CSIRT/CERT koordinuje detekci, analýzu a zvládání incidentů napříč systémy a dodavateli. Zajišťuje komunikaci, eskalaci a doporučení nápravných kroků. Provozuje nástroje pro sběr logů, korelaci a threat intel. Ve veřejné správě propojuje rezorty a komunikuje s národními autoritami. Součástí práce jsou cvičení, playbooky a postmortemy pro zlepšování. Důležitá je forenzní připravenost a ochrana důkazů. Měří se doba detekce, reakce a zotavení. Chybí-li jasných kontaktů a 24/7 pohotovosti se i malý incident může rozrůst.
