1. Κάθε Οργανισμός κοινοποιεί στο αρμόδιο CSIRT και στην Εθνική Αρχή Κυβερνοασφάλειας χωρίς αδικαιολόγητη καθυστέρηση κάθε συμβάν που έχει αντίκτυπο στη συνεχή παροχή της υπηρεσίας που προσφέρει.
2. Η αρχική αναφορά παρέχεται στην Αρχή:
α) ηλεκτρονικά ή εγγράφως, στον τύπο που θέτει σχετικό πρότυπο της Αρχής.
β) Σε εύλογο χρόνο και, σε κάθε περίπτωση, εντός 24 ωρών αφότου ο Οργανισμός έλαβε γνώση του περιστατικού.
γ) Ειδικά στην περίπτωση που το συμβάν προσδιορίζεται ως σοβαρή διατάραξη, σύμφωνα με το άρθρο 7 και άρθρο 8 της παρούσης, ο Οργανισμός υποχρεούται να υποβάλει την αρχική αναφορά χωρίς αδικαιολόγητη καθυστέρηση.
3. Η κοινοποίηση πρέπει να περιέχει τουλάχιστον τις ακόλουθες πληροφορίες:
α) Το όνομα ή την επωνυμία του φορέα καθώς και το είδος των υπηρεσιών που παρέχει. Το όνομα του νόμιμου εκπροσώπου του Οργανισμού και του Υπεύθυνου Ασφάλειας Πληροφοριών και Δικτύων.
β) Τον χρόνο, κατά τον οποίο διαγνώστηκε το συμβάν.
γ) Την ακριβή διάρκεια του περιστατικού, από τη στιγμή που διαγνώστηκε μέχρι την πλήρη αντιμετώπισή του, εάν αυτό θεωρείται λήξαν.
δ) Πληροφορίες για τη φύση του συμβάντος, καθώς και μία πρώτη εκτίμηση του αντίκτυπου του βάσει των προαναφερθέντων στοιχείων προσδιορισμού αντίκτυπου.
ε) Πληροφορίες για τις ενέργειες που ακολουθήθηκαν και τα μέτρα περιορισμού του αντίκτυπου του συμβάντος που έχουν ήδη ληφθεί.
στ) Πληροφορίες σχετικά με την πιθανότητα επηρεασμού περισσοτέρων κρατών - μελών από το συμβάν.
ζ) Οποιαδήποτε άλλη πληροφορία κρίνεται ότι θα βοηθούσε το έργο των αρμόδιων Αρχών.
4. Σε περίπτωση που μεταβληθούν ουσιωδώς τα στοιχεία του συμβάντος, ο Οργανισμός δύναται να υποβάλει επικαιροποιημένη αναφορά, με την οποία θα παρέχει όσο το δυνατόν περισσότερες πληροφορίες σχετικά με αυτό.
5. Η τελική αναφορά παρέχεται στην Αρχή:
α) εγγράφως, στον τύπο που τάσσει σχετικό πρότυπο της Αρχής
β) εντός ενός (1) μήνα από την ημερομηνία κλεισίματος του συμβάντος ασφαλείας.
γ) Περιλαμβάνει όλα τα υπό παρ. 2 στοιχεία στην τελική τους μορφή, όπως αυτά περιλαμβάνονται στην Φόρμα Αναφοράς Συμβάντος Κυβερνοασφάλειας που εκδίδει η Αρχή και είναι διαθέσιμη στην ιστοσελίδα της.
