Ответа на этот вопрос не существует. Мнения разделились ровно поровну. Тот же Алексей Лукацкий оптимистично заявляет, что можно смело писать «угрозы НДВ неактуальны» и уходить от 1-2 уровней. Другие, более осторожные, считают, что так просто не отделаться. Какой-то методики или критериев, позволяющих сказать, что в данном случае угрозы не актуальны, насколько мне известно, нет.
Попробую рассуждать с точки зрения здравого смысла (который к теме защиты ПДн может быть не применим). Если я подозреваю, что нарушитель, который будет против меня действовать, в своем арсенале пакостей имеет одну, которая позволит ему воспользоваться некоей НДВ в используемом мной оборудовании, то я буду использовать проверенные (сертифицированные ) СВТ. Если же мои предполагаемые противники не так продвинуты, я буду считать НДВ неактуальной.
Я бы при составлении Модели угроз прорабатывал этот момент в описании возможностей нарушителя (Модель нарушителя) и в духе "«Используются сертифицированные средства защиты и серийно выпускаемые образцы СВТ от известных поставщиков-производителей...» Ну, короче, тщательно обосновывал бы неактуальность.
Плюс есть шанс, что такой важный момент будет как-то прояснен в дальнейших документах регуляторов, но надежды мало…