Mit 16 zu 9 Stimmen ist die Sicherheitspolitische Kommission des Nationalrates (SiK-N) auf ihren Entscheid zurückgekommen, auf das Informationssicherheitsgesetz einzutreten. Mit dem gleichen Stimmverhältnis hat sie nun Nichteintreten beschlossen. Eine Minderheit beantragt Eintreten.
Die Kommission trat an ihrer letzten Sitzung zwar auf die Gesetzesvorlageein, beauftragte aber das VBS, ihr für die Detailberatung eine genauere Abschätzung der finanziellen und personellen Auswirkungen der Vorlage vorzulegen. Gestützt auf diese Zusatzinformationen setzte die Kommission ihre Diskussionen gestern fort.
Dabei kommt die Mehrheit der SiK-N zum Schluss, dass mit dem Gesetz ein zu grosser und zu komplexer Informationsschutzapparat aufgebaut würde, der eine Eigendynamik entfalten und sich zunehmend der Kontrolle des Parlaments entziehen könnte. Insbesondere bemängelt sie weiter, dass nur grobe Kostenschätzungen vorlägen und auch die personellen Auswirkungen des Gesetzes erst im Rahmen der Ausführungsverordnungen abgeschätzt werden könnten. Erkannte Probleme sollten im Rahmen bereits bestehender Gesetze und mit einer besseren bundesinternen Koordination gelöst werden.
Die Minderheit hingegen sieht einen klaren Handlungsbedarf für einen gesamtheitlichen Ansatz, um die Informationssicherheit im Zuständigkeitsbereich des Bundes zu verbessern. Das vorgeschlagene Gesetz erlaube eine übersichtlichere Lösung als die heutigen Bestimmungen, die in verschiedenen Erlassen geregelt sind. Die Sicherheitslücken könnten geschlossen und die Koordination stark verbessert werden bei – gemessen am Sicherheitsrisiko – vertretbaren Kosten. Zudem könne sich das Parlament zu den Ausführungsverordnungen konsultieren lassen und besitze die Budgethoheit, womit die nötige Kontrolle gewährleistet sei.
Der Nationalrat wird die Vorlage in der Frühjahrssession behandeln. Sollte der Nationalrat dem Nichteintreten zustimmen, geht die Vorlage zurück an den Ständerat. Dieser hatte den Gesetzesentwurf in der vergangenen Wintersession ohne Gegenstimme angenommen.
Das Informationssicherheitsgesetz legt die minimalen Anforderungen fest, welche alle Bundesbehörden zum Schutz ihrer Informationen und Informatik-Infrastrukturen erfüllen müssen. Es führt die wichtigsten Massnahmen in eine einzige, einheitliche Regelung zusammen: Risiko-Management, Klassifizierung von Informationen, Informatiksicherheit, Personensicherheitsprüfungen, Sicherheit bei sensitiven Beschaffungen und Unterstützung durch den Bund der Betreiberinnen von kritischen Infrastrukturen im Bereich der Informationssicherheit.