JLR Cyberaanval 2025: Een tijdlijn van wat we weten

In het kort: De aanval op Jaguar Land Rover zou begonnen zijn op of rond 31 augustus 2025. JLR heeft de productie op 1 september stopgezet en het incident op 2 september publiekelijk bevestigd. Een shutdown die ongeveer vijf weken duurde volgde, waarbij JLR in september en oktober verschillende officiële updates uitgaf waarin werd bevestigd dat gegevens waren getroffen, toezichthouders waren geïnformeerd en een gefaseerde herstart was ingezet. Een cybermisdaadgroep eiste de verantwoordelijkheid op, maar JLR heeft de aanval niet officieel toegeschreven aan enige partij.

Dit artikel is bijgewerkt met bevestigde informatie na het incident. Laatst bijgewerkt: oktober 2025. Zoals bij de meeste cyberincidenten worden volledige technische details zelden openbaar gemaakt. Deze tijdlijn weerspiegelt bevestigde rapportage en officiële verklaringen van JLR.

De Bevestigde Tijdlijn, Gebaseerd op JLR Verklaringen en Gepubliceerde Rapportage

De aanval op Jaguar Land Rover is naar verluidt begonnen op of rond 31 augustus 2025. De productie werd de volgende dag stopgezet en de openbare bevestiging kwam op 2 september. Wat volgde, was een shutdown van ongeveer vijf weken op de Britse productielocaties van JLR, wat gevolgen had voor de productie, onderdelenlogistiek en leveranciersbetaalsystemen binnen het hele bedrijf.

Hieronder vindt u de bevestigde tijdlijn. Wanneer informatie afkomstig is van rapportage door derden in plaats van officiële JLR-verklaringen, wordt dit expliciet vermeld.

31 augustus 2025: De aanval begint

Volgens daaropvolgende rapporten van BBC News en Wired begon het cyberincident op of rond 31 augustus 2025. JLR heeft de productie in zijn Britse fabrieken op 1 september stopgezet als directe reactie. Het besluit om IT-systemen af te sluiten werd genomen als een beheersmaatregel.

2 september 2025: JLR bevestigt het incident publiekelijk

JLR heeft publiekelijk bevestigd dat het getroffen was door een cyberincident. In zijn eerste verklaring zei het bedrijf dat er op dat moment geen bewijs was dat klantgegevens waren gestolen, maar waarschuwde het dat "retail- en productieactiviteiten ernstig waren verstoord."

De specifieke aanvalsmethode, de betrokken malware en de verantwoordelijke partij werden door JLR in deze verklaring niet bevestigd.

9 september 2025: Eerste gedetailleerde verklaring

JLR bevestigde dat sommige gegevens waren getroffen en dat relevante toezichthouders waren geïnformeerd, in overeenstemming met de gegevensbeschermingsverplichtingen. Het bedrijf verklaarde dat het samenwerkte met de wetshandhaving, externe cybersecurity-experts en het Britse National Cyber Security Centre (NCSC).

Bron: Officiële verklaring JLR, 9 september 2025

Het incident werd ook besproken in het Britse parlement op 10 september 2025, waarbij parlementslid Liam Byrne de aanval omschreef als een "digitale belegering" en waarschuwde dat werknemers in de toeleveringsketen werden ontslagen, waarbij Unite getroffen werknemers adviseerde om een uitkering aan te vragen.

16 september 2025: Productiepauze verlengd

JLR kondigde aan dat de productiepauze zou worden verlengd tot ten minste 24 september 2025, onder verwijzing naar het lopende forensische onderzoek en de noodzaak van een gecontroleerde systeemherstel voordat de productie veilig kon worden hervat.

Bron: Officiële verklaring JLR, 16 september 2025

Op 19 september hebben het Department for Business and Trade en de Society of Motor Manufacturers and Traders een gezamenlijke verklaring afgelegd waarin zij erkenden dat de aanval "een aanzienlijke impact had op JLR en op de bredere automobiele toeleveringsketen."

23 september 2025: Tweede verlenging bevestigd

Een verdere verlenging werd aangekondigd, waardoor de beoogde productiestart naar 1 oktober 2025 werd verschoven, aangezien het gefaseerde herstelplan zich bleef ontwikkelen.

25 september 2025: Gedeeltelijke systemen hersteld

JLR meldde dat delen van zijn digitale infrastructuur opnieuw waren geactiveerd, met name zijn factureringssystemen en het Global Parts Logistics Centre. Hierdoor kon het bedrijf beginnen met het wegwerken van een achterstand in betalingen aan leveranciers en het hervatten van de onderdelenstroom. JLR beschreef het herstel als "stevig onderweg".

7 oktober 2025: Gefaseerde productiestart

JLR bevestigde de volgende fase van de operationele herstart. De productie werd eerst hervat in het Electric Propulsion Manufacturing Centre (EPMC) en Battery Assembly Centre (BAC), waarbij personeel ook terugkeerde naar de stempel- en assemblagelocaties in Castle Bromwich, Halewood en Solihull. Een nieuw financieringsschema voor leveranciers werd aangekondigd om de toeleveringsketen te helpen stabiliseren.

Bron: Officiële verklaring JLR, 7 oktober 2025

Verantwoordelijkheid geclaimd: Wat is er gerapporteerd

Kort na de aanval eiste een groep die zichzelf Scattered Lapsus$ Hunters noemde publiekelijk de verantwoordelijkheid op via Telegram. Rapportering door Wired suggereerde dat de claim wees op mogelijke samenwerking tussen drie Engelstalige cybercriminele groepen: Scattered Spider, Lapsus$ en ShinyHunters.

JLR heeft de aanval niet officieel toegeschreven aan een partij. Deze claims zijn niet onafhankelijk geverifieerd door Britse autoriteiten in een openbare verklaring, en moeten worden behandeld als gerapporteerd in plaats van bevestigd.

Wat onbevestigd blijft (vanaf oktober 2025)

JLR heeft de volledige omvang van de getroffen gegevens, de exacte financiële kosten voor het bedrijf of de identiteit van de verantwoordelijken niet bekendgemaakt. De kosten voor het bedrijf zijn door derden geschat op ongeveer £ 50 miljoen per week, en de totale economische impact is in daaropvolgende rapporten van Reuters en BBC omschreven als mogelijk oplopend tot £ 1,9 miljard, hoewel dit schattingen van analisten zijn in plaats van door JLR bevestigde cijfers. De Bank of England merkte in november 2025 op dat de cyberaanval een bijdragende factor was aan een tragere BBP-groei in het VK. Zoals bij de meeste incidenten van deze aard is het onwaarschijnlijk dat volledige technische details openbaar worden gemaakt.

Waarom dit verder gaat dan de eigen activiteiten van JLR

Cyberincidenten bij grote OEM's blijven zelden beperkt tot de fabrikant zelf. Toen de systemen van JLR offline gingen, hadden de gevolgen een cascade-effect op het hele Land Rover-ecosysteem.

Onderdelendatabases, bestelportalen en VIN-opzoekhulpmiddelen waarop werkplaatsen dagelijks vertrouwen, gingen offline of werden onbetrouwbaar. Garages die normaal gesproken in enkele seconden een onderdeelnummer zouden opvragen, grepen terug naar telefoongesprekken en handmatige kruisverwijzingen. Kleinere leveranciers binnen het JLR-netwerk werden geconfronteerd met betalingsvertragingen en operationele onzekerheid, waarbij Unite meldde dat werknemers in de toeleveringsketen werd geadviseerd een uitkering aan te vragen. En aan het einde van die keten zaten eigenaren en monteurs te wachten op onderdelen zonder duidelijke tijdlijn.

Dit is de realiteit van hoe diep de moderne toeleveringsketens in de automobielindustrie met elkaar verweven zijn. Wanneer een gecentraliseerd OEM-systeem hapert, bereikt de rimpeling onafhankelijke garages, onderdelenspecialisten en voertuigeigenaren ruimschoots voordat het de krantenkoppen haalt.

Voorgestelde bronnen

• JLR Media Newsroom: media.jaguarlandrover.com
• UK National Cyber Security Centre (NCSC): ncsc.gov.uk
• UK Parliament Hansard, 10 september 2025: hansard.parliament.uk
• Gov.uk gezamenlijke verklaring, 19 september 2025: gov.uk

Voor een analyse van hoe deze verstoring de beschikbaarheid van onderdelen en onafhankelijke werkplaatsen in heel Europa beïnvloedde, zie het begeleidende stuk: Impact op Land Rover onderdelenlevering en werkplaatsen →