Im Dezember 2019 legte der Bundesrat einen Bericht in Erfüllung des Postulates Graf-Litscher (sp, TG) vor und präsentierte darin Varianten für die Ausgestaltung von Meldepflichten von kritischen Infrastrukturen bei schwerwiegenden Sicherheitsvorfällen. Der Bericht erörterte die derzeitige Ausgangslage, verglich Meldepflichten im Ausland und präsentierte nebst der Variante, keine weiteren Meldepflichten einzuführen, drei Varianten für eine Meldepflicht und für Meldestellen in der Schweiz. Bei diesen drei Möglichkeiten würde entweder eine zentrale Meldestelle etabliert, die bisherigen dezentralen Meldestellen in den Sektoren auf- und ausgebaut oder als letzte Variante eine Kombination der beiden Ansätze umgesetzt, wobei eine zentrale Meldestelle einzig für Cybervorfälle und die bestehenden dezentralen Stellen für alle anderen sicherheitsrelevanten Vorfälle zuständig wären. Die vorgeschlagenen vier Varianten sollen in einem nächsten Schritt mit Wirtschaftskreisen, den Kantonen und den zuständigen Behörden vertieft diskutiert werden und im Sommer 2020 zur Erarbeitung einer entsprechenden gesetzlichen Grundlage führen.

Entgegen dem Nationalrat lehnte der Ständerat in der Wintersession 2019 die Motion Graf-Litscher (sp, TG) für die Schaffung eines gesetzlich verpflichtenden Grundschutzes für kritische Strominfrastrukturen gegenüber Cyberangriffen und relevanten Naturgefahren stillschweigend ab. Zuvor hatte die einstimmige UREK-SR wie auch der Bundesrat dafür plädiert, die Motion abzulehnen. Kommissionssprecher Martin Schmid (fdp, GR) erklärte in der kleinen Kammer, weder der Bundesrat noch die ständerätliche Kommission stellten das Ziel der Motionärin infrage, sie sähen jedoch den gesetzgeberischen Handlungsbedarf nicht mehr gegeben. So seien beispielsweise mit der nationalen Strategie zum Schutz kritischer Infrastrukturen 2018–2022 oder mit dem revidierten Energiegesetz, das erst nach Einreichen dieses Vorstosses in Kraft getreten sei und das einige Anpassungen in den Bereichen Datensicherheit erfahren habe, bereits ausreichende Massnahmen erarbeitet worden, um den Schutz dieser wichtigen Infrastrukturen vor Cyberangriffen zu verbessern, erklärte Schmid im Plenum.

Der Nationalrat nahm in der Sommersession 2019 eine Motion der Thurgauer Nationalrätin Edith Graf-Litscher (sp, TG) mit 114 gegen 77 Stimmen an. Die Sozialdemokratin forderte im Vorstoss, die gesetzlichen Grundlagen dergestalt zu präzisieren, dass für die Strombranche ein verpflichtender Grundschutz gegenüber Gefahren wie Cyberangriffen oder Naturgewalten festgelegt wird. Sie begründete ihr Anliegen mit der essenziellen Bedeutung einer stabilen Stromversorgung für das Wohlergehen der Bevölkerung und für die Volkswirtschaft im Allgemeinen. Ein Cyberangriff auf die Strombranche sowie ein grossflächiger Versorgungsunterbruch hätten milliardenschwere Schäden für die Wirtschaft zur Folge. Der Bundesrat hatte im Vorfeld erklärt, er unterstütze zwar die Stossrichtung der Motion, hatte aber vergebens versucht, eine Mehrheit der grossen Kammer von den bereits laufenden oder abgeschlossenen Arbeiten (wie beispielsweise den international etablierten Standards für die Sicherheit von Informations- und Kommunikationstechnik IKT oder den nationalen Strategien zum Schutz kritischer Infrastrukturen SKI und zum Schutz der Schweiz vor Cyberrisiken NCS) zu überzeugen und eine Ablehnung der Motion zu erreichen.

Nationalrätin Graf-Litscher (sp, TG) wies in ihrem Postulat für eine Meldepflicht bei kritischen Infrastrukturen darauf hin, dass Infrastrukturen wie Strom und Telekommunikation sehr essentiell für die Schweiz sind und Risiken wie Cyberangriffe, Naturkatastrophen sowie militärische und terroristische Angriffe auf die Infrastruktur grosse Auswirkungen auf das ganze Land haben würden. Sie forderte den Bundesrat dazu auf, darzustellen, wie eine mögliche Meldepflicht bei potenzieller Bedrohung aussehen könnte. Mithilfe einer systematischen Auswertung dieser Meldungen könnte so ein Frühwarn-, Beratungs- und Abwehrsystem aufgebaut werden, welches potenzielle Risiken verringert.
Bundesrat Maurer begrüsste diese Forderung und betonte die geforderte Systematik, die zur Prävention von Risiken führen könne. Durch den Austausch von Erfahrungen unter den Betreibern und den staatlichen Behörden könne das Sicherheitsdefizit der Schweiz in diesem Bereich verringert werden. In der Schweiz seien derzeit wichtige Infrastrukturen anfällig bezüglich diverser Gefahren. Der Nationalrat nahm das Postulat am 13. Dezember 2017 stillschweigend an.

Wie Bundesrat Guy Parmelin bereits im Anschluss an die Volksabstimmung vom 25. September 2016 angekündigt hatte, schickte der Bundesrat Anfang 2017 die Verordnungen zum neuen Nachrichtendienstgesetz in die Vernehmlassung. Es handelte sich dabei einerseits um die Verordnung über den Nachrichtendienst (NDV), die dort greift, wo das NDG der Präzisierung bedarf. So werden darin etwa die Zusammenarbeit des NDB mit in- und ausländischen Stellen, die Informationsbeschaffung, der Datenschutz und die Archivierung, die Kontrolle, der interne Schutz, die Sicherheitsmassnahmen sowie die Bewaffnung des NDB konkretisiert. Andererseits handelte es sich um die Verordnung über die Informations- und Speichersysteme des NDB, die technische Regelungen zum Betrieb, zum Inhalt und zur Nutzung dieser Systeme enthält. In einer separaten Vernehmlassung, die im März eröffnet wurde, holte der Bundesrat zudem Stellungnahmen zur Verordnung über die Aufsicht über die nachrichtendienstlichen Tätigkeiten (VAND) ein. Diese dritte Umsetzungsverordnung regelt administrative Fragen bezüglich der Aufsichtsbehörde (AB-ND), die Kontrolle der Funk- und Kabelaufklärung durch die Unabhängige Kontrollinstanz (UKI) sowie die Zusammenarbeit zwischen dem Bund und der Dienstaufsicht in den Kantonen. Für Kritik sorgte, dass die AB-ND administrativ dem Generalsekretariat des VBS zugeordnet werden sollte. Das entspreche nicht dem Willen des Parlaments, das während der Beratung des NDG den Bundesrat per Motion (15.3498) dazu aufgefordert hatte, Möglichkeiten für eine Aufsicht ausserhalb der Bundesverwaltung aufzuzeigen, monierte Nationalrätin Edith Graf-Litscher (sp, TG) gegenüber der Presse; nicht zuletzt habe das Versprechen einer starken und unabhängigen Aufsicht Viele dazu bewogen, dem Gesetz in der Volksabstimmung zuzustimmen. Weniger problematisch sahen dies Ständerat Alex Kuprecht (svp, SZ), Präsident der GPDel und damit der parlamentarischen Oberaufsicht über den NDB, sowie EDÖB Adrian Lobsiger, die beide die operative Selbstbestimmung der Aufsicht durch deren rein administrative Ansiedlung beim VBS – überdies mit eigenem Budget – nicht gefährdet sahen, wie sie in den Medien erklärten.
Daneben traf der Bundesrat weitere Vorbereitungen für die geplante Inkraftsetzung des neuen NDG am 1. September 2017. So hob er in der bestehenden Verordnung über den Nachrichtendienst des Bundes (V-NDB) die Vorschrift auf, dass der NDB Informationen über das Inland und solche über das Ausland in intern getrennten Organisationseinheiten beschaffen muss. Damit werde «ein letztes Überbleibsel» der einst getrennten Inlands- und Auslandsnachrichtendienste abgeschafft, wie es in der entsprechenden Medienmitteilung hiess. Die V-NDB wird mit Inkrafttreten des neuen NDG ihre Geltung zwar verlieren, doch dass die Fusion im Hinblick auf das neue NDG schon vorzeitig vollzogen werde, sei organisatorisch «sicher sinnvoll», zitierte die NZZ GPDel-Präsident Kuprecht. Gemäss Bundesrat könne der NDB nun seine Organisationsstruktur optimieren und Synergien nutzen. Zudem wählte der Bundesrat im Mai – und damit fast ein halbes Jahr später als von Verteidigungsminister Parmelin ursprünglich angekündigt – den Juristen Thomas Fritschi zum Leiter der AB-ND. Er werde die Aufsichtsbehörde ab August organisatorisch und personell aufbauen, gab die Regierung per Medienmitteilung bekannt.
In der Vernehmlassung wurden erhebliche Einwände hauptsächlich von Mitgliedern des ehemaligen Referendumskomitees vorgebracht, darunter die Forderung, die AB-ND ausserhalb der Bundesverwaltung anzusiedeln. Im Ergebnisbericht erläuterte das VBS, dass dafür eine Änderung des formellen Gesetzes vonnöten wäre, weshalb dieser und weitere Vorschläge nicht in den Entwurf übernommen wurden. Die Kantone als Hauptadressaten des Verordnungsrechts sowie die KKJPD und die KKPKS unterstützten die in den Vorentwürfen eingeschlagene Stossrichtung dagegen einhellig. Von ihnen geäusserte Anpassungswünsche, wie auch die Empfehlungen des Bundesverwaltungsgerichts und der GPDel habe der Bundesrat weitestgehend in die Entwürfe übernommen, erläuterte er per Medienmitteilung. Die Sicherheitspolitischen Kommissionen beider Räte nahmen darauf zur Kenntnis, dass die Regierung die wichtigsten in der Vernehmlassung ausgesprochenen Empfehlungen berücksichtigt habe und verzichteten auf weitere Änderungsvorschläge an den Bundesrat. Sie sprachen sich für eine schnellstmögliche Inkraftsetzung des NDG und der dazugehörigen Verordnungen aus, damit der NDB seinem Auftrag zum Schutz des Landes nachkommen könne.
Der Bundesrat verabschiedete die drei Verordnungen Mitte August und setzte sie zusammen mit dem NDG auf den 1. September 2017 in Kraft. Ab dann kann der NDB seine neuen Kompetenzen wahrnehmen und die neuen Überwachungsmittel einsetzen.
Einen Tag vor dem Inkrafttreten kündigte eine Handvoll Personen aus dem Umfeld der Digitalen Gesellschaft an, beim NDB ein Gesuch um Unterlassung der neuen Kabelaufklärung, d.h. der Durchsuchung des grenzüberschreitenden Internetverkehrs nach Stichworten, einzureichen. Wie die Aargauer Zeitung berichtete, konnten sie unter anderem den Schweizer Anwalt Edward Snowdens, Marcel Bosonnet, für ihre Sache gewinnen. Dennoch rechneten sie nicht damit, dass der NDB ihrem Begehren stattgeben werde, planten aber, anschliessend den Rechtsweg zu beschreiten, «notfalls bis zum EGMR in Strassburg», wie die Zeitung den federführenden Anwalt und Präsidenten von Grundrechte.ch Viktor Györffy zitierte. Spätestens dort würden sie recht erhalten, zeigte sich Györffy überzeugt, denn die «anlasslose Massenüberwachung», die der NDB von jetzt an praktiziere, verletze das Grundrecht auf Privatsphäre, die Unschuldsvermutung und das Verhältnismässigkeitsprinzip.

Mit ihrem Postulat hatte Edith Graf-Litscher (sp, TG) den Bundesrat aufgefordert aufzuzeigen, wo in dessen Open Source Strategie noch Handlungsbedarf bestehe. Der Bundesrat erörterte in seinem entsprechenden Bericht, dass die Gleichbehandlung von Open Source Software (OSS) mit Closed Source Software (CSS) – also lizenzierter Softwareprodukte – in der Bundesverwaltung mittlerweile selbstverständlich sei. Grundsätzlich würden bei Neubeschaffungen beide Arten von Produkten evaluiert. Beachtet werden müssten aber bei neuer Software nicht nur deren Anschaffungspreis, der in der Regel für OSS spreche, sondern auch die Kosten für Wartung und Erneuerung.
Eine Liste von OSS-Anwendungen werde nicht geführt, OSS werde aber vor allem im Serverumfeld und als Ergänzung zu Standardsoftware auf den Arbeitsplatzsystemen eingesetzt. Diverse Anwendungen würden auf der Plattform „Open eGov“ aufgeführt.
Der Bundesrat sehe momentan keinen Bedarf an einer separaten Open Source Strategie, weil auch die Bedürfnisse der einzelnen Verwaltungsbereiche sehr unterschiedlich seien. Eine Strategie könnte hier nur sehr oberflächlich sein. Es bestehe auch keine Notwendigkeit, OSS speziell zu fördern. Die bestehende, mittlerweile aber nicht mehr zeitgemässe Teilstrategie OSS könne vom Informatiksteuerungsorgan des Bundes (ISB) ausser Kraft gesetzt werden. Zudem – so der Bericht mit Verweis auf den Bericht zur Erfüllung des Postulats Glättli (gp, ZH) – werde abgeklärt, welche gesetzlichen Grundlagen erstellt werden müssen, damit OSS durch die Bundesverwaltung unentgeltlich zur Verfügung gestellt werden könne.

Das Postulat von Edith Graf-Litscher (sp, TG), das die Freigabe von öffentlichen Finanzzahlen als Open Government Data (OGD) gefordert hätte, wurde abgeschrieben, weil es seit mehr als zwei Jahren hängig war. Der Bundesrat hatte allerdings bei seiner ablehnenden Stellungnahme versprochen, das Anliegen im Rahmen seiner OGD-Strategie global – und nicht nur im Bereich des Finanzdepartementes – zu prüfen.

Mitte März 2014 gelangte die Änderung des Bundesgesetzes über die Zuständigkeiten im Bereich des zivilen Nachrichtendienstes (ZNDG) in den Nationalrat, dessen sicherheitspolitische Kommission (SiK) Eintreten einstimmig beschlossen hatte. Grundsätzlich standen alle Fraktionen hinter der vom Ständerat verabschiedeten Fassung. Einzig die SP-Fraktion zeigte sich engagiert und wollte, so Fraktionssprecherin Graf-Litscher (sp, TG), die vorliegende Version noch optimieren. Zwei Minderheitsanträge wurden vorgetragen. Neben der Überprüfung auf die Erheblichkeit und Richtigkeit der zu erfassenden Personendaten sollten zusätzliche Einschätzungen über die Berechtigung einer Fichierung vorgenommen werden müssen. Zweitens sollten Erkenntnisse des Nachrichtendienstes den Strafverfolgungsbehörden nicht auf Anfrage zur Verfügung gestellt, sondern auf Eigeninitiative des NDB unverzüglich gemeldet werden. Beide Anträge fanden jedoch im Ratsplenum keine Mehrheit und wurden jeweils deutlich abgelehnt. Bundesrat Maurer gab in seinem Votum zu bedenken, dass es sich bei diesem Gesetz um eine Übergangsgesetzgebung handle und deswegen keine Praxisänderungen angestrebt werden sollten. Mit der Ablehnung der Minderheitsanträge stand nun noch die ständerätliche Fassung im Raum, welche in der Gesamtabstimmung mit 167 zu 1 Stimme deutlich gutgeheissen wurde. Das deutliche Votum aus dem Nationalrat setzte sich in den jeweiligen Schlussabstimmungen fort; die kleine Kammer verabschiedete die Vorlage einstimmig mit 42 Stimmen, der Nationalrat segnete sie mit 194 ebenfalls einstimmig ab.