Lexipedia

22.4283 · Interpellation · 2022-11-28

Bundeskanzlei

Erledigt

Wortlaut

Im Zuge der Covid-19-Pandemie und jetzt mit der Energie- und Versorgungskrise wurde deutlich, wie wichtig es ist, bei der Erbringung grundlegender Leistungen für den Bund über nationale Kompetenzen zu verfügen.

Während viele Unternehmen dies erkannt haben und eine auf kurzen Distanzen beruhende Produktions- und Versorgungsstrategie verfolgen, stellt sich die Frage, welche Strategie der Bund für seine eigenen Dienste verfolgt.

Zwar liegt der Fokus häufig auf Gütern, doch sollten auch die grundlegenden Dienste speziell beachtet werden. Dies gilt insbesondere für die Bereitstellung und Wartung unserer IT-Systeme, sei es auf Hardware- oder vor allem auf Softwareebene.

- Können Sie uns mitteilen, ob in strategischen Sektoren ausländische Anbieter für die Entwicklung und Wartung von Software herangezogen werden und welche Gründe den Bund dazu veranlasst haben, einen oder mehrere Aufträge ins Ausland zu vergeben?

- Welche Länder werden für diese Aufträge in Betracht bezogen? Wird garantiert, dass die bekanntgegebenen Daten vertraulich und ohne Risiko für die Informatiksicherheit unseres Landes verwendet werden?

Stellungnahme des Bundesrates

Zur Frage 1: Der jährliche Bericht zum Beschaffungswesen der zentralen Beschaffungsstellen des Bundes (armasuisse, ASTRA, BBL und Bundesreisezentrale im EDA) zeigt unter anderem auf, wie viele Verträge mit Anbietern im In- und Ausland abgeschlossen werden. Seit 2022 publiziert die Bundesverwaltung zudem die Verträge ab CHF 50'000.-, aufgeschlüsselt nach Beschaffungsgegenstand, Ort und auftraggebender Verwaltungseinheit. Sowohl der Bericht als auch die Liste mit den Verträgen ab CHF 50'000.- sind auf der Homepage der Beschaffungskonferenz des Bundes (BKB) einsehbar (unter "Berichte zum öffentlichen Beschaffungswesen"). Gemäss dieser Liste gab es 2021 1'480 Verträge für Informatikdienstleistungen, Software für militärische Systeme, Software und Lizenzen sowie Software-Pflege und Hardware-Wartung. Davon wurden 100 (7%) an einen Anbieter mit Sitz im Ausland vergeben.

Gemäss dem Bundesgesetz über das öffentliche Beschaffungswesen (BöB, SR 172.056.1) sind öffentliche Aufträge grundsätzlich im Wettbewerb zu vergeben. Nach den für die Schweiz verbindlichen Regeln des Government Procurement Agreement, GPA (Revidiertes Übereinkommen über das öffentliche Beschaffungswesen, SR 0.632.231.422) muss der Wettbewerb auch für ausländische Anbieter aus den GPA-Mitgliedstaaten offenstehen. Gibt einer dieser ausländischen Anbieter das vorteilhafteste Angebot ein, erhält er den Zuschlag (Art. 41 BöB).

Öffentliche Aufträge dürfen nur ausnahmsweise direkt an einen Anbieter vergeben werden. Die Voraussetzungen für diese freihändigen Vergaben sind gesetzlich geregelt (vgl. Art. 21 BöB) und die konkreten Gründe sind abhängig vom Einzelfall.

Zur Frage 2: Hauptsächlich erhalten Anbieter mit Sitz in westeuropäischen Ländern Aufträge in den bei Frage 1 genannten Kategorien. Im Jahr 2021 wurden die wertmässig höchsten Verträge mit Anbietern aus Frankreich, Israel, Griechenland, den Niederlanden und Österreich abgeschlossen.

Bei allen Beschaffungen des Bundes von IKT-Mitteln oder -Dienstleistungen ist die Bundesverwaltung für die Einhaltung der geltenden Informatiksicherheitsvorgaben und Sicherheitsverfahren des Bundes verantwortlich (Art. 14 Abs. 3 bst. b Cyberrisikenverordnung, CyRV, SR 120.73; bzw. Art. 9 Informationssicherheitsgesetz, ISG mit voraussichtlichem Inkrafttreten im Herbst 2023). Zu den Sicherheitsverfahren (Art. 14b ff. CyRV) gehört die Schutzbedarfsanalyse. Bei dieser wird abgeklärt, ob erhöhte Risiken vorhanden sind, welche zusätzliche Schutzmassnahmen nötig machen. Weil diese Verwaltungsvorschriften aber nicht direkt auf Vertragspartner aus der Privatwirtschaft Anwendung finden, muss sich die Behörde die Einhaltung dieser Vorschriften vertraglich zusichern lassen (Art. 14 Abs. 3 Bst. d CyRV; bzw. Art. 9 Informationssicherheitsgesetz, ISG mit voraussichtlichem Inkrafttreten im Herbst 2023). Unternehmen und Dritte, welche klassifizierte Aufträge (vgl. Art. 4 ff. Informationsschutzverordnung, ISchV, SR 510.411) durchführen, haben sich zusätzlich dem Geheimschutzverfahren bzw. Betriebssicherheitsverfahren zu unterziehen. Dieses Verfahren bezweckt, dass durch eine Auftragsvergabe keine nicht akzeptierbaren Risiken entstehen. (Siehe zum Thema auch Kap. 3 und Kap. 4 des am 24.11.2021 publizierten Berichts des Bundesrates in Erfüllung der Postulate Dobler 19.3135 "Haben wir die Cybersicherheit bei Beschaffungen der Armee im Griff?" und 19.3136 "Haben wir die Hard- und Softwarekomponenten bei unseren kritischen Infrastrukturen im Griff?" vom 18. März 2019).

Antwort des Bundesrates.