Kapittel 5. Informasjonssikkerhet

§ 5-1. Skjermingsverdig informasjon

Informasjon er skjermingsverdig dersom det kan skade nasjonale sikkerhetsinteresser at informasjonen blir kjent for uvedkommende, går tapt, blir endret eller blir utilgjengelig.

§ 5-2. Beskyttelse av skjermingsverdig informasjon

Virksomheten skal sørge for et forsvarlig sikkerhetsnivå for skjermingsverdig informasjon, slik at informasjonen

a.
ikke blir kjent for uvedkommende
b.
ikke går tapt eller blir endret
c.
er tilgjengelig ved tjenstlig behov.

Kongen kan gi forskrift om identifisering og beskyttelse av skjermingsverdig informasjon. I særlige tilfeller kan det i en slik forskrift gjøres unntak fra sikkerhetskrav som er fastsatt i eller i medhold av denne loven.

§ 5-3. Sikkerhetsgradert informasjon

En virksomhet som tilvirker informasjon, skal sikkerhetsgradere og merke informasjonen dersom det kan skade nasjonale sikkerhetsinteresser om den blir kjent for uvedkommende. Følgende sikkerhetsgrader skal benyttes:

a.
STRENGT HEMMELIG dersom det kan få helt avgjørende skadefølger
b.
HEMMELIG dersom det kan få alvorlige skadefølger
c.
KONFIDENSIELT dersom det kan få skadefølger
d.
BEGRENSET dersom det i noen grad kan få skadefølger.

Sikkerhetsgradering skal ikke brukes i større utstrekning eller for lengre tid enn nødvendig. Dersom ikke annet er bestemt, bortfaller sikkerhetsgraderingen etter 30 år.

Kongen kan gi forskrift om sikkerhetsgradering og beskyttelse av informasjon som mottas eller gis innenfor rammen av en gjensidig overenskomst med en fremmed stat eller en internasjonal organisasjon.

§ 5-4. Tilgang til og taushetsplikt med hensyn til sikkerhetsgradert informasjon

Sikkerhetsgradert informasjon skal bare overlates til personer som har tjenstlig behov og er autorisert for tilgang til slik informasjon.

Alle som får tilgang til sikkerhetsgradert informasjon som ledd i arbeidet eller tjenesten for en virksomhet som omfattes av loven, har taushetsplikt om innholdet. Taushetsplikten gjelder også etter at arbeidet eller tjenesten er avsluttet.

§ 5-5. Tekniske sikkerhetsundersøkelser

Sikkerhetsmyndigheten kan undersøke lokaler, bygninger og andre objekter som en virksomhet alene eller sammen med andre råder over, for å fastslå om uvedkommende kan skaffe seg tilgang til sikkerhetsgradert informasjon ved avlytting, innsyn eller avlesning av signaler.

Informasjon som kontrollen gir tilgang til, kan bare benyttes til det som formålet med kontrollen krever. Når det ikke lenger er behov for informasjonen, skal den slettes. Kunnskap og erfaringer som sikkerhetsmyndigheten tilegner seg gjennom undersøkelsen, kan brukes til videreutvikling av sikkerhetsmyndighetens generelle sikkerhetsarbeid.

Sikkerhetsmyndigheten skal gi virksomheten en rapport om resultatet av kontrollen. Rapporten skal bare inneholde informasjon som kan bidra til å bedre virksomhetens sikkerhet.

Kongen kan gi forskrift om tekniske sikkerhetsundersøkelser, og om at slike undersøkelser kan utføres av andre enn sikkerhetsmyndigheten.

§ 5-6. Kryptosikkerhet

Kryptosystemer som skal brukes for å beskytte sikkerhetsgradert informasjon, må være godkjent av sikkerhetsmyndigheten.

Sikkerhetsmyndigheten er nasjonal forvalter av kryptomateriell og leverandør av kryptosikkerhetstjenester til virksomheter. Sikkerhetsmyndigheten kan godkjenne andre leverandører av kryptosikkerhetstjenester.

Sikkerhetsmyndigheten skal godkjenne kryptoalgoritmer som brukes i utstyr som tenkes eksportert.

Kongen kan gi forskrift om kryptosikkerhet.