Kravet til forsvarlig sikkerhetsnivå ved behandling av informasjon sikkerhetsgradert KONFIDENSIELT og høyere er regulert av sikkerhetsloven § 5-2 og virksomhetsikkerhetsforskriften § 34. For veiledning om forsvarlig sikkerhetsnivå, se NSMs veileder i sikkerhetsstyring kapittel 2 om risikostyring.

I utgangspunktet skal informasjon sikkerhetsgradert KONFIDENSIELT eller høyere bare behandles i beskyttet eller sperret sone. Virksomhetsikkerhetsforskriften § 42 andre til fjerde ledd åpner imidlertid for unntak fra dette.

Virksomhetsikkerhetsforskriften § 42 Behandling av informasjon gradert KONFIDENSIELT eller høyere


Dokumenter eller lagringsmedier med informasjon som er gradert KONFIDENSIELT eller høyere, skal bare oppbevares og behandles i beskyttet eller sperret sone.


Slike dokumenter eller lagringsmedier kan likevel oppbevares og behandles utenfor beskyttet eller sperret område når dette er godkjent av virksomheten på bakgrunn av en vurdering av risiko. Virksomheten skal holde en oversikt over slike godkjenninger.


Dersom sikkerhetsgradert informasjon behandles eller oppbevares utenfor en beskyttet eller sperret sone, skal virksomheten gjennomføre nødvendige tiltak for å beskytte informasjonen, slik at den ikke blir kjent for uautoriserte personer, går tapt, blir endret eller gjort utilgjengelig.


Dokumenter eller lagringsmedier med informasjon gradert KONFIDENSIELT kan tas med til et NATOland eller en stat Norge har en sikkerhetsavtale med, dersom en person som er klarert for innholdet, tar vare på informasjonen gjennom hele reisen, og det er mulig å deponere informasjonen ved en norsk utenriksstasjon eller et annet norskkontrollert område ved ankomst. Informasjon gradert HEMMELIG eller STRENGT HEMMELIG må sendes med en kurér, jf. § 45.

Bestemmelsens andre ledd må forstås slik at en virksomhets personell kan medbringe dokumenter og lagringsmedier med sikkerhetsgradert innhold ut fra beskyttet sone, f. eks for å jobbe med dette utenfor ordinært arbeidssted eller bringe dette til og fra møter, så lenge tilstrekkelig beskyttelse ivaretas på bakgrunn av en risikovurdering hos virksomheten. En virksomhet kan gi en generell tillatelse til dette forutsatt at virksomheten vurderer hvilken risiko dette innebærer og implementerer tilstrekkelig med risikoreduserende tiltak.

Begrepet «medbringe» forstås i utgangspunktet dithen at den som medbringer er autorisert for innholdet, og at informasjonen som medbringes er til eget bruk, og at formatet denne er lagret på (dokument eller lagringsmedium) skal returneres til virksomheten, eventuelt destrueres i henhold til gjeldende bestemmelser for dette, jf virksomhetsikkerhet § 23, omtalt nærmere i kapittel 8 under.

§ 42 har et unntak fra reglene om kurérforsendelse i det typetilfellet som omhandler at «[d]okumenter eller lagringsmedier med informasjon gradert KONFIDENSIELT kan tas med til et NATO-land eller en stat Norge har en sikkerhetsavtale med». Nærmere vilkår fremgår i paragrafen. Formålet med reglene om behandling av sikkerhetsgradert informasjon – å sikre forsvarlig sikkerhetsnivå – tilsier at regler og rutiner for kurérforsendelse bør følges så langt det er mulig også ved slik medbringelse etter unntaksregelen i virksomhetsikkerhetsforskriften § 42.

I tilfeller der en person som frakter dokumenter eller lagringsmedier med informasjon sikkerhetsgradert KONFIDENSIELT eller høyere, ikke er autorisert for innholdet, eller ikke vil ha en reell mulighet til å ha dokumentet eller lagringsmediet i personlig varetekt gjennom hele reisen, eller der hvor det er usikkerhet knyttet til reiseveien og reisemåten, skal som hovedregel bestemmelsene om kurér benyttes.