Virksomhetsikkerhetsforskriften § 28 Merking av dokumenter og lagringsmedier som inneholder sikkerhetsgradert informasjon


Dokumenter og lagringsmedier skal merkes med den høyeste sikkerhetsgraden som gjelder for informasjon i dokumentet eller lagringsmediet, og med hvor lenge graderingen varer. Merkingen skal være lett synlig og lett kunne gjøres kjent for alle i og utenfor virksomheten som skal håndtere informasjonen.


Dersom ikke all informasjon i et dokument eller et lagringsmedium har den samme sikkerhetsgraderingen, skal merkingen, så langt det er praktisk mulig, vise hvilke deler som har hvilken gradering eller ingen gradering.


Dokumenter og lagringsmedier med informasjon som utleveres til en annen stat eller internasjonal organisasjon etter § 25, skal merkes med hvilken stat eller organisasjon utleveringen gjelder.

NSM anbefaler som hovedregel at merkingen har rød farge og er påført med store bokstaver (majuskler) i en lett leselig skrifttype (font) for tydeliggjøring av den aktuelle merkingen. For dokumenter med rød eller en mørk bakgrunnsfarge, må andre fargevalg på merkingen vurderes, slik at kravet om lett synlig merking ivaretas.

Merkingen bør på dokumenter påføres øverst og nederst på alle dokumentets sider. For elektroniske filer anbefaler NSM at graderingen fremkommer i filnavnet, f.eks. slik: «(B) filnavn». Ved oversendelse av sikkerhetsgradert informasjon på e-post, anbefaler NSM at sikkerhetsgraden fremkommer i tittelfeltet, f.eks. slik: «(B) Tittel».

Stempler og graderingsmerker i dokumentmaler kan av utseende fremkomme som vist under:

Graderingsmerke

Graderingsmerke

Graderingsmerke

Graderingsmerke

Graderingsmerke

Graderingsmerke

Graderingsmerke

Dersom informasjonens beskyttelsesbehov har kortere varighet enn 30 år, skal dette fremgå av merkingen. Det kan gjøres ved å sette avgradering til etter et visst antall år, eller på en konkret angitt dato. Dersom varigheten er 30 år, er det ikke nødvendig å angi markeringens levetid, da dette er hovedregelen.

Plikten til å merke sikkergradert informasjon gjelder der informasjonen er logisk avgrenset og fysisk lagret på et medium som det er mulig å merke. Der hvor lagringsmediet på grunn av sin fysiske utforming, f.eks. størrelse, gjør det vanskelig å merke, skal det allikevel kunne identifiseres ved at det er oppført i virksomhetens oversikt. Dette kan f.eks. gjelde små minnebrikker til kameraer, hvor størrelsen på lagringsmediet vanskeliggjør merking. Man kan da beskrive lagringsmediet i virksomhetens oversikt på en slik måte at det identifiseres som sikkerhetsgradert, eksempelvis slik: Minnebrikke tilhørende kamera type xx modellnr yy – gradert KONFIDENSIELT.

Der hvor det av plasshensyn er vanskelig å merke lagringsmedier med gradsnivå og lovhjemmel, kan det merkes med forkortelse, eks graderingens første bokstav, fortrinnsvis med rød farge slik: B, K, H.  

Dersom informasjonen i et dokument består av deler med forskjellig beskyttelsesbehov, anbefales det at de enkelte deler graderes og merkes deretter, der dette er praktisk mulig. Delgradering kan benyttes i de tilfeller hvor forfatteren av et dokument sammenstiller informasjon fra ulike kilder og hvor informasjonen skal graderes ulikt. Informasjonen markeres da gjerne med sikkerhetsgradens forbokstav/er i parentesen foran en setning eller et avsnitt på denne måten:

  • (B) for BEGRENSET
  • (K) for KONFIDENSIELT
  • (H) for HEMMELIG
  • (SH) for STRENGT HEMMELIG