Указ распространяется на федеральные органы исполнительной власти, высшие исполнительные органы государственной власти субъектов Российской Федерации, государственные фонды, государственные корпорации (компании) и иные организации, созданные на основании федеральных законов, стратегические предприятия, стратегические акционерные общества и системообразующие организации российской экономики, а также юридические лица, являющихся субъектами критической информационной инфраструктуры Российской Федерации.
При этом по-прежнему организации обязаны сами следить за изменениями законодательства в сфере информационной безопасности и оценивать, насколько оно применимо к ним.