Завершает план реагирования на инцидент сообщение об данном инциденте. Команда безопасности должна вести запись об инциденте и сообщить о нём в соответствующие инстанции, в частности, в местные или федеральные правоохранительные органы или на портале, собирающем информацию об уязвимостях в продуктах различных разработчиков, например, сайте, посвящённом распространённым уязвимостям и опасностям (Common Vulnerabilities and Exposures, CVE) http://cve.mitre.org/. В зависимости от решения предприятия проводить расследование может потребоваться последующий анализ. Хотя его не обязательно проводить для анализа компрометации, он может сильно помочь в понимании мыслей взломщика и недостатков систем, и тем самым предотвратить компрометацию в будущем.