preparatory:AB 262045
Glättli Balthasar · Nationalrat · Zürich · Grüne Fraktion · 2020-06-04
Wortprotokoll
In der Botschaft zum Informationssicherheitsgesetz wurde immer wieder erwähnt und bekräftigt: Man will das Rad nicht neu erfinden, sondern internationale Standards anwenden. Zu den wohl bekanntesten Standards in diesem Bereich gehört die Norm ISO/IEC 27001, und die verlangt eben gerade die Umsetzung eines Informationssicherheits-Managementsystems.
In der Kommission wurde in der Diskussion meines Antrages erwähnt, in Artikel 7 Absatz 1 sei eigentlich auch irgendwie mitgemeint, man solle ein solches Informationssicherheits-Managementsystem umsetzen. Die Begründung, weshalb man das nicht geschrieben hat, war, dass die Redaktionskommission dieses Wort etwas kompliziert findet. Jetzt muss ich Ihnen sagen: Ich habe mit verschiedensten Experten aus dem Bereich gesprochen, ich bin ja selbst keiner, zum Beispiel mit Experten verschiedener Computer Emergency Response Teams. Niemand hat das in diesen Text hineingelesen! Es gilt eben auch in jeder Fachsprache: Ein Apfel ist ein Apfel. Wenn man einfach sagt: "Gib mir eine runde Frucht, die mal rot, mal grün und mal gelb ist", dann versteht man das nicht. Wenn man aber einen Apfel einen Apfel nennt, dann versteht man es. Ich finde, dass wir als Gesetzgeber es uns doch schuldig sind, wenn wir meinen, es brauche ein Informationssicherheits-Managementsystem, [PAGE 688] auch zu schreiben, dass es ein Informationssicherheits-Managementsystem braucht. Es ist nicht das komplizierteste Wort.
Zum Ort, wo das festgelegt werden soll: Die Auskunft der Verwaltung war, man habe das in Artikel 7 aufgenommen. Dort geht es aber um die Führung und die Führungsverantwortung. Innerhalb eines Informationssicherheits-Managementsystems sind die Führung einerseits und das Risikomanagement andererseits zwei systematisch klar getrennte Bereiche. Für Leute, die sich mit diesen Systemen auskennen, leuchtet das eine grün und das andere rot, weil es unterschiedliche Rollen sind. Deshalb ist es falsch, wenn man das nur in Artikel 7 erwähnt. Man muss die Verpflichtung zum Betrieb eines solchen Informationssicherheits-Managementsystems als grundsätzlichen Auftrag in Artikel 6a schreiben.
Sie könnten jetzt sagen, das sei "l'art pour l'art". Es ist insofern "l'art pour l'art", als ich in den Debatten in der Kommission zum Schluss gelangt bin, dass die Bundesverwaltung effektiv das meint, was ich beantrage. Das Problem ist einfach, dass ich finde, dass Gesetze so formuliert sein sollten, dass das geschrieben steht, was man meint.
In diesem Sinne empfehle ich Ihnen, immer noch überzeugt, bei Artikel 6a dem Antrag meiner Minderheit zuzustimmen.