Pour suivre l'application de la politique générale de la sécurité des systèmes d'information des ministères économiques et financiers, les entités ministérielles établissent annuellement les indicateurs et bilans définis à l'article 2.

Chaque autorité qualifiée de la sécurité des systèmes d'information en donne communication au haut fonctionnaire de défense et de sécurité avant la fin du premier trimestre de l'année civile suivante, en protégeant l'information de manière appropriée (au minimum diffusion restreinte spécial France).