Если "обязан" в юридическом смысле, то тот, кто разрабатывает системы в которой обрабатываются: персональная информация, конфиденциальная информация и т.п., причём в качестве одной из мер защиты принята криптографическая защита информации.
Однако, в этом случае, либо разработчик должен иметь сотрудника(-ов) с профильным образованием и лицензию, либо иметь соисполнителя. Так что, лучше начать с этого конца: нанять сотрудника или заключить договор, а потом уж послушать что скажут для вашего конкретного случая.
Технически продуктов, реализующих шифрование, хэш функции и ЭЦП по различным ГОСТ-ам - пруд пруди. Как платных (КриптоПро, Верба, ...), так и "бесплатных" (OpenSSL 1.0.0 и выше).