Virksomhetsikkerhetsforskriften § 28 Merking av dokumenter og lagringsmedier som inneholder sikkerhetsgradert informasjon


Dokumenter og lagringsmedier skal merkes med den høyeste sikkerhetsgraden som gjelder for informasjon i dokumentet eller lagringsmediet, og med hvor lenge graderingen varer. Merkingen skal være lett synlig og lett kunne gjøres kjent for alle i og utenfor virksomheten som skal håndtere informasjonen.


Dersom ikke all informasjon i et dokument eller et lagringsmedium har den samme sikkerhetsgraderingen, skal merkingen, så langt det er praktisk mulig, vise hvilke deler som har hvilken gradering eller ingen gradering.


Dokumenter og lagringsmedier med informasjon som utleveres til en annen stat eller internasjonal organisasjon etter § 25, skal merkes med hvilken stat eller organisasjon utleveringen gjelder.

Sikkerhetsgradert informasjon merkes på bakgrunn av sikkerhetsloven § 5-3. Bestemmelsen angir de ulike sikkerhetsgraderingene, og hva som skal til for at informasjon skal graderes på de ulike nivåene. Den høyeste graderingen er STRENGT HEMMELIG etter § 5-4 første ledd bokstav a). Informasjon som skal graderes STRENGT HEMMELIG er informasjon som kan få helt avgjørende skadefølger for nasjonale sikkerhetsinteresser dersom den blir gjort kjent for uvedkommende. Informasjon som skal graderes HEMMELIG etter § 5-3 første ledd bokstav b), er informasjon som kan få alvorlige skadefølger dersom den blir gjort kjent for uvedkommende. Informasjon som skal graderes KONFIDENSIELT er informasjon som § 5-3 første ledd bokstav c), kan få skadefølger for nasjonale sikkerhetsinteresser dersom de blir gjort kjent for uvedkommende. Informasjon som i noen grad kan få skadefølger for nasjonale sikkerhetsinteresser dersom de blir gjort kjent for uvedkommende, skal etter § 5-3, første ledd bokstav d) graderes BEGRENSET.

En sikkerhetsgradering bortfaller etter 30 år hvis ikke annet er bestemt, jf. sikkerhetsloven § 5-3, andre ledd. Der informasjon ikke skal avgraderes automatisk etter 30 år eller der graderingen skal ha en kortere varighet enn 30 år bør dette fremgå av merkingen av dokumentet.

NSM anbefaler som hovedregel at merkingen har rød farge og er påført med store bokstaver (majuskler) i en lett leselig skrifttype (font) for tydeliggjøring av den aktuelle merkingen. For dokumenter med rød eller en mørk bakgrunnsfarge, må andre fargevalg på merkingen vurderes, slik at kravet om lett synlig merking ivaretas.

Merkingen bør på dokumenter påføres øverst og nederst på alle dokumentets sider. For elektroniske filer anbefaler NSM at graderingen fremkommer i filnavnet, f.eks. slik: «(B) filnavn». Ved oversendelse av sikkerhetsgradert informasjon på e-post, anbefaler NSM at sikkerhetsgraden fremkommer i tittelfeltet, f.eks. slik: «(B) Tittel».
Stempler og graderingsmerker i dokumentmaler kan av utseende fremkomme som vist under:

SH

H

K

B

UAA

AAEXÅ

AADMY

Dersom informasjonens beskyttelsesbehov har kortere varighet enn 30 år, skal dette fremgå av merkingen. Det kan gjøres ved å sette avgradering til etter et visst antall år, eller på en konkret angitt dato. Dersom varigheten er 30 år, er det ikke nødvendig å angi markeringens levetid, da dette er hovedregelen.

Plikten til å merke sikkergradert informasjon gjelder der informasjonen er logisk avgrenset og fysisk lagret på et medium som det er mulig å merke. Der hvor lagringsmediet på grunn av sin fysiske utforming, f.eks. størrelse, gjør det vanskelig å merke, skal det allikevel kunne identifiseres ved at det er oppført i virksomhetens oversikt. Dette kan f.eks. gjelde små minnebrikker til kameraer, hvor størrelsen på lagringsmediet vanskeliggjør merking. Man kan da beskrive lagringsmediet i virksomhetens oversikt på en slik måte at det identifiseres som sikkerhetsgradert, eksempelvis slik: Minnebrikke tilhørende kamera type xx modellnr yy – gradert KONFIDENSIELT.

Der hvor det av plasshensyn er vanskelig å merke lagringsmedier med gradsnivå og lovhjemmel, kan det merkes med forkortelse, eks graderingens første bokstav, fortrinnsvis med rød farge slik: B, K, H.  

Dersom informasjonen i et dokument består av deler med forskjellig beskyttelsesbehov, anbefales det at de enkelte deler graderes og merkes deretter, der dette er praktisk mulig. Delgradering kan benyttes i de tilfeller hvor forfatteren av et dokument sammenstiller informasjon fra ulike kilder og hvor informasjonen skal graderes ulikt. Informasjonen markeres da gjerne med sikkerhetsgradens forbokstav/er i parentesen foran en setning eller et avsnitt på denne måten:

(B) for BEGRENSET

(K) for KONFIDENSIELT

(H) for HEMMELIG

(SH) for STRENGT HEMMELIG

NSM har fra 24. november 2022 endret anbefalingen til hvordan hjemmelshenvisninger skal påføres ved merking av sikkerhetsgradert informasjon. Årsaken til at anbefalingen endres er et behov for en mer korrekt og presis angivelse av hjemmelsgrunnlaget.

NSM har forståelse for at det vil ta noe tid for virksomheter som tilvirker og behandler sikkerhetsgradert informasjon å oppdatere sine maler og merkinger slik at de er i tråd med de nye rådene. NSM ber likevel virksomhetene om å prioritere dette arbeidet slik at sikkerhetsgradert informasjon merkes likt på tvers av virksomheter, og i samsvar med gjeldende regelverk.