1. Členské štáty zabezpečia, aby prevádzkovatelia základných služieb prijali vhodné a primerané technické a organizačné opatrenia na riadenie rizík súvisiacich s bezpečnosťou sietí a informačných systémov, ktoré využívajú vo svojej prevádzke. S ohľadom na najnovší technický vývoj tieto opatrenia zabezpečujú takú úroveň bezpečnosti sietí a informačných systémov, ktorá zodpovedá miere daného rizika.
2. Členské štáty zabezpečia, aby prevádzkovatelia základných služieb prijali primerané opatrenia na zabránenie a minimalizovanie vplyvu incidentov, ktoré ovplyvňujú bezpečnosť sietí a informačných systémov používaných na poskytovanie týchto základných služieb, s cieľom zabezpečiť ich kontinuitu.
3. Členské štáty zabezpečia, aby prevádzkovatelia základných služieb bez zbytočného odkladu oznamovali príslušnému orgánu alebo jednotke CSIRT incidenty, ktoré majú závažný vplyv na kontinuitu základných služieb, ktoré poskytujú. Oznámenia obsahujú informácie umožňujúce príslušnému orgánu alebo jednotke CSIRT určiť prípadný cezhraničný vplyv incidentu. Oznámenie nemá pre oznamujúcu stranu za následok vyššiu zodpovednosť.
4. S cieľom určiť závažnosť vplyvu incidentu sa zohľadnia najmä tieto parametre:
a) počet používateľov postihnutých narušením základnej služby;
b) dĺžka trvania incidentu;
c) geografické rozšírenie z hľadiska oblasti, ktorú incident postihol.
5. Na základe informácií, ktoré poskytol prevádzkovateľ základných služieb v oznámení, príslušný orgán alebo jednotka CSIRT informuje ostatné postihnuté členské štáty, ak má incident závažný vplyv na kontinuitu základných služieb v týchto členských štátoch. Príslušný orgán alebo jednotka CSIRT pritom v súlade s právom Únie alebo vnútroštátnymi právnymi predpismi, ktoré sú v súlade s právom Únie, chráni bezpečnosť a obchodné záujmy prevádzkovateľa základných služieb, ako aj dôvernosť informácií poskytnutých v jeho oznámení.
Pokiaľ to okolnosti umožňujú, príslušný orgán alebo jednotka CSIRT poskytnú oznamujúcemu prevádzkovateľovi základných služieb relevantné informácie týkajúce sa následných opatrení prijatých na základe jeho oznámenia, ako sú napríklad informácie, ktoré by mohli podporiť účinné riešenie incidentu.
Na žiadosť príslušného orgánu alebo jednotky CSIRT jednotné kontaktné miesto postúpi oznámenia uvedené v prvom pododseku jednotným kontaktným miestam ostatných postihnutých členských štátov.
6. Po porade s oznamujúcim prevádzkovateľom základných služieb môže príslušný orgán alebo jednotka CSIRT informovať o jednotlivých incidentoch verejnosť, ak je informovanosť verejnosti potrebná na zabránenie incidentu alebo na riešenie prebiehajúceho incidentu.
7. Príslušné orgány konajúce spoločne v rámci skupiny pre spoluprácu môžu vypracovať a prijať usmernenia týkajúce sa okolností, za akých sú prevádzkovatelia základných služieb povinní oznamovať incidenty, ako aj parametrov na určenie závažnosti vplyvu incidentu, ako sa uvádza v odseku 4.