En virksomhet som tilvirker informasjon, skal sikkerhetsgradere og merke informasjonen dersom det kan skade nasjonale sikkerhetsinteresser om den blir kjent for uvedkommende. Følgende sikkerhetsgrader skal benyttes:
a.STRENGT HEMMELIG dersom det kan få helt avgjørende skadefølger
b.HEMMELIG dersom det kan få alvorlige skadefølger
c.KONFIDENSIELT dersom det kan få skadefølger
d.BEGRENSET dersom det i noen grad kan få skadefølger.
Sikkerhetsgradering skal ikke brukes i større utstrekning eller for lengre tid enn nødvendig. Dersom ikke annet er bestemt, bortfaller sikkerhetsgraderingen etter 30 år.Kongen kan gi forskrift om sikkerhetsgradering og beskyttelse av informasjon som mottas eller gis innenfor rammen av en gjensidig overenskomst med en fremmed stat eller en internasjonal organisasjon.
