Le Premier ministre, après avis des ministres concernés, notifie aux opérateurs de services essentiels sa décision d'imposer un contrôle prévu à l'article 8 de la loi du 26 février 2018 précitée. Il précise les objectifs et le périmètre du contrôle et fixe le délai dans lequel le contrôle est réalisé. Il indique, en fonction de la nature des opérations à mener, si ce contrôle est réalisé par l'Agence nationale de la sécurité des systèmes d'information ou par un prestataire de service qualifié. Dans ce dernier cas, l'opérateur choisit le prestataire sur la liste qui lui est communiquée et en informe sans délai l'Agence nationale de la sécurité des systèmes d'information.
Le Premier ministre ne peut imposer à un opérateur plus d'un contrôle par année civile d'un même réseau et système d'information, sauf si ce réseau et système d'information de l'opérateur est affecté par un incident de sécurité ou si des vulnérabilités de ce réseau et système d'information ou des manquements aux règles de sécurité mentionnées à l'article 6 de la loi du 26 février 2018 précitée ont été constatés lors d'un contrôle précédent subi par l'opérateur.

Pour la réalisation du contrôle, l'opérateur de services essentiels conclut une convention avec l'Agence nationale de la sécurité des systèmes d'information ou le prestataire de service chargé d'effectuer le contrôle. Cette convention précise notamment :
1° Les objectifs et le périmètre du contrôle ;
2° Les modalités du déroulement du contrôle et le délai dans lequel il est réalisé ;
3° Les conditions dans lesquelles l'agence ou le prestataire accède aux réseaux et systèmes d'information et effectue les analyses et les relevés d'informations techniques ;
4° Les informations et éléments, notamment la documentation technique des matériels et des logiciels, que l'opérateur communique à l'agence ou au prestataire pour la réalisation du contrôle ;
5° Les conditions de protection de la confidentialité des informations traitées dans le cadre du contrôle.
La convention est conclue dans des délais compatibles avec le délai fixé par le Premier ministre pour la réalisation du contrôle.
Lorsque le contrôle est effectué par un prestataire, l'opérateur adresse sans délai une copie de la convention signée à l'agence.

A l'issue du contrôle, l'Agence nationale de la sécurité des systèmes d'information ou le prestataire ayant réalisé le contrôle rédige un rapport exposant ses constatations, au regard de l'objectif du contrôle, sur le respect des obligations prévues au chapitre II du titre Ier de la loi du 26 février 2018 précitée et sur le niveau de sécurité des réseaux et systèmes d'information contrôlés. Les manquements à ces obligations et les vulnérabilités des réseaux et systèmes d'information constatés lors du contrôle sont indiqués dans le rapport, qui formule le cas échéant des recommandations pour y remédier.
L'agence ou le prestataire ayant réalisé le contrôle met l'opérateur de services essentiels en mesure de faire valoir ses observations sur le rapport mentionné au premier alinéa.
Lorsque le contrôle est réalisé par un prestataire, celui-ci communique à l'agence, dans le délai fixé pour la réalisation du contrôle, le rapport mentionné au premier alinéa et, le cas échéant, les observations de l'opérateur. L'agence peut auditionner, dans un délai de deux mois à compter de la communication du rapport, le prestataire ayant effectué le contrôle, en présence de l'opérateur, si celui-ci a formulé des observations ou si elle l'y convie, et d'un représentant des ministres concernés si ceux-ci en ont exprimé le souhait, pour examiner les constatations et les recommandations figurant dans le rapport.
L'Agence nationale de la sécurité des systèmes d'information communique aux ministres concernés les conclusions du contrôle.