A l'issue du contrôle, l'Agence nationale de la sécurité des systèmes d'information ou le prestataire ayant réalisé le contrôle rédige un rapport exposant ses constatations, au regard de l'objectif du contrôle, sur le respect des obligations prévues aux articles 12 et 13 de la loi du 26 février 2018 précitée et sur le niveau de sécurité des réseaux et systèmes d'information contrôlés. Les manquements à ces obligations et les vulnérabilités des réseaux et systèmes d'information constatés lors du contrôle sont indiqués dans le rapport, qui formule le cas échéant des recommandations pour y remédier.
L'agence ou le prestataire ayant réalisé le contrôle met le fournisseur de service numérique en mesure de faire valoir ses observations sur le rapport mentionné au premier alinéa.
Lorsque le contrôle est effectué par un prestataire, celui-ci communique à l'agence, dans le délai fixé pour la réalisation du contrôle, le rapport mentionné au premier alinéa et, le cas échéant, les observations du fournisseur de service numérique. L'agence peut auditionner, dans un délai de deux mois à compter de la communication du rapport, le prestataire ayant effectué le contrôle, en présence du fournisseur de service numérique, si celui-ci a formulé des observations ou si elle l'y convie, et d'un représentant des ministres concernés si ceux-ci en ont exprimé le souhait, pour examiner les constatations et les recommandations figurant dans le rapport.
L'Agence nationale de la sécurité des systèmes d'information communique aux ministres concernés les conclusions du contrôle.