Федеральная служба технического экспортного контроля предложила распространить требования к информационной безопасности для госсектора на коммерческие компании, организующие защиту государственных данных. Большинство участников рынка кибербезопасности так или иначе работает на госсектор, и могут появиться дополнительные требования к этим компаниям, которые увеличат нагрузку на бизнес. В предложении ФСТЭК устанавливаются правила защиты информации в российских организациях, а также закрепляется создание государственной организационной системы защиты информации. Система, по замыслу ФСТЭК, будет состоять из «органов и организаций, выполняющих функции по защите информации, и используемых ими средств защиты». Закрепляется шесть категорий участников системы, в том числе органы безопасности — ФСТЭК и ФСБ, организации, имеющие полномочия на сертификацию средств защиты, и компании, оказывающие услуги в области защиты государственной информации. Проект значительно расширяет круг компаний, на которых распространяются требования ФСТЭК, — в России почти все организации в области информационной безопасности работают либо напрямую с госсектором, либо с организациями, которые имеют дело с информацией, конечным обладателем которой является государство. Также раньше требования по сертификации средств защиты информации и аттестации защищенности распространялись только на системы, имеющие статус государственных, а теперь предлагается расширить перечень объектов, для которых сертификация и аттестация становятся обязательными. Кроме того, расширяется перечень систем, в отношении которых необходимо проводить анализ защищенности.