A jellemzően állami, vagy állami érdekeltségű kiemelt szervezetek teljes körű jelentéstételre kötelezettek. Nem csupán a tényleges incidenseket, hanem a kiberfenyegetéseket és az incidens közeli helyzeteket is haladéktalanul jelenteniük kell az NKI felé. A A kiemelten kockázatos, valamint a kockázatos ágazatokban működő, jellemzően a gazdálkodó szférába tartozó szervezetek esetében a jogalkotó a jelentési kötelezettséget a jelentős kiberbiztonsági incidensekre korlátozza.