特定非公務機關知悉資通安全事件後,應依下列規定時間完成損害控制或復原作業,並依中央目的事業主管機關指定之方式辦理通知事宜:
一、第一級或第二級資通安全事件,於知悉該事件後七十二小時內。
二、第三級或第四級資通安全事件,於知悉該事件後三十六小時內。
特定非公務機關依前項規定完成損害控制或復原作業後,應持續進行事件之調查及處理,並於一個月內依中央目的事業主管機關指定之方式,送交調查、處理及改善報告。
前項調查、處理及改善報告送交之時限,得經中央目的事業主管機關同意後延長之。
中央目的事業主管機關就第一項之損害控制或復原作業及第二項送交之報告,認有必要,或認有違反法令、不適當或其他須改善之情事者,得要求特定非公務機關提出說明及調整。
特定非公務機關就第三級或第四級資通安全事件送交之調查、處理及改善報告,中央目的事業主管機關應於審查後送交主管機關;主管機關就該報告認有必要,或認有違反法令、不適當或其他須改善之情事者,得要求特定非公務機關提出說明及調整。