Dobler Marcel · Nationalrat · 2020-06-04
Dobler Marcel · Nationalrat · St. Gallen · FDP-Liberale Fraktion · 2020-06-04
Wortprotokoll
Die FDP-Liberale Fraktion empfiehlt Ihnen einstimmig, auf das heute unumstrittene Informationssicherheitsgesetz einzutreten. Ich werde mich jetzt in meinem Eintretensvotum auch gleich zur Detailberatung äussern und nachher nicht mehr sprechen.
Aufgrund von mehreren Angriffen auf Informationssysteme des Bundes hat sich gezeigt, dass der Schutz von Informationen beim Bund Lücken aufweist. Daher sollen für die Bundesbehörden minimale Sicherheitsstandards gelten, die mit diesem Gesetz definiert werden. Das Gesetz soll die Sicherheit von Informationen in der Bundesverwaltung verbessern und einen Mindeststandard schaffen. Es regelt einheitlich die Personensicherheitsprüfungen, die für die Schweiz sicherheitsrelevanten Informationen und die Betriebssicherheitsprüfungen für kritische IKT-Beschaffungen.
Wie Sie wissen, haben wir am 13. März 2018 im Nationalrat Nichteintreten beschlossen. Die Ablehnung bei uns ist aus zwei Gründen erfolgt: Erstens beinhaltet das Gesetz drei verschiedene Ambitionsniveaus, das haben wir schon gehört. Diese verursachen sehr unterschiedliche Kosten. Das Ambitionsniveau 1, die tiefste Sicherheitsstufe, verursacht Kosten von geschätzten 5 bis 12 Millionen Franken, und das im Moment sicherste Ambitionsniveau verursacht Kosten von 87 Millionen Franken. Da die Verwaltung ungenügend erklären konnte, wie genau sich diese Kosten bei den Ambitionsniveaus 2 und 3 zusammensetzen, und auch noch selber [PAGE 684] das Ambitionsniveau wechseln konnte, blieb uns nichts anderes übrig, als nicht auf dieses Gesetz einzutreten. Zweitens war zu diesem Zeitpunkt unklar, welche Kosten für die Wirtschaft aufgrund der Betriebssicherheitsprüfungen entstehen werden.
Was sind jetzt nun die Gründe, warum genau wir dieses Gesetz heute gutheissen?
Die Notwendigkeit des Gesetzes und die Einführung eines Mindeststandards bei den Informationssystemen des Bundes sind aus unserer Sicht unbestritten. Die Sicherheit und die Resilienz werden erhöht. Auch waren das Ambitionsniveau 1 und die damit verbundenen Kosten und Massnahmen aus unserer Sicht nicht bestritten. Aufgrund dieser Situation hat sich der Bundesrat dann bereit erklärt, bei einem Wechsel des Ambitionsniveaus die Sicherheitspolitische Kommission erneut zu konsultieren. Weiter haben wir in der Beratung eine detaillierte Prüfung der konkreten Kosten anhand praktischer Fälle seitens der Firmen bei den Betriebssicherheitsprüfungen vorgenommen. Diese Kosten sind verhältnismässig tief und zumutbar.
Aus den genannten Gründen empfehlen wir, die FDP-Liberale Fraktion, einstimmig, auf dieses Gesetz einzutreten.
Ich komme jetzt zur Detailberatung und zu den verbleibenden sechs Differenzen und den Minderheiten.
Bei Artikel 5 Litera c geht es um die Definition der kritischen Infrastrukturen. Die Formulierung des Ständerates entspricht der Formulierung der Strategie der kritischen Infrastrukturen des Bundes. In dieser Formulierung ist es keine abschliessende Liste, und sie stützt sich auf eine bestehende Definition ab. Die Minderheit Sommaruga Carlo führt als Unterschied lediglich die Spitaleinrichtungen explizit zusätzlich auf. Diese sind aber auch bei der Formulierung des Ständerates nicht ausgeschlossen. Bitte folgen Sie der Mehrheit und führen Sie nicht neue Definitionen bei den kritischen Infrastrukturen ein, die sich inhaltlich nicht unterscheiden.
Bei Artikel 6a will die Minderheit Glättli die Behörden und Organisationen dazu verpflichten, ein System zum Informationssicherheitsmanagement, das auf international anerkannten Standards basiert, zu definieren und zu betreiben. Dem ist bereits so, deshalb hat die Redaktionskommission bewusst darauf verzichtet. Aus unserer Sicht ist dieser Artikel somit unnötig. Deshalb beantragen wir Ihnen, der Mehrheit zuzustimmen.
Die Minderheitsanträge zu Artikel 20 Absatz 3 und zu Artikel 26 sind die grösste Differenz, die in diesem Gesetzentwurf noch besteht. Dabei geht es um die Verwendung der AHV-Versichertennummer als Personenidentifikator. Es liegen uns sozusagen drei verschiedene Konzepte vor: Die Mehrheit der Kommission steht hinter dem Entwurf des Bundesrates und will, dass für die Personenidentifikation einmalig die AHV-Versichertennummer verwendet werden kann und dass diese AHV-Versichertennummer nach der Erzeugung einer nicht zurückrechenbaren Personennummer zu löschen ist. Die Minderheit I (Flach) folgt dem Ständerat und will, dass die AHV-Versichertennummer als systematischer Personenidentifikator verwendet werden kann. Die Minderheit II (Keller-Inhelder) will, dass die AHV-Versichertennummer gar nicht verwendet werden kann.
Aus unserer Sicht ist die Einschränkung oder das Verwendungsverbot der AHV-Versichertennummer unverhältnismässig und nicht zielführend. In Artikel 20 ist streng geregelt, wer genau Zugang zu diesem System erhält; die Verwendung ist somit gesetzlich eingeschränkt, und es ist ein geschlossenes System. Bei diesem Gesetz geht es um die Sicherheit unseres Landes sowie darum, wer Zugriff auf geheime und streng geheime Informationen erhalten soll. Durch dieses Gesetz wird es ermöglicht, biometrische Daten der Personen zu erfassen und zum Beispiel Steuerunterlagen der zu prüfenden Personen einzusehen. Das war in der Beratung nie bestritten, es geht ja schliesslich auch um die Sicherheit unseres Landes. Jetzt wollen einzelne Kreise eine effiziente Identifikation erschweren. Das Verbot der Verwendung der AHV-Versichertennummer als Ausnahme in diesem Gesetz ist in diesem Zusammenhang nicht nachvollziehbar. Der einzige Grund wäre, wenn man die Verwendung der AHV-Versichertennummer generell verbieten und keine Ausnahmen zulassen wollte, die jetzt aber schon bestehen.
Ich beantrage Ihnen im Namen der FDP-Liberalen Fraktion, im Grundsatz der Mehrheit der Kommission wie auch dem Minderheitsantrag I (Flach) zuzustimmen.
Artikel 77 Absatz 3 und Artikel 81 hängen zusammen. Die Kommissionsmehrheit will die Möglichkeit schaffen, bei der Zusammenarbeit im Inland bei bestimmten Vorfällen Daten weiterzugeben. Es ist eine Kann-Formulierung. Die Minderheit will eine Meldepflicht bei bestimmten erheblichen Vorfällen einführen. Bloss, was sind "bestimmte erhebliche Vorfälle"? Die Definition ist unklar. Sie ist eine Ermessenssache der Betreiber von kritischen Infrastrukturen und schlussendlich des Bundesrates, an den die Definition delegiert wird. Das schafft neue Unklarheiten. Aus diesem Grund bitte ich Sie, bei Artikel 77 Absatz 3 und Artikel 81 der Mehrheit zu folgen.
Ich komme zum letzten Artikel, Artikel 86. Es geht um die Standardanforderungen und Massnahmen. Die Mehrheit will, dass diese einen empfehlenden Charakter haben, sofern sie von den verpflichteten Behörden für nicht verbindlich erklärt werden. Die Minderheit Glättli will, dass sie immer verpflichtend sind, ausser sie werden von den verpflichteten Behörden als nicht verpflichtend deklariert. Der Antrag der Mehrheit entspricht der Regelung in anderen Bereichen und stellt die Unabhängigkeit der Behörden sicher. Ich bitte Sie, auch in diesem Fall der Mehrheit zu folgen.
Ich fasse nochmals kurz zusammen: Die FDP-Liberale Fraktion empfiehlt Ihnen einstimmig, immer der Mehrheit zu folgen, ausser bei den Artikeln 20 und 26, wo es um die AHV-Versichertennummer geht. Dort unterstützen Sie bitte die Minderheit I (Flach).