Les organismes concernés par l'audit obligatoire périodique de la sécurité informatique au sens de la loi n°5-2004 sont fixés par le décret 1250-2004, à savoir :
- les organismes publics,
- les opérateurs de réseaux publics de télécommunications et les fournisseurs des services d’internet,
- les entreprises dont les réseaux sont interconnectés à travers des réseaux externes de télécommunications,
- les entreprises qui procèdent au traitement automatisé des données personnelles de leurs clients.
Une fois la mission clôturée, l’établissement concerné envoie à l’ANSI son rapport d’audit.
Les circulaires 19-2007 et 24-2020 stipulent que les établissements publics sont appelés à mettre en place un ensemble de mesures de sécurité pour renforcer le niveau de la sécurité de leurs systèmes d’information, en particulier :
- la création d’un comité de pilotage,
- la création d’une cellule opérationnelle de sécurité,
- la nomination d'un Responsable de la Sécurité des Systèmes d'Information RSSI.