NSM vil anbefale virksomhetene å velge sikker elektronisk overføring fremfor fysisk forsendelse der dette er mulig, ved å ta i bruk sikkerhetsgodkjente elektroniske løsninger for sikker overføring av informasjon. Dette vil gi bedre sikkerhet og være mer effektivt, da store mengder informasjon kan overføres raskt og på en bedre beskyttet måte enn fysisk beskyttelse og forflytning av informasjonen.

Virksomhetsikkerhetsforskriften § 35 Sending av informasjon gradert KONFIDENSIELT eller høyere

Når informasjon som er gradert KONFIDENSIELT eller høyere, skal sendes fysisk, skal det brukes en kurér. Dersom informasjonen er gradert HEMMELIG eller STRENGT HEMMELIG, skal i tillegg mottakeren kvittere for at sendingen er mottatt.

Dersom informasjon med ulik sikkerhetsgradering sendes sammen, skal det ligge ved en liste med oversikt over informasjonen og sikkerhetsgradene.

Virksomhetsikkerhetsforskriften § 45 Krav til forsendelse med kurér

Virksomheter som utfører kurérposttjeneste, skal sikre at informasjonen ikke blir kjent for uautoriserte personer. Avsenderen skal utstede et kurérsertifikat for hvert oppdrag og legge en plan for gjennomføringen av oppdraget. Kuréren skal være sikkerhetsklarert for sikkerhetsgraden på den informasjonen som fraktes.

Med mindre Nasjonal sikkerhetsmyndighet gir tillatelse til noe annet, skal kurérpost til utlandet sendes som diplomatisk post, eller med en kurér fra Forsvaret eller utenrikstjenesten.

Virksomhetsikkerhetsforskriften § 43 Særlige krav for informasjon gradert HEMMELIG eller høyere

Når dokumenter eller lagringsmedier gradert HEMMELIG eller høyere skal fordeles internt i en virksomhet, skal mottakeren bekrefte mottaket.

Destruering av informasjon gradert HEMMELIG eller høyere skal kontrolleres og bekreftes av minst to autoriserte personer.

Ved overlevering av dokumenter eller lagringsmedier med informasjon sikkerhetsgradert HEMMELIG eller høyere skal mottaker bekrefte mottaket overfor avsender. Bekreftelsen bør være elektronisk, eksempelvis via e-post fra personlig bruker på sikkerhetsgodkjent informasjonssystem.