Le référentiel général de sécurité prévu par l'article 9 de l'ordonnance du 8 décembre 2005 susvisée fixe les règles auxquelles les systèmes d'information mis en place par les autorités administratives doivent se conformer pour assurer la sécurité des informations échangées, et notamment leur confidentialité et leur intégrité, ainsi que la disponibilité et l'intégrité de ces systèmes et l'identification de leurs utilisateurs.
Ces règles sont définies selon des niveaux de sécurité prévus par le référentiel pour des fonctions de sécurité, telles que l'identification, la signature électronique, la confidentialité ou l'horodatage, qui permettent de répondre aux objectifs de sécurité mentionnés à l'alinéa précédent.
La conformité d'un produit de sécurité et d'un service de confiance à un niveau de sécurité prévu par ce référentiel peut être attestée par une qualification, le cas échéant à un degré donné, régie par le présent décret.

Le référentiel général de sécurité ainsi que ses mises à jour sont approuvés par arrêté du Premier ministre publié au Journal officiel de la République française. L'Agence nationale de la sécurité des systèmes d'information concourt à l'élaboration de ce référentiel et à sa mise à jour en liaison avec la direction interministérielle du numérique. Ce référentiel est mis à disposition du public par voie électronique.