Mit einer im März 2018 eingereichten Motion verfolgte die RK-SR zwei Ziele: Erstens sollen soziale Netzwerke rechtlich dazu verpflichtet werden, als Ansprechpartner für die schweizerischen Behörden sowie zur einfacheren Einreichung von Beanstandungen durch die Nutzerinnen und Nutzer eine Vertretung oder ein Zustelldomizil in der Schweiz einzurichten. Zweitens soll die Schweiz auf internationaler Ebene aktiv werden, um eine Lösung für das Problem der Rechtsdurchsetzung im Internet zu finden. Wie es der Bundesrat beantragt hatte, stimmten im Mai bzw. Dezember 2018 beide Räte dem Vorstoss stillschweigend zu.

Um Verwaltungsabläufe effizienter zu gestalten und damit letztlich eine einfachere und kostengünstigere Verwaltungsarbeit erreichen zu können, sollen Behörden systematisch die AHV-Nummer als Personenidentifikator verwenden dürfen. Der Bundesrat schickte eine entsprechende Änderung des AHVG Anfang November 2018 in die Vernehmlassung. Im Gegensatz zu den Behörden von Bund, Kantonen und Gemeinden sollen aber Institutionen ohne Behördencharakter, die mit der Erfüllung einer öffentlichen Aufgabe betraut sind, die AHV-Nummer weiterhin nur mit spezialgesetzlicher Ermächtigung verwenden dürfen. Es soll dem Gesetzgeber zudem möglich sein, für bestimmte Verwendungszwecke sektorielle Personenidentifikatoren vorzuschreiben.
Mit der AHV-Nummer reiche ein einziges Merkmal, um eine Person zu identifizieren, was nicht nur die Datenbearbeitung vereinfache, sondern auch Verwechslungen vorbeuge, so der Bundesrat in seiner Medienmitteilung. Für den Datenschutz und die Informationssicherheit sehe der Vorentwurf wirksame Massnahmen vor; zusätzlich zu den üblichen Sicherheitsmassnahmen bei Informatiksystemen des Bundes müsse einerseits der Zugang zu den Datenbanken optimal gesichert werden, andererseits werde das Unterlassen oder die unsorgfältige oder nicht fachgerechte Ausführung von Sicherheitsmassnahmen unter Strafe gestellt. Ausserdem würden die gesetzlichen Bestimmungen zur Verknüpfung verschiedener Datenbanken nicht geändert; die Verwaltung verknüpfe also nicht mehr Daten der Bürgerinnen und Bürger als bisher. Die breitere Verwendung der AHV-Nummer gehe nicht einmal mit einem erhöhten Anreiz zu häufigerem illegalem Verknüpfen verschiedener Datenbanken einher, da bereits mit den bisher erfassten Identitätsmerkmalen in 99.98 Prozent der Fälle eine erfolgreiche Verknüpfung erreicht werden könnte, wie das BSV in einem Hintergrunddokument zum Datenschutz erläuterte. Die Vernehmlassung läuft bis am 22. Februar 2019.

Nachdem der Ständerat in der Herbstsession 2018 am Eintreten auf das Informationssicherheitsgesetz (ISG) festgehalten hatte, beriet die SiK-NR die Vorlage im Oktober desselben Jahres zum zweiten Mal. Diesmal trat sie zwar mit 17 zu 8 Stimmen bei einer Enthaltung darauf ein, beschloss dann aber mit 17 zu 9 Stimmen die Sistierung des Geschäftes. Unterdessen soll das VBS bis im Juni 2019 Verbesserungsvorschläge für das Gesetzgebungsprojekt ausarbeiten. Neben der inhaltlichen Abstimmung des ISG auf die NCS und der Berücksichtigung eines zukünftigen Kompetenzzentrums für Cybersicherheit verlangte die Kommission eine klare Ausweisung und Limitierung sowie die departementsübergreifende Kompensation der Umsetzungskosten. Weiter muss das VBS aufzeigen, welche Kosten im Bereich der Betriebssicherheitsverfahren auf die öffentlichen und privaten Unternehmen in der Schweiz zukommen bzw. wie eine Belastung der Unternehmen durch das neue Gesetz vermieden werden kann. Generell erwartet die Kommission einen konkreteren, einfacheren und strafferen Gesetzesentwurf.

In der Herbstsession 2018 beschäftigte sich der Ständerat als Zweitrat mit der ersten Etappe der DSG-Revision, welche nur die Schengen-relevanten Bestimmungen des Gesetzgebungsprojektes umfasste. Die Schweiz hätte ihr Datenschutzrecht eigentlich bis zum 1. August 2018 an die EU-Richtlinie 2016/680 betreffend den Datenschutz in Strafsachen anpassen müssen, war damit im September also schon leicht im Verzug. Obwohl sich Kommissionssprecherin Pascale Bruderer Wyss (sp, AG) nicht sonderlich begeistert von der Etappierung der Vorlage zeigte – der Schengen-relevante Teil sei nicht der einzige, der zügig abgeschlossen werden sollte, denn die übrigen Bestimmungen seien zwar nicht für das Fortbestehen der Schengen-Assoziierung, aber sehr wohl für den Angemessenheitsbeschluss relevant und somit nicht weniger wichtig –, appellierte sie an den Rat, das Beste daraus zu machen und den eingeschlagenen Weg möglichst rasch weiterzugehen.
Nachdem die kleine Kammer ohne Gegenantrag auf die Vorlage eingetreten war, wurde auch hier, wie zuvor im Nationalrat, die Diskussion geführt, ob die gewerkschaftlichen Ansichten in der Definition der besonders schützenswerten Personendaten explizit aufgeführt werden müssten oder ob man diese streichen könne, da sie von den politischen und weltanschaulichen Ansichten erfasst würden. Wie der Nationalrat sprach sich auch der Ständerat mehrheitlich für die Streichung der gewerkschaftlichen Ansichten aus, obwohl, wie von Bundesrätin Sommaruga und Minderheitsvertreter Stöckli (sp, BE) angemerkt, dieser Antrag gar nie begründet worden sei. Materiell änderte sich damit nichts im Vergleich zum geltenden Recht, weshalb sowohl die Justizministerin als auch der Minderheitsvertreter letztlich vergebens die Notwendigkeit dieser Anpassung – notabene in einem ohnehin befristeten Gesetz – angezweifelt hatten. Als zweite Änderung und damit neue Differenz zum Nationalrat verbot der Ständerat dem EDÖB grundsätzlich die Ausübung jeglicher Nebentätigkeiten, unabhängig davon, ob diese vergütet werden oder nicht. Abweichend vom Grundsatz soll der Bundesrat eine solche jedoch gestatten können, wenn der EDÖB dadurch nicht in der Ausübung seiner Tätigkeit, seiner Unabhängigkeit und seinem Ansehen beeinträchtigt wird. Diese Absicht hatte bereits der Bundesrat in seinem Entwurf gezeigt, der Ständerat habe jetzt aber die «richtige Perspektive» und die «richtige Formulierung» gefunden, so Bundesrätin Sommaruga. Einstimmig verabschiedete die kleine Kammer das Schengen-Datenschutzgesetz mit dieser einen verbleibenden Differenz. Ebenfalls einstimmig genehmigte sie auch den Notenaustausch zwischen der Schweiz und der EU betreffend die Übernahme der EU-Richtlinie 2016/680 zum Datenschutz in Strafsachen.
Der Nationalrat räumte die Differenz daraufhin oppositionslos aus und nahm das Schengen-Datenschutzgesetz in der Schlussabstimmung mit 182 zu 11 Stimmen an. Der Genehmigung des Notenaustausches stimmte er mit 139 zu 45 Stimmen zu; dagegen opponierte ein Grossteil der SVP-Fraktion. Im Ständerat passierten beide Entwürfe die Schlussabstimmung einstimmig.

Mit zwölf zu einer Stimme beantragte die SiK-SR ihrem Rat im Herbst 2018, am Eintreten auf das Informationssicherheitsgesetz festzuhalten. Das Gesetz sei im Auftrag des Parlamentes entstanden und berücksichtige klare Vorgaben der GPK und der GPDel, erklärte Kommissionssprecher Isidor Baumann (cvp, UR) vor dem Ratsplenum. Er fügte eine Liste von Gründen an, weshalb das Gesetz notwendig sei: Es brauche das Gesetz, um bei allen Bundesbehörden einen einheitlichen, minimalen Sicherheitsstandard zu gewährleisten, um die Kantone bei der Zusammenarbeit mit dem Bund denselben Sicherheitsvorschriften zu unterstellen, um durch die Verwendung biometrischer Daten unberechtigte Zugriffe auf die Informationssysteme des Bundes besser zu verhindern und um Personensicherheitsüberprüfungen bei Betreibenden oder Verwaltenden der kritischen Informationssysteme des Bundes durchführen zu können. Darüber hinaus könnten damit die Vertrauenswürdigkeit von Unternehmen, die sensible Aufträge für den Bund ausführten, sowie die Einhaltung der Sicherheitsstandards während der Auftragserfüllung kontrolliert werden. Das inhaltlich abgestimmte Gesetz ermögliche gegenüber dem heutigen System einen Bürokratieabbau, indem es Verantwortlichkeiten und Prozesse vereinfache und Massnahmen standardisiere, hob Baumann die Vorteile des Projektes hervor. Auch Bundesrat Guy Parmelin betonte noch einmal die Bedeutung dieses Gesetzes für die Schweiz. Stillschweigend hielt der Ständerat am Eintretensentscheid fest, womit sich nun erneut der Nationalrat mit dem Geschäft befassen wird.

Diskussionslos überwies der Nationalrat in der Herbstsession 2018 ein Postulat seiner Rechtskommission für ein Sicherheitskonzept für Personenidentifikatoren. Der Bundesrat muss nun aufzeigen, wie den Risiken bei der Verwendung der AHV-Nummer als Personenidentifikationsnummer begegnet und wie der Datenschutz bei der Verwendung von Personenidentifikationsnummern allgemein verbessert werden kann. Die Regierung hatte das Postulat zur Annahme beantragt, da sie sich der Problematik bei der Verwendung der AHV-Nummer und der starken Ausweitung dieser Praxis bewusst sei. Er habe beim EDI bereits im Februar 2017 einen Vorentwurf zur Regelung der systematischen Verwendung der AHV-Nummer im Behördenverkehr in Auftrag gegeben, so der Bundesrat in seiner Stellungnahme.

Die Motion Grüter (svp, LU) beschäftigte im Sommer die ständerätliche SiK. Der Ausbau der Cyberabwehrkompetenzen wurde vom Gremium mehrheitlich begrüsst, gleichwohl überwogen Bedenken bezüglich der Motion. Die SiK-SR schlug deswegen ihrem Rat vor, die Motion nicht anzunehmen. Man wollte sich mit diesem Schritt Zeit verschaffen, um bereits in Angriff genommene Projekte weiterzuführen. Namentlich ging es um die beiden überwiesenen Motionen zu einem Cyberdefence-Kommando in der Armee und zu einem Cybersecurity-Kompetenzzentrum. Diese laufenden Massnahmen wurden von der SiK begrüsst, wohingegen die vorliegende Motion widersprüchliche Folgen zu bereits getätigten Beschlüssen hätte. Besonders die angeregte Zentralisierung der Cyberkompetenzen an einer Amtsstelle (innerhalb des VBS) wurde von den Kommissionsangehörigen mehrheitlich abgelehnt. Man vergebe sich dadurch viele bereits erlangte Kenntnisse und die bisherigen Mechanismen innerhalb des EFD und MELANI funktionierten gut. Aus ordnungspolitischer Sicht wurde die Motion zudem abgelehnt, weil es der Regierung und nicht dem Parlament obliege, federführende Stellen innerhalb der Verwaltung zu bestimmen. Diesem Antrag stimmten 10 Kommissionsmitglieder zu, zwei waren dagegen.
Dieser deutlichen Kommissionsmeinung folgte dann auch das Ratsplenum, das die Motion ablehnte und damit den recht deutlichen Beschluss des Erstrates umstiess. Kommissionssprecher Dittli (fdp, UR) und Bundesrat Maurer waren die Einzigen, die sich zu Wort meldeten. Beide betonten die bereits angestossenen Arbeiten und die guten Fortschritte im Cybersicherheitsbereich. Die Regierung erkenne im Vorschlag Grüter keine bessere Lösung, erklärte Maurer. Oppositionslos wurde das Geschäft verworfen.

Ende August 2018 gelangte das BWL infolge einer Verwundbarkeitsanalyse zu Cyberrisiken mit Empfehlungen, den sogenannten IKT-Minimalstandards, an die Öffentlichkeit. Dabei standen lebenswichtige Branchen im Zentrum des Interesses, namentlich die Stromversorgung, Trinkwasser- und Lebensmittelversorgung sowie auch der Strassen- und Schienenverkehr. Besonders Betreiber von kritischen Infrastrukturen sollen sich an diese Mindeststandards («IKT-Resilienz») halten, sie seien jedoch für alle Unternehmen anwendbar. Über 100 konkrete Handlungsanweisungen in den Bereichen Identifizieren, Schützen, Detektieren, Reagieren und Wiederherstellen waren zuhanden der Betreiber ausgearbeitet worden. In Kooperation mit dem Verband Schweizerischer Elektrizitätsunternehmen sei bereits ein Standard für die Strombranche erarbeitet worden. Dieser Schritt war im Zuge der 2012 vom Bundesrat lancierten Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) unternommen worden.

Darüber, dass das mittlerweile in die Jahre gekommene Schweizer Datenschutzrecht revidiert werden muss, bestand in der Sommersession 2018 im Nationalrat Einigkeit, jedoch nicht unbedingt darüber, wie diese Revision vonstattengehen soll. Die SPK-NR hatte die Vorlage des Bundesrates zweigeteilt, sodass in einem ersten Schritt alle Bestimmungen zur Umsetzung der Schengen-relevanten EU-Richtlinie 2016/680 «zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung» möglichst zeitnah verabschiedet werden können, bevor in der zweiten Etappe die Revision des Datenschutzgesetzes (DSG) unter Einbezug der EU-Datenschutz-Grundverordnung und der revidierten Datenschutzkonvention des Europarates ohne Zeitdruck angegangen werden kann. Nicht einverstanden mit diesem Plan wollte Cédric Wermuth (sp, AG) das Geschäft mittels Minderheitsantrag an die Kommission zurückweisen, damit diese die Teilung rückgängig mache und die Vorlage integral berate. Er hielt es für ineffizient, dass sich das Parlament innert kurzer Zeit zweimal mit dem Datenschutzrecht befassen müsste. Bevor darüber abgestimmt werden konnte, zog Wermuth seinen Antrag jedoch mit der Begründung zurück, zum jetzigen Zeitpunkt könne die Rückweisung nicht mehr zu einer Beschleunigung des Verfahrens führen; es sei nun vielmehr schneller, den eingeschlagenen Weg weiterzugehen und das Geschäft in der kommenden Herbstsession dem Ständerat zu unterbreiten. Somit trat die grosse Kammer ohne Gegenantrag auf die Vorlage ein und genehmigte deren Teilung. Damit wurden die für die Schengen-Zusammenarbeit im Strafrechtsbereich relevanten Bestimmungen in das neue Schengen-Datenschutzgesetz (SDSG) ausgelagert, das als Anhang des bestehenden DSG konzipiert ist. Das SDSG wird nach der Totalrevision des DSG hinfällig werden und war in seinem Inhalt im Nationalrat unbestritten. Im Zuge eines einzigen Minderheitsantrags befasste er sich mit der Frage, ob gewerkschaftliche Ansichten ausdrücklich in der Definition von besonders schützenswerten Daten natürlicher Personen erwähnt werden sollen oder ob diese automatisch unter den besonderen Schutz der politischen und weltanschaulichen Ansichten fallen, wie die Kommissionsmehrheit argumentierte. Bundesrätin Simonetta Sommaruga stellte fest, dass es keine materielle Differenz zwischen den beiden Vorschlägen gebe. Die Minderheit wollte im Einklang an die Formulierung im bestehenden DSG sowie in der EU-Richtlinie die gewerkschaftlichen Ansichten explizit beibehalten, doch der Nationalrat folgte in diesem Streitpunkt der Kommissionsmehrheit. In der Gesamtabstimmung nahm die grosse Kammer die Änderungen der ersten Etappe der Revision des Datenschutzgesetzes mit 174 zu 5 Stimmen bei 2 Enthaltungen an. Mit ebenso grosser Mehrheit (170 zu 5 Stimmen bei 2 Enthaltungen) stimmte sie der Genehmigung des Notenaustauschs zwischen der Schweiz und der EU betreffend die Übernahme der EU-Richtlinie zu.

Mit der Botschaft zur Totalrevision des Bundesgesetzes über den Datenschutz und der Änderung weiterer Erlasse zum Datenschutz beantragte der Bundesrat die Abschreibung eines Postulats Béglé (mitte, VD). Béglé hatte gefordert, in der Revision des DSG Wege für eine geschützte, transparente und zielgerichtete Datenerhebung, insbesondere bei medizinischen Daten, aufzuzeigen. In der Botschaft zur Revision des DSG verwies der Bundesrat darauf, dass im revidierten DSG neue Pflichten für Verantwortliche und Auftragsbearbeitende vorgesehen seien, welche den Forderungen des Postulats entsprächen. Weiter würden die Kompetenzen der Beauftragten gestärkt, die strafrechtlichen Sanktionen verschärft und Verhaltenskodizes erarbeitet, die den Datenschutz auch für medizinische Daten verbesserten. Somit sei das Anliegen des Postulats erfüllt. Der Nationalrat kam dem Antrag des Bundesrats in der Sommersession 2018 stillschweigend nach und schrieb das Postulat ab.

Mit dem neuen Bundesgesetz über elektronische Identifizierungsdienste (E-ID-Gesetz) soll für natürliche Personen die Möglichkeit geschaffen werden, sich im Internet sicher und bequem auszuweisen. Es beinhaltet die gesetzliche Grundlage für die Herausgabe von elektronischen Identifizierungsmitteln, die zur Registrierung bei privaten und öffentlichen Online-Portalen – wie zum Beispiel an «virtuellen Schaltern» für E-Government-Anwendungen – genutzt werden können. Der Bundesrat verabschiedete die entsprechende Botschaft am 1. Juni 2018 zuhanden des Parlaments.
Das Gesetz sieht bei der Bereitstellung der E-ID eine Aufgabenteilung zwischen dem Staat und der Privatwirtschaft vor. Während die amtliche Überprüfung und Bestätigung der Identität einer Person dem Staat – konkret einer speziellen Identitätsstelle im EJPD – obliegt, sollen die technischen Trägermittel für die Identifizierung von der Privatwirtschaft hergestellt und entwickelt werden, die sich gemäss Bundesrat besser der Dynamik des technologischen Wandels anpassen könne als der Staat. Die Ausstellung der E-ID sowie das Betreiben des E-ID-Systems sollen also in die Zuständigkeit privater Anbieter übergeben werden (sog. Identity Provider), die wiederum vom Staat anerkannt und kontrolliert werden. Nicht festgelegt wird, auf welchem Trägermedium die E-ID gespeichert werden muss; so sind u.a. Karten mit Speicherchips, Mobiltelefon- oder gar nicht materialisierte Lösungen (wie sie beispielsweise bei Online-Banking-Systemen eingesetzt werden) denkbar. Für die staatliche Anerkennung und Kontrolle sind drei verschiedene, im Gesetz definierte und sowohl von der EU als auch vom National Institute of Standards and Technology der USA festgeschriebene Sicherheitsniveaus massgebend, für die jeweils andere Mindestanforderungen gelten. Ausserdem formuliert das Gesetz die datenschutzrechtlichen Rahmenbedingungen für den Verwendungszweck, die Bearbeitung und Weitergabe der Daten durch die Identity Provider und die Bundesbehörden. Einerseits liegt die Hoheit über den Einsatz und die Freigabe der Daten vollumfänglich und ausschliesslich bei den Nutzerinnen und Nutzern, andererseits können Anbieter von Online-Diensten selbst entscheiden, ob für die Verwendung ihres Dienstes eine staatlich anerkannte E-ID verlangt werden soll oder nicht. In der Botschaft betonte der Bundesrat zudem, dass das Gesetz relevante internationale Regelungen berücksichtige; so wäre die vorgeschlagene Lösung im Falle einer Einbindung der Schweiz in das elektronische Identifizierungssystem der EU mit der einschlägigen EU-Verordnung vereinbar.

2018 fand die sechste Cyber-Landsgemeinde des Sicherheitsverbundes Schweiz statt. Die Nachfolgearbeiten der ersten NCS standen dabei im Zentrum: Im Zuge der Aufarbeitung der 16 Massnahmen aus der ersten Strategie wurde den Teilnehmenden aus Bund, Kantonen und der Privatwirtschaft aufgezeigt, welche Themen für die NCS II relevant sein werden; gleichzeitig wurden sie in die Erarbeitung dieser Nachfolgestrategie involviert. Weitere Themen waren die Entwicklung und Einführung von Minimalstandards im IKT-Bereich, neue Arten der Cyberkriminalität und die Schwierigkeiten, diese zu erkennen und zu bekämpfen, die Reduktion von IKT-Verwundbarkeiten und, damit zusammenhängend, eine verbesserte Resilienz. Als Herausforderung galten ferner auch die Bedeutung einer korrekten Erkennung und Einschätzung der Bedrohungen aus dem Cyberraum und die geeignete Handhabung dieser Gefährdung.

Pünktlich, wie vom Bundesrat gefordert und per Frühling 2018 angekündigt, konnte die 2. NCS verabschiedet werden. Im April wurde das Papier, das aufzeigt, wie der Bund gemeinsam mit den Kantonen, der Wirtschaft und der Wissenschaft Cyber-Risiken entgegentreten will und welche Handlungsvorgaben für den angestrebten Zeitraum von fünf Jahren gefasst wurden, vom Bundesrat verabschiedet. Aufbauend auf der ersten Umsetzung der NCS wurden sieben Ziele definiert; sie reichen vom Aufbau von Kompetenzen und Wissen bis zu Massnahmen der Cyber-Abwehr, die durch die Armee sichergestellt werden soll. Diese insgesamt 29 Massnahmen wurden in zehn Handlungsfeldern angelegt, wobei auch neue Aspekte abgedeckt werden. So wurde die Verwaltung beauftragt, im Bereich „Standardisierung und Regulierung” aktiv zu werden, um in Kooperation mit der Wirtschaft Mindeststandards für die Cyber-Sicherheit zu etablieren. Ferner sollen sogenannte Cyber-Vorfälle fortan systematisch registriert werden, wofür die Einführung einer Meldepflicht geprüft werden soll. Auch diese Strategie wird in regelmässigen Abständen überprüft, nötigenfalls angepasst und spätestens 2022 aktualisiert. Nur falls es die Bedrohungslage erfordert, wird eine vorzeitige Aktualisierung ins Auge gefasst, nicht jedoch ohne die betroffenen Stellen vorgängig anzuhören. Für die Realisierung und Anwendung der neuen Strategie soll ein Umsetzungsplan erarbeitet werden. Fünf Herausforderungen wurden bereits erkannt: Es braucht zunächst eine klare Verteilung der Verantwortlichkeiten und Kompetenzen innerhalb der Bundesverwaltung. Zweitens muss geprüft werden, ob die geltende Rechtsetzung allenfalls angepasst werden muss, und falls dem so ist, müssen Gesetzesrevisionen über die üblichen Prozesse in die Wege geleitet werden, was unter Umständen viel Zeit in Anspruch nehmen kann. Als drittes gilt es, die Zusammenarbeit mit den Partnern aus der Wirtschaft und den Hochschulen, aber auch den Kantonen, zu definieren. Viertens braucht es messbare Leistungsziele, um den Umsetzungsfortschritt der Strategie nachvollziehen und transparent beurteilen zu können. Die allfällige vorzeitige Aktualisierung bedarf, fünftens, klarer Vorgaben und Kriterien: Die Umstände für eine Anpassung müssen ebenso wie die Verantwortlichkeiten festgelegt werden.

Die SPK-NR trat im Januar 2018 einstimmig auf die Revision des Datenschutzrechts ein, da es unbestritten notwendig sei, das schweizerische Datenschutzrecht an die gesellschaftlichen und technologischen Entwicklungen anzupassen. Teil dieser Vorlage war auch die Umsetzung der EU-Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Bereich des Strafrechts. Wie bei allen Weiterentwicklungen des Schengen-Besitzstandes hat die Schweiz auch für die Übernahme dieser Richtlinie zwei Jahre Zeit. In diesem Fall endet diese Frist am 1. August 2018. Angesichts der zeitlichen Dringlichkeit der Schengen-relevanten Anpassungen einerseits sowie der Komplexität und Tragweite der Datenschutzthematik andererseits entschied die Kommission mit 14 zu 8 Stimmen bei 2 Enthaltungen, die Vorlage in zwei Teile zu spalten, sodass zuerst zeitnah die Schengen-relevanten Anpassungen verabschiedet werden können und die Totalrevision des Datenschutzgesetzes anschliessend ohne Zeitdruck erfolgen kann. Die zur Umsetzung der Richtlinie erforderlichen Anpassungen waren in der Kommission weitgehend unbestritten, weshalb sie diese erste Etappe im April desselben Jahres einstimmig annahm. Die Minderheit sah hingegen keinen Nutzen in der Teilung der Vorlage und wird dem Nationalrat beantragen, das Geschäft an die Kommission zurückzuweisen, damit diese die Revision des Datenschutzrechts integral berät.

Mit der stillschweigenden Überweisung eines Postulats Glättli (gp, ZH) forderte der Nationalrat in der Frühjahrssession 2018 den Bundesrat auf, Sicherheitsstandards für Internet-of-Things-Geräte zu prüfen. In der Begründung des Vorstosses identifizierte der Postulant die ans Internet angebundenen Geräte (sogenanntes Internet of Things) als eine der grössten Bedrohungen für die Cybersicherheit in der Schweiz, weil sie bei der Einfuhr zwar Elektronik- und Funkstandards, nicht aber einfachste Grundsätze der Informationssicherheit erfüllen müssten. Der Bundesrat hatte die Annahme des Postulats beantragt, weil er es als sinnvoll erachtete, die im Vorstoss aufgeworfenen Fragen zu untersuchen.

Nach der einstimmigen Annahme im Nationalrat kam die Motion Dobler (fdp, SG), welche eine zentrale Anlauf- und Koordinationsstelle zur Bekämpfung der organisierten und international tätigen Computerkriminalität forderte, im Frühjahr 2018 zur Behandlung in den Ständerat. Die Bekämpfung der immer grösser werdenden Herausforderung der digitalen Kriminalität verlange eine stärkere Zentralisierung und Koordinierung bei der Beweiserhebung und -sicherung, begründete die RK-SR ihren einstimmigen Antrag auf Annahme. Wie Justizministerin Simonetta Sommaruga im Rat zustimmend anfügte, betreffe eine solche Anlauf- und Koordinationsstelle sowohl den Bund als auch die Kantone. Aus diesem Grund sei es sinnvoll, diese Zusammenarbeit gesetzlich zu verankern. Im Rahmen des Bundesgesetzes über polizeiliche Massnahmen zur Bekämpfung von Terrorismus (PMT), welches bereits in Vernehmlassung sei, sei eine gesetzliche Grundlage für die Bekämpfung der digitalen Kriminalität zudem vorgesehen. Diese Stossrichtung werde durch die Motion Dobler bestärkt; aus diesem Grund beantrage auch der Bundesrat deren Annahme. Der Ständerat folgte diesen Empfehlungen und nahm die Motion stillschweigend an.

Wie im vergangenen Dezember schon der Ständerat und dessen sicherheitspolitische Kommission stellte im Frühjahr 2018 auch die SiK-NR Handlungsbedarf im Informationssicherheitsmanagement des Bundes fest. Anders als ihre Schwesterkommission, der die kleine Kammer widerstandslos gefolgt war, zweifelte die nationalrätliche Kommission jedoch am Mehrwert, den das Informationssicherheitsgesetz mit sich brächte. Die bedeutendsten Unbekannten im Gesetzgebungsprojekt waren nach wie vor die Kosten und der Personalaufwand im Zusammenhang mit der Umsetzung. Während sich der Ständerat mit der Zusicherung zufriedengegeben hatte, zu den Kosten später noch einmal konsultiert zu werden, beauftragte die SiK-NR die Verwaltung, die Kosten und den Personalaufwand für verschiedene mögliche Sicherheitsniveaus zu beziffern. Es wurden also drei mögliche Szenarien vorgestellt: Ambitionsniveau 1 mit Kosten von CHF 5 Mio. und 9,5 bis 15,5 zusätzlichen Stellen, Ambitionsniveau 2 mit Kosten von CHF 33 bis 58 Mio. und 42 zusätzlichen Stellen sowie Ambitionsniveau 3 mit Kosten von CHF 62 bis 87 Mio. und 78 zusätzlichen Stellen. Für die Kommissionsmehrheit standen diese beträchtlichen Kosten in einem ungenügenden Verhältnis zum Ertrag und darüber hinaus befürchtete sie, der neu geschaffene, komplexe Informationsschutzapparat könnte eine Eigendynamik entwickeln und sich zunehmend der Kontrolle durch das Parlament entziehen. Aus diesen Gründen beantragte die Mehrheit der SiK-NR ihrem Rat Nichteintreten. Eine Minderheit erachtete hingegen den gesamtheitlichen Ansatz der Vorlage als zentral, um die Informationssicherheit beim Bund zu verbessern. Sie hielt die Kosten für vertretbar, da dadurch Sicherheitslücken geschlossen und die Koordination erheblich verbessert werden könne. Einen drohenden Kontrollverlust des Parlaments sah sie nicht und beantragte folglich Eintreten. Die Eintretensdebatte gestaltete sich dementsprechend umfangreich, kontrovers und emotionsgeladen.

Die bürgerlichen Fraktionen machten sich – mit Ausnahme der BDP – für den Nichteintretensantrag stark. Die Kosten entsprächen einer «Blackbox» und es sei «unseriös», nur auf Annahmen gestützt zu entscheiden; anstatt Experimente zu machen, sollten besser bestehende Gesetze angepasst werden, um die Sicherheit zu gewährleisten, so Ida Glanzmann-Hunkeler (cvp, LU) als Vertreterin der CVP-Fraktion. David Zuberbühler (svp, AR) legte die Ansicht der SVP-Fraktion dar: Das Gesetz sei ein neues «Bürokratiemonster», biete nur «Scheinsicherheit» und sei einen konkreten Nutzennachweis bisher schuldig geblieben, weshalb es «brandgefährlich» sei, darauf einzutreten. Für die FDP-Fraktion waren vor allem die Bedenken bezüglich der Kostenfolgen ausschlaggebend dafür, dass man nicht auf das überladene Gesetz und den damit verbundenen «Blindflug» eintrete. Demgegenüber stellte BDP-Fraktionssprecherin Rosmarie Quadranti (bdp, ZH) Eintreten als alternativlos dar; angesichts des Handlungsbedarfs sei Nichtstun jetzt «fahrlässig». Priska Seiler Graf (sp, ZH) hielt als Vertreterin der SP-Fraktion eine regelrechte Brandrede für Eintreten: Das Gesetz werde dringend benötigt und es sei «fatal», dass anstelle der Sicherheitsfragen vielmehr die finanziellen Folgen im Zentrum der Beratungen in der sicherheitspolitischen Kommission gestanden hätten. Sie warf der SiK «Arbeitsverweigerung» vor und wies darauf hin, dass man nach dem Eintreten die Möglichkeit hätte, das – je nach Ansicht überladene, unberechenbare oder lückenhafte – Gesetz zu «entrümpeln». Arbeitsscheue sei in diesem Fall jedoch «geradezu verantwortungslos», denn auch ein Versäumnis ziehe unbezifferbare Kosten nach sich. Ins gleiche Horn blies auch der Grünen-Vertreter Balthasar Glättli (gp, ZH), indem er Nichteintreten als «Dienstverweigerung» bezeichnete und argumentierte, dass Informationssicherheitslecks sowohl Reputations- als auch Finanzschäden zur Folge hätten. Auch Beat Flach (glp, AG) als Sprecher der GLP-Fraktion erschien es unverständlich, weshalb trotz erkanntem Handlungsbedarf nicht eingetreten werden sollte; ein weiteres Mal fiel das Wort «Arbeitsverweigerung». Die Abstimmung ergab schliesslich 117 zu 68 Stimmen für Nichteintreten (8 Enthaltungen). Obschon die Fraktionen der BDP, der SP, der Grünen und der GLP geschlossen für Eintreten votierten, besiegelte die geballte Stimmkraft des SVP-/FDP-/CVP-Blocks mit nur drei Abweichlern den Nichteintretensentscheid.

Mit 58 Mitunterzeichnenden aller Parteien im Rücken forderte Franz Grüter (svp, LU) den Bundesrat mittels Motion auf, den Ausbau der Cyberabwehrkompetenzen voranzutreiben. Innerhalb zweier Jahre sollen alle sicherheitspolitischen Kompetenzen im Bereich Cyberabwehr zudem gebündelt werden und innerhalb der Verwaltung von einer einzigen Stelle koordiniert werden können. Dabei wurde offen gelassen, ob diese Einheit innerhalb der Armee geschaffen oder dem VBS angegliedert werden soll. Jedoch sah der Motionär eine Finanzierung via das Rüstungsbudget vor. Ferner sollte auch bezüglich künftiger Beschaffungen ein Augenmerk auf Cybersicherheit gelegt werden. Grüter schlug damit in die gleiche Kerbe wie Ständerat Dittli (fdp, UR), der seinerseits ein Cyberdefence-Kommando anregte, und Ständerat Eder (fdp, ZG), der die Schaffung eines Kompetenzzentrums für Cyberfragen verlangte. Begründet wurde die Motion mit den neuen Bedrohungsszenarien im digitalen Raum sowie mit der Erfahrung kürzlich stattgefundener Angriffe auf die Computerinfrastruktur von Bund und Wirtschaft. Der Luzerner wollte darüber hinaus ebenfalls – dieses Anliegen deckt sich mit den Bestreben der beiden Motionen aus der kleinen Kammer – die Zuständigkeit neu regeln und nur eine Verwaltungsstelle mit der Aufsicht betrauen, um «Redundanzen, Ineffizienzen und Koordinationsaufwand» reduzieren zu können.
Der Bundesrat, der sich also bereits wiederholt mit ähnlichen Vorstössen konfrontiert sah, beharrte auf der Ablehnung dieser Forderungen. Im Grunde sei er ja nicht gegen einen Ausbau im Cyberbereich, jedoch sollte den Prozessen der NCS nicht vorgegriffen werden, erklärte er. Eine einzige Stelle für diese Oberaufsicht werde geprüft.

Dieser bundesrätlichen Zurückhaltung stand, wie auch in den anderen diesbezüglichen Geschäften, eine wohlwollende Parlamentskammer gegenüber. Im Wissen um die bereits genehmigten anderen beiden Motionen Dittli und Eder hiess der Nationalrat auch die vorliegende Motion gut. Grüter gelang es, Druck aufzubauen, in dem er auf der Einrichtung einer zentralen Koordinationsstelle beharrte. Dabei bot er in der Ratsdebatte bereits Hand zu einer Lösung: Melani könne diese Aufgabe übernehmen, es brauche also nicht einmal eine neue Verwaltungseinheit, schlug er vor. Jedoch müsse dort mehr investiert und sowohl personell als auch finanziell mehr Aufwand betrieben werden. Zudem müsse der Auftrag an Melani neu verfasst werden. Bundesrat Maurer vertrat die ablehnende Haltung der Regierung, auch mit Verweis auf ein kurz zuvor angenommenes SiK-Kommissionspostulat, vergeblich. Die grosse Kammer überwies den Vorstoss mit 134 zu 47 Stimmen und 9 Enthaltungen der Ständekammer.

In der Frühjahrssession 2018 des Ständerates war die Beschlussfassung zu einem Cyberdefence-Kommando nur noch Formsache. Der Motionär selbst, aber auch die ständerätliche SiK, zeigten sich mit der vom Nationalrat veränderten Fassung einverstanden. Weil der Ständerat selbst zuvor bereits einmal dem Anliegen zugestimmt hatte und nun auch in der Ständekammer seitens des Verteidigungsministers grünes Licht gegeben wurde, galt die Motion schon beinahe als angenommen. Ohne Gegenstimme wurde sie denn auch abgesegnet.

Angesichts der vielen Vorstösse im Bereich Cyber-Kriminalität und -Abwehr und trotz bereits laufender Projekte (Aktionsplan Cyber-Defence, Nationale Cyber-Strategie) sah die sicherheitpolitische Kommission des Nationalrates in dieser Hinsicht noch Handlungsbedarf. Auch wenn die Arbeiten in der NCS begrüsst würden, brauche es eine klare Cyber-Gesamtstrategie für den Bund. Was bisher lanciert wurde, entspreche noch keinem Gesamtkonzept, so die Auffassung der Kommission. Fünf konkrete Aufgaben wurden dem Bundesrat gestellt. Dazu gehörte eine präzise Umschreibung des Auftrags der Armee im Bereich der Cyberverteidigung und des Zuständigkeitsbereichs der zivilen Cyberbehörden. Im Lichte der gewonnenen Erkenntnisse sollte darauf basierend eine Abgrenzung der Kompetenzen vorgenommen und ein entsprechendes Organigramm erstellt werden. Bezüglich Finanzierung sollte man sich ferner Gedanken machen über den Ressourcenbedarf, einschliesslich des Personalbedarfs. Abschliessend wurde vorgeschlagen, dass sich die Schweiz auch am Ausland orientieren möge, wenn es um die Cyberabwehr gehe.
Die Regierung räumte ein, dass längere Zeit unzureichend über dieses Thema nachgedacht und es zeitweise gar unterschätzt worden war. Daher wurde eine solche Gesamtstrategie für unabdingbar erklärt, deutlich unterstützte der Bundesrat also dieses Postulat. Eine «Zerstückelung» des Themas, weil diverse Aktionspläne in unterschiedlichen Departementen erstellt würden, sei nicht wünschenswert.
Im Nationalrat war die Angelegenheit klar, das Postulat wurde angenommen. Kommissionssprecherin Mazzone (gp, GE) und Kommissionssprecher Dobler (fdp, SG) unterstrichen die Wichtigkeit einer koordinierten Vorgehensweise und Dobler äusserte überdies den Eindruck, dass bisher erst wenig geschehen sei, obwohl sich um die 90 Personen in der Bundesverwaltung bereits mit Cyber-Themen befassten. Dies wurde jedoch von Bundesrat Maurer sogleich bestritten. Der Magistrat betonte, dass die Planung weiter fortgeschritten sei, als es vom Vorredner dargestellt worden sei, und er stellte in Aussicht, dass bereits im Budget 2019 erste Positionen für die Umsetzung einer Gesamtstrategie beantragt werden sollten.

In der Frühjahrssession 2018 wurde die Debatte eines Postulats, das sich der Thematik Cyberrisiken widmete und einen umfassenden, unabhängigen und wirksamen Schutz für die Schweiz forderte, aufgenommen. Dabei wurde der Bundesrat von Roger Golay (mcg, GE) aufgefordert, einen Bericht über die Anwendung der Nationalen Strategie gegen Cyberrisiken (NCS) zu erstellen. Man habe, so der Postulant, «nämlich bisher nicht viel [davon] wahrnehmen» können. Der Postulant sorgte sich dabei auch um die Kompetenzenverteilung, so wollte er denn auch beantwortet wissen, wie das Nebeneinander von EFD und VBS funktioniere und ob dies nicht Risiken berge. Eine Reihe von weiteren Fragen sollte der Bericht auch noch angehen, so beispielsweise wie hochstehendes Fachwissen in der Schweiz erhalten werden kann und wie die Zusammenarbeit zwischen Wissenschaft und Bund intensiviert werden könnte.
Die bundesrätliche Stellungnahme folgte bereits kurz nach der Einreichung und sie war nicht sehr lang, doch hielt die Regierung fest, dass das Postulat Fragen tangiere, die bereits bekannt seien. Sie würden auch in einer Wirksamkeitsprüfung der NCS diskutiert, ein Dokument, das noch im Frühjahr 2017 erscheinen sollte. Eine weitere Analyse, wie die im Postulat geforderte, sei nicht nötig – es wurde also die Ablehnung des Postulats beantragt.
Golay vertrat seinen Vorstoss, der von 62 Nationarlätinnen und Nationalräten mitunterzeichnet worden war, im Parlament. Seiner Meinung nach war sein Postulat nach wie vor aktuell. Der Nationalrat solle auf diesen Bericht beharren: Gerade im Lichte kürzlich zurück liegender Cyber-Attacken auf bundesnahe Betriebe sei diese Form der Aufklärung gerechtfertigt. Bundesrat Maurer versuchte dem Vorstoss noch entgegenzutreten. Man habe sich im Rahmen eines ähnlichen Vorstosses bereits mit dem Thema auseinander gesetzt. Zudem stand eine Klausur des Bundesrats zum Thema Cybersicherheit an, und überhaupt liefen die Arbeiten diesbezüglich auf Hochtouren. Weiter konnte Maurer in Aussicht stellen, dass bereits mit dem Budget 2019 die Anträge zur Schaffung und Stärkung der Cybersicherheit gestellt werden können. Ein Cyber-Securityzentrum wurde mit 40 neuen Stellen veranschlagt, die man über drei Jahre besetzen will. Angesichts aller bereits angestossenen Vorarbeiten könne das Postulat Golay getrost abgelehnt werden. Relativ knapp, mit 100 zu 93 Stimmen (bei drei Enthaltungen) verwarf das Plenum jedoch diesen Antrag und nahm das Postulat an.

Die Motion der FDP-Fraktion, welche im Zusammenhang mit der Erarbeitung des E-ID-Gesetzes eine Reihe an Forderungen an den Bundesrat stellte, wurde in der Frühjahrssession 2018 auch vom Ständerat stillschweigend angenommen.

Ein Cyberdefence-Kommando innerhalb der Strukturen der Armee zu etablieren, stiess bei der SiK des Nationalrates grundsätzlich auf Zustimmung. Jedoch sahen die Sicherheitspolitikerinnen und -politiker noch Präzisierungspotenzial beim Text der Motion Dittli (fdp, UR). So soll statt von einem Kommando von einer «Cyber-Organisation» die Rede sein. Ferner sei der Begriff «Cyber-Bataillon» unzutreffend, weil dadurch suggeriert werde, dass eine autonome Formation errichtet würde. Hingegen sei vorgesehen, dass IT-Spezialisten der Verwaltung und des Militärs zusammen zum Einsatz kommen würden. Schliesslich wollte die Kommission darauf verzichten, eigens eine Cyber-RS durchzuführen. Stattdessen sollten AdA, die ein Talent im Cyber-Bereich hätten, erst später eine armee(fach)spezifische Cyberausbildung erhalten und in einem weiteren Schritt einer Cyber-Einheit zugeteilt werden. Mit diesen Änderungen gelangte die SiK einstimmig ans Ratsplenum.
In der Nationalratsdebatte folgten nur die nötigsten Wortmeldungen. Kommissionssprecher Dobler (fdp, SG) fasste die zentralen Punkte zusammen. Weil die von der Kommission vorgeschlagenen Änderungen vom Bundesrat angeregt worden waren und in der Kommission Einigkeit geherrscht hatte, konnte der St. Galler auf die Unterstützung seiner Kommissionskolleginnen und -kollegen zählen. Dem Verteidigungsminister blieb nur übrig, die nunmehr von der Regierung mitgetragenen Änderungen zur Annahme zu empfehlen und die Abkehr von der zuvor herrschenden, ablehnenden Meinung bekannt zu geben. In der Folge wurde die Motion im Nationalrat angenommen, wobei sie in der kleinen Kammer aufgrund der vorgenommenen Änderungen nochmals traktandiert werden musste.

Die Schaffung eines Cybersecurity-Kompetenzzentrums auf Stufe Bund war im Ständerat kaum bestritten und auch im Vorfeld an die Plenardebatte in der grossen Kammer wurden die Zeichen auf grün gesetzt. Das auf eine Motion Eder (fdp, ZG) zurück gehende Anliegen fand einstimmige Unterstützung in der sicherheitspolitischen Kommission des Nationalrates. Sie kam nach Gesprächen mit Cybersicherheits-Fachpersonen aus der Bundesverwaltung sowie unter Berücksichtigung der bereits laufenden Arbeiten im Bereich der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) und dem entsprechenden Aktionsplan zum Schluss, dass die Motion unterstützt werden soll, denn tiefer greifende Koordination sei im Cyberbereich notwendig. Ein Kompetenzzentrum für Cybersicherheit sei hierzu der richtige Weg.
Kommissionssprecher Glättli (gp, ZH) präzisierte in seiner Einleitung zur Debatte, dass die MELANI nur über beschränkte Personalressourcen verfüge und zudem ihr Auftrag limitiert sei. MELANI, als verwaltungsinterne Koordinationsstelle auch für Cyberkriminalität zuständig, leiste gute Arbeit, so Glättli weiter, es bedürfe aber weiter reichender Kompetenzen für ein eigentliches Kompetenzzentrum. Der anwesende Bundesrat Maurer vertrat auch im Nationalrat die ablehnende Haltung des Siebnerkollegiums: Es werde bereits viel im Cyberbereich unternommen und diverse Expertengruppen würden bald ihre Arbeiten abschliessen. Insofern bat Maurer die Nationalrätinnen und Nationalräte, nicht vorzugreifen. Im Wesentlichen zielten die gegenwärtig angestossenen Prozesse in die gleiche Richtung, wie der Motionär vorgebe, und dies ohne Aufblähung der Verwaltung. Letzteres befürchtete Maurer, falls eine zusätzliche Verwaltungseinheit geschaffen werden müsste. Kommissionssprecher Glättli entgegnete hierauf, dass mit der Motion noch keine operativen Beschlüsse gefasst und die Ausgestaltung und Umsetzung eines solchen Cyber-Kompetenzzentrums Gegenstand weiterer Diskussionen sein würden.
Das Ratsplenum folgte seiner Kommission und hiess die Motion mit 177 zu 2 Stimmen ohne Enthaltungen deutlich gut.

In seiner dem Parlament im Februar 2017 unterbreiteten Botschaft stellte der Bundesrat den Entwurf zum neuen Informationssicherheitsgesetz (ISG) vor. Im Zentrum des Gesetzgebungsprojektes stehen mit der Zusammenführung der wichtigsten Rechtsgrundlagen im Bereich der Informations- und Informatikmittelsicherheit des Bundes in einen einzigen Erlass sowie mit der Einführung einer einheitlichen Regelung für alle Behörden und Organisationen des Bundes zur Erreichung eines möglichst einheitlichen Sicherheitsniveaus zwei ambitiöse Ziele. Dazu sollen im neuen Gesetz insbesondere das Risikomanagement, die Klassifizierung von Informationen, die Sicherheit beim Einsatz von Informatikmitteln, die personellen Massnahmen und der physische Schutz von Informationen und Informatikmitteln geregelt werden. Ausdrücklich festgehalten werden soll auch der Vorrang des Öffentlichkeitsgesetzes, um zu betonen, dass das Öffentlichkeitsprinzip in der Verwaltung weiterhin uneingeschränkte Geltung haben wird. Überdies überführte der Bundesrat die Regelungen über die Personensicherheitsprüfung vom BWIS in das neue ISG und erweiterte den Geltungsbereich des militärischen Betriebssicherheitsverfahrens auf zivile Beschaffungen, um die Informationssicherheit bei der Vergabe von sicherheitsempfindlichen Aufträgen an Dritte zu gewährleisten. Die Kantone sind vom neuen Gesetz insofern betroffen, als sie bei der Bearbeitung von klassifizierten Informationen des Bundes und beim Zugriff auf seine Informatikmittel für eine gleichwertige Informationssicherheit sorgen müssen. Dazu sollen sie in einem Koordinationsorgan Einsitz nehmen.

Mit einem langen Votum eröffnete Ständerat Isidor Baumann (cvp, UR) als Sprecher der vorberatenden SiK-SR in der Wintersession 2017 die Debatte im Erstrat. Er gab dem Ratsplenum einen Einblick in die Arbeiten der Kommission und legte dar, wie sie im Verlaufe von vier Sitzungen zu ihren Entscheidungen gelangt war. Zum grossen und sehr grundsätzlichen Diskussionspunkt der Gesetzesentschlackung führte er aus, man habe sich von der Verwaltung erklären lassen, dass Umfang und Dichte der vorgeschlagenen Regulierung – der Gesetzesentwurf umfasst immerhin 92 Artikel – notwendig seien, weil die Bestimmungen für verschiedenste Behörden, darunter auch das Bundesgericht und die Nationalbank, gelten sollen und eine solche einheitliche Lösung nur auf Gesetzes- und nicht auf Verordnungsstufe erlassen werden könne. Um sich ein besseres Bild von den Auswirkungen des neuen Gesetzes machen zu können, hatte die Kommission bei der Bundesverwaltung weitere Unterlagen angefordert, so beispielsweise eine Liste der zu schliessenden rechtlichen Lücken, eine Auflistung der indirekten Auswirkungen auf die Kantone und genauere Angaben zu personellen und finanziellen Folgen. Darüber hinaus hatte sie Professor Markus Müller, Leiter der Expertengruppe, die am Anfang dieses Gesetzgebungsprojektes gestanden hatte, EDÖB Adrian Lobsiger, RK-MZF-Generalsekretär Alexander Krethlow sowie Vertreterinnen und Vertreter des Bundesgerichts, der Parlamentsdienste, der Nationalbank und der Wirtschaft angehört. Der integrale Ansatz und die angestrebte Vereinheitlichung seien am Gesetzgebungsprojekt von allen Eingeladenen gelobt worden und auch der Handlungsbedarf sei unbestritten anerkannt worden. Kritisiert worden sei die Vorlage vor allem von der Wirtschaftsvertretung, welche das Gesetz auf seine KMU-Tauglichkeit überprüft und mit der laufenden Revision des Bundesgesetzes über das öffentliche Beschaffungswesen abgestimmt wissen wollte. Krethlow habe indes als Kantonsvertreter die Forderung platziert, dass die Kantone für ihre Tätigkeiten im Zusammenhang mit dem Informationssicherheitsgesetz vollumfänglich vom Bund entschädigt werden sollten. Zusammen mit einer Stellungnahme des VBS hatten die in den Anhörungen vorgebrachten Vorschläge und Empfehlungen der Kommission als Grundlage für die Detailberatung gedient. Noch unklar war die Höhe der Umsetzungskosten gewesen, weil das anzustrebende Sicherheitsniveau von den Bundesbehörden erst im Rahmen des Vollzugs festgelegt werde. Der Bundesrat habe sich jedoch einverstanden gezeigt, die SiK-SR zu allen kostenrelevanten Umsetzungsstrategien und Vollzugserlassen zu konsultieren. Die SiK-SR hatte dem Entwurf sodann einstimmig zugestimmt. Nach diesen umfangreichen Erläuterungen trat der Ständerat ohne Gegenantrag auf die Vorlage ein.

In der Detailberatung zeigte sich die Unbestrittenheit der Vorlage: Zu keinem der zahlreichen Änderungsanträge der SiK-SR fand eine Diskussion statt und auch der Bundesrat zeigte sich mit allen Anpassungen einverstanden. Trotz der vielen Anträge, die alle stillschweigend angenommen wurden, änderte sich inhaltlich nur wenig am Entwurf des Bundesrates. So wurde die Trinkwasserversorgung explizit in die Liste der kritischen Infrastrukturen aufgenommen und die systematische (und nicht nur vorübergehende) Verwendung der AHV-Nummer zur Identifikation von Personen, die Zugang zu Informationen, Informatikmitteln, Räumlichkeiten und anderen Infrastrukturen des Bundes haben, erlaubt. Die Bestimmung, wonach Umsetzung, Zweckmässigkeit, Wirksamkeit und Wirtschaftlichkeit des ISG periodisch überprüft werden muss, ergänzte der Ständerat dahingehend, dass diese Überprüfung durch eine unabhängige Stelle, namentlich durch die Eidgenössische Finanzkontrolle, zu geschehen habe. Des Weiteren nahm er das Personal von Fedpol und Bundesanwaltschaft einerseits sowie dolmetschende und übersetzende Personen im Asylbereich andererseits in den Kreis jener Personen auf, die unabhängig davon, ob sie Zugang zu geschützten Informationen oder Informatiksystemen des Bundes haben, einer Sicherheitsprüfung unterzogen werden können. Ins Muster der fehlenden Kontroverse fügte sich schliesslich auch die Gesamtabstimmung ein, bei der die kleine Kammer die Vorlage einstimmig (bei vier Enthaltungen) annahm.