Las entidades financieras deben seguir los siguientes pasos para notificar un incidente:

1. Identificación del incidente: la entidad financiera debe tener procedimientos internos establecidos para identificar, rastrear, registrar, categorizar y clasificar todos los incidentes relacionados con las TIC. Es importante disponer de mecanismos adecuados para detectar y evaluar los incidentes de manera efectiva, así como realizar un seguimiento, tratamiento y respuesta coherentes. 
   Además, es fundamental documentar y abordar las causas subyacentes de los incidentes para prevenir su recurrencia.

2. Evaluación de la gravedad: la entidad financiera debe realizar una evaluación de la gravedad o importancia del incidente para determinar si es necesario realizar la notificación. Los incidentes considerados graves deben ser comunicados a los altos directivos pertinentes y al órgano de dirección, explicando sus repercusiones, las medidas adoptadas como respuesta y los controles adicionales que se prevé implantar como resultado de estos incidentes graves relacionados con las TIC.
   Los criterios de evaluación pueden incluir umbrales para determinar el impacto en los servicios financieros, como el número de clientes afectados, transacciones involucradas, alcance geográfico, y duración de la interrupción de las operaciones. Además, se debe considerar la taxonomía del incidente, el riesgo para los clientes y el impacto en la seguridad de la información en relación a la confidencialidad, integridad o disponibilidad de los datos.

3. Notificación a la Autoridad de Supervisión Competente (ASC): la entidad financiera está obligada a informar sobre el incidente a la autoridad de supervisión competente correspondiente dentro el plazo establecido por DORA. La autoridad competente puede variar dependiendo del tipo de entidad financiera y su ámbito de actividad. En España, el Banco de España actúa como autoridad supervisora de las entidades de crédito. Además, INCIBE-CERT es uno de los equipos de respuesta ante incidentes de referencia que se coordina con otros equipos nacionales e internacionales.

4. Contenido de la notificación: se requerirá una notificación Inicial, un informe intermedio, cuando la situación del incidente haya cambiado significativamente y un informe final con las conclusiones del análisis de la causa subyacente.
   La notificación debe incluir información relevante sobre la naturaleza del incidente, su impacto esperado o actual, las medidas adoptadas o previstas, y cualquier otra información solicitada por la autoridad de supervisión competente.