Nachdem der Nationalrat im zweiten Anlauf im Sommer 2020 doch noch auf das Geschäft eingetreten war, widmeten sich die eidgenössischen Räte in der Herbstsession der Differenzbereinigung beim Informationssicherheitsgesetz. Der Ständerat, der als Erstes an der Reihe war, zeigte sich in zwei Punkten nicht bereit, den Beschlüssen des Nationalrats zu folgen. Mit stillschweigender Zustimmung strich er erstens den von der Volkskammer eingefügten Absatz, dass der Bundesrat seine Ziele und die Kosten für die Informationssicherheit zwingend den sicherheitspolitischen Kommissionen zur Konsultation vorlegen muss, wieder aus dem Gesetz. Nach Ansicht der SiK-SR war diese Bestimmung überflüssig, was auch Bundesrätin Viola Amherd bekräftigte: Die Fachkommissionen könnten wie die Finanzkommission und die Finanzdelegation jederzeit verlangen, dass sie zu einem Thema konsultiert würden, und dieser Forderung werde immer nachgekommen. Zweitens hielt die Kantonskammer an ihrem Beschluss fest, dass die AHV-Nummer systematisch zur Personenidentifikation im Rahmen des Informationssicherheitsgesetzes verwendet werden darf. Eine Minderheit Zopfi (gp, GL) hatte beantragt, den Beschluss des Nationalrats zu übernehmen, dass die AHV-Nummer nur vorübergehend zur Erzeugung einer nicht zurückrechenbaren Personennummer verwendet werden darf, unterlag jedoch mit 31 zu 10 Stimmen bei einer Enthaltung klar. VBS-Vorsteherin Viola Amherd hatte dem Rat in Erinnerung gerufen, dass er im Juni der Änderung des AHV-Gesetzes zugestimmt habe, das den Behörden generell die systematische Verwendung der AHV-Nummer erlaube; es mache darum keinen Sinn, hier jetzt eine andere Regelung festzuschreiben. In den übrigen, redaktionellen Differenzen schloss sich der Ständerat stillschweigend dem Nationalrat an.
Die zwei vom Ständerat aufrechterhaltenen Differenzen waren anschliessend im Nationalrat hochumstritten. Während die Mehrheit der SiK-NR sich bereit erklärte, auf die ausdrückliche Erwähnung der Konsultationspflicht des Bundesrates zu verzichten, beantragte eine Minderheit Hurter (svp, SH) deren Beibehaltung. Es handle sich dabei um eine «Notbremse», um zu verhindern, dass die Kosten aus dem Ruder laufen, und er verstehe nicht, so Hurter, «warum Sie sich weigern, Informationen zu erhalten». Abgesehen von der geschlossenen SVP-Fraktion und drei Abweichlern aus der Mitte hielt die grosse Kammer diesen Passus jedoch für unnötig und strich ihn endgültig aus dem Gesetz. Während sich eine Minderheit Riniker (fdp, AG) für die systematische Verwendung der AHV-Nummer und damit die Bereinigung auch dieser Differenz starkmachte, wollte die Kommissionsmehrheit am Beschluss festhalten, dass die AHV-Nummer nur einmalig zur Erzeugung einer nicht zurückrechenbaren Identifikationsnummer verwendet werden darf und aus Gründen des Datenschutzes nachher gelöscht werden muss. Die Grundsatzfrage der systematischen Verwendung der AHV-Nummer durch alle Behörden solle im Rahmen der entsprechenden Revision des AHV-Gesetzes geklärt und nicht bereits hier vorweggenommen werden, argumentierte etwa Grünen-Sprecher Balthasar Glättli (gp, ZH). Äusserst knapp mit 90 zu 87 Stimmen bei 9 Enthaltungen erhielt die grosse Kammer diese Differenz aufrecht, womit sich der Ständerat noch einmal damit befassen muss.

In der Sommersession 2020 beugte sich der Nationalrat, nachdem er bei seiner ersten Beratung im Frühling 2018 nicht auf das Geschäft eingetreten war, zum zweiten Mal über den Entwurf zum Informationssicherheitsgesetz (ISG). Die SiK-NR hatte in der Zwischenzeit die angeforderten Verbesserungsvorschläge vom VBS bezüglich der Kosten für öffentliche und private Unternehmen, zur verstärkten Kontrolle des Parlaments bei der Anwendung und Überwachung des Gesetzes, zur Abstimmung des ISG auf die Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken sowie zur Möglichkeit, den Bereich Personensicherheitsüberprüfung in einen separaten Erlass auszulagern, erhalten und diskutiert. Sie beantragte ihrem Rat nun, auf die Vorlage einzutreten. Vertreterinnen und Vertreter sämtlicher Fraktionen ausser der SVP – deren Sprecher David Zuberbühler (svp, AR) das Gesetz als «umfangreiches und komplexes Bürokratiemonster» bezeichnete und die hohen Umsetzungskosten kritisierte – betonten unisono die dringende Notwendigkeit des Gesetzes im Zeitalter der Digitalisierung und sahen die Kosten angesichts des hohen Schadenspotenzials bei Cyberangriffen als verhältnismässig an. Auch Bundesrätin Viola Amherd hob hervor, dass die Kosten zur Umsetzung des ISG «im Verhältnis zu dessen Nutzen gering und gerechtfertigt» seien, denn das ISG werde «zahlreiche wesentliche Sicherheitslücken schliessen, Einheitlichkeit schaffen und gleichzeitig die Effizienz und Wirksamkeit der bestehenden Sicherheitsmassnahmen erhöhen». Nicht zuletzt sei auch die international tätige Wirtschaft auf das Gesetz angewiesen, da sich die entsprechenden Unternehmen sonst nicht mehr zertifizieren lassen und keine Aufträge im sicherheitsrelevanten Bereich mehr ausführen könnten; «das wäre dann der Schaden für die Wirtschaft, nicht die etwas vermehrten Kosten, die sich durch dieses Gesetz ergeben», so die VBS-Chefin weiter. So trat der Nationalrat diesmal ohne Gegenantrag auf die Vorlage ein.
In der Detailberatung schuf die grosse Kammer zwei Differenzen zum Ständerat. Erstens ergänzte sie auf Antrag ihrer Kommission einen Absatz, wonach der Bundesrat seine Ziele und die Kosten für die Informationssicherheit den sicherheitspolitischen Kommissionen vorlegen muss. Damit sollen diese auf jeden Fall zu einem allfällig geplanten Wechsel des Sicherheits-Ambitionsniveaus, das vom Bundesrat festgelegt wird, konsultiert werden, weil der Wechsel auf eine höhere Sicherheitsstufe beträchtliche Mehrkosten nach sich ziehen würde. Der Bundesrat hatte diese Änderung abgelehnt, weil sie angesichts der ohnehin umfassenden Kontrollrechte des Parlaments über den Bundesrat und die Verwaltung in seinen Augen überflüssig sei, unterlag mit diesem Antrag jedoch deutlich. Zweitens schloss sich der Nationalrat in der Frage der Verwendung der AHV-Nummer als Personenidentifikator wieder dem Entwurf des Bundesrats an, nachdem der Ständerat hier weiter gegangen war und die systematische Verwendung der AHV-Nummer hatte erlauben wollen. In der bundesrätlichen Version, für die sich die Kommissionsmehrheit stark gemacht hatte, darf die AHV-Nummer einmalig zur Personenidentifikation verwendet werden, muss nach der Erzeugung einer nicht zurückrechenbaren Personennummer aber gelöscht werden. Eine Minderheit Keller-Inhelder (svp, SG), die gar keine Verwendung der AHV-Nummer erlauben wollte, und eine Minderheit Flach (glp, AG), die den ständerätlichen Beschluss stützte, blieben chancenlos – letztere sogar, obwohl sich der Bundesrat mittlerweile ebenso für die systematische Verwendung der AHV-Nummer aussprach, weil diese mit einer Revision des AHV-Gesetzes sowieso eingeführt werden sollte. Mit diesen zwei inhaltlichen Änderungen sowie einigen redaktionellen Anpassungen übergab der Nationalrat die Vorlage in der Gesamtabstimmung mit 131 zu 53 Stimmen bei einer Enthaltung – sämtliche Opposition aus der SVP-Fraktion – wieder an den Ständerat.