Использование ISO/IEC 27001—2005 как национального стандарта, в то время как уже введён в действие ISO/IEC 27001—2013, а также неотрегулированность системы сертификации средств защиты информации серьёзно затрудняет выполнение одного из главных требований стандарта – соответствие действующему законодательству.