Sans préjudice des dispositions sectorielles prévoyant d'autres régimes de déclaration d'incidents, les fournisseurs de service numérique déclarent à l'Agence nationale de la sécurité des systèmes d'information, en application du I de l'article 13 de la loi du 26 février 2018 précitée, tout incident ayant un impact significatif sur la fourniture de leurs services. Pour déterminer si un incident a un impact significatif sur la fourniture de leurs services, les fournisseurs de service numérique prennent en compte les paramètres mentionnés aux articles 3 et 4 du règlement d'exécution du 30 janvier 2018 précité.
Les fournisseurs de service numérique répondent aux demandes d'informations de l'agence concernant l'incident au fur et à mesure de son évolution.
Un arrêté du Premier ministre fixe les modalités de déclaration des incidents.

Après chaque incident mentionné au I de l'article 13 de la loi du 26 février 2018 précitée, l'Agence nationale de la sécurité des systèmes d'information transmet aux ministres concernés une synthèse des informations recueillies.
Elle informe les autorités ou organismes compétents d'autres Etats membres de l'Union européenne des incidents mentionnés au premier alinéa ayant un impact significatif sur les services numériques fournis dans ces Etats.
Dans les conditions prévues par le II de l'article 13 de la loi du 26 février 2018 précitée, le Premier ministre peut demander à l'Agence nationale de la sécurité des systèmes d'information d'informer le public d'un incident mentionné au premier alinéa ou imposer au fournisseur de service numérique concerné de le faire. Dans ce dernier cas, le Premier ministre précise les informations à rendre publiques et le délai pour le faire. Le fournisseur est tenu de mettre à la disposition du public ces informations au moyen du site internet utilisé pour la fourniture du service, sauf si ce site est indisponible en raison de l'incident, de manière que ces informations soient présentées aux utilisateurs lorsqu'ils accèdent au service.