22.3415 · Interpellation · 2022-05-09
Finanzdepartement
Erledigt
Wortlaut
Kritische Infrastrukturen sind für die Schweiz von zentraler Bedeutung und umfassen alle sozialen und technischen Systeme, die für das Funktionieren einer demokratischen Gesellschaft unabdingbar sind. Zugleich rücken kritische IKT-Infrastrukturen vermehrt in den Fokus von Cyberkriminellen, so z.B. bei der Ransomware-Attacke auf Swissport oder bei Cyberattacken auf Schweizer Gemeinden. Ebenso wächst die Besorgnis über einzelne Anbieter in Bezug auf mangelnde Transparenz bei Sicherheitsaspekten oder in Bezug auf geopolitische Risiken.
Um die Integrität der kritischen Infrastrukturen und die Versorgungssicherheit der Schweiz stets sicherzustellen, sind Sicherheits- und Transparenzaspekte bereits bei IKT-Beschaffungen stärker zu gewichten. In diesem Zusammenhang stellen sich folgende Fragen:
a. Teilt der Bundesrat die Auffassung, dass bei IKT-Beschaffungen im Bereich kritische Infrastrukturen sicherheitspolitische Aspekte integral in einem Gesamtkontext betrachtet und diese neben Preis und Leistung bei der Vergabe mitberücksichtigt werden müssen?
b. Ist der Bundesrat bereit zu prüfen, ob Betreiber von kritischen Infrastrukturen auch Beurteilungsparameter wie beispielsweise Schulungs- und Monitoring-Kompetenzen, ausreichende personelle Ressourcen, Knowhow entlang des ganzen Lebenszyklus und der Gesamtarchitektur sowie Transparenz und Überprüfbarkeit erfüllen müssen?
c. Ist der Bundesrat auch der Auffassung, dass die Sicherheit der Systeme durch transparente Informationen zur Liefer-/Herstellerfirma, zu Entwicklungs- und Produktionsprozessen, zum zugrundeliegenden Source-Code, zur Lieferkette und schlussendlich auch zum Lebensweg (Entwicklung, Produktion, Integration, Betrieb und Ausserbetriebssetzung) verbessert werden kann?
d. Wie beurteilt der Bundesrat die Schaffung einer unabhängigen, nationalen Prüfinstanz ("IT-Empa"), welche die Beschaffung von kritischen Infrastrukturen integral, also unter Berücksichtigung einer grösseren Anzahl von Beurteilungsparametern, prüfen könnte?
Begründung
Die Beurteilungskriterien bei der Beschaffung von kritischen Infrastrukturen sind zu standardisiert. Entscheide zur Vergabe berücksichtigen heute primär Preis und Leistung sowie allenfalls die Sicherheit der ausgeschriebenen Komponenten. Mit Blick auf die Tragweite der potenziellen Risiken ist dies ungenügend und greift als Entscheidungsgrundlage zu kurz, um kritische Infrastrukturen zuverlässig und nachhaltig zu sichern. Eine integrale und langfristige sicherheitspolitische Betrachtung des Gesamtsystems ist deshalb unabdingbar. Für den Betrieb von kritischen Infrastrukturen müssen beim Beschaffungsentscheid nicht nur einzelnen Elemente, sondern auch das Zusammenspiel der einzelnen Komponenten und Systeme über einen längeren Zeithorizont gewährleistet sein. Dazu gehören auch weitere vor- und nachgelagerte Dienstleistungen, wie beispielsweise Schulungen für den operativen Betrieb, welche die Anbieter anbieten können muss. Daneben soll die Sicherheit der ausgeschriebenen Komponenten und Systeme von einer unabhängigen nationalen Prüfstelle überprüft werden. Die Bereitschaft der Anbieter seine Systeme und Komponenten auf sicherheitspolitische Aspekte zu überprüfen, soll in Zukunft Gegenstand der Beurteilungskriterien werden. Ist die Funktionsfähigkeit kritischer Infrastrukturen eingeschränkt oder nicht mehr gegeben, wird das Gesamtsystem angreifbar und gefährdet die Souveränität des Landes, die Sicherheit der Bevölkerung sowie die Versorgungssicherheit und Innovationskraft der Schweiz.
Stellungnahme des Bundesrates
Zu a.: Der Bundesrat hat in seiner nationalen Strategie zum Schutz kritischer Infrastrukturen bekräftigt, dass ein integrales Vorgehen in Sicherheitsfragen notwendig ist. Dementsprechend sollten die Betreibenden kritischer Infrastrukturen bei allen relevanten Beschaffungsvorhaben die Risiken ihrer Lieferantenketten kennen und berücksichtigen. Dazu gehören auch Analysen zu sicherheitspolitischen Aspekten der Lieferanten und ihrer Lieferungen und die Aufnahme entsprechender Kriterien in die Pflichtenhefte der Ausschreibungen. Das öffentliche Beschaffungsrecht erlaubt solche Kriterien auch für Beschaffungen von Betreibenden, welche diesem unterstehen. Dabei muss aber die Gleichbehandlung von Anbieterinnen gewährleistet werden. So kann etwa der Markt nicht unter pauschalem Hinweis auf Sicherheitsgründe faktisch auf einzelne Anbieter eingeschränkt werden.
Zu b.: Der Bundesrat ist bereit zu prüfen, ob ergänzende Vorgaben zur IKT-Beschaffung in Einzelfällen nötig sind und ins Pflichtenheft der Ausschreibung aufzunehmen sind. Generelle Vorschriften hält er jedoch auch aufgrund der grossen Unterschiede zwischen den verschiedenen KI-Betrieben und Branchen nicht für zielführend. Es liegt im wirtschaftlichen Eigeninteresse der Betreibenden kritischer Infrastrukturen, die aufgeführten Kriterien bei solchen Beschaffungen zu berücksichtigen. Vorschriften würden der Komplexität von Beschaffungsprozessen kaum gerecht, würden diese verlangsamen und verteuern und kämen bei privaten Auftraggeberinnen einem Eingriff in die Wirtschaftsfreiheit der Unternehmen gleich.
Zu c.: Ja, der Bundesrat teilt diese Auffassung.
Zu d.: Der Bundesrat erkennt einen Bedarf an Prüfkapazitäten in der Schweiz. Im Kanton Zug befindet sich bereits ein entsprechendes unabhängiges Nationales Testinstitut für Cybersicherheit (NTC) im Aufbau. Das Nationale Zentrum für Cybersicherheit (NCSC) unterstützt dessen Aufbau fachlich. Das NTC hat sich zum Ziel gesetzt, Unternehmen und Behörden mit vertieften Sicherheitsprüfungen von IKT-Systemen und -Anwendungen zu unterstützen. Sein Machbarkeitsnachweis wurde unter anderem mit der Prüfung der Funktionalitäten und Sicherheit des Schweizer Covid-Zertifikatsystems erbracht.
Antwort des Bundesrates.