Na ebben teljesen igazat adok. Én pont a gyakorlati kockázatokra próbáltam koncentrálni, akinek törvényileg kötelező, ott nincs mit tenni.
Akkor is, ha az információbiztonsági szabványokban is lehetnek olyan elemek, amik körül nincs konszenzus, pl. a kierőltetett jelszóváltoztatás és komplexitási szabályok.