Najważniejsze jest przygotowanie firmy na sytuacje kryzysowe, opracowane wcześniej procedury i nakreślony plan działania. Każde przedsiębiorstwo powinno wyznaczyć osobę, na przykład inspektora ochrony danych, IOD, lub w zależności od skali incydentu zespół, który w przypadku naruszenia danych obiektywnie zadecyduje o dalszych działaniach firmy i zwróci przy tym uwagę na interesy wszystkich działów.
Czytaj także: Firmowe wizytówki i maile – co się zmieni RODO
W przeciągu 24h od incydentu istotne jest ustalenie tego, co tak naprawdę miało miejsce, czy jest to atak hakerski czy ktoś wyniósł dane, a może któryś z pracowników zgubił firmowy laptop.
W tym też czasie, co wynika z nowych przepisów o krajowym systemie cyberbezpieczeństwa operatorzy usług kluczowych dla państwa, którzy będą wskazani decyzją administracyjną, powinni zaraportować incydent poważny, czyli taki o najwyższej kategorii wpływu. Operatorzy usług kluczowych, to między innymi spółki lub jednostki z branż energetycznych, transportowych, ochrony zdrowia czy bankowości. Druga kategoria incydentów to tzw. incydenty istotne, czyli zdarzenia mające istotny wpływ na świadczenie usług cyfrowych. Obowiązek zgłoszenia incydentu istotnego - również w ciągu pierwszych 24 godzin - spoczywa na dostawcach usług cyfrowych jak np. wyszukiwarki internetowe. W tym przypadku przedsiębiorstwa same muszą przeanalizować i zadecydować o swojej przynależności do tej kategorii podmiotów. Kiedy zostanie ustalony stan faktyczny zajścia, powinna nastąpić decyzja o raportowaniu do właściwego zespołu CSiRT (Computer Security Incident Response Team) i zawiadomienie go o incydencie.