22.4591 · Interpellation · 2022-12-16
Departement für Verteidigung, Bevölkerungsschutz und Sport
Erledigt
Wortlaut
Kritische Infrastrukturen - also Prozesse, Systeme und Einrichtungen, die essenziell für das Funktionieren der Wirtschaft bzw. das Wohlergehen der Bevölkerung sind - stehen immer stärker unter Druck, wie der aktuelle Krieg in der Ukraine deutlich zeigt. Deren Sicherheit entlang des ganzen Lebenszyklus ist für die Schweiz entsprechend von enormer Wichtigkeit. Dies gilt insbesondere für den Bereich der Informations- und Kommunikationstechnik (IKT), weil sich in diesem eine rasante Innovationsfähigkeit und die langjährigen Verpflichtungen bei IKT-Beschaffungen diametral gegenüberstehen. Dieser Umstand führt zu sicherheitsrelevanten Diskrepanzen zwischen der Momentaufnahme beim Beschaffungsentscheid und dem langjährigen Betrieb von kritischen Infrastrukturen im IKT-Bereich. Die Erstellung von offiziellen Guidelines bei der Beschaffung im Zusammenhang mit kritischen Infrastrukturen im IKT-Bereich würde für dringend benötigte Abhilfe sorgen.
Fragen an den Bundesrat
a. Teil der Bundesrat die Ansicht, dass eine sicherheitsrelevante Diskrepanz zwischen der Momentaufnahme beim Beschaffungsentscheid und dem langjährigen Betrieb von kritischen Infrastrukturen im IKT-Bereich gibt?
b. Ist der Bundesrat der Auffassung, dass Guidelines bei der Beschaffung im Zusammenhang mit kritischen Infrastrukturen im IKT-Bereich die Resilienz erhöhen?
c. Wäre der Bundesrat bereit, Guidelines für die Beschaffung im Zusammenhang mit kritischen Infrastrukturen im IKT-Bereich zu erstellen?
d. Ist der Bundesrat der Meinung, dass ein runder Tisch mit Vertretern von Bund, Kantonen, Wissenschaften, IT-Industrie sowie Betreibern von kritischen Infrastrukturen einen Mehrwert für die Beschaffung im Zusammenhang mit kritischen Infrastrukturen im IKT-Bereich bringen könnte?
e. Ist der Bundesrat bereit, das Themengebiet "Beschaffung" in die Nationale Strategie zum Schutz kritischer Infrastrukturen 2023-2027 aufzunehmen?
Begründung
Die nationale Strategie zum Schutz kritischer Infrastrukturen des Bundesamtes für Bevölkerungs-schutz (BABS) von 2017 zielt auf die Verbesserung der Resilienz von kritischen Infrastrukturen ab. In dieser Strategie - die per Ende 2022 überarbeitet werden soll - spielt der Beschaffungsprozess im Zusammenhang mit kritischen Infrastrukturen keine Rolle. Die Beschaffungsentscheide stellen jedoch die Grundlage der Resilienz von kritischen Infrastruktur, definiert als "Widerstands-, Anpassungs- und Regenerationsfähigkeit", dar. Guidelines bei der Beschaffung im Zusammenhang mit kritischen Infrastrukturen im IKT-Bereich würden deshalb einen Beitrag leisten, eine integralere und langfristigere sicherheitspolitische Betrachtung das Gesamtsystems zu ermöglichen und so die Sicherheit der Systeme entlang des gesamten Lebenszyklus zu erhöhen.
Stellungnahme des Bundesrates
a. Bei Beschaffungen von Komponenten, welche über längere Zeiträume verwendet werden, stellt sich stets die Herausforderung, wie mögliche künftige Entwicklungen in die Beschaffungsentscheidung einbezogen werden können. Dies gilt nicht nur für Fragen der Sicherheit, sondern generell für technologische und wirtschaftliche Entwicklungen. Entsprechend sind sorgfältig und vorausschauend durchgeführte Beschaffungsprozesse von grosser Bedeutung. Bei IKT-Beschaffungen muss beispielsweise abgeklärt werden, wer mittel- und langfristig den technischen Support der Systeme sicherstellt, welche Sicherheitsanforderungen dabei zu erfüllen sind oder welche Pflichten den Anbietern in Bezug auf die Bewältigung von Sicherheitsvorfällen und beim Umgang mit Schwachstellen auferlegt werden sollen. Werden solche Elemente im Beschaffungsprozess berücksichtigt, kann das Risiko einer sicherheitsrelevanten Diskrepanz zwischen dem Beschaffungszeitpunkt und dem späteren Betrieb verringert werden.
b. Ja, Guidelines helfen den Verantwortlichen, bei der Identifizierung der zentralen Faktoren für den Beschaffungsprozess methodisch vorzugehen - auch im IKT- Bereich. Dabei sind stets die spezifischen Anforderungen jeder Beschaffung zu berücksichtigen. Es gibt kein abschliessend bestes Vorgehen für Beschaffungen.
c. Für das Risikomanagement von Lieferketten bestehen gut etablierte internationale Normen und Standards (in Bezug auf die Sicherheit von IKT-Beschaffungen z.B. ISO 27036-3 und NIST 800-161). Schon heute werden Elemente solcher Standards bei Ausschreibungen durch den Bund fallweise als "Muss-Kriterien" definiert. Der Bundesrat hält die Erarbeitung zusätzlicher Guidelines deshalb nicht für hilfreich, sondern empfiehlt den Betreiberinnen kritischer Infrastrukturen bestehende internationale Normen und Standards zu nutzen.
d. Der Bundesrat hält die Schaffung eines zusätzlichen Gremiums nicht für notwendig, da bereits heute ein regelmässiger Austausch zwischen Bund, Kantonen, Wissenschaft und der Wirtschaft zum Thema Beschaffungen stattfindet (z.B. im Rahmen der jährlichen IT-Beschaffungskonferenz). Zudem wird der Austausch zu Fragen der Sicherheit entlang des ganzen Lebenszyklus von Beschaffungen in den bestehenden Gremien noch weiter intensiviert.
e. Der Bundesrat hat in seiner nationalen Strategie zum Schutz kritischer Infrastrukturen 2018-2022 bekräftigt, dass ein integrales Vorgehen in Sicherheitsfragen notwendig ist. Dementsprechend sollten die Betreiberinnen kritischer Infrastrukturen bei allen relevanten Beschaffungsvorhaben die Risiken ihrer Lieferantenketten kennen und berücksichtigen. Eine zusätzliche Vertiefung in der neuen Strategie erachtet er nicht als notwendig.
Antwort des Bundesrates.