Mal abgesehen davon, dass der Herr Professor (hüstel) sich selbst widerspricht, in dem er sagt, dass NIS-2 nichts neues sei und dann doch meint, es fehlen Standards, steht da eine Frist in der Richtlinie und Richtlinien können wenn sich konkret genug formuliert sind nach Aussage des Wissenschaftlichen Dienstes des Bundestages auch schon ohne nationale Implementation angewandt werden. Außerdem gibt es den Grundschutzkatalog des BSI. Das ist ein bereits existierender Standard, der Branchenübergreifend gilt. Hinzu kommt, dass der Geschäftsleiter nach Artikel 21 nun auch für die Sicherheit der Lieferkette verantwortlich ist. Und auch hier gibt es mit Common Critieria EAL 4 augmented by ALC_FLR.3 ebenfalls einen etablierten Standard. Produkte, die so zertifiziert sind sind nach Aussage von der Justiziaren der ENISA bereits ausreichend evaluiert.
