I. – Lorsque le ministre chargé des communications électroniques impose à un opérateur un contrôle de
la sécurité et de l’intégrité de ses installations, réseaux ou services, il lui notifie les objectifs du contrôle
et le délai dans lequel le contrôle doit être achevé, qui ne peut pas être supérieur à six mois. Il lui précise
également si le contrôle doit être effectué par l’Agence nationale de la sécurité des systèmes d’information
ou par un autre service de l’Etat ou par un organisme qualifié indépendant. Dans ce dernier cas, l’opérateur
choisit l’organisme sur la liste mentionnée à l’article R. 9-7 et le coût du contrôle est fixé par contrat entre
l’opérateur et l’organisme.
II. – L’opérateur prend les dispositions nécessaires à la réalisation du contrôle par le service de l’Etat
désigné par le ministre ou par l’organisme qu’il a choisi et communique ces dernières dans un délai de deux
mois suivant la notification mentionnée au I du présent article au ministre chargé des communications
électroniques, qui s’assure que ces dispositions répondent aux objectifs du contrôle.
L’opérateur rend compte sans délai de toute difficulté au ministre chargé des communications électroniques.
III. – Lorsque le contrôle intervient à la suite d’une atteinte à la sécurité ou une perte d’intégrité ayant un
impact significatif sur le fonctionnement des réseaux ou des services de l’opérateur ou lorsque des défauts ou
des vulnérabilités dans les mesures prises pour assurer la sécurité et l’intégrité de ses installations, réseaux ou
services ont été constatés à l’occasion d’un précédent contrôle intervenu au cours de la même année civile, le
ministre chargé des communications électroniques peut imposer que le délai mentionné au II soit inférieur à
deux mois compte tenu du risque de sécurité identifié.