer.
Etter departementets syn vil et vedtak om å stanse ervervet etter § 10-3 potensielt også være mindre inngripende for både oppdragsgiver og leverandøren, siden stans av erverv kommer i stedet for at leverandørklareringen trekkes tilbake og kontrakten termineres. Det kan også være aktuelt å stille vilkår for ervervet som gjør at kontraktsforholdet kan fortsette etter at ervervet er gjennomført.
Forslaget vil også medføre at myndighetene får melding om erverv på et tidligere tidspunkt enn etter dagens ordning i § 9-3 fjerde ledd. Paragraf 9-3 fjerde ledd stiller krav om at leverandøren orienterer om «endringer (…) i eierstrukturen», noe som kan tilsi at meldingen først sendes etter at ervervet er gjennomført.
Departementet understreker at det primære virkemiddelet ved melding om endringer i eierstruktur for denne type leverandører i sikkerhetsgraderte anskaffelser, fortsatt vil være fornyet vurdering av leverandørklareringen. Et vedtak om å stanse eller sette nærmere vilkår for gjennomføring av et erverv, forutsetter at dette er et nødvendig og forholdsmessig tiltak for å sikre at nasjonale sikkerhetsinteresser ikke blir truet. Et vedtak kan som nevnt også være mindre inngripende enn å trekke tilbake leverandørklareringen, med de konsekvenser en terminering av kontrakten vil ha for leverandøren. Dersom tilbaketrekking av leverandørklarering i medhold av § 9-3, med påfølgende terminering av kontrakten, vurderes som tilstrekkelig for å avbøte den sikkerhetsmessige risikoen slike endringer i eierstrukturen medfører, vil det heller ikke være anledning til å fatte vedtak etter § 10-3. Hvilken sikkerhetsrisiko som gjenstår vil blant annet avhenge av hvilken tilgang leverandøren har hatt, og hvem hos leverandøren som har hatt denne tilgangen.
I tråd med forslaget foreslår departementet at melding om erverv sendes til sikkerhetsmyndigheten, som også er kontaktpunkt for virksomheter som ikke omfattes av noe departements ansvarsområde, jf. gjeldende § 10-1 første ledd andre punktum.