Le Premier ministre, après avis des ministres coordonnateurs des secteurs d'activités d'importance vitale concernés, notifie aux opérateurs d'importance vitale sa décision d'imposer un contrôle prévu à l'article L. 1332-6-3. Il précise les objectifs et le périmètre du contrôle et fixe le délai dans lequel le contrôle est réalisé. Il précise, en fonction de la nature des opérations à mener, si ce contrôle est effectué par l'Agence nationale de la sécurité des systèmes d'information, par un autre service de l'Etat ou par un prestataire de service qualifié. Dans ce dernier cas, l'opérateur choisit le prestataire sur la liste prévue à l'article R. 1332-41-16.

Le Premier ministre ne peut imposer à un opérateur plus d'un contrôle par année civile d'un même système d'information, sauf si les systèmes d'information de cet opérateur sont affectés par un incident de sécurité ou si des vulnérabilités ou des manquements aux règles de sécurité ont été constatés lors d'un contrôle précédent subi par l'opérateur.

L'opérateur d'importance vitale fournit au service de l'Etat ou au prestataire de service chargé du contrôle :

1° Les informations nécessaires pour évaluer la sécurité de ses systèmes d'information, notamment la documentation technique des équipements et des logiciels utilisés dans ses systèmes ainsi que les codes sources de ces logiciels ;

2° Les moyens nécessaires pour accéder à ses systèmes d'information et à l'ensemble de leurs composants afin de permettre au service de l'Etat ou au prestataire de réaliser des analyses sur les systèmes, notamment des relevés d'informations techniques.

L'opérateur d'importance vitale conclut une convention avec le service de l'Etat ou le prestataire de service chargé d'effectuer le contrôle. Cette convention précise :

1° Les systèmes d'information qui font l'objet du contrôle ;

2° Les objectifs et le périmètre du contrôle ;

3° Les modalités de déroulement du contrôle, notamment les conditions d'accès aux sites et aux systèmes d'information de l'opérateur ;

4° Les informations nécessaires à la réalisation du contrôle, fournies par l'opérateur, et les conditions de leur protection ;

5° Les modalités selon lesquelles sont effectuées les analyses techniques sur les systèmes d'information de l'opérateur.

La convention est conclue dans des délais compatibles avec le délai fixé par le Premier ministre pour la réalisation du contrôle.

Une copie de la convention signée est adressée sans délai par l'opérateur à l'Agence nationale de la sécurité des systèmes d'information.

Le service de l'Etat ou le prestataire ayant réalisé le contrôle rédige un rapport exposant ses constatations, au regard de l'objectif du contrôle, sur le niveau de sécurité des systèmes d'information contrôlés et le respect des règles de sécurité prévues à l'article L. 1332-6-1. Les vulnérabilités et les manquements aux règles de sécurité constatés lors du contrôle sont indiqués dans le rapport, qui formule le cas échéant des recommandations pour y remédier. Le rapport est couvert par le secret de la défense nationale.

Après avoir mis l'opérateur en mesure de faire valoir ses observations, le service de l'Etat ou le prestataire remet, dans le délai fixé pour la réalisation du contrôle, le rapport à l'Agence nationale de la sécurité des systèmes d'information.

L'Agence nationale de la sécurité des systèmes d'information peut auditionner, dans un délai de deux mois à compter de la remise du rapport, le service de l'Etat ou le prestataire ayant réalisé le contrôle, le cas échéant en présence de l'opérateur, aux fins d'examiner les constatations et les recommandations figurant dans le rapport. Elle peut inviter les ministres coordonnateurs des secteurs d'activités d'importance vitale concernés à assister à cette audition.

L'Agence nationale de la sécurité des systèmes d'information communique aux ministres coordonnateurs des secteurs d'activités d'importance vitale concernés les conclusions du contrôle.

Les prestataires de service mentionnés à l'article L. 1332-6-3 sont qualifiés dans les conditions prévues par le chapitre III du décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité des systèmes d'information.

L'Agence nationale de la sécurité des systèmes d'information met à la disposition du public par voie électronique la liste des prestataires de service qualifiés mentionnés au premier alinéa.

Le coût des contrôles effectués par un service de l'Etat en application de l'article L. 1332-6-3 est calculé en fonction du temps nécessaire à la réalisation du contrôle et du nombre d'agents publics qui y participent. Un arrêté du Premier ministre fixe le coût d'un contrôle mobilisant un agent public pendant une journée.

Le coût des contrôles effectués par un prestataire de service est déterminé librement par les parties.