Organisaation olisi luotava prosessi, jonka avulla se voi vapaaehtoisesti toimittaa riskinarvioinnin tuloksia ja käytettyjä teknologioita koskevat tiedot toimivaltaiselle CSIRT MON:lle, CSIRT NASK:lle, CSIRT GOV:lle tai alakohtaiselle CSIRT:lle. Prosessilla olisi varmistettava, että tiedot toimitetaan sähköisesti 46 artiklan 1 kohdassa tarkoitetun tieto- ja viestintätekniikkajärjestelmän kautta tai muita käytettävissä olevia viestintävälineitä käyttäen, jos sähköinen siirto ei ole mahdollista.

Lisäksi organisaation on varmistettava, että toimitettuihin tietoihin sisältyvät oikeudellisesti suojatut salaisuudet, mukaan lukien liikesalaisuudet, merkitään selvästi luottamuksellisuuden säilyttämiseksi.

Valmistaja tai muu luonnollinen henkilö tai oikeushenkilö voi vapaaehtoisesti ilmoittaa koordinaattoriksi nimetylle CSIRT-tietokeskukselle tai ENISAlle kaikista digitaalisia elementtejä sisältävään tuotteeseen sisältyvistä haavoittuvuuksista tai kyberuhkista, jotka voivat vaikuttaa digitaalisia elementtejä sisältävän tuotteen riskiprofiiliin.

Organisaatio listaa relevantit viranomaistoimijat, joihin on tärkeää pitää aktiivisesti yhteyttä sekä tarvittaessa saada yhteys nopeasti. Näitä viranomaisia ovat mm. kansallisia lakeja toimeenpanevat sekä valvontaa toteuttavat viranomaiset.

Relevantteihin viranomaisiin olisi määriteltävä selkeä yhteyshenkilö, joka toimii yhteyspisteenä organisaatioon.

Organisaatiolla voi olla prosessi, jonka avulla se voi vapaaehtoisesti ilmoittaa tietyt tietoturvaloukkaukset, tietoverkkouhat tai läheltä piti -tilanteet valvontaviranomaiselle.

Vapaaehtoisilla ilmoituksilla tarkoitetaan muita kuin merkittäviä vaaratilanteita koskevia ilmoituksia, jotka ovat NIS2-direktiivin mukaan pakollisia.