Anskaffelsesstrategi § 5a: hva krever den av ledelsen?

Sist oppdatert 16. juni 2026

Den nye anskaffelsesstrategien er trolig det mest inngripende strukturelle grepet i lovendringen. Plikten flytter ansvaret for samfunnshensyn – inkludert sikkerhet og beredskap – fra den enkelte innkjøpers skrivebord og opp i ledelsens strategiske planlegging. Dette er tredje og siste artikkel i serien om sikkerhet og beredskap i offentlige anskaffelser, og er skrevet for toppledelse og styrende organer. De to foregående tar for seg handlingsrommet i § 5d og samspillet med sikkerhetsloven og digitalsikkerhetsloven.

Hva sier § 5a om anskaffelsesstrategi?

Bestemmelsen, vedtatt ved lov 6. mars 2026 nr. 8, lyder:

Oppdragsgiver skal ha en anskaffelsesstrategi for å ivareta de samfunnshensynene i §§ 5b til 5p som er relevante for oppdragsgivers virksomhet. Strategien skal være offentlig tilgjengelig. Oppdragsgiver skal ha egnede rutiner for å ivareta de samfunnshensynene i §§ 5b til 5p som er relevante for oppdragsgivers virksomhet.

Tre forhold er verdt å merke seg. Plikten er en «skal»-plikt, ikke en oppfordring. Den knytter seg til samfunnshensynene i §§ 5b til 5p, som omfatter sikkerhet og beredskap (§ 5d). Og strategien skal være offentlig tilgjengelig. Plikten gjelder fra 1. juli 2026, jf. regjeringens omtale og anskaffelser.no.

Hva skiller strategien fra rutinene?

Strategien peker ut retningen. Den skal gi en overordnet vurdering på virksomhetsnivå av hvordan lovens samfunnshensyn ivaretas, basert på en analyse av den samlede innkjøpsporteføljen. Hvilke anskaffelseskategorier har størst betydning for beredskapsfunksjonen, og hvor er risikoen i verdikjedene mest prekær? Rutinene skal sikre etterlevelse i den enkelte konkurranse. De trenger ikke å være offentlig tilgjengelige, men de må være egnet til å fange opp og håndtere de identifiserte risikoene. I praksis innebærer det beslutningsporter og dokumenterte risiko- og sårbarhetsanalyser før konkurransegrunnlaget for en samfunnskritisk leveranse publiseres.

Hvor mye skal en offentlig strategi avsløre?

Kravet om at strategien skal være offentlig tilgjengelig skaper en reell spenning for sikkerhetsbevisste virksomheter. På den ene siden gir offentligheten demokratisk etterprøvbarhet; på den andre må virksomheten ikke eksponere skjermingsverdig informasjon om egne sårbarheter eller konkrete sikringstiltak. Løsningen er å kalibrere detaljnivået. Strategien bør slå fast at sikkerhet og beredskap er et eksplisitt tema, og beskrive hvordan virksomheten identifiserer anskaffelser med beredskapsmessig betydning, hvem som involveres, og hvordan vurderingene dokumenteres – uten å gå ned i konkrete sårbarheter. For en virksomhet med en samfunnskritisk IKT-portefølje betyr dette for eksempel at man omtaler at digital sikkerhet vurderes systematisk i anskaffelser, uten å liste hvilke systemer som er mest utsatt.

Sanksjonsplikten i § 5p – symbolfunksjon eller realitet?

Lovendringen innfører også en plikt til å sanksjonere brudd på kontraktsvilkår om samfunnshensyn. § 5p lyder:

Der oppdragsgiver skal, eller har valgt å, innta kontraktsvilkår for å ivareta samfunnshensyn etter §§ 5b til 5m, skal oppdragsgiver i kontrakten innta egnede sanksjoner for leverandørens eller underleverandørens brudd på kontraktsvilkårene.

Plikten er betinget: den utløses der oppdragsgiver «skal, eller har valgt å» innta slike kontraktsvilkår. Sikkerhet og beredskap (§ 5d) ligger innenfor spennet §§ 5b til 5m. Velger oppdragsgiver å kontraktsfeste sikkerhets- og beredskapskrav etter § 5d, følger det altså av § 5p at kontrakten også må inneholde egnede sanksjoner for brudd. I praksis innebærer det at standardkontraktene må gjennomgås, og at misligholdsbeføyelsene – for eksempel dagmulkt, tilbakeholdsrett eller heving – er proporsjonale og egnede for nettopp det aktuelle bruddet. Det er verdt å være oppmerksom på at fagkommentarer har fremhevet at også oppfølgingen er en del av plikten, å innta sanksjoner uten å håndheve dem oppfyller ikke formålet. Virksomheten bør derfor etablere interne rutiner for faktisk å utøve sanksjonene.

Når klima på 30 prosent møter sikkerhet

Ledelsen bør være klar over et mulig spenningsforhold i regelverket. Etter § 5b skal oppdragsgiver i kunngjøringspliktige anskaffelser som vekter tildelingskriteriene, vekte klima- og miljøhensyn med minimum 30 prosent. Samtidig kan robusthet, forsyningssikkerhet og beredskap trekke i en annen retning enn det laveste klimaavtrykket. Regelverket åpner for å avveie disse hensynene, men avveiningen må begrunnes i anskaffelsesdokumentene. For ledelsen er poenget at strategien bør ta stilling til hvordan virksomheten håndterer slike avveininger på et prinsipielt nivå, slik at den enkelte innkjøper ikke står alene med dem i den enkelte konkurranse.

Eksempel: ledelsens vei til en § 5a-strategi for teknologianskaffelser

Tenk en virksomhet med en stor portefølje av teknologikontrakter – skytjenester, saksbehandlingssystemer, kommunikasjonsløsninger. En hensiktsmessig fremgangsmåte for ledelsen er å starte med en porteføljekartlegging som identifiserer hvilke kontrakter som er virksomhetskritiske og hvor et bortfall vil ramme liv, helse eller samfunnsfunksjoner. Deretter integreres sikkerhetsfaglig ekspertise – sikkerhetsleder, CISO og personvernombud – tidlig i behovs- og planleggingsfasen, lenge før konkurransegrunnlaget skrives. Standarddokumentene oppdateres slik at krav til digital sikkerhet og leverandørkjede inngår som minstekrav, og sanksjonsmekanismer etter § 5p bygges inn. Markedsdialog kan brukes til å kartlegge hvilke beredskapskrav markedet faktisk kan absorbere. Den nærmere utformingen av krav i den enkelte teknologianskaffelse er behandlet i artikkel én og artikkel to.

Sjekkliste før 1. juli 2026

1. Kartlegg de virksomhetskritiske anskaffelsene (kritisk infrastruktur, forsyning, samfunnskritiske og digitale funksjoner).
2. Utarbeid eller oppdater anskaffelsesstrategien slik at sikkerhet og beredskap omtales eksplisitt – og gjør den offentlig tilgjengelig.
3. Etabler egnede rutiner og beslutningsporter, herunder dokumenterte risiko- og sårbarhetsanalyser i planleggingsfasen.
4. Kalibrer detaljnivået i den offentlige strategien mot virksomhetens skjermingsbehov.
5. Bygg intern kompetanse og involver sikkerhetsleder, CISO og personvernombud tidlig.
6. Innfør egnede sanksjoner i kontraktsmalene der dere stiller samfunnshensynsvilkår, og etabler rutiner for å håndheve dem.
7. Sørg for at vurderingene dokumenteres i anskaffelsesprotokollen – også der konklusjonen er at sikkerhet ikke er relevant.

Veiledning finnes i departementenes veileder om ivaretakelse av sikkerhet i offentlige anskaffelser, som etter planen skal oppdateres med konkrete eksempler. Regjeringens opprinnelige forslag, med begrunnelsen for både strategiplikten og sikkerhetsbestemmelsen, finnes her.

Kilder: Lov 6. mars 2026 nr. 8 (Lovdata) · Lovvedtak 26 (2025–2026) · Anskaffelser.no · Regjeringen om lovendringen · Veileder (regjeringen.no, PDF)