En virksomhet skal kryptere sikkerhetsgradert informasjon som sendes elektronisk ut av et fysisk område som virksomheten kontrollerer.Sikkerhetsgradert informasjon som er lagret hos virksomheten, skal krypteres dersom informasjonen ikke er sikret med andre sikkerhetstiltak som gir det samme sikkerhetsnivået som kryptering.Kryptomateriellet som brukes til å kryptere informasjonen, skal sikres på det samme sikkerhetsnivået som informasjonen det beskytter.Materiellet skal forvaltes i samsvar med kravene til implementering, bruk, drift og forvaltning som Nasjonal sikkerhetsmyndighet etter sikkerhetsloven § 5-6 har fastsatt som en del av godkjenningen. Nasjonal sikkerhetsmyndighet bestemmer hvilket materiell som kan brukes til å kryptere informasjon gradert KONFIDENSIELT eller høyere.Forsvarsdepartementet kan gi forskrift om krav til kryptering og beskyttelse av kryptomateriell.
