Pour la réalisation du contrôle, l'opérateur de services essentiels conclut une convention avec l'Agence nationale de la sécurité des systèmes d'information ou le prestataire de service chargé d'effectuer le contrôle. Cette convention précise notamment :
1° Les objectifs et le périmètre du contrôle ;
2° Les modalités du déroulement du contrôle et le délai dans lequel il est réalisé ;
3° Les conditions dans lesquelles l'agence ou le prestataire accède aux réseaux et systèmes d'information et effectue les analyses et les relevés d'informations techniques ;
4° Les informations et éléments, notamment la documentation technique des matériels et des logiciels, que l'opérateur communique à l'agence ou au prestataire pour la réalisation du contrôle ;
5° Les conditions de protection de la confidentialité des informations traitées dans le cadre du contrôle.
La convention est conclue dans des délais compatibles avec le délai fixé par le Premier ministre pour la réalisation du contrôle.
Lorsque le contrôle est effectué par un prestataire, l'opérateur adresse sans délai une copie de la convention signée à l'agence.