Zuberbühler David · Nationalrat · 2020-06-04
Zuberbühler David · Nationalrat · Appenzell A.-Rh. · Fraktion der Schweizerischen Volkspartei · 2020-06-04
Wortprotokoll
Sie befassen sich zum zweiten Mal mit dem Informationssicherheitsgesetz. Mit diesem will der Bundesrat die Informationssicherheit beim Bund an die Herausforderungen der Informationsgesellschaft anpassen. Für alle Bundesbehörden soll ein formell einheitlicher gesetzlicher Rahmen für den Schutz von Informationen und die Sicherheit beim Einsatz von Informatikmitteln geschaffen werden. Es geht hauptsächlich um die Themen Risikomanagement, Klassifizierung von Informationen, Informatiksicherheit, Personensicherheitsprüfungen, Sicherheit bei sensitiven Beschaffungen oder die Unterstützung der Betreiber von kritischen Infrastrukturen im Bereich der Informationssicherheit durch den Bund.
Das Gesetz soll nach Inkrafttreten nicht nur die Bundesbehörden verpflichten, sondern auch, und das ist ganz wichtig, weite Teile der Wirtschaft. Alle Organisationen des öffentlichen und privaten Rechts, die kritische Infrastrukturen betreiben, werden sich nach der neuen Rechtsnorm zu richten haben.
Nachdem der Ständerat in der Wintersession 2017, obwohl es praktisch keine Wortmeldungen gab, auf das Geschäft eingetreten ist, hat der Nationalrat eine ganz andere Haltung eingenommen. Die grosse Kammer ist der vorberatenden Kommission gefolgt und hat damals Nichteintreten beschlossen. Als Argument wurde unter anderem angeführt, dass mit dem Gesetz ein zu grosser und komplexer Informationsschutzapparat aufgebaut würde, der eine Eigendynamik entfalten und sich zunehmend der Kontrolle des Parlamentes entziehen könnte. Ausserdem war einer Ratsmehrheit nicht klar, welchen Mehrwert das neue Gesetz bringen sollte.
Den Ständerat liess dies kühl. Um sein Gesicht zu wahren, ist er nach dem Nichteintretensentscheid des Nationalrates wieder auf die Vorlage eingetreten. Den Rest kennen Sie: Nachdem unsere Sicherheitspolitische Kommission zusätzliche Abklärungen in Auftrag gegeben hatte, ist auch sie mehrheitlich auf das Geschäft eingetreten und hat sich danach mit der Detailberatung auseinandergesetzt.
Den Grundauftrag zur nun vorliegenden komplizierten Vorlage des Bundesrates erteilte dieser übrigens bereits am 12.[NB]Mai 2010. Die Umsetzung dauert somit bereits zehn Jahre. In Zeiten von Cyberwar mag es sich unheimlich gut anhören, wenn der Bundesrat die Informationssicherheit anpassen will. In Tat und Wahrheit wird mit dieser Vorlage aber ein umfangreiches und komplexes Bürokratiemonster erschaffen.
Vonseiten des Bundesrates heisst es zwar, dass angesichts der zunehmenden Vernetzung eine Harmonisierung der Sicherheitsniveaus zwischen den Bundesbehörden, den Kantonen und den internationalen Partnern der Schweiz dringend sei. Zusätzlich sei das Gesetz - auch wenn, mit Verlaub, in den letzten zehn Jahren nicht wirklich jemand danach geschrien hat - notwendig für die Schweiz und insbesondere auch für die Wirtschaft. Interessanterweise ist aber ausgerechnet die Wirtschaft gegen dieses Gesetz, weil unklar ist, was es überhaupt will.
In erster Linie will das Gesetz die Informationssicherheit beim Bund stärken, doch es verspricht auch, die Informationssicherheit der Schweizer Wirtschaft zu erhöhen. Dabei lässt das Gesetz aber offen, wie das geschehen soll. Interessant ist auch, dass die Botschaft einhellig zum Schluss kommt, dass es bereits viele, teilweise parallele Strukturen gibt und dass sehr viel Fachwissen vorhanden ist, dieses aber teilweise wenig genutzt wird. Auch erstaunt es nicht, dass die bundesrätliche Botschaft rund ein Dutzend Mal von möglichen Synergien spricht und diese mit diesem Gesetz auch realisieren will. Es erstaunt dann aber doch, dass man trotz Realisierung von Synergien insgesamt eben mehr Verwaltungsstellen schaffen will. Offenbar ist man sich bewusst, dass die Informationssicherheit des Bundes bereits heute erstens dem Stand der Technik entspricht, zweitens durch Fachleute des Bundes laufend koordiniert und drittens durch Experten laufend überprüft und angepasst wird.
Ich komme zu den finanziellen Auswirkungen der Vorlage. Die Vorlage sieht drei sogenannte Ambitionsniveaus vor. Ambitionsniveau 1 möchte die Sicherheit im Vergleich zu heute erhöhen. Ambitionsniveau 2 möchte die Informationssicherheit in Bezug auf heute deutlich erhöhen, und Ambitionsniveau 3 möchte eine sehr hohe Informationssicherheit. Die jährlich wiederkehrenden Kosten variieren je nach Ambitionsniveau zwischen 1,5 und 87 Millionen Franken. Die einmaligen Kosten für die Umsetzung des Projekts variieren innerhalb dieser Niveaus zwischen 5 und 20 Millionen Franken. Die zusätzlich benötigten Vollzeitstellen variieren innerhalb der Niveaus zwischen 9,5 und 78,5 Stellen. Noch nicht berücksichtigt wurden die Zusatzkosten für die Schweizer Wirtschaft, welche das Gesetz generiert.
Die Botschaft zum vorliegenden Gesetz enthält keine Einschätzung zu den durch das Gesetz generierten Regulierungskosten und beachtet gar nicht, was die Akkreditierungs- und Zertifizierungserfordernisse für die betroffenen Unternehmen bedeuten. Der Schweizerische Gewerbeverband rechnet, und diese Zahl lässt doch aufhorchen, mit 500 Millionen Franken, welche die Schweizer Wirtschaft bei einer Annahme zusätzlich zu tragen hätte.
Mit dem Informationssicherheitsgesetz soll nun konkret das Ambitionsniveau 1 angestrebt werden. Wenn dieses Ambitionsniveau später erhöht werden soll, muss das Gesetz nicht geändert werden. Dies würde in der Kompetenz des Bundesrates liegen, der lediglich die Verordnung anpassen müsste. Das Parlament könnte seinen Einfluss praktisch nicht mehr geltend machen. Daran ändert auch der neue Absatz 3 in Artikel 7 nichts, der den Bundesrat verpflichtet, seine Ziele und die Kosten für die Informationssicherheit den Sicherheitspolitischen Kommissionen zur Konsultation vorzulegen. Wenn Sie diesem Gesetz heute zustimmen, können Sie folglich mit grösstmöglicher Sicherheit davon ausgehen, dass die Kosten in Zukunft steigen werden.
Das vorliegende Gesetz trägt wohl kaum zur Effizienzsteigerung in Sachen Informationssicherheit bei. Es steigert auch nicht die Informationssicherheit selbst. Es erzeugt lediglich ein Gefühl von mehr Sicherheit - ein trügerisches Gefühl, das mit mehr Stellen bei der Bundesverwaltung bezahlt wird, die Sicherheit unseres Landes aber kaum voranbringt. Unter anderem auch deshalb sind der Schweizerische Gewerbeverband, welcher 230 Verbände und gegen 500[NB]000 Unternehmen vertritt, sowie auch Suisse Digital als Verband der betroffenen Unternehmen gegen die Vorlage.
Anlässlich ihrer Fraktionssitzung hat die SVP-Fraktion aus all den erwähnten Gründen beschlossen, dieses Gesetz abzulehnen. Es ist nach wie vor nicht sonnenklar, welchen Mehrwert dieses Gesetz bringen wird. Es ist völlig unklar, wie hoch die Folgekosten sein werden, und die Schweizer Wirtschaft hätte mit einer massiven finanziellen und regulatorischen Mehrbelastung zu rechnen. Zudem ist die SVP-Fraktion überzeugt, dass mit einem neuen Bundesgesetz über die Informationssicherheit wohl kaum ein massgebender Mehrwert geschaffen wird.
Ich bitte Sie deshalb im Namen der SVP-Fraktion, dieses Bürokratiemonster abzulehnen.