Le Premier ministre, après avis des ministres concernés, notifie aux opérateurs de services essentiels sa décision d'imposer un contrôle prévu à l'article 8 de la loi du 26 février 2018 précitée. Il précise les objectifs et le périmètre du contrôle et fixe le délai dans lequel le contrôle est réalisé. Il indique, en fonction de la nature des opérations à mener, si ce contrôle est réalisé par l'Agence nationale de la sécurité des systèmes d'information ou par un prestataire de service qualifié. Dans ce dernier cas, l'opérateur choisit le prestataire sur la liste qui lui est communiquée et en informe sans délai l'Agence nationale de la sécurité des systèmes d'information.
Le Premier ministre ne peut imposer à un opérateur plus d'un contrôle par année civile d'un même réseau et système d'information, sauf si ce réseau et système d'information de l'opérateur est affecté par un incident de sécurité ou si des vulnérabilités de ce réseau et système d'information ou des manquements aux règles de sécurité mentionnées à l'article 6 de la loi du 26 février 2018 précitée ont été constatés lors d'un contrôle précédent subi par l'opérateur.