Sikkerhet i anskaffelser: § 5d og sikkerhetsloven
Sist oppdatert 15. juni 2026
|
Kort fortalt
|
For virksomheter underlagt sikkerhetsloven er det avgjørende å forstå at sikkerhet i anskaffelser nå reguleres av tre regelsett samtidig. Anskaffelsesloven § 5d, sikkerhetsloven og digitalsikkerhetsloven løser ulike oppgaver og må vurderes parallelt. Dette er andre artikkel i serien om sikkerhet og beredskap i offentlige anskaffelser; den bygger videre på gjennomgangen av § 5d i artikkel én.
Sikkerhet i anskaffelser: tre regelsett med ulik logikk
Det første grepet er å holde regelsettene fra hverandre. Anskaffelsesloven § 5d, vedtatt ved lov 6. mars 2026 nr. 8, er en kan-hjemmel og en vurderingsnorm som treffer alle anskaffelser over loven. Sikkerhetsloven (lov 1. juni 2018 nr. 24) er pliktregler med et snevrere, men hardere virkeområde. Digitalsikkerhetsloven retter seg mot digital sikkerhet i samfunnsviktige og digitale tjenester. De overlapper, men erstatter ikke hverandre.
| Dimensjon | Anskaffelsesloven § 5d | Sikkerhetsloven | Digitalsikkerhetsloven |
|---|---|---|---|
| Karakter | Kan-hjemmel / vurderingsnorm | Pliktregler | Pliktregler (digital sikkerhet) |
| Virkeområde | Alle anskaffelser over loven | Virksomheter underlagt loven, og leverandører i graderte anskaffelser | Tilbydere av samfunnsviktige og digitale tjenester |
| Sentralt virkemiddel | Krav og kriterier i anskaffelsen | Sikkerhetsavtale, leverandørklarering, eierskapskontroll | Styringssystem, risikostyring, hendelsesrapportering |
| Ikrafttredelse | 1. juli 2026 | Gjeldende | 1. oktober 2025 (gjennomfører NIS1) |
Hva krever sikkerhetsloven ved sikkerhetsgraderte anskaffelser?
Innebærer en anskaffelse tilgang til sikkerhetsgradert informasjon eller skjermingsverdige objekter, gjelder de strenge reglene i sikkerhetsloven kapittel 9: krav om sikkerhetsavtale med leverandøren, leverandørklarering og varslingsplikt til myndighetene. Reglene om personellsikkerhet i kapittel 8 er også sentrale. Disse pliktene gjelder uavhengig av § 5d, og § 5d er her et supplement – ikke en erstatning. Et praktisk poeng som ofte undervurderes: klareringsprosesser tar tid, og sikkerhetskrav som ikke er tenkt inn i konkurransefasene gir forsinkelser. Veiledning finnes i departementenes veileder om sikkerhet i anskaffelser og i NSMs veileder for ivaretakelse av sikkerhet i anskaffelser. § 5d retter seg derimot mot et bredere spekter av beredskapshensyn som ikke nødvendigvis utløser plikter etter sikkerhetsloven, men som likevel kan være avgjørende, jf. omtalen for forsyningssektoren.
Eierskap i leverandørkjeden – hva kan oppdragsgiver kontraktsfeste?
Eierskap og kontroll i leverandørkjeden er nå et legitimt og forventet vurderingstema. Sikkerhetsloven gir myndighetene de inngripende virkemidlene gjennom eierskapskontroll (§ 9-4 og kapittel 10) og den sikkerhetsfaglige sikkerhetsventilen i § 2-5, som kan benyttes også overfor virksomheter som ikke er underlagt loven. En sentral utvikling er at eierskapskontrollen utvides til å omfatte erverv i leverandører som har leverandørklarering. Det primære virkemiddelet ved eierendringer i slike virksomheter er likevel fornyet vurdering og eventuell tilbaketrekking av leverandørklareringen; inngrep mot selve ervervet er sekundært.
For oppdragsgiver er koblingen til § 5d praktisk: der sikkerhetsloven gir myndighetene virkemidlene, gir § 5d hjemmel til å stille krav i selve anskaffelsen. Det kan være krav om åpenhet om eierstruktur og reelle rettighetshavere, varslingsplikt ved eierendringer i kontraktsperioden, og kontraktsklausuler som håndterer eierskifte. For en programvare- eller skytjenesteleverandør med kompleks – og potensielt utenlandsk – eierstruktur er nettopp slike klausuler ofte det mest treffsikre virkemiddelet oppdragsgiver selv rår over.
Det digitale laget: digitalsikkerhetsloven og NIS2
Det mest praktisk viktige sporet for leverandørkjedesikkerhet er det digitale. Digitalsikkerhetsloven (lov 20. desember 2023 nr. 108) trådte i kraft 1. oktober 2025 med tilhørende forskrift, og gjennomfører NIS1-direktivet (men ikke NIS2). Loven pålegger tilbydere av samfunnsviktige og digitale tjenester å etablere et styringssystem for digital sikkerhet, gjennomføre dokumenterte risikovurderinger og rapportere hendelser til NSM, og den plasserer ansvaret tydelig hos øverste ledelse. Loven gjelder i utgangspunktet for virksomheter med over 50 ansatte og/eller årlig omsetning over 10 millioner euro, med enkelte unntak.
NIS2-direktivet (EU) 2022/2555 er vedtatt i EU, men er per juni 2026 ennå ikke innlemmet i EØS-avtalen og dermed ikke gjennomført i norsk rett. Norsk gjennomføring ventes i løpet av 2026, sannsynligvis i en ny lov som også gjennomfører CER-direktivet om kritiske enheters motstandsdyktighet, og som vil erstatte digitalsikkerhetsloven. Tidslinjen er ikke endelig avklart i skrivende stund. NIS2 utvider virkeområdet betydelig og innfører blant annet personlig ledelses- og styreansvar, leverandørkjedesikkerhet som eksplisitt krav og bøter på opptil 10 millioner euro eller 2 prosent av global omsetning. Koblingen til § 5d er at oppdragsgiver allerede nå kan kontraktsfeste leverandørenes digitale sikkerhet og deres håndtering av egne underleverandører – før NIS2 formelt gjelder i Norge.
Eksempel: anskaffelse av en skytjeneste eller et KI-verktøy
Anta at en sikkerhetslov-pliktig virksomhet skal anskaffe en skytjeneste eller et KI-basert saksbehandlingsverktøy. De tre regelsettene kan da spille sammen i én og samme anskaffelse. Innebærer tjenesten tilgang til skjermingsverdig informasjon, utløses sikkerhetslovens krav om sikkerhetsavtale og eventuell leverandørklarering. Uavhengig av dette gir § 5d hjemmel til å stille krav til kryptering, datalokalisering innenfor EØS, tilgangsstyring, sikkerhetsoppdateringer og hendelsesvarsling i kontrakten, samt til leverandørens håndtering av underleverandører. Og der tjenesten innebærer overføring av personopplysninger til tredjeland, kommer personvernforordningens krav i tillegg – en vurdering som ofte gjør en personvernkonsekvensvurdering nødvendig. For den sikkerhetslov-pliktige virksomheten er poenget at kravene må samordnes, ikke vurderes isolert.
Hva bør den sikkerhetslov-pliktige virksomheten gjøre?
Avklar regelverket tidlig – før konkurransedokumentene utformes – og avgjør om anskaffelsen er gradert, skjermingsverdig ugradert eller faller utenfor sikkerhetsloven. Involver sikkerhetsleder og beredskapskoordinator allerede i behovs- og planleggingsfasen. Bygg standardiserte sikkerhetskrav inn i malverket etter et «security by design»-prinsipp, særlig for IKT-anskaffelser. Sørg for at vurderingene dokumenteres. Mye av dette må forankres i virksomhetens anskaffelsesstrategi og rutiner – den lovfestede plikten til dette behandles i artikkel tre i serien. For den overordnede forståelsen av § 5d og handlingsrommet, se artikkel én.
Kilder: Lov 6. mars 2026 nr. 8 (Lovdata) · Lovvedtak 26 (2025–2026) · NSM – ny digitalsikkerhetslov · NSM – veileder for sikkerhet i anskaffelser (PDF) · Veileder om sikkerhet i offentlige anskaffelser (PDF)
|
Om forfatteren Kjell Steffner · Advokat Partner, Nordia Law (Oslo) Kjell Steffner er partner ved Nordia Law i Oslo og arbeider særlig med IT-rett, teknologikontrakter, offentlige anskaffelser og personvern. Han bistår private og offentlige virksomheter med de juridiske sidene ved teknologianskaffelser, leverandøravtaler og digital sikkerhet. |
