(sda) Wegen Zweifeln am Mehrwert hatte der Nationalrat das neue Informationssicherheitsgesetz zunächst abgelehnt. Im zweiten Anlauf stimmte er der Vorlage am Donnerstag dann aber doch zu, mit 131 zu 53 Stimmen.

Das Gesetz soll die Sicherheit von Informationen beim Bund verbessern. Heute finden sich die entsprechenden rechtlichen Grundlagen verstreut in verschiedenen Erlassen. Mit dem neuen Gesetz wird ein Rahmen für alle Bundesbehörden geschaffen, mit dem ein möglichst einheitliches Sicherheitsniveau erreicht werden soll. Die jeweiligen Behörden können die Informationssicherheit auf der Grundlage des neuen Rechtsrahmens aber selber konkretisieren.

Die Vorlage basiert auf anerkannten internationalen Standards. Im Zentrum stehen das Risikomanagement, die Klassifizierung von Informationen, die Sicherheit beim Einsatz von Informatikmitteln, personelle Massnahmen und der physische Schutz von Informationen und Informatikmitteln.

Die Personensicherheitsprüfungen soll nur noch zur Identifizierung von erheblichen Risiken eingesetzt werden. Bei der Vergabe von sicherheitsempfindlichen Aufträgen an Dritte soll das militärische Betriebssicherheitsverfahren auf zivile Beschaffungen angewendet werden.

Nein zur Meldepflicht

Zudem hat der Nationalrat im Stromversorgungsgesetz festgehalten, dass Dritte, die von der nationale Netzgesellschaft Swissgrid in kritischen Funktionen eingesetzt werden, personensicherheitsgeprüft werden können. Gewählte kantonale Magistratspersonen hingegen sollen nicht überprüft werden.

Die Linke wollte für die Betreiber kritischer Infrastrukturen eine Meldepflicht einführen für erhebliche Vorfälle. Die Mehrheit entschied aber, dies nicht zur Pflicht zu machen.

Mit dem Gesetz wird auch eine Grundlage für eine nationale Sicherheitserklärung geschaffen für Unternehmen, die sich im Ausland um Aufträge bewerben. Verteidigungsministerin Viola Amherd bezeichnete eine allfällige Ablehnung denn auch als "in höchstem Masse wirtschaftsfeindlich".

Höhe der Kosten unklar

Zunächst hatte es nach einem Nein ausgesehen: Weil der Nutzen umstritten war, lehnte der Nationalrat die Vorlage 2018 ab. Nachdem der Ständerat daran festhielt, ist die grosse Kammer nun auf ihren Entscheid zurückgekommen. Nicht alle waren damit einverstanden.

SVP-Sprecher David Zuberbühler (AR) beispielsweise sprach von einem "Bürokratiemonster". Die Informationssicherheit des Bundes entspreche schon heute dem Stand der Technik und werde laufend von den Fachleuten aktualisiert. Zuberbühler kritisierte auch die Kosten, die für den Bund und die Wirtschaft entstehen könnten. Je nach angestrebtem Sicherheitsniveau fallen diese unterschiedlich hoch aus, präzise Schätzungen fehlen.

Umstrittener Einsatz der AHV-Nummer

Der Nationalrat folgte dann aber weitgehend den Anträgen des Bundesrats und den Beschlüssen des Ständerats. Die systematische Verwendung der AHV-Nummer zur Personenidentifikation lehnt er jedoch ab.

Zudem verlangt der Nationalrat, dass der Bundesrat seine Ziele und die Kosten für die Informationssicherheit den zuständigen Kommissionen zur Konsultation vorlegt. Damit will er verhindern, dass die Umsetzung allzu teuer und aufwendig wird. Nun ist wieder der Ständerat am Zug.