Glättli Balthasar · Nationalrat · 2020-06-04
Glättli Balthasar · Nationalrat · Zürich · Grüne Fraktion · 2020-06-04
Wortprotokoll
Endlich biegen wir in die Zielgerade ein. Ich hoffe, dass wir den Einlauf auch schaffen. Sie haben die Geschichte gehört. Ich habe meinen Kollegen und Kolleginnen die Vorlage vereinfacht erklärt. Vermutlich hat der Ständerat von diesem Gesetz nicht wahnsinnig viel verstanden und in seiner staatsgläubigen Art einfach gesagt: Okay, wir stimmen dem Bundesrat zu. Beim Nationalrat ging es eigentlich gleich. Wir brauchten in der Kommission auch [PAGE 683] ein paar Anläufe, bis wir das Konzept verstanden hatten; nur lief es in der Eigendynamik des Nationalrates dann auf eine Ablehnung hinaus. Das ist das, was man auch bedauern muss, weil wir dadurch durchaus Zeit verloren haben. Wir haben aber hoffentlich auch ein wenig an Erkenntnis gewonnen, weshalb es dieses Gesetz überhaupt braucht.
Ich möchte einleitend auch kurz sagen, dass es in diesem Gesetz ganz verschiedene Elemente gibt. Sie haben es gehört, ich muss es nicht noch einmal von der Personensicherheitsprüfung bis zur Informationssicherheit im IT-Bereich aufdröseln. Wir haben uns in der Kommission überlegt, ob man das nicht allenfalls in unterschiedliche Gesetze aufteilen könnte, und haben auch über entsprechende Anträge debattiert. Wir sind dann aber zum Schluss gekommen, dass es von allen schlechten Lösungen die am wenigsten schlechte ist, das Gesetz als Ganzes zusammenzubehalten. Es ist jedoch nicht so, dass Sie das Gesetz als einheitliches Gesetz lesen können. Es sind wirklich ganz unterschiedliche Teile, die geregelt werden und im groben Ganzen die Informationssicherheit betreffen.
Ganz wichtig scheint mir: Wenn Sie gewissen Minderheitsanträgen noch zur Mehrheit verhelfen, haben Sie mit diesem Gesetz die Möglichkeit, zu verhindern, dass das passiert, was wir jetzt in einem anderen Bereich leidvoll erlebt haben, wo man versucht hat, mit Plänen für künftige Krisen vorzusorgen. Wir alle haben den Pandemieplan in den letzten Monaten vermutlich viel näher kennengelernt, als uns allen lieb ist. Wir haben gemerkt, wie nützlich oder nutzlos ein Plan ist, wenn er nur ein Plan bleibt und es keine verbindlichen Vorgaben gibt. Es ist gerade im Bereich der IT auch das Ziel, konkrete Vorgaben zu machen. Das soll, um den Vergleich zu bemühen, nicht im Sinne einer Vorgabe geschehen, welche Anzahl Masken in der Verantwortung von dieser oder jener Organisationseinheit vorzubereiten oder auf Vorrat zu halten seien, sondern vielmehr ist die Verantwortung klar festzuschreiben, dass es Informationssicherheits-Managementsysteme braucht.
Es macht keinen Sinn, ganz konkrete Sicherheitsanforderungen auf Gesetzes- oder meinetwegen Verordnungsstufe festzuschreiben. Das Wichtige ist, dass alle sicherheitsrelevanten Bereiche gezwungen sind, ein solches Informationssicherheits-Managementsystem einzuführen. Das heisst, dass anerkannte Prozesse da sind, wo man die Risiken identifiziert, mögliche Reaktionen abwägt, das Gewicht definiert, mit wie viel Aufwand man auf welches Risiko vorbereitet sein will, und dann auch Pläne B in petto hat für den Fall, dass es wirklich mal südwärts geht.
Ich spreche dann in der Detailberatung nochmals kurz zum Minderheitsantrag, aber ich lege Ihnen schon jetzt wirklich ans Herz: Wenn Sie schon dieses Gesetz beschliessen, dann geben Sie ihm auch Zähne, denn sonst riskieren wir tatsächlich, dass es sich nur um ein Bürokratiegebilde, um einen Papiertiger handelt.