Een cyberaanval bij Nichirei, de grootste aanbieder van gekoelde en bevroren logistiek in Japan, legde de bevoorrading van KFC, sushiketen Kura Sushi en ijsmaker Glico plat, meldde het bedrijf op 15 juli. Geen van die merken werd zelf gehackt. Ze leunen op dezelfde leverancier.
Dat maakt een aanval op een derde partij zo verraderlijk voor elke ondernemer met uitbestede schakels. Nichirei runt ongeveer 140 distributiecentra voor zo'n 5.000 klanten; valt dat knooppunt uit, dan stokt in één klap de aanvoer bij tientallen afnemers die verder niets met elkaar te maken hebben. De rekening, de reputatieschade en de meldplicht liggen dan niet bij de gehackte partij, maar bij de bedrijven die op haar bouwden.
Wat er bij Nichirei gebeurde
Nichirei ontdekte rond 13 juli systeemstoringen en bevestigde kort daarna onbevoegde toegang tot servers met persoonsgegevens. Het bedrijf houdt technische details bewust achter om verdere schade te voorkomen en kon niet uitsluiten dat het om ransomware ging. Een eerste melding ging naar de Japanse privacytoezichthouder; of er daadwerkelijk data is buitgemaakt, was bij het uitbrengen van dit bericht nog niet bevestigd. Het herstel zou stapsgewijs vanaf 17 juli beginnen.
Hoe ver de storing reikt
De uitval plantte zich in dagen voort door de Japanse voedselketen:
- KFC Japan waarschuwde op 14 juli dat de bezorging van ingrediënten, waaronder de kip voor het Original Recipe, alle ruim 1.300 restaurants raakt. De keten zette online bestellen stil en hield rekening met beperkte menu's en tijdelijke sluitingen.
- Kura Sushi, een sushiketen met bijna 700 vestigingen, meldde op 15 juli leveringsvertragingen in West-Japan.
- Glico, bekend van Pocky, zag zijn ijsproductie geraakt omdat een deel ervan afhankelijk is van de vrieshuizen van Nichirei: volgens lokale media tot ongeveer 20 procent van zijn ijsproducten, midden in een hittegolf die de vraag naar ijs opdreef.
- Ook supermarktketens, banketbakkers en zelfs eetzalen van verzorgingshuizen ondervonden hinder.

Waarom dit ook Nederlandse bedrijven aangaat
Precies dit type risico staat centraal in de nieuwe Nederlandse cyberregels. De Cyberbeveiligingswet verplicht ook 'niet-kritieke' mkb'ers tot beveiligingseisen aan hun keten, als omzetting van de Europese NIS2-richtlijn. Onderdeel daarvan is een verplichte beoordeling van je hele toeleveringsketen: weten wie je leveranciers zijn, welke van hen je bedrijf kunnen platleggen, en wat je met hen afspreekt over beveiliging en herstel.
Het Nichirei-incident laat een andere kant van dat ketenrisico zien dan de meeste datalekken. Waar de Lidl-webshop klantgegevens verloor na een hack bij een IT-dienstverlener, gaat het hier niet om gestolen data maar om operationele stilstand: geen server-inbraak bij jou, maar een leverancier die de fysieke aanvoer stillegt. Beide vormen komen van buiten je eigen muren, en tegen beide helpt een sterk wachtwoordbeleid niets.
De echte vraag verschuift
Voor een Nederlandse ondernemer verschuift de kernvraag hiermee van "is je eigen beveiliging op orde" naar "wat gebeurt er als een partij waarvan je afhankelijk bent omvalt". Één logistiek bedrijf hield een halve fastfood- en supermarktsector in de wacht, zonder dat een van die afnemers iets fout deed. Dat is waarom continuïteit bij zo'n uitval geen aankoop is maar een ontwerpkeuze: een tweede leverancier, een uitwijkroute of een handmatig noodproces bepaalt of een storing bij een ander een hobbel is of een sluiting. De aanvallers hoeven jou niet te raken om je bedrijf plat te leggen. Ze hoeven alleen de zwakste schakel te vinden waarop je leunt.
Veelgestelde vragen
Grip op je digitale keten
Ik help je in kaart brengen van welke systemen en leveranciers je bedrijf echt afhankelijk is, en bouw de koppelingen, automatisering en uitwijkroutes die je overeind houden als er bij een ander iets misgaat. Van meedenken en ontwerp tot realiseren en beheren, self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
