De NIS2-richtlijn schrijft voor dat belangrijke en essentiële organisaties significante incidenten moeten melden bij het Computer Security Incident Response Team (CSIRT) en de toezichthouder. Er geldt een gefaseerde meldplicht. De eerste melding is een vroegtijdige waarschuwing die zo snel mogelijk, maar in ieder geval binnen 24 uur na waarneming van het incident plaatsvindt.