La demande de qualification d'un produit de sécurité prévue par l'article 9 de l'ordonnance du 8 décembre 2005 susvisée est adressée à l'Agence nationale de la sécurité des systèmes d'information par tout commanditaire, notamment un fabricant ou un fournisseur du produit ou une autorité administrative. La qualification est obtenue à l'issue d'une évaluation des fonctions de sécurité du produit au regard des règles du référentiel général de sécurité.

La demande de qualification contient une description du produit et de ses fonctions de sécurité ainsi que les objectifs de sécurité qu'il vise à satisfaire.
L'Agence nationale de la sécurité des systèmes d'information s'assure que le niveau et les objectifs de sécurité sont cohérents avec le besoin de sécurité des autorités administratives. Elle instruit cette demande lorsque l'ensemble des matériels, des logiciels et de la documentation nécessaires pour réaliser l'évaluation sont disponibles et accessibles.

L'évaluation du produit est effectuée dans les conditions et avec les garanties prévues par le décret du 18 avril 2002 susvisé.

Le directeur général de l'Agence nationale de la sécurité des systèmes d'information délivre la qualification du produit pour l'un des niveaux fixés par le référentiel, attestant ainsi de sa conformité aux exigences fixées par ce dernier.
Cette attestation est assortie, le cas échéant, de conditions et de réserves et précise sa durée de validité. Elle mentionne les objectifs de sécurité que le produit satisfait et, le cas échéant, le degré de qualification obtenu.
Tout changement des circonstances dans lesquelles la qualification a été délivrée peut conduire le directeur général de l'Agence nationale de la sécurité des systèmes d'information à suspendre ou à retirer la qualification, après que le commanditaire a pu faire valoir ses observations.