Los organismos administradores deberán reportar toda aquella información relativa al ciberincidente, cuyo nivel de impacto o peligrosidad, se encuentra definido en los niveles Alto, Muy Alto o Crítico, según lo establecido en el número 2. Niveles de peligrosidad y en el número 3. Niveles de impacto, ambos del presente Capítulo II.

Esta información deberá ser recopilada con la rapidez que amerita, sin afectar la estrategia de contención del incidente y los mecanismos desplegados para evitar la propagación del mismo en la red interna, en la red externa y la interoperación con los beneficiarios y grupos de interés.

Además de la rapidez para obtener la información, se recomienda seguir las buenas prácticas de primera respuesta forense internacionalmente aceptadas o que hayan sido validadas nacionalmente por el Instituto Nacional de Normalización, con el objetivo de contaminar lo menos posible las evidencias que permitan investigaciones avanzadas por parte de equipos de ciberseguridad altamente especializados o los entes persecutores que correspondan.

Sin perjuicio de lo anterior, los organismos administradores deberán mantener una bitácora con el registro de todos los ciberincidentes identificados:

1. Reporte de alerta de ciberincidente
   
   Dentro del plazo de 1 hora, contado desde la toma de conocimiento del ciberincidente, los organismos administradores deberán reportar al sistema GRIS, a través del documento D.14 "Reporte de alerta de ciberincidente", conforme a lo establecido en el Anexo N°21 "Reportes de Ciberincidentes", de la Letra F. Anexos, del presente Título V, la siguiente información:
   1. Identificación del organismo administrador;
   2. Resumen ejecutivo del ciberincidente;
   3. Fecha y hora precisas de detección del ciberincidente;
   4. Recursos tecnológicos afectados, y
   5. Tipo de ciberincidente.
2. Informe parcial de ciberincidente
   
   Posteriormente, a las 6 horas desde la toma de conocimiento del ciberincidente, los organismos administradores deberán reportar al sistema GRIS, a través del documento D͘.15 "Informe parcial de ciberincidente", conforme a lo establecido en el Anexo N°21 "Reportes de Ciberincidentes", de la Letra F. Anexos, del presente Título V, la siguiente información:
   1. Identificación del organismo administrador;
   2. Resumen ejecutivo del ciberincidente;
   3. Fecha y hora estimada de ocurrencia del ciberincidente;
   4. Fecha y hora estimada de detección del ciberincidente;
   5. Descripción detallada de lo sucedido, señalando los activos de información afectados y su nivel de sensibilidad y afectación (confidencialidad/integridad/disponibilidad);
   6. Recursos tecnológicos afectados;
   7. Tipo de ciberincidente;
   8. Extensión geográfica, si se conoce;
   9. Sistemas de información afectados actuales y potenciales, y
   10. Grupos de interés afectados actuales y potenciales.
3. Informe de Informe de resolución de ciberincidente
   
   Finalmente, a los 10 días hábiles desde la toma de conocimiento del ciberincidente, los organismos administradores deberán reportar al sistema GRIS, a través del documento D.16 "Informe de resolución de ciberincidente", conforme a lo establecido en el Anexo N°21 "Reportes de Ciberincidentes", de la Letra F. Anexos, del presente Título V, la siguiente información:
   1. Identificación del organismo administrador;
   2. Resumen ejecutivo del ciberincidente;
   3. Origen o causa identificable del ciberincidente;
   4. Total de sistemas de información afectados;
   5. Total de grupos de interés afectados;
   6. Infraestructura crítica afectada;
   7. Descripción de los niveles de compromiso: indicadores de compromiso de nivel IP, indicadores de compromiso de nivel de dominios y subdominios, indicadores de compromiso de correos, indicadores de compromiso a nivel HASH (MD5/SHA1/SHA256 o el que los reemplace), vulnerabilidades facilitadoras del incidente y posibles vectores de ingreso/egreso de los artefactos, y en general los datos técnicos del incidente, entre otros
      similares;
   8. Descripción del plan de acción y medidas de resolución y mitigación;
   9. Medios necesarios para la resolución calculados en horas hombre (HH) / persona;
   10. Impacto económico estimado, si procede y es conocido;
   11. Daños reputacionales, aun cuando sean eventuales, y
   12. Descripción cronológica de los hechos asociados del ciberincidente.