Baumann Isidor · Ständerat · 2018-09-26
Baumann Isidor · Ständerat · Uri · CVP-Fraktion · 2018-09-26
Wortprotokoll
Am 4. Dezember 2017 hat unser Rat auf Antrag der SiK-SR das Informationssicherheitsgesetz beraten und dem Entwurf sehr deutlich, mit 39 zu 0 Stimmen bei 1 Enthaltung, zugestimmt. Die SiK-NR ist im Januar mit 21 zu 3 Stimmen bei 1 Enthaltung auf die Vorlage eingetreten und hat für die Beratung von der Verwaltung weitere Unterlagen verlangt. In der darauffolgenden Sitzung hat die SiK-NR nach einem Rückkommensantrag mit 16 zu 9 Stimmen Nichteintreten auf die Vorlage beschlossen. Der Nationalrat ist dann am 13. März dieses Jahres dem Antrag seiner Kommission gefolgt und hat mit 117 zu 68 Stimmen bei 8 Enthaltungen ebenfalls Nichteintreten beschlossen.
Die pauschal zusammengefassten Argumente für Nichteintreten waren im Nationalrat die folgenden: Das Gesetz sei nicht notwendig und bringe nicht mehr Sicherheit. Es sei ein Bürokratiemonster ohne Einflussmöglichkeiten des Parlamentes, und die finanziellen und personellen Auswirkungen seien unbekannt. Nicht zuletzt wurde auch die Begründung angeführt, dieses Gesetz behindere die Wirtschaft.
Es gab im Nationalrat aber auch eine Minderheit, die das anders beurteilte und sich für Eintreten einsetzte. Diese Minderheit begründete dies damit, dass Handlungsbedarf für einen gesamtheitlichen Ansatz klar gegeben sei und das vorgeschlagene Gesetz eine übersichtlichere Lösung biete als die heutigen Bestimmungen, die auf verschiedene Erlasse verteilt sind. Es könnten Sicherheitslücken geschlossen und die Koordination stark verbessert werden, und dies zu - gemessen am Sicherheitsrisiko - vertretbaren Kosten. Zudem könne sich das Parlament zur Ausführungsverordnung konsultieren lassen und besitze die Budgethoheit, womit die nötige Kontrolle gewährleistet sei.
Auch die Finanzkommission des Nationalrates kam zum Schluss, die Notwendigkeit, Wichtigkeit und Dringlichkeit dieses Gesetzes sei nicht bestritten.
Dem zum Trotz wurde im Nationalrat, wie bereits gesagt, Nichteintreten beschlossen.
Ihre Kommission, die SiK-SR, hat sich an ihrer ersten Augustsitzung mit dem Nichteintretensentscheid des Nationalrates eingehend befasst und sehr deutlich, mit 12 zu 1 Stimmen bei 0 Enthaltungen, beschlossen, an unserem Eintretensentscheid festzuhalten. Ihre Kommission begründete das schon bei der Beratung am 4. Dezember 2017 in unserem Rat. Es war ein Auftrag des Parlamentes, mit klaren Vorgaben und Empfehlungen der GPK und der GPDel, dieses Gesetz zu schaffen. Ich nenne ein paar Gründe dafür.
Es braucht dieses Gesetz, um bei allen Bundesbehörden einen einheitlichen, minimalen Sicherheitsstandard durchsetzen zu können. Es braucht dieses Gesetz, um die Kantone bei der Zusammenarbeit mit dem Bund denselben Sicherheitsvorschriften unterstellen zu können. Es braucht ein Gesetz, wenn man zukünftig für den Zugang zu Informationssystemen des Bundes biometrische Daten verwenden will, um unberechtigte Zugriffe besser verhindern zu können. Es braucht das Gesetz auch, um Personen, die kritische Informationssysteme des Bundes betreiben oder verwalten, einer Personensicherheitsprüfung unterziehen zu können. Zum Schluss noch: Die Kommission ist auch überzeugt, dass es ein Gesetz braucht, um die Vertrauenswürdigkeit von Unternehmen, die sensible Aufträge für den Bund ausführen, feststellen und während der Auftragserfüllung die Einhaltung der Sicherheit überprüfen zu können.
Auch wenn der Nationalrat von einem Bürokratiemonster spricht - Ihre Kommission sieht das anders, denn das heutige System ist bürokratisch und ineffizient. Nur eine Regelung in einem inhaltlich abgestimmten Gesetz erlaubt es, die bestehende Bürokratie durch die Vereinfachung von Verantwortlichkeiten und Prozessen sowie durch die Standardisierung der Massnahmen abzubauen. Die ISO-Norm über die Informations- und Cybersicherheit - der Standard in der Privatwirtschaft - sieht genau eine solche einheitliche Regelung vor. Die bestehenden Gesetze zu aktualisieren genügt nicht, da keines der bestehenden Gesetze für alle Bundesbehörden gilt und viele Teilaspekte der Sicherheit noch gar nicht gesetzlich geregelt sind.
Mit dem Informationssicherheitsgesetz wird die Kontrollmöglichkeit des Parlamentes gestärkt, schon allein durch die Tatsache, dass das Parlament den Inhalt des Gesetzes festlegt. Darum sollte der Nationalrat mindestens auf die Beratung dieses Gesetzes eintreten. Ihre Kommission begründet das, wie schon bei der Beratung am 4. Dezember 2017 in [PAGE 768] unserem Rat, damit, dass es, ich wiederhole das, ein Auftrag des Parlamentes war.
Ihre Kommission hat sich auch noch einmal mit den finanziellen und personellen Auswirkungen befasst. Sie kommt zu folgender Beurteilung: Die Bedrohung der Informationssicherheit und der Cybersicherheit hat seit Anfang dieses Jahrhunderts deutlich zugenommen und an Bedeutung gewonnen. Um dem zu begegnen, ist ein gewisser Mehraufwand unvermeidlich. Von wenigen Ausnahmen abgesehen, hat der Bund in den letzten Jahren die Ressourcen für die Informationssicherheit kaum verändert. Es bedarf zusätzlicher Ressourcen, nur schon um das bisherige Sicherheitsniveau aufrechtzuerhalten.
Die direkten Kosten des Gesetzes sind in der Botschaft klar ausgewiesen und entsprechen dem Bedarf für einen minimalen Sicherheitsstandard. Der Bundesrat hat den minimalen Sicherheitsstandard definiert. Das würde bedeuten, dass es ungefähr 4,5 bis 11,5 zusätzliche Vollzeitstellen für Sicherheitsaudits, Kryptologie und Sicherheitsmanagement braucht. Es wäre etwa mit jährlichen Kosten von 1,5 Millionen Franken zu rechnen, um die kritischen Systeme zu prüfen. Es würden 5 bis 15 Millionen Franken einmalige Kosten ausgelöst, verteilt auf drei Jahre, um das Sicherheitsmanagement der Bundesbehörden zu verbessern. Einzig die Kosten für technische Massnahmen sind nicht detailliert ausgewiesen, da die Entwicklung in der Sicherheitstechnik laufend voranschreitet und daher laufend geprüft werden muss, was wir uns leisten können und was wir uns leisten wollen.
Mit diesen Beurteilungen steht Ihre Kommission mit 12 zu 1 Stimmen dafür ein, an unserem Eintretensentscheid festzuhalten; wir beantragen unserem Rat, am Eintretensentscheid festzuhalten.