Een incident wordt als significant beschouwd wanneer:
* Het ernstige gevolgen heeft, zoals een grote verstoring van de diensten of financiële schade voor de organisatie.
* Het ook anderen (zoals klanten of partners) kan treffen, bijvoorbeeld door grote schade te veroorzaken.
Het is belangrijk om te melden bij het CSIRT (Z-CERT) en de toezichthoudende instantie (IGJ), zelfs als deze schade nog niet is gebeurd, maar wel mogelijk is.
Naast incidenten zijn er ook meldplichtige 'cyberdreigingen'. Dit zijn situaties waarbij er een risico bestaat dat netwerk- en informatiesystemen, of de gebruikers ervan, beschadigd of verstoord kunnen worden. Als zo'n dreiging groot genoeg is en waarschijnlijk ernstige gevolgen kan hebben, wordt het als significant beschouwd.
Een 'bijna-incident' is een situatie die de veiligheid van gegevens of diensten bijna in gevaar heeft gebracht, maar waarbij het probleem uiteindelijk is voorkomen of niet heeft plaatsgevonden.
Samengevat: de meldplicht geldt voor incidenten die ernstige gevolgen kunnen hebben voor de organisatie of anderen, en voor belangrijke cyberdreigingen. 'Bijna-incidenten' hoeven niet gemeld te worden, maar kunnen wel gemeld worden bij Z-CERT.
De melding bestaat uit de volgende fasen:
1. een vroegtijdige waarschuwing over het significante incident aan het CSIRT en de toezichthoudende instantie;
2. een update van de gegeven informatie in het kader van de vroegtijdige waarschuwing, een initiële beoordeling van het significante incident, de ernst en de gevolgen ervan en, indien beschikbaar, de indicatoren voor aantasting;
3. een tussentijds verslag (alleen na verzoek van CSIRT of toezichthoudende instantie); en
4. een eindverslag.