А где она такое говорит? Даже средства защиты можно зарубежные, а не только промышленное оборудование

Для 1 категории требовали размещение серверов в РФ и сертифицированные СЗИ. Про запрет зарубежных - не слышал такого.

такие ограничения могут устанавливать сами владельцы окии, их собственно тоже никто не ограничивает особо.

прописать в собственных политиках.

Просто я уже не раз слышала о таких требований и друзья вендоры просили помочь с интерпретацией закона

приказ 239 фстэк. раздел III, пункт 28. Для обеспечения безопасности значимых объектов критической информационной инфраструктуры должны применяться средства защиты информации, прошедшие оценку на соответствие требованиям по безопасности в формах обязательной сертификации, испытаний или приемки.
Средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации, применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры.
В иных случаях применяются средства защиты информации, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами критической информационной инфраструктуры самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством Российской Федерации лицензии на деятельность в области защиты информации.
Испытания (приемка) средств защиты информации проводятся отдельно или в составе значимого объекта критической информационной инфраструктуры в соответствии с программой и методиками испытаний (приемки), утверждаемыми субъектом критической информационной инфраструктуры.

в приказе теак же есть про соотнесение мер информационной, промышленной и функциональной безопасности.

и допускается не использовать средства ИБ, если посредством мер промышленной и/или функциональной безопасности обеспечивается требуемый уровень безопасности объекта кии.

сосбтвенно, приказ 239, раздел III пункт 25. Если принятые в значимом объекте меры по обеспечению промышленной, функциональной безопасности и (или) физической безопасности достаточны для блокирования (нейтрализации) отдельных угроз безопасности информации, дополнительные меры, выбранные в соответствии с пунктами 22 и 23 настоящих Требований, могут не применяться. При этом в ходе разработки организационных и технических мер по обеспечению безопасности значимого объекта должна быть обоснована достаточность применения мер по обеспечению промышленной безопасности или физической безопасности для блокирования (нейтрализации) соответствующих угроз безопасности информации.

Как в группу КИИ 187 ФЗ попал :) читаю и начинаю засыпать

А если без концелярского языка - достаточно пройти испытания по ПиМИ и зафиксировать актом и протоколом соответствие ТЗ (Если конечно это не гос ИС и боже упаси ГТ)

Многие предприятия запутались или боятся регуляторов и от греха подальше просят сертифицированное, чтобы этот риск переложить на поставщиков

они не регулятора боятся, они не хотят вкладываться в ибэ. ))) "20 лет работали без этого всего, чо нам будет то?"

я думал ты вообще не спишь. столько постов в день фигачишь.

коллега, попросил пруфы, и вот они))))

ну и ядумаю что части специалистов по промавтоматизации, которые здесь присутствуют,  точно так же тяжело читать про тактики митры на английском как и 239 приказ на бумажно-бюрократическом

так что спишь не ты один, Антон, я более чем уверен))))

Да, быть в курсе технологий нападения и защиты вообще непросто

а то

Нет там про сертифицированные СЗИ ничего