L'organisme accrédité reconnaît ou non la qualification du prestataire de services de certification électronique au vu du rapport d'évaluation et des éventuelles observations du prestataire et en informe la direction centrale de la sécurité des systèmes d'information.
Lorsqu'il reconnaît la qualification d'un prestataire, l'organisme accrédité délivre une attestation qui décrit les activités couvertes par la qualification ainsi que la durée pendant laquelle l'attestation est valable. Il en adresse une copie à la direction centrale de la sécurité des systèmes d'information. Pendant cette durée, qui ne peut excéder trois ans, le prestataire doit faire l'objet d'un audit de surveillance au moins annuel de la part de l'organisme accrédité, qui peut conduire à une suspension ou à un retrait de l'attestation de la part de l'organisme accrédité. Ce dernier en informe alors aussitôt la direction centrale de la sécurité des systèmes d'information.
Les prestataires dont la qualification est reconnue communiquent à toute personne qui en fait la demande une copie de l'attestation délivrée par l'organisme accrédité.