Lexipedia

preparatory:AB 227751

Gmür Alois · Nationalrat · Schwyz · CVP-Fraktion · 2018-03-13

Wortprotokoll

Die Kommission befasste sich an zwei Sitzungen mit dem Informationssicherheitsgesetz. An der Januarsitzung wurde der Kommission von Nationalrat Pirmin Schwander der Mitbericht der Finanzkommission erläutert. Anlässlich dieser Sitzung wurde mit 21 zu 3 Stimmen bei 1 Enthaltung auf das Geschäft eingetreten. Es zeigte sich aber, dass bei den Kosten und dem zusätzlichen Personalbedarf grosse Unsicherheit herrscht und beides von der Verwaltung nur äusserst ungenau beziffert werden konnte. Es war die Rede von vier bis elf zusätzlichen Stellen, was grosse Ungenauigkeit bzw. fast einen Faktor 3 bedeutet.

Der Nationalrat ist Zweitrat. Der Ständerat hat bei der Beratung dieser Vorlage verlangt, dass er zu den Kosten dann nochmals konsultiert wird. Da die Kosten stark von den vorgesehenen Informationssicherheitsniveaus abhängen, wurde die Beratung des Gesetzes sistiert und die Verwaltung beauftragt, verschiedene aufgrund dieses Gesetzes mögliche Sicherheitsstandards zu beschreiben und möglichst genau die damit zusammenhängenden Kosten und den Personalbedarf aufzuzeigen.

An der Sitzung im Februar wurden der Kommission dann drei verschiedene Ambitionsniveaus präsentiert. Beim Ambitionsniveau 1, das gemäss Botschaft aktuell angestrebt wäre, hätten wir 9,5 bis 15,5 Stellen mehr und Kosten von 5 Millionen Franken. Das Ambitionsniveau 2 würde 42 Stellen und Betriebskosten von 33 bis 58 Millionen verursachen; das Ambitionsniveau 3 würde rund 78 Stellen und Kosten von 62 bis 87 Millionen Franken bedeuten. Der Bundesrat strebt momentan das tiefste Niveau, nämlich das Ambitionsniveau 1, an.

Es wurde auch erklärt, dass das Informationssicherheitsgesetz kein Informatiksicherheitsgesetz sei, das detaillierte Massnahmen der Informatiksicherheit beinhaltet, sondern dass diese Vorlage ein Informationssicherheitsmanagement-Gesetz sei. Dieses Informationssicherheitsmanagement beträfe die Informatiksicherheit, den Datenschutz, den Informationsschutz auch aus Sicht des Staatsschutzes, die Personensicherheitsprüfung und die Betriebssicherheitsverfahren sowie auch das Risikomanagement. Die Kosten von KMU für die Betriebssicherheitsverfahren könnten dem Bund in Rechnung gestellt werden. Die Kantone werden in dieses Informationssicherheitsmanagement mit einbezogen. Sie unterstützen dieses Gesetz, wollen aber nichts an die entstehenden Kosten bezahlen.

In der Kommission wurde dann der Mehrwert dieser Vorlage infrage gestellt. Es wurde festgestellt, dass der Aufwand bedeutend sei, daraus aber wenig Ertrag resultiere. Ein gewisser Handlungsbedarf bestehe, aber diesen Bedarf könne man mit einfachen Gesetzesanpassungen und bedeutend weniger Kosten abdecken. Die Mehrheit Ihrer Kommission kam zum Schluss, dass mit dem Gesetz ein zu grosser und zu komplexer Informationsschutzapparat aufgebaut würde, der hohe Kosten verursachen würde und eine Eigendynamik entfalten könnte und sich zunehmend der Kontrolle des Parlamentes entziehen würde. Eine hundertprozentige Sicherheit gäbe es auch mit diesem Gesetz nicht.

Die Minderheit hingegen sieht einen klaren Handlungsbedarf für einen gesamtheitlichen Ansatz, um die Informationssicherheit im Zuständigkeitsbereich des Bundes zu verbessern. Das vorgeschlagene Gesetz, das vom Ständerat mit nur wenigen Änderungen verabschiedet wurde, erlaube eine übersichtlichere Lösung als die heutigen Bestimmungen, die in verschiedenen Erlassen enthalten seien. Die Sicherheitslücken könnten geschlossen und die Koordination könnte stark verbessert werden. Die Kosten seien vertretbar. Die nötige Kontrolle durch das Parlament sei gewährleistet.

Ein Ordnungsantrag auf Rückkommen auf das Eintreten wurde in der Kommission mit 16 zu 9 Stimmen gutgeheissen. Es wurde dann nochmals über das Eintreten abgestimmt. Mit 16 zu 9 Stimmen wurde nicht auf die Vorlage eingetreten.

Deshalb beantrage ich Ihnen im Namen der Kommissionsmehrheit, nicht auf die Vorlage einzutreten.