Das IT-Sicherheitsgesetz verlangt die Meldung wesentlicher Vorfälle, welche zu Ausfällen oder Beeinträchtigungen von kritischen Infrastrukturen geführt haben oder hätten führen können. Die Definition der dafür zu verwendenden Vorfallsklassifikation steht noch aus. Welche Lehren können aus Erfahrungen mit bestehenden Klassifikationen gezogen werden, die im Rahmen der Arbeit von Computer Emergency Response Teams (CERTs) bereits im Einsatz sind?