Le service de l'Etat ou le prestataire ayant réalisé le contrôle rédige un rapport exposant ses constatations, au regard de l'objectif du contrôle, sur le niveau de sécurité des systèmes d'information contrôlés et le respect des règles de sécurité prévues à l'article L. 1332-6-1. Les vulnérabilités et les manquements aux règles de sécurité constatés lors du contrôle sont indiqués dans le rapport, qui formule le cas échéant des recommandations pour y remédier. Le rapport est couvert par le secret de la défense nationale.

Après avoir mis l'opérateur en mesure de faire valoir ses observations, le service de l'Etat ou le prestataire remet, dans le délai fixé pour la réalisation du contrôle, le rapport à l'Agence nationale de la sécurité des systèmes d'information.

L'Agence nationale de la sécurité des systèmes d'information peut auditionner, dans un délai de deux mois à compter de la remise du rapport, le service de l'Etat ou le prestataire ayant réalisé le contrôle, le cas échéant en présence de l'opérateur, aux fins d'examiner les constatations et les recommandations figurant dans le rapport. Elle peut inviter les ministres coordonnateurs des secteurs d'activités d'importance vitale concernés à assister à cette audition.

L'Agence nationale de la sécurité des systèmes d'information communique aux ministres coordonnateurs des secteurs d'activités d'importance vitale concernés les conclusions du contrôle.