Een goed functionerende IT-omgeving is essentieel voor de groot- en detailhandel, maar met de toenemende digitalisering neemt tegelijk de kwetsbaarheid voor cyberdreigingen toe. De gevolgen van een cyberaanval kunnen verregaand zijn, al onderschatten ondernemers in de sector de gevaren ervan. Het is inmiddels niet langer de vraag óf een retailondernemer gehackt wordt, maar wanneer.
De digitalisering van de Nederlandse economie heeft de afgelopen jaren een enorme vlucht genomen en neemt in de toekomst alleen maar toe, en de groot- en detailhandel vormt hierin geen uitzondering. Van geautomatiseerde voorraadsystemen tot online-verkoopkanalen, digitale transacties en klantdata; een goed functionerende IT-omgeving is essentieel. Met de groei van de IT-omgeving groeit echter ook de kwetsbaarheid voor cyberdreigingen.
Het jaarlijkse cybersecurityrapport van ABN AMRO en MWM2 uit mei 2025 toont aan dat cybercriminaliteit inmiddels een strategisch risico vormt voor bedrijven. Toch blijken de 788 ondervraagde Nederlandse organisaties de dreiging te onderschatten; met name ondernemingen uit het midden- en kleinbedrijf (mkb) en zzp’ers hebben overmatig vertrouwen in hun cyberweerbaarheid, terwijl hun voorzorgsmaatregelen vaak beperkt zijn. Dit staat op gespannen voet met de realiteit waarin dergelijke cyberaanvallen steeds geavanceerder worden en de noodzaak voor preventie-, detectie- en herstelmaatregelen groeit.
Deze analyse bouwt voort op het onderzoek van ABN AMRO en MWM2, met een specifieke focus op de enquête-uitkomsten voor de groot- en detailhandel. Deze sector werkt met grote hoeveelheden klant- en transactiegegevens en is sterk afhankelijk van logistieke en digitale ketens. Bovendien bestaat de groot- en detailhandel uit een breed scala aan bedrijven – van zelfstandige winkeliers tot multinationals met eigen IT-infrastructuur – waardoor de weerbaarheid en risico’s sterk uiteen kunnen lopen. In de enquête gaven 81 respondenten aan werkzaam te zijn in deze sector. Deze analyse brengt de belangrijkste inzichten, risico’s, aandachtspunten en voorbeelden in kaart op basis van de enquêteresultaten.
Perceptie, incidenten en kwetsbaarheden in de retailsector
De helft van de retailorganisaties uit het onderzoek is van mening dat cybercriminaliteit ‘enig risico’ vormt voor de bedrijfsvoering. Meer dan 80 procent van alle organisaties geeft aan in het verleden te maken te hebben gehad met cybercriminaliteit en meer dan 60 procent geeft aan dat dit in de afgelopen twaalf maanden heeft plaatsgevonden. Waar dus bijna alle organisaties in de sector in het verleden te maken hebben gehad met een cyberincident, geeft slechts 37 procent aan een inschatting te kunnen maken van wat de kosten voor hun organisatie zijn bij het stilleggen van de bedrijfsvoering na een ernstige cyberaanval.
De kosten van een dergelijke aanval liegen er niet om; IT-beveiliger ESET berekende enkele jaren geleden dat de schade voor mkb-bedrijven per incident rond de 270.000 euro ligt. Dit roept de vraag op of het risico niet wordt onderschat. De meeste schade die afgelopen jaar door de groot- en detailhandelorganisaties is geleden waren het gevolg van operationele verstoringen, gevolgd door financiële schade (zoals het betalen van losgeld, herstelkosten of boetes) en gegevensverlies.
Daarnaast moet rekening gehouden worden met imagoschade. Retail is zichtbaar, herkenbaar en in direct contact met de consument, waardoor cyberincidenten snel in de publieke sfeer belanden en zich in rap tempo kunnen verspreiden. Organisaties in de sector verwerken dagelijks grote hoeveelheden persoonlijke gegevens als namen en adressen, evenals financieel gevoelige data van klanten. Klanten voelen zich persoonlijk geraakt wanneer deze gegevens buit worden gemaakt. In een sector met veel concurrentie kan een breuk in het vertrouwen het verschil maken in de keuze van de klant.
Recente aanvallen in de sector
- Marks & Spencer, een vooraanstaand Brits warenhuis, is in april 2025 getroffen door een ransomware-aanval. Een hackergroep infiltreerde de online-infrastructuur van de organisatie, hoogstwaarschijnlijk door menselijk falen van een medewerker. Bijna een maand konden geen online-bestellingen geplaatst worden en deden zich veel operationele verstoringen voor, die naar waarschijnlijkheid tot in juli aan zullen houden. De totale schade bedraagt naar schatting 300 miljoen euro.
- Vloerbekleding en raamdecoratiebedrijf Carpetright ontdekte in februari 2024 een datalek. Het bedrijf stelde dat het niet zeker was of er ook daadwerkelijk gegevens zijn gestolen, maar mogelijk zijn de persoons- en wachtwoordgegevens van 30.000 Nederlandse en Belgische klanten gestolen. Mocht dit het geval zijn, vergroot dit het risico van phishing-pogingen bij klanten, met alle reputatierisico’s voor Carpetright van dien.
- Blue Yonder, leverancier van supply chain-beheersoftware aan onder andere Jumbo en Hema, werd in november 2024 getroffen door een ransomwareaanval. De logistieke keten van zowel Jumbo als Hema werd hierdoor verstoord, maar door backup-systemen hebben klanten geen hinder ervaren.
- De Nederlandse jeansmaker en -verkoper Denham DENHAM is in 2024 getroffen door een cyberaanval van de ransomwaregroep Akira. Hierbij werden onder meer HR-gegevens, persoonlijke documenten, klantgegevens en delen van de financiële administratie buitgemaakt. In totaal werd 100 gigabite aan gevoelige gegevens gestolen en werd losgeld geëist.
- Het Franse luxemerk Dior stelde in mei 2025 vast dat er een datalek had plaatsgevonden, waarbij persoonsgegevens van een groep van de meest vermogende klanten waren buitgemaakt. Financiële informatie van de klanten bleef gespaard, maar met gestolen gegevens als emailadressen, telefoonnummers en aankoopgegevens worden deze klanten kwetsbaarder voor misbruik door cybercriminelen.
Figuur 1 toont de verschillende vormen van cybercriminaliteit waar organisaties uit de groot- en detailhandel in het verleden mee te maken hebben gehad. Duidelijk is dat phishing de meest voorkomende dreiging is. Over het algemeen zijn er geen grote verschillen in dreigingen tussen ondernemers uit alle ondervraagde sectoren en die uit de groot- en detailhandel, behalve dat detailahandelaren relatief weinig ervaring met datalekken blijken te hebben.
Organisaties optimistisch, maar er bestaan zorgen
Organisaties zijn over het algemeen optimistisch over hun eigen cyberweerbaarheid. Meer dan een derde geeft aan dat het ‘helemaal niet lastig’ is voor hun organisatie om cybersecurity goed op orde te krijgen en te houden, en nog eens 47 procent stelt dat dit ‘een beetje lastig’ is. Vrijwel alle respondenten geven aan in 2025 minimaal evenveel uit te gaan geven aan cybersecurity als in het jaar ervoor. Een derde geeft aan meer uit te gaan geven. Opvallend is wel dat blijkt dat de meerderheid van de maatregelen gericht zijn op het voorkomen van een aanval, bijvoorbeeld door gebruik van een firewall, antvirusprogramma’s en tijdige softwareupdates.
Aanzienlijk minder wordt geïnvesteerd in maatregelen op het gebied van herstellen, reageren en opsporen. Preventie is belangrijk, maar het is van belang ook rekening te houden met maatregelen nadat overhoopt toch een aanval wordt geconstateerd. Het lijkt er inmiddels op dat het niet langer de vraag is óf een ondernemer wordt gehackt, maar wanneer. Organisaties doen er goed aan om een geteste opsporingsprocedure en beproefd reactie- en herstelplan klaar te hebben liggen.
De grootste uitdagingen binnen de sector liggen vooral bij de snelheid waarmee nieuwe dreigingen opduiken (zie figuur 2). Ook worden het verbeteren van discipline van de eigen medewerkers en de kosten verbonden aan het op orde krijgen van de eigen cybersecurity genoemd. Ontwikkelingen op het gebied van artificial intelligence (AI) volgen elkaar eveneens razendsnel op. Bijna de helft van de organisaties ziet vernieuwingen op het gebied van AI als een bedreiging voor de cyberveiligheid. Waar bijvoorbeeld phishing voorheen handwerk vergde, kunnen aanvallers nu het volledige traject automatiseren met gebruik van ‘Agentic AI’ – systemen die autonoom acties kunnen uitstippelen en uitvoeren. Tegelijkertijd ziet 53 procent AI juist als een kans om de cyberveiligheid te versterken.
NIS2-wetgeving en de groot- en detailhandel
Per oktober 2024 is de NIS2 – de opvolger van de Network and Information Secutiry Directive (NIS) – in de Europese Unie in werking getreden. Om te voldoen aan de richtlijn komt Nederland met nationale wetgeving in de vorm van de Cyberbeveiligingswet (Cbw/NIS2) en de Wet weerbaarheid kritieke entiteiten (Wwke/CER), die naar verwachting in het derde kwartaal van 2025 van kracht worden. Deze wetten zijn van toepassing op organisaties die actief zijn in gedefinieerde ‘kritieke, essentiële en belangrijke’ sectoren. Organisaties die onder de wetgeving vallen, moeten zich houden aan registratie-, zorg- en meldplicht, en komen onder toezicht te staan.
Een groot- en detailhandelorganisatie valt onder de nieuwe wetgeving als deze organisatie zich richt op de verwerking of distributie van levensmiddelen (Bijlage II) en als de organisatie meer dan vijftig werknemers en 10 miljoen euro omzet heeft. Organisaties die buiten deze criteria vallen, zijn niet automatisch ‘in scope’, maar kunnen alsnog door de overheid worden aangewezen vanwege hun cruciale maatschappelijke rol. Wanneer bedrijven niet aan de NIS2-wetgeving hoeven te voldoen, zijn de gevolgen van de wet mogelijk toch voelbaar, bijvoorbeeld wanneer binnen de keten zaken worden gedaan met een organisatie die wel onder de wetgeving valt. Om aan hun eigen verplichtingen te voldoen kunnen organisaties die NIS2-plichtig zijn namelijk van hun ketenpartners verlangen dat zij NIS2-bestendig zijn.
Meer informatie
Zes op de tien groot- en detailhandelorganisaties geven aan niet op de hoogte te zijn van de NIS2-verplichtingen. Om te weten of een organisatie onder de NIS2-richtlijn valt en wat dit betekent, biedt ons rapport ‘Cyberweerbaarheid ondernemers blijft achter bij realiteit’ inzicht, evenals het invullen van de Zelfevaluatie van de Rijksoverheid.
Concrete tips voor groot- en detailhandelorganisaties
- Verhogen van cyberveiligheid bewustwording onder medewerkers, bijvoorbeeld door het bieden van in- of externe trainingen of met phishing-simulaties.
- Structurele afspraken maken met leveranciers of andere partners in de toeleveringsketen over cyberrisico’s en -beveiliging.
- Implementeren van maatregelen niet enkel gericht op preventie, maar ook op het gebied van herstellen, reageren en opsporen, bijvoorbeeld met het regelmatig maken van offline back-ups, het testen van herstelprocessen, het ontwikkelen van een draaiboek en een intern en extern communicatieplan.
- Structureel budgetteren voor cybersecurity, ongeacht de omvang van de organisatie.
- Inzichtelijk maken van NIS2-verplichtingen, niet alleen voor de eigen organisatie maar ook voor ketenpartners.
- Bekijk onze webinar over cybersecurity in de retailsector: Bescherm je keten en reputatie
Lees verder in de retailsector
De winkel van vandaag is meer dan alleen een voorraadkast. Het biedt klanten advies en inspiratie en is de plek om in contact te zijn met klanten. Door de Oekraïne crisis en forse inflatie is het consumentenvertrouwen sterk gedaald en dit beïnvloedt het consumentengedrag. Retailers kampen daarnaast met forse kostenstijgingen op het gebied van inkoop, huur, personeelskosten, covid herstelbetalingen en energie. De omstandigheden blijven ook na covid voor veel retailers uitdagend.
