Deze fase kan gebruikt worden wanneer er zich tekenen manifesteren dat er iets loos is, maar het nog niet helemaal zeker is dat de eigen organisatie getroffen wordt door een cyberaanval. Als actie worden de leidinggevende ambtenaren die de IT-dienst aansturen in kennis gesteld dat er zich problemen voordoen en dat de IT-dienst het onderzoek zal opstarten. Een voormelding bij de communicatiedeskundige of -dienst is ook aangewezen, zodat al geanticipeerd kan worden op mogelijke crisiscommunicatie.
Het is ook aanbevolen om reeds een vooralarm te luiden als er in het eigen lokaal bestuur nog geen tastbare symptomen van onheil zijn, maar men verwittigd wordt door een ketenpartner - denk aan een ander lokaal bestuur, het Centre for Cybersecurity Belgium (CCB), het Cyber Response Team voor Lokale Besturen (Vo-CRT) of een belangrijke toeleverancier van IT-platformen - dat er een reƫel risico is op cybercriminaliteit.