Op 4 februari 2025 dropten ze op Banken.nl een artikel met de titel ‘Nieuwe cybersecuritywet drukt zwaar op de portemonnee financiële dienstverleners’. TL;DR1: De naleving van DORA-regels kost flink wat tijd, moeite en (vooral) geld. Meer dan de helft van de CISO’s 2voelt die extra druk van de EU-regels. Logisch ook—al die nieuwe eisen zijn gewoon een last.
Nu ga ik niet zitten oordelen over dat onderzoek of wat die CISO’s ervan vinden, maar het zette me wél aan het denken. Ik zie namelijk een duidelijke link met compliance. Criminaliteit wordt slimmer, fraudeurs verzinnen steeds nieuwe trucs, en dus komt de wetgever telkens met nieuwe regels om dat tegen te gaan. En wat doen organisaties? Die wijzen naar de wet: “We moeten dit van DNB”. Lekker makkelijk. Compliance als de boeman die alles moet afdwingen.
Maar wacht even… Is dat eigenlijk wel integer gedrag? Denk eens aan juweliers of fabrikanten van kluizen. Zitten die te wachten op een wet die hen vertelt hoe ze inbraken moeten voorkomen? Nope. Ze lopen vooruit op de dreiging. Zelfs fietssloten zijn al beter dan de keurmerken die erbij horen. Waarom? Omdat ze niet wachten tot iemand anders bepaalt wat “goed genoeg” is.
En dan terug naar de echte vraag: is het eigenlijk wel oké om je te verschuilen achter wetgeving als dé reden om dingen te veranderen? Want daarmee ontwijk je een veel belangrijker gesprek: wat zegt dit over het moreel kompas van je organisatie? Of, nog spannender: van je bestuur? Ga daar maar eens over in discussie als compliance officer… Je ziet niemand in een rapportage zetten: “Het moreel kompas van de directie deugt niet.” Maar dat is wél de realiteit. Als je alleen volgt wat de wet voorschrijft, loop je altijd achter de feiten aan. Je wacht passief af in plaats van zelf verantwoordelijkheid te nemen.
En dan DORA. Is dit écht een revolutionair nieuwe eis? Of is het eigenlijk gewoon een fancy versie van iets dat allang een maatschappelijke verantwoordelijkheid is? Je IT en dienstverlening goed beschermen is toch niet ineens een nieuw idee? Het concept van goed huisvaderschap klinkt misschien old-school, maar het betekent simpelweg: goed zorgen voor je klanten, je diensten en je stakeholders. Cybersecurity is daar gewoon een onderdeel van.
Dus waar moeten we als compliance professionals op focussen? Niet op het braaf afvinken van regeltjes, maar op een organisatiecultuur met een sterk moreel kompas. Wetgeving zou geen verrassing of obstakel moeten zijn, maar een bevestiging van iets wat je toch al deed. Compliance moet niet de politieagent van de wet zijn, maar de bewaker van ethiek en verantwoordelijkheid.
Dus om terug te komen op de titel: moet je of moetje? Geen van beide. Je wilt. En ja, dat is makkelijker gezegd dan gedaan. Maar als ik dit niet zeg, wie dan wel?
