Moin,
okay, das ergibt Sinn. Meine Rückfrage sollte auch nicht so aggressiv klingen, wie sie es vielleicht tat.
Im Zusammenhang mit gesetzlichen Regelungen sollte man immer differenzieren. Es wird allgemein weit weniger konkret vorgeschrieben, als oft behauptet oder vermutet wird. Viele angeblich gesetzliche Anforderungen entpuppen sich dann eher als "Best Practices", die sich bei Überprüfungen usw. bewährt haben (im Sinne von: wenn man es so macht, dann fragt wahrscheinlich niemand näher nach), die man aber durchaus auch anders machen kann. Am Ende ist es oft "nobody ever got fired for buying IBM" ...
NIS 2 ist ein schönes Beispiel dafür. Es gibt noch nicht mal die deutschen Gesetze dazu, aber es fliegen hanebüchene Behauptungen durch die Fachwelt.
Gruß, Nils