Informationssicherheit

Die NIS AG betreibt ein umfassendes Informationssicherheits-Managementsystem (ISMS), das sich an den Vorgaben des Schweizer IKT-Minimalstandards und dem NIST Cybersecurity Framework orientiert. Sämtliche sicherheitsrelevanten Prozesse, Rollen und Verantwortlichkeiten sind dokumentiert, überprüfbar und in den kontinuierlichen Verbesserungszyklus unseres Qualitätsmanagements nach ISO 9001 eingebettet.

Ein etabliertes Risikomanagement, ein durchgängiges Schwachstellenmanagement sowie regelmässige externe Audits und Penetrationstests gewährleisten, dass Sicherheitsrisiken frühzeitig erkannt, bewertet und adressiert werden. Die Wirksamkeit unserer Sicherheitsmassnahmen lassen wir dabei gezielt durch unabhängige Dritte überprüfen.

Zur transparenten Einordnung stellen wir ausgewählte, zusammenfassende Whitepapers zur Verfügung, unter anderem zu einem externen Penetrationstest sowie zu einem Audit gemäss Schweizer IKT-Minimalstandard. Diese Dokumente geben einen Einblick in Umfang, Methodik und Ergebnisse der jeweiligen Prüfungen.

Whitepaper – Externer Penetration Test 2025 (PDF): Download
Whitepaper – IKT-Minimalstandard Audit 2025 (PDF): Download

SaaS-Sicherheit und Cloud-Betrieb

Unsere Netzinformationsplattform NIS 3 wird im Rahmen der Full-Service Angebote nisHosting und nis365 auf der Infrastruktur von Amazon Web Services (AWS) betrieben. Durch den Einsatz redundanter Cloud-Ressourcen erreichen wir eine hohe Verfügbarkeit unserer Services. Dabei nutzen wir ausschliesslich Rechenzentren innerhalb der Europäischen Union, um die Anforderungen des revidierten Datenschutzgesetzes (revDSG) sowie der europäischen Datenschutz-Grundverordnung (DSGVO) zu erfüllen.

Alle Kundendaten werden sowohl bei der Übertragung als auch bei der Speicherung konsequent verschlüsselt. Wir setzen auf bewährte Standards wie TLS 1.3, AES-256 und ein zentrales Key-Management über AWS Key Management Service (KMS). Im Betrieb verfolgen wir das Prinzip des geringsten notwendigen Zugriffs (Least Privilege) mit Multi-Faktor-Authentifizierung und klar definierten Rollenmodellen (IAM und RBAC). Die kontinuierliche Überwachung des Systemzustands mit automatisierter Erkennung von Anomalien ist gewährleistet. Regelmässige Backups und automatisierte Wiederherstellungstests stellen sicher, dass im Ereignisfall Daten innerhalb definierter Zeitfenster wiederhergestellt werden können.

Verantwortungsvolle Offenlegung von Schwachstellen

Die NIS AG unterstützt die verantwortungsvolle Offenlegung von Sicherheitslücken (Responsible Disclosure). Sollten Dritte eine Schwachstelle oder Sicherheitslücke in unseren Anwendungen, Diensten oder Systemen entdecken, bitten wir darum, uns dies vertraulich mitzuteilen, damit wir die gemeldete Schwachstelle überprüfen und gegebenenfalls beheben können, bevor Details öffentlich gemacht werden. Meldungen können an security@nis.ch gerichtet werden.

Datenschutz und Compliance

Der Schutz personenbezogener und vertraulicher Informationen ist für uns selbstverständlich. Wir verarbeiten Kundendaten ausschliesslich im Rahmen der vertraglich vereinbarten Zwecke und in Übereinstimmung mit den geltenden gesetzlichen Bestimmungen. Unsere Datenschutzrichtlinien orientieren sich am Schweizer revDSG und an der DSGVO. Transparente Auftragsverarbeitungsverträge, klar geregelte Lösch- und Auskunftsprozesse sowie regelmässige interne Kontrollen sind feste Bestandteile unseres Datenschutz- und Compliance-Programms.

Weitere Informationen zum Datenschutz finden sie in der Datenschutzerklärung der NIS AG auf https://nis.ch/datenschutz/

Transparenz und Verantwortung

Sicherheit ist eine gemeinsame Aufgabe. Wir fördern eine ausgeprägte Sicherheitskultur durch regelmässige Weiterbildungen, gezielte Zertifizierungen und eine offene Kommunikation über aktuelle Entwicklungen. Erkenntnisse aus Vorfällen und Audits fliessen direkt in unsere Prozesse ein und tragen zu einer kontinuierlichen Verbesserung bei.

Im Rahmen unseres Trust Centers veröffentlichen wir künftig regelmässig Inhalte, die unsere Sicherheitspraktiken dokumentieren, darunter Whitepapers, Auditberichte und Informationen zu laufenden Initiativen.