De aanleiding: een kwartaalupdate die ineens over cyber gaat
Op 5 januari 2026 publiceerde Jaguar Land Rover (JLR) zijn verkoopupdate over Q3 van boekjaar FY26 (de drie maanden tot 31 december 2025). De kop is ongewoon direct: de volumes zijn “impacted by cyber incident”. JLR meldt dat de groothandelsvolumes (leveringen aan dealers) uitkwamen op 59.200 voertuigen, -43,3% jaar-op-jaar, en dat de retailverkopen (verkopen aan eindklanten) 79.600 waren, -25,1% jaar-op-jaar. JLR legt daarbij uit dat de productie pas medio november weer op normaal niveau was en dat er daarna extra tijd nodig was om auto’s wereldwijd te distribueren.
Voor directie en CISO’s zit de waarde niet alleen in de percentages, maar in het mechanisme erachter: een cyberincident veranderde in korte tijd in een leverings- en beschikbaarheidsprobleem. In de auto-industrie is “niet leveren” vaak gelijk aan “niet verkopen”, omdat dealers minder voorraad krijgen en klanten uitwijken of hun aankoop uitstellen. JLR noemt ook nog twee extra factoren die volumes drukten: het uitfaseren van ‘legacy’ Jaguar-modellen richting een nieuwe Jaguar-lancering en extra Amerikaanse importtarieven die exports naar de VS raakten. Cyber was dus niet het enige element, maar wél de factor die het kwartaleffect scherp zichtbaar maakte.
Wat er in 2025 gebeurde: “proactively shutting down our systems”
De cyberaanval zelf speelde eerder: JLR meldde op 2 september 2025 dat het bedrijf was getroffen door een cyber incident en dat het “immediate action” had genomen door systemen proactief uit te schakelen om de impact te beperken. Daarbij gaf JLR aan dat er op dat moment geen bewijs was dat klantdata was gestolen, maar dat retail- en productieactiviteiten wél “severely disrupted” waren. Die ene zin is belangrijk voor supply chain risk management: soms is de veiligste keuze een gecontroleerde stop, maar dat is óók meteen een operationele stop.
Een week later, op 10 september 2025, volgde een update: op basis van het lopende onderzoek dacht JLR dat enige data was geraakt en dat men relevante toezichthouders informeerde. Met andere woorden: het incident had niet alleen continuïteitsimpact (productie en verkoop), maar kreeg ook een compliance- en reputatielaag. Voor ketenpartners (dealers, logistiek, financiering/lease, onderdelenleveranciers) is dat het moment waarop vragen ontstaan als: “Wat betekent dit voor onze klantcommunicatie?”, “Moeten wij ook melden?” en “Welke processen vallen stil omdat integraties of portals niet beschikbaar zijn?” Supply chain raakt hier direct aan governance: je kunt pas sturen als je weet welke data- en systeemkoppelingen essentieel zijn.
De supply-chain impact in één model: CMC noemt het “systemic”
Het Britse Cyber Monitoring Centre (CMC) publiceerde op 22 oktober 2025 een uitgebreide analyse en classificeerde het incident als een Category 3 systemic event (op een vijfpuntsschaal). CMC schatte een UK financial impact van £1,9 miljard (bandbreedte £1,6–£2,1 miljard) en stelde dat de gevolgen doorwerkten naar meer dan 5.000 Britse organisaties. CMC benadrukt dat het om een modelmatige schatting gaat op basis van publiek beschikbare data en aannames, maar de kernboodschap is glashelder: bij een grote fabrikant zijn de “rimpels” in de keten zó groot dat het incident economisch systeemimpact krijgt, ook al was er volgens CMC één primaire slachtofferorganisatie.
Wat CMC concreet beschrijft, is precies wat bestuurders vaak onderschatten: stilstand “bij de klant” is zelden een geïsoleerd IT-probleem. CMC noemt dat de aanval JLR’s interne IT raakte en leidde tot een shutdown en een halt in wereldwijde manufacturing operations, met effect op grote UK-plants. Leveranciers kregen te maken met geannuleerde of vertraagde orders en onzekerheid over toekomstige volumes; dealersystemen waren soms niet beschikbaar. CMC wijst ook op het onderscheid tussen IT en OT (Operational Technology: de systemen die machines, productielijnen en industriële processen aansturen). Als IT en OT elkaar raken, kan de herstart veel complexer worden. Dat is de supply-chain les: cyberweerbaarheid is niet alleen “informatiebeveiliging”, het is ook productiecontinuïteit.
Waarom dalende verkoopcijfers eigenlijk een ketenindicator zijn
In de praktijk zijn verkoopcijfers bij een fabrikant vaak een late indicator van iets wat weken eerder in de keten begon. JLR zegt zelf dat de volumes pas in Q3 echt zichtbaar terugvallen doordat productie pas medio november normaliseerde en distributie tijd nodig had. Dat laat zien hoe cyberincidenten een lag-effect hebben: de aanval is “toen”, de omzet- en leveringsschok is “later”. In supply chain taal: je krijgt eerst een verstoring in planning en productie, daarna in logistiek en voorraadposities bij dealers, en pas daarna in verkoop en marge.
Voor middelgrote organisaties (ook buiten automotive) is dit herkenbaar. Denk aan een Nederlandse groothandel die afhankelijk is van een beperkt aantal leveranciers of een bedrijf dat werkt met just-in-time leveringen: als één schakel zijn systemen preventief uitzet, stopt de keten niet netjes bij die schakel. Orders kunnen niet worden bevestigd, statusupdates vallen weg, forecasts worden onbetrouwbaar en klantenservice krijgt druk. Wat JLR’s cijfers zichtbaar maken, is dat “niet kunnen produceren” en “niet kunnen uitleveren” dezelfde commerciële uitkomst hebben: minder omzet, minder vertrouwen, en vaak extra kosten om later te versnellen (spoedtransport, extra shifts, tijdelijke buffers).
De Reuters-berichtgeving onderstreept dit vanuit een marktbril: de productieproblemen door het cyberincident vertaalden zich in die forse daling van wholesale en retail volumes. De exacte mix van oorzaken (cyber, tariefdruk, modeltransitie) doet voor supply chain risk management niet eens het meeste pijn; het pijnpunt is dat één digitaal incident meerdere strategische dossiers tegelijk raakt: levering, cashflow, merkbeleving, compliance en stakeholdermanagement.
Wat dit zegt over digitale supply chains: afhankelijkheden die je niet op de factuur ziet
De meeste bestuurders kennen hun tier-1 leveranciers (de partijen waar je direct inkoopt). Maar digitale supply chains zitten vol tier-2 en tier-3 afhankelijkheden: platformen, identity-oplossingen, netwerkdiensten, integratiepartners, industrie-IT, en soms externe supportpartijen die je pas écht nodig hebt tijdens een incident. JLR’s eigen communicatie laat zien hoe snel je in “controlled restart” en “phased recovery” terechtkomt: dat is zelden een knop die je omzet; het is een kettingreactie van systemen, autorisaties, datastromen en productieprocessen die weer betrouwbaar moeten worden.
Een tweede punt is de menselijke factor in de keten. CMC benoemt expliciet dat impact doorwerkt naar leveranciers, met maatregelen zoals urenbanken, loonaanpassingen en in sommige gevallen ontslag. Supply chain risk is dus niet alleen “kunnen we leveren?”, maar ook “blijven kritieke leveranciers financieel overeind?” In Nederland zie je datzelfde mechanisme bij gespecialiseerde mkb-toeleveranciers: één grote klant die tijdelijk stopt kan meteen een liquiditeitsprobleem veroorzaken. Het positieve nieuws is: juist hier kun je als afnemer en als ketenpartner sturen—met heldere afspraken over escalatie, met scenario’s voor tijdelijke orderpatronen, en met financiële en operationele ‘bruggen’ die je vooraf regelt in plaats van tijdens de crisis.
Bestuurlijke lessen: van “cyber” naar “continuïteit” in vier stappen
De kernles uit JLR is dat een cyberaanval een bedrijfskritische verstoring kan zijn, zelfs zonder dat er (aantoonbaar) data is buitgemaakt. JLR stelde op 2 september 2025 dat er geen bewijs was van gestolen klantdata, maar wél zware verstoring van retail en productie. Dat is een belangrijk gesprek voor directies: je risicomodel moet niet alleen draaien om datalekken, maar ook om “digitale stilstand”.
Vier praktische stappen die je als directie/CISO samen kunt gebruiken (zonder in IT-detail te verdrinken):
- Maak je “stoplijst” expliciet: welke systemen móéten blijven draaien om te kunnen verkopen, plannen, produceren of uitleveren?
- Oefen een gecontroleerde shutdown: als je ooit systemen uitzet om erger te voorkomen, wie beslist dat, en hoe herstart je gecontroleerd?
- Contracteer ketenrespons: leg met kritieke leveranciers vast hoe snel zij incidenten melden, welke informatie je krijgt, en hoe gezamenlijke continuïteit werkt.
- Meet ketenimpact in geld en dagen: definieer vooraf wat 1 dag uitval betekent in omzet, boetes, klantvertrouwen en extra logistieke kosten.
Dit is geen pleidooi voor “meer techniek”, maar voor bestuurlijke duidelijkheid. Wie dit vooraf regelt, kan sneller terug naar normaal en communiceert geloofwaardiger naar klanten, financiers en toezichthouders.
Een positieve afsluiting: cyberweerbaarheid als concurrentievoordeel in de keten
Het makkelijkste is om dit soort nieuws af te doen als “iets van de auto-industrie”. Maar de les is breder: moderne ketens zijn digitaal verweven. JLR’s kwartaalupdate laat zien hoe een incident uit augustus/september 2025 doorwerkt tot meetbaar lagere verkoopvolumes in het kwartaal tot 31 december 2025. Als je die tijdlijn eenmaal ziet, ga je anders kijken naar je eigen supply chain: waar zit onze digitale single point of failure, en welke ketenpartner kan ons onbedoeld stilleggen?
Het goede nieuws: supply chain risk management is hier niet machteloos. Je kunt wél kiezen voor transparantie in afhankelijkheden, voor minimale koppelingen waar het kan, voor herstelbaarheid (back-ups, alternatieve processen), en vooral voor gezamenlijke afspraken met leveranciers en dienstverleners. Organisaties die dit op orde hebben, hebben in crisistijd minder verrassing, minder improvisatie en sneller herstel. En dat vertaalt zich uiteindelijk naar iets waar directies wél op sturen: leverbetrouwbaarheid, klantvertrouwen en voorspelbare cashflow—ook als het digitaal tegenzit.
