Im August 2018 legte der Bundesrat dem Parlament den Bericht der Expertengruppe zur Zukunft der Datenbearbeitung und Datensicherheit vor. Der Einsatz der aus zwölf Expertinnen und Experten aus Wissenschaft, Verwaltung und Wirtschaft bestehenden Gruppe, angeführt von alt-Nationalrätin Brigitta Gadient (bdp, GR), war auf drei Jahre beschränkt gewesen. Der Schlussbericht der Gruppe beinhaltete unter anderem eine Liste von 51 Empfehlungen an den Bundesrat und die Kantone. Das Parlament schrieb daraufhin die Motion Rechsteiner (sp, SG), die am Ursprung der Expertengruppe gestanden hatte, im Sommer 2019 ab.

Im Ständerat, welcher sich in der Sommersession 2015 als Zweitrat mit dem Nachrichtendienstgesetz auseinanderzusetzen hatte, zeigten sich bereits in der Eintretensdebatte die gleichen Konflikt- und Argumentationslinien, welche schon die Debatte im Nationalrat geprägt hatten. Mit 37 gegen 3 Stimmen bei 2 Enthaltungen sprach sich die kleine Kammer klar für Eintreten aus. Inhaltlich war analog zum Nationalrat auch im Ständerat die Kabelaufklärung besonders umstritten. Paul Rechsteiner (sp, SG) beantragte, «diese überschiessenden neuen Kompetenzen» des NDB aus dem Gesetz zu streichen. Mit 29 zu 6 Stimmen bei 3 Enthaltungen schloss sich der Ständerat jedoch seiner vorberatenden Kommission und dem Bundesrat an und unterstützte das Argument, dass die Massnahmen der Kabelaufklärung entscheidend zur Erhöhung der Sicherheit in der Schweiz beitragen würden. Eine weitere Debatte entzündete sich an Art. 66 NDG und damit an der Frage, ob der NDB grundsätzlich dem Öffentlichkeitsprinzip unterstellt sein soll oder nicht. Während die Kommissionsmehrheit dem Nationalrat und dem Bundesrat folgen und nur die Informationsbeschaffung durch den NDB vom Öffentlichkeitsprinzip ausnehmen wollte, forderte eine Kommissionsminderheit, die Unterstellung des NDB unter das Öffentlichkeitsgesetz vollumfänglich aufzuheben. Dazu soll im Bundesgesetz über das Öffentlichkeitsprinzip der Verwaltung ausdrücklich verankert werden, dass der NDB – wie bisher schon die Nationalbank und die Finma – von dessen Geltungsbereich ausgenommen ist. Bundesrat Maurer pries den Bundesratsvorschlag als Kompromiss zwischen Information und damit Vertrauen von der Bevölkerung einerseits und Vertraulichkeit und dadurch besserer Zusammenarbeit mit ausländischen Partnerdiensten andererseits an. Die Kantonskammer liess sich davon jedoch nicht überzeugen und entschied mit 22 zu 19 Stimmen ohne Enthaltungen zugunsten der Kommissionsminderheit.

Als verbleibende grosse Baustelle im neuen Gesetz hatte die vorberatende SiK-SR die Aufsicht und Kontrolle über den NDB identifiziert. Von keinem der vorhandenen Lösungsvorschläge überzeugt, hatte sie zu diesem Thema eine Kommissionsmotion eingereicht, damit der Bundesrat hierzu ein neues, ganzheitliches, ausgereiftes Konzept erarbeite. Der Ständerat schuf hier folglich eine Differenz zum Nationalrat, welche in erster Linie bewirken soll, dass dieser Abschnitt der Gesetzesvorlage in der Differenzbereinigung im Nationalrat mit einigen neuen Inputs erneut beraten wird. Das zentrale Anliegen des Ständerates war hier die Schaffung eines unabhängigen, ausserdepartementalen Kontrollorgans.

Die restlichen Bestimmungen der Vorlage waren in der kleinen Kammer kaum umstritten und wurden grösstenteils stillschweigend angenommen, auch wenn der Ständerat damit seiner Kommission folgend einige weitere Differenzen schuf. So darf der NDB selbst keine Personen anhalten und Streitigkeiten betreffend den Quellenschutz sollen vom Bundesstrafgericht und nicht vom Bundesverwaltungsgericht entschieden werden. Darüber hinaus darf der Bundesrat Entscheide über das Eindringen in Computernetzwerke nicht delegieren und muss das Bundesverwaltungsgericht auch das Eindringen in Computer, welche sich im Ausland befinden, genehmigen. Die maximale Aufbewahrungsdauer für Restdaten wurde auf 10 Jahre verkürzt und Beschwerden gegen das Organisationsverbot sollen entgegen der Absicht des Nationalrates vor dem Bundesverwaltungsgericht angefochten werden können. In der Gesamtabstimmung nahm der Ständerat den Entwurf mit grosser Mehrheit (32 zu 5 Stimmen bei 2 Enthaltungen) an.

Um verstärkten Datenschutz bemühte sich eine Motion Rechsteiner (sp, SG), welche die Einsetzung einer Expertenkommission zur Zukunft der Datenbearbeitung und Datensicherheit wünschte. Auslöser des Vorstosses waren die eine historische Wende darstellenden Enthüllungen durch Edward Snowden, die die Welt in ein Vor- und Nach-Snowden teilten. Der eidgenössische Datenschutzbeauftragte begrüsste die Prüfung der Frage, ob die Verfassungs- und Gesetzesbestimmungen in diesem Bereich noch adäquat seien. Nach dem Ständerat nahm denn auch der Nationalrat die Motion mit 97 zu 80 Stimmen bei 4 Enthaltungen an, änderte sie jedoch dahingehend, dass der Einsatz einer solchen Expertenkommission auf drei Jahre beschränkt wird. Die kleine Kammer stimmte dieser Änderung zu.

Eine interdisziplinäre Expertenkommission soll die Zukunft der Datensicherheit und Datenbearbeitung untersuchen. Dies forderte eine in Reaktion auf die Enthüllungen durch den ehemaligen NSA-Mitarbeiter Edward Snowden eingereichte Motion Rechsteiner (sp, SG), welche der Ständerat in der Wintersession 2013 mit 21 zu 15 Stimmen bei 3 Enthaltungen an den Nationalrat überwies. Auch der Bundesrat ortete Handlungsbedarf in diesem Bereich und stellte in Aussicht, zu Beginn 2014 ein Bundesgesetz über die Informationssicherheit in die Vernehmlassung zu schicken. Das Gesetz werde einheitliche, formell-gesetzliche Grundlagen für die Steuerung und die Organisation der Informationssicherheit im Bund schaffen. Der Vorentwurf erfasst unter anderem die Klassifizierung von Informationen, den Schutz von IKT-Mitteln, die Personensicherheitsprüfungen sowie das vereinheitlichte Betriebssicherheitsverfahren. Weiter ist eine behördenübergreifende Organisation der Informationssicherheit im Bund vorgesehen. Eine Expertenkommission wollte der Bundesrat nicht einsetzen und er warnte vor „übertriebenem Aktivismus“.