Un prestataire de services de confiance peut recevoir une qualification qui atteste de la conformité des services à un niveau de sécurité défini par le référentiel général de sécurité. Il adresse sa demande auprès d'un organisme habilité dans les conditions prévues à la section précédente. L'organisme habilité évalue la conformité des fonctions de sécurité mises en œuvre par le service offert par le prestataire au regard des règles du référentiel général de sécurité correspondant au niveau de sécurité pour lequel la demande de qualification a été faite. L'organisme adresse un rapport d'évaluation à l'Agence nationale de la sécurité des systèmes d'information.

Lorsqu'il prononce la qualification, l'organisme habilité délivre à cet effet au prestataire une attestation précisant les fonctions de sécurité couvertes par la qualification et les conditions s'y attachant. La qualification est valable pour une durée maximale de trois ans et peut être renouvelée dans les mêmes conditions. L'organisme habilité rend publiques les attestations de qualification qu'il délivre.

Lorsque l'organisme habilité décide de suspendre ou de retirer une qualification ou d'en modifier les conditions, il informe sans délai des raisons à l'origine de ces décisions l'Agence nationale de la sécurité des systèmes d'information. Il rend publique cette décision.

Lorsqu'elles recourent à un prestataire de services de confiance qualifié dans les conditions du présent chapitre, les administrations de l'Etat en informent l'Agence nationale de la sécurité des systèmes d'information.

Une autorité administrative qui agit comme prestataire de services de confiance pour ses besoins propres ou au profit d'autres autorités administratives peut être qualifiée par un organisme habilité, dans les conditions du présent chapitre.

Lorsque le prestataire de services de confiance est une administration de l'Etat, il doit solliciter au préalable l'avis de l'Agence nationale de la sécurité des systèmes d'information, qui peut proposer de procéder elle-même à l'évaluation des fonctions de sécurité mises en œuvre par cette autorité en vue de sa qualification. Dans ce cas, le directeur général de l'Agence nationale de la sécurité des systèmes d'information délivre la qualification et décide, le cas échéant, de sa suspension ou de son retrait lorsque les conditions s'y attachant ne sont plus satisfaites.