§5-3. Sikkerhetsgradert informasjon. (…) Sikkerhetsgradering skal ikke brukes i større utstrekning eller for lengre tid enn nødvendig. Dersom ikke annet er bestemt, bortfaller sikkerhetsgraderingen etter 30 år. Kongen kan gi forskrift om sikkerhetsgradering og beskyttelse av informasjon som mottas eller gis innenfor rammen av en gjensidig overenskomst med fremmed stat eller en internasjonal organisasjon.

For å unngå at det benyttes ressurser for å beskytte informasjon som ikke lenger har et konfidensialitetsbehov, skal en sikkerhetsgrad ikke gjelde for en lenger tidsperiode enn nødvendig. Å vurdere tidspunkt for avgradering er derfor en viktig del av verdivurderingen.

Når informasjon gis en sikkerhetsgrad vil det i noen tilfeller være mulig å fastsette et spesifikt tidspunkt hvor informasjonens konfidensialitetsbehov endres eller opphører. Det kan eksempelvis være informasjon som omhandler planverk, besøk eller øvelser, som ikke har et konfidensialitetsbehov etter at aktiviteten er gjennomført.

Sikkerhetsgraden bortfaller etter 30 år dersom ikke annet er bestemt. Hvis informasjon fortsatt har behov for beskyttelse etter 30 år, skal avgradering vurderes etter 40 år etter utstedelsen, og deretter hvert tiende år, jf. virksomhetssikkerhetsforskriften § 29. Det kan eksempelvis gjelde informasjon som inngår i strategiske planverk, og som er eldre enn 30 år, men som fortsatt er gjeldende og i bruk og dermed fortsatt har et beskyttelsesbehov.

Et dokument eller lagringsmedium skal merkes med sikkerhetsgradens varighet. NSMs veileder i håndtering og beskyttelse av sikkerhetsgradert informasjon angir utforming på slik merking.