|
Sikkerhetsloven - arkivfaglig viktige paragrafer: § 11. Sikkerhetsgradering Når informasjon må beskyttes av sikkerhetsmessige grunner, skal en av følgende sikkerhetsgrader benyttes:
- a. STRENGT HEMMELIG nyttes dersom det kan få helt avgjørende skadefølger for Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende.
- b. HEMMELIG nyttes dersom det alvorlig kan skade Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende.
- c. KONFIDENSIELT nyttes dersom det kan skade Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende.
- d. BEGRENSET nyttes dersom det i noen grad kan medføre skadefølger for Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende.
Den som utsteder eller på annen måte tilvirker skjermingsverdig informasjon, skal sørge for at informasjonen merkes med aktuell sikkerhetsgrad. Sikkerhetsgradering skal ikke skje i større utstrekning enn strengt nødvendig, og det skal ikke brukes høyere sikkerhetsgrad enn nødvendig. Sikkerhetsgradering skal ikke gis virkning for lengre tid enn det som er strengt nødvendig, og graderingen skal senest bortfalle etter 30 år. Nærmere regler om ned- og avgradering gis av Kongen. Kongen kan for særskilte tilfeller fastsette unntak fra 30 års regelen i første punktum. Kongen kan under forutsetning om gjensidighet treffe overenskomst med fremmed stat eller internasjonal organisasjon om sikkerhetsgradering av mottatt informasjon som er sikkerhetsgradert av vedkommende stat eller internasjonale organisasjon, og om plikt til å treffe tiltak for å sikre slik informasjon. § 12. Plikt til å beskytte sikkerhetsgradert informasjon Enhver som får tilgang til sikkerhetsgradert informasjon som ledd i arbeid, oppdrag eller verv for en virksomhet, plikter å hindre at uvedkommende får kjennskap til informasjonen. Taushetsplikten gjelder også etter at vedkommende har avsluttet arbeidet, oppdraget eller vervet. Sikkerhetsgradert informasjon skal bare overlates til personer som har tjenstlig behov for tilgang til den. Taushetsplikten er likevel ikke til hinder for at sikkerhetsgradert informasjon blir gitt til andre når dette har særskilt hjemmel i lov eller i generell forskrift fastsatt av Kongen. Kongen gir nærmere regler om håndteringen av sikkerhetsgradert informasjon, herunder om journalisering, oppbevaring, forsendelse og tilintetgjøring. Kongen kan også gi regler om plikt til å legge forholdene til rette for at sikkerhetsgradert informasjon er korrekt, fullstendig og tilgjengelig. § 13. Sikkerhetsmessig godkjenning av informasjonssystemer Før skjermingsverdig informasjon behandles, lagres eller transporteres i et informasjonssystem, skal Nasjonal sikkerhetsmyndighet, eller den Nasjonal sikkerhetsmyndighet bemyndiger, godkjenne systemet for angjeldende sikkerhetsgrad. Nasjonal sikkerhetsmyndighet er sertifiseringsmyndighet for informasjonssystemer som skal håndtere skjermingsverdig informasjon. Nasjonal sikkerhetsmyndighet kan godkjenne at andre virksomheter utfører tjenester for sikring av informasjonssystemer som skal håndtere skjermingsverdig informasjon. Nasjonal sikkerhetsmyndighet gir nærmere forskrifter om sikkerhetsmessig godkjenning av informasjonssystemer. § 14. Kryptosikkerhet Bare kryptosystemer som er godkjent av Nasjonal sikkerhetsmyndighet, tillates brukt for beskyttelse av skjermingsverdig informasjon. Nasjonal sikkerhetsmyndighet er nasjonal forvalter av kryptomateriell og leverandør av kryptosikkerhetstjenester til virksomheter. Nasjonal sikkerhetsmyndighet kan likevel godkjenne andre leverandører av kryptosikkerhetstjenester. Disse skal undertegne en særskilt avtale om dette med Nasjonal sikkerhetsmyndighet. Nasjonal sikkerhetsmyndighet skal godkjenne kryptoalgoritmer som brukes i utstyr som tenkes eksportert. Nærmere bestemmelser fastsettes av Nasjonal sikkerhetsmyndighet. § 15. Monitoring av og inntrengning i informasjonssystemer En virksomhet kan gi Nasjonal sikkerhetsmyndighet adgang til gjennom monitoring å kontrollere om informasjonssystemer i vedkommende virksomhet lagrer, behandler eller transporterer skjermingsverdig informasjon uten at de er godkjent for dette. Virksomhetens ansatte skal på forhånd ha blitt orientert om kontrollen. Monitoring skal ikke i noe tilfelle omfatte privat kommunikasjon eller kommunikasjon som blir formidlet til eller fra andre enn virksomheter. En virksomhet kan gi Nasjonal sikkerhetsmyndighet adgang til å forsøke og eventuelt gjennomføre inntrengning i informasjonssystemer som lagrer, behandler eller transporterer skjermingsverdig informasjon, for å kontrollere motstandskraften i systemene. Virksomhetens ansatte skal på forhånd ha blitt orientert om kontrollen. Informasjon som Nasjonal sikkerhetsmyndighet blir kjent med ved kontrollvirksomhet etter første og annet ledd, skal makuleres når den ikke lenger har betydning for kontrollen. Kongen gir nærmere bestemmelser, herunder om varsling og gjennomføring av monitoring og inntrengning og om oppbevaring og makulering av informasjon. § 16. Tekniske sikkerhetsundersøkelser Nasjonal sikkerhetsmyndighet, eller den Nasjonal sikkerhetsmyndighet bemyndiger, kan foreta undersøkelser av lokaler, bygninger og andre objekter som eies, brukes eller på annen måte kontrolleres av en virksomhet, i den hensikt å fastslå hvorvidt uvedkommende med eller uten tekniske hjelpemidler kan skaffe seg tilgang til skjermingsverdig informasjon gjennom avtitting, avlytting av tale eller avlesing av elektroniske signaler. Kongen gir nærmere forskrifter om gjennomføring av tekniske sikkerhetsundersøkelser. Hele loven finner du på Lovdata |
