
Alex leunde achterover in zijn stoel, terwijl hij zijn eindeloze lijst met taken op zijn computer scherm bekeek. Het bedrijf was zich aan het voorbereiden op de grootste productlancering tot nu toe — een gloednieuwe software die belooft hun industrie te revolutioneren. Zijn inbox stroomde vol met belangrijke e-mails, verzoeken van cliënten en last-minute systeem updates. De druk was hoog, maar Alex kon altijd goed werken onder druk. Toch was er een taak die aan hem knaagde. Een enkele reminder die iedere dag aan de top van zijn to-do lijst te vinden was, iedere dag werd deze genegeerd en weggedrukt door Alex: Zorg ervoor dat je voldoet aan de NIS2- en DORA-regelgeving. Het klonk belangrijk, dat wel, maar voor Alex was het gewoon weer een bureaucratische horde.
‘’Volgende week’’ mompelde hij in zichzelf terwijl hij op een e-mail over een opkomende meeting met een klant klikte. ‘’We gaan wel aan de slag met compliance na de lancering. Wat kan er nou gebeuren in het ergste geval?’’ In de daaropvolgende dagen bleven er maar reminders komen van de interne compliance officieren over de risico’s die komen kijken als je de deadline voor de nieuwe EU wetten en regels mist. Alex negeerde ze allemaal. ‘’we zitten goed’’ verzekerde hij zichzelf. ‘’Wanneer het product eenmaal live is, halen we dat wel in. Een paar dagen vertraging zal geen kwaad kunnen.’’ Maar de risico’s waren duidelijk zichtbaar. Kleine netwerkfluctuaties begonnen zich spontaan voor te doen. Een reeks vreemde, ongewenste e-mails van niet-geverifieerde bronnen rommelde in zijn inbox. Alex wees het af als de gebruikelijke achtergrondruis. Hier was sowieso geen tijd voor. De lancering van het nieuwe product was al over enkele dagen en Alex had nog een hoop te doen. De dag van de lancering kwam met de verwachte drukte: persberichten, klantdemo’s en algemene vergaderingen. Het team werkte op adrenaline en Alex was zo in beslag genomen door de opwinding van weer een succesvolle mijlpaal dat de deadline voor de compliance ongemerkt voorbijging.
De volgende ochtend, terwijl Alex nog nagenoot van de opwinding die bij de lancering kwam kijken, kreeg hij een telefoontje waardoor hij verstijfde. ‘’We zijn gehacked.’’ De stem aan de telefoon klonk vol paniek. ‘’Data van klanten, intellectueel eigendom… het is allemaal openbaar. Een database lek.’’ Alex’s hart klopte. Hij sprintte direct naar zijn computer, pakte de logs erbij en probeerde te begrijpen wat er mis was gegaan. Hoe kon dit plots zo gebeuren? Terwijl hij de schade bekeek, begon de gebeurtenis op zijn plaats te vallen: de kwetsbaarheden die de aanvallers hadden uitgebuit, waren precies diegene die de NIS2- en DORA-naleving zouden hebben aangepakt. Tegen de tijd dat Alex’s team de inbreuk wist te stoppen, was de schade al aangericht. Gevoelige klantgegevens waren op het web gelekt en erger nog, het intellectueel eigendom van het vlaggenschipproduct van het bedrijf — dat ze net hadden gelanceerd — was nu een prooi voor het oprapen. Binnen enkele uren stond het nieuws in de krantenkoppen: Grote Cyberaanval Treft Top Technologiebedrijf. Klanten begonnen contracten te annuleren uit bezorgdheid over de veiligheid. De telefoonlijnen van het bedrijf waren overbelast met boze, bezorgde telefoontjes.
Toen kwamen de regelgevende instanties. Snel en meedogenloos daalden ze neer op het bedrijf met onderzoeken. Hun oordeel was hard en snel: niet-naleving van NIS2 en DORA. De boetes waren enorm, ver boven wat Alex had verwacht. Boetes stroomden binnen — tienduizenden euro’s aan straffen waar het bedrijf geen budget voor had gereserveerd. Groepsacties van getroffen klanten stapelden zich op de bureaus van het juridische team, en de aandelenkoers van het bedrijf kelderde terwijl investeerders zich haasten om hun geld terug te trekken. “Wat heb ik gedaan?” zei Alex tegen niemand in het bijzonder. Alex zat achter zijn bureau, met een leeg gezicht naar zijn computerscherm te staren. Een klop op de deur. De CEO kwam binnen, met een sombere uitdrukking. “Alex, we moeten praten.” De vergadering was kort en dat gold ook voor zijn toekomst bij het bedrijf. Alex werd ter plekke ontslagen en hield de verantwoordelijkheid voor de nalatigheid. Het bedrijf stortte in onder de druk van boetes, rechtszaken en reputatieschade. De regels die hij als triviaal had afgedaan, waren de strop om de nek van het bedrijf geworden.
Het negeren van de Compliance is niet enkel een risico voor jezelf – het is ook een gevaar voor je bedrijf en je klanten. De kosten zijn niet alleen de boetes; het gaat om de rechtszaken, de reputatieschade en de ineenstorting van alles waar je hard voor hebt gewerkt. En Alex wist maar al te goed hoe waar dat was.