Les services fournis par le prestataire sont évalués au regard de règles fixées par des référentiels propres à chaque type de services. Ces référentiels sont élaborés par l'Agence nationale de la sécurité des systèmes d'information et approuvés par le Premier ministre. Le cas échéant, les référentiels peuvent imposer au prestataire de respecter les prescriptions prévues aux articles R. 2311-1 et suivants du code de la défense.
L'évaluation est réalisée sur pièce et sur place par un centre d'évaluation agréé dans les conditions prévues à la section 2 du présent chapitre. Elle vise à s'assurer que le prestataire respecte les règles prévues par les référentiels mentionnés au premier alinéa, en particulier qu'il dispose du personnel compétent ainsi que des moyens techniques et des locaux adéquats pour fournir ses services.
Lorsque l'évaluation nécessite des compétences techniques particulières dont ne disposent pas les centres d'évaluation, l'Agence nationale de la sécurité des systèmes d'information apporte son concours à ces centres.
En l'absence de centre d'évaluation agréé, l'Agence nationale de la sécurité des systèmes d'information peut évaluer les services du prestataire.