RRB Nr. 681/2014
Bundesgesetz über die Informationssicherheit, Schreiben an das VBS
June 11, 2014German7 min
Source zh.ch
Auszug aus dem Protokoll des Regierungsrates des Kantons Zürich Sitzung vom 11. Juni 2014
681. Bundesgesetz über die Informationssicherheit
Erwägungen
(Vernehmlassung) Mit Schreiben vom 26. März 2014 unterbreitete das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) den Entwurf für ein Bundesgesetz über die Informationssicherheit zur Stel- lungnahme. Der Gesetzesentwurf soll einheitliche formell-gesetzliche Grundlagen für das Management und die Organisation der Informations- sicherheit im Bund schaffen. Er soll den Bundesbehörden ermöglichen, ihre Pflichten hinsichtlich des Schutzes von Informationen nachhaltig, risikogerecht und wirtschaftlich wahrzunehmen. Der Entwurf erfasst u. a. die Klassifizierung von Informationen, die Sicherheit beim Einsatz von IKT, die Personensicherheitsprüfungen sowie das vereinheitlichte Be- triebssicherheitsverfahren. Er sieht aufgrund der Anforderungen einer Informationsgesellschaft zudem eine behördenübergreifende Organisa- tion der Informationssicherheit im Bund vor. Die Kantone sind vom Ge- setz betroffen, wenn sie Bundesaufgaben unter unmittelbarer Aufsicht des Bundes erfüllen und dabei sicherheitsempfindliche Tätigkeiten aus- üben. In diesem Fall müssen sie die Massnahmen nach dem Gesetz um- setzen. In seinem Ausführungsrecht soll der Bundesrat die Überprüfung der Umsetzung dieser Massnahmen sowie die Durchführung von Perso- nensicherheitsprüfungen für die kantonalen Angestellten regeln.
Dispositiv
Auf Antrag der Staatskanzlei beschliesst der Regierungsrat:
I. Schreiben an das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (Zustelladresse: Generalsekretariat VBS, Recht VBS, Maulbeerstrasse 9, 3003 Bern, auch per E-Mail an recht-vbs@ gs-vbs.admin.ch): Mit Schreiben vom 26. März 2014 haben Sie uns den Entwurf eines Bundesgesetzes über die Informationssicherheit (E-ISG) und den dazu- gehörigen Erläuternden Bericht zur Stellungnahme unterbreitet. Wir dan- ken für die Möglichkeit zur Stellungnahme und äussern uns wie folgt: Wir begrüssen – unter Vorbehalt der nachfolgenden Einwendungen bezüglich Auswirkungen auf die Kantone – den Erlass von einheitlichen Vorschriften für den sicheren Umgang mit Informationen durch Bundes- behörden und weitere Organisationen. Insgesamt erscheint uns der Ent-
wurf als gelungen und konzeptionell gut durchdacht. Den Ansatz einer integralen Informationssicherheit (Klassifizierung von Informationen, Sicherheit beim Einsatz und physischer Schutz von IKT-Mitteln, per- sonelle Massnahmen) erachten wir als sinnvoll und folgerichtig. Die hierfür vorgesehenen Bestimmungen führen allerdings zu einer unge- wöhnlichen Regelungsdichte auf Gesetzesstufe, weil die Mindestanforde- rungen auch für Bundesbehörden gelten sollen, die vom Verordnungs- recht des Bundesrates nicht erfasst werden (z. B. Gerichte, SNB usw.). Demgegenüber weist der Gesetzesentwurf in verschiedenen Bereichen einen hohen Abstraktionsgrad auf. Aufgrund der vorgesehenen «Opting- out»-Regelung (Art. 87 Abs. 3 E-ISG), wonach jede der verpflichteten Behörden eigenes Verordnungsrecht erlassen kann und die vom Bundes- rat festgelegten Standardanforderungen und -massnahmen nur Empfeh- lungscharakter haben, besteht die Gefahr, dass die teilweise sehr offenen Begriffe unterschiedlich ausgelegt und in den Ausführungsbestimmun- gen der verschiedenen Behörden unterschiedlich geregelt werden. Wir sind deshalb der Ansicht, dass das an sich sehr detaillierte Gesetz zumin- dest in Bezug auf die in Art. 1 Abs. 2 E-ISG definierten, zu schützenden öffentlichen Interessen und die vorgesehenen Klassifizierungsstufen «INTERN» (Kenntnisnahme der Informationen durch Unberechtigte kann geschützte Interessen beeinträchtigen), «VERTRAULICH» (… er- heblich beeinträchtigen) und «GEHEIM» (… schwerwiegend beeinträch- tigen) näher spezifiziert werden sollte. Insbesondere die in Art. 1 Abs. 2 Bst. d und e E-ISG aufgeführten öffentlichen Interessen, die «wirtschafts-, finanz- und währungspolitischen Interessen der Schweiz» sowie die «Er- füllung der gesetzlichen und vertraglichen Verpflichtungen der Bundes- behörden zum Schutz von Informationen», sind sehr offen definiert, und so ist auch nur schwer bestimmbar, ob diese Interessen bei einem Informationsleck leicht, erheblich, schwerwiegend oder eben gar nicht beeinträchtigt würden. Diese Frage stellt sich insbesondere im Zusam- menhang mit dem Recht auf Zugang zu amtlichen Dokumenten, für das nach Art. 7 des Öffentlichkeitsgesetzes vom 17. Dezember 2004 (BGÖ) Ausnahmen bestehen. Der Erläuternde Bericht (S. 9 unten) geht ledig- lich von einem (nachträglichen) Schutzbedarf aus, wenn der Zugang zu einem Dokument eingeschränkt oder verweigert wurde. Obwohl Art. 3 Abs. 1 E-ISG die Anwendung des BGÖ vorbehält, erscheint uns frag- lich, ob eine zum Voraus erfolgte Klassifizierung nach Art. 14 E-ISG die Entscheidungs- und Ermessensfreiheit einer nach Art. 10 Abs. 1 BGÖ zuständigen Behörde weiter im vollen Umfang belässt. Wir bezweifeln es. Eine gesetzgeberische Koordination ist deshalb hier wünschenswert. Gemäss Art. 89 E-ISG sollen kantonale Behörden und Stellen dem Gesetz nur dann unterstehen, wenn sie im Auftrag des Bundes und unter seiner unmittelbaren Aufsicht sicherheitsempfindliche Tätigkeiten ausüben.
Setzen kantonale Behörden und Stellen das Bundesrecht in eigener Kom- petenz um, werden sie vom Gesetz nicht erfasst (Erläuternder Bericht, S. 36). Diese für uns zentrale, den Geltungsbereich betreffende Regelung wirft mehr Fragen auf, als sie beantwortet. Welche Tätigkeiten der Kan- tone sind gemeint? In welchen Bereichen sind die Kantone unter welcher unmittelbaren Aufsicht tätig? Auch unter Berücksichtigung des sachlichen Geltungsbereichs (sicherheitsempfindliche Tätigkeiten, Art. 2 Abs. 3 E-ISG) lassen sich diese Fragen nicht abschliessend beantworten, denn dieser bestimmt sich anhand eines Klassifizierungssystems für Informa- tionen, das nur greift, wenn das Gesetz anwendbar ist. Da im Erläutern- den Bericht kein einziges konkretes Beispiel dafür erwähnt wird, ist davon auszugehen, dass auch beim Bund darüber keine Klarheit herrscht. Es ist aber notwendig, abschätzen zu können, ob und in welchem Umfang das Gesetz auf kantonale Tätigkeiten anwendbar ist und welche Konse- quenzen – insbesondere auch finanzieller Art – eine Geltung nach sich zöge. Spätestens die Botschaft an die eidgenössischen Räte muss dies- bezüglich Klarheit schaffen. Beispielhaft erwähnen wir die in Art. 60 Abs. 3 und 4 des Heilmittel- gesetzes aufgeführten Fälle, in denen das Institut des Bundes den Ins- pektoraten der Kantone Inspektionen nach den Art. 6, 19 und 28 über- tragen und sie bei Inspektionen in seinem Kompetenzbereich beiziehen oder sie damit beauftragen kann. Wir gehen davon aus, dass es sich hier um eine Aufgabenerfüllung unter unmittelbarer Aufsicht des Bundes handelt. Sollte dies tatsächlich zutreffen, hätte die Umsetzung des vor- geschlagenen Bundesgesetzes nur schon in diesem einzelnen Bereich weitreichende Konsequenzen, zumal der gesamte Umgang der Kanto- nalen Heilmittelkontrolle mit Informationen unter den geforderten Sicherheitsaspekten durchleuchtet und möglicherweise angepasst wer- den müsste. Der Aufbau eines neuen oder angepassten Informations- Sicherheits-Management-Systems wäre organisatorisch, administrativ und finanziell aufwendig. Dennoch erscheint es von der Sache her grundsätzlich sinnvoll, dass kantonale Behörden und Stellen, die im Auftrag des Bundes und unter seiner Aufsicht sicherheitsempfindliche Tätigkeiten ausüben, gemäss Art. 2 Abs. 2 Bst. f E-ISG in den Geltungsbereich des ISG fallen. Nur so kann die durchgängige Sicherheit von Informationen im ganzen Verant- wortungsbereich des Bundes gewährleistet werden. Die Regelung greift zwar in die Organisationsautonomie der Kantone ein, denn daraus er- gibt sich für die Kantone (und allenfalls auch für die Gemeinden) die Notwendigkeit, die eigenen Informationssicherheitsregeln an das ISG anzupassen, wie das erwähnte Beispiel zeigt. Es wäre nicht praktikabel, in einer Verwaltung zwei oder mehrere unterschiedliche Sicherheits- regimes anzuwenden.
Auch wenn nur einzelne Mitarbeitende Aufgaben für den Bund wahr- nehmen, hat dies aber zur Folge, dass die ganzen IKT-Systeme – z. B. Fach- anwendungen, Netzwerke, Arbeitsplatzgeräte, Rechenzentren – den An- forderungen des ISG genügen müssen. Damit wird auf Kantons-(und Gemeinde-)ebene Handlungsbedarf ausgelöst, weil das ISG Massnah- men vorsieht (namentlich Personensicherheitsprüfung und Betriebssicher- heitsverfahren), die auf der Stufe Kanton (und Gemeinde) gar nicht oder anders geregelt sind. Daher müssen die Kantone (und Gemeinden) die Dienste der Bundesfachstellen in Anspruch nehmen können. Wir bean- tragen deshalb, Art. 89 E-ISG um eine Regelung zu ergänzen, die vor- sieht, dass kantonale Behörden und Stellen die Leistungen der im ISG vorgesehenen Fachstellen des Bundes in Anspruch nehmen können. Schliesslich ist zu Art. 89 Abs. 2 Bst. a E-ISG Folgendes anzumerken: Diese Bestimmung ermächtigt den Bundesrat, Personensicherheitsprü- fungen für kantonale Organe zu regeln. Weil mit einer Personensicher- heitsprüfung ein Eingriff in die Grundrechte der betroffenen Person verbunden ist, muss die entsprechende Regelung – zumindest in den Grundzügen – auf Gesetzesstufe erfolgen. Der Gesetzesentwurf ist ent- sprechend anzupassen. Zusammenfassend beantragen wir, die Unklarheiten betreffend die Auswirkungen und den Einbezug der Kantone spätestens bei der Um- setzung des Gesetzes und dem Erlass der entsprechenden Ausführungs- vorschriften auszuräumen. Dabei ist zwingend, dass den Belangen der Kantone im Allgemeinen und der ihnen zustehenden Organisationsauto- nomie im Besonderen gebührend Rechnung getragen wird.
II. Mitteilung an die Geschäftsleitung des Kantonsrates, die Mitglieder des Regierungsrates sowie an die Staatskanzlei.
Vor dem Regierungsrat Der stv. Staatsschreiber:
Hösli