<div dir="ltr"><div>Good afternoon,</div><div><br></div><div>A reminder that starting September 30, <a href="https://codes.ohio.gov/assets/laws/revised-code/authenticated/0/9/9.64/9-30-2025/9.64-9-30-2025.pdf">ORC 9.64</a> requires local government entities to report cybersecurity incidents to the Ohio Cyber Integration Center within 7 days, and the Auditor of State within 30 days.</div><div><br></div><div>To report an incident: </div><ul><li>OCIC's <a href="https://dam.assets.ohio.gov/image/upload/q_auto/v1756406895/cyber.ohio.gov/cyber-sop-2025-2-final.pdf">Cyber Incident Reporting Guide</a></li><li>Auditor of State's <a href="https://ohioauditor.gov/fraud/docs/CybersecurityReportingForm.pdf">Cybersecurity Reporting Form</a></li></ul><div>
<div><br></div><div>OCIC has published <a href="https://homelandsecurity.ohio.gov/ohio-cyber-integration-center/reporting-guidance">detailed guidance</a> on determining what qualifies 
as a reportable cybersecurity incident; see the FAQ at the end for specific examples. </div><br></div><div>Mandatory reporting is intended to help the State of Ohio track threats to local government. Incident reports to OCIC are covered by a non-disclosure agreement, and reports to both OCIC and AoS are not public records. Other provisions in ORC 9.64, including a requirement that public entities create and maintain a security readiness plan, take effect for public libraries on July 1, 2026. Find links to more resources at <a href="https://www.oplin.ohio.gov/security">https://www.oplin.ohio.gov/security</a>.</div><div><br></div><div>Thanks, </div><div><br></div><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>Jessica D. Dooley (she/her)<br></div><div>Technology Project Manager<br></div><div>Ohio Public Library Information Network<br></div><div><a href="mailto:jessica@oplin.ohio.gov" target="_blank">jessica@oplin.ohio.gov</a></div><div>614-728-5254<br></div></div></div></div></div>