Trzy etapy zgłoszenia
Dyrektywa przewiduje trójstopniowy proces zgłaszania: wczesne ostrzeżenie w ciągu 24 godzin od wykrycia incydentu, szczegółowe zgłoszenie w ciągu 72 godzin zawierające wstępną ocenę wpływu, oraz raport końcowy przedstawiany nie później niż miesiąc po zgłoszeniu, opisujący przyczyny i podjęte działania naprawcze.
Kryteria istotności incydentu
Obowiązek zgłoszenia dotyczy incydentów o istotnym wpływie na świadczenie usług, co ocenia się na podstawie liczby użytkowników dotkniętych zakłóceniem, czasu trwania incydentu oraz zasięgu geograficznego jego skutków.
Właściwe organy
Zgłoszenia kierowane są do właściwego zespołu reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) lub organu nadzorczego sektora, w zależności od struktury krajowego systemu cyberbezpieczeństwa.