Formuleringen i §5-3 «(…) dersom det kan skade nasjonale sikkerhetsinteresser om den blir kjent for uvedkommende.» omhandles som skadepotensial i den videre teksten. NSM legger til grunn at vurderingen av skadepotensial er en vurdering av hvorvidt, og i hvor stor grad, tap av konfidensialitet kan føre til svekkelse, forringelse eller forhindring av nasjonale sikkerhetsinteresser. Følgende liste er en ikke uttømmende oversikt over kategorier av informasjon som kan ha et skadepotensial:

  • Skadevurderinger
  • Sårbarhetsvurderinger
  • Konsekvensvurderinger
  • Trusselvurderinger
  • Etterretning
  • Sivilt- og militært beredskapsplanverk
  • Opplysninger om spesifikasjoner, kapasiteter og kapabiliteter
  • Opplysninger om kryptologi
  • Opplysninger om Norges diplomati
  • Opplysninger som omhandler vitenskap og teknologi
  • Opplysninger om sikkerhetstiltak
  • Opplysninger om hendelser i fortid (f.eks. rapporter om sikkerhetsbrudd eller gjennomførte øvelser)
  • Opplysninger om hendelser i fremtid (f.eks. scenarioer, besøk eller utvikling)
  • Opplysninger om militære og sivile operasjoner
  • EOS-tjenestenes kilder og metoder

Hvorvidt slike opplysninger faktisk har et skadepotensial avhenger av grad av kobling informasjonen har til de nasjonale sikkerhetsinteressene, og informasjonens presisjonsnivå. Med «grad av kobling» menes hvor stor betydning forholdet som opplysningen omhandler har for nasjonale sikkerhetsinteresser. Eksempelvis har planverkene for nasjonal beredskap og krisehåndtering høy grad av kobling til de nasjonale sikkerhetsinteressene.

Med «presisjonsnivå» menes hvor nøyaktig og konkret opplysningen er. Jo høyere presisjonsnivå, dess mer kunnskap overføres til uvedkommende ved tap av konfidensialitet. Denne kunnskapen kan øke en trusselaktørs kapasitet til å skade nasjonale sikkerhetsinteresser. Presisjonsnivået kan variere i angivelser av tid, sted, navn, antall og så videre.

Matrisen nedenfor gir en figurativ fremstilling av hvordan opplysninger kan ha (1) høy grad av kobling til nasjonale sikkerhetsinteresser, men et lavt presisjonsnivå, og dermed ha et skadepotensial som indikerer en lavere sikkerhetsgrad. Tilsvarende kan opplysninger ha (2) mindre kobling til de nasjonale sikkerhetsinteressene, men et høyt presisjonsnivå, og dermed også ha et skadepotensial som indikerer en lavere sikkerhetsgrad. Opplysninger med (3) høy grad av kobling til nasjonale sikkerhetsinteresser og med et høyt presisjonsnivå vil ha et høyt skadepotensial, og dermed måtte graderes høyt. Opplysninger med (4) lav kobling til de nasjonale sikkerhetsinteressene og lavt presisjonsnivå vil ikke ha et skadepotensial som tilsier at opplysningene må sikkerhetsgraderes.

Matrise for skadefølger