Nachdem der Nationalrat im zweiten Anlauf im Sommer 2020 doch noch auf das Geschäft eingetreten war, widmeten sich die eidgenössischen Räte in der Herbstsession der Differenzbereinigung beim Informationssicherheitsgesetz. Der Ständerat, der als Erstes an der Reihe war, zeigte sich in zwei Punkten nicht bereit, den Beschlüssen des Nationalrats zu folgen. Mit stillschweigender Zustimmung strich er erstens den von der Volkskammer eingefügten Absatz, dass der Bundesrat seine Ziele und die Kosten für die Informationssicherheit zwingend den sicherheitspolitischen Kommissionen zur Konsultation vorlegen muss, wieder aus dem Gesetz. Nach Ansicht der SiK-SR war diese Bestimmung überflüssig, was auch Bundesrätin Viola Amherd bekräftigte: Die Fachkommissionen könnten wie die Finanzkommission und die Finanzdelegation jederzeit verlangen, dass sie zu einem Thema konsultiert würden, und dieser Forderung werde immer nachgekommen. Zweitens hielt die Kantonskammer an ihrem Beschluss fest, dass die AHV-Nummer systematisch zur Personenidentifikation im Rahmen des Informationssicherheitsgesetzes verwendet werden darf. Eine Minderheit Zopfi (gp, GL) hatte beantragt, den Beschluss des Nationalrats zu übernehmen, dass die AHV-Nummer nur vorübergehend zur Erzeugung einer nicht zurückrechenbaren Personennummer verwendet werden darf, unterlag jedoch mit 31 zu 10 Stimmen bei einer Enthaltung klar. VBS-Vorsteherin Viola Amherd hatte dem Rat in Erinnerung gerufen, dass er im Juni der Änderung des AHV-Gesetzes zugestimmt habe, das den Behörden generell die systematische Verwendung der AHV-Nummer erlaube; es mache darum keinen Sinn, hier jetzt eine andere Regelung festzuschreiben. In den übrigen, redaktionellen Differenzen schloss sich der Ständerat stillschweigend dem Nationalrat an.
Die zwei vom Ständerat aufrechterhaltenen Differenzen waren anschliessend im Nationalrat hochumstritten. Während die Mehrheit der SiK-NR sich bereit erklärte, auf die ausdrückliche Erwähnung der Konsultationspflicht des Bundesrates zu verzichten, beantragte eine Minderheit Hurter (svp, SH) deren Beibehaltung. Es handle sich dabei um eine «Notbremse», um zu verhindern, dass die Kosten aus dem Ruder laufen, und er verstehe nicht, so Hurter, «warum Sie sich weigern, Informationen zu erhalten». Abgesehen von der geschlossenen SVP-Fraktion und drei Abweichlern aus der Mitte hielt die grosse Kammer diesen Passus jedoch für unnötig und strich ihn endgültig aus dem Gesetz. Während sich eine Minderheit Riniker (fdp, AG) für die systematische Verwendung der AHV-Nummer und damit die Bereinigung auch dieser Differenz starkmachte, wollte die Kommissionsmehrheit am Beschluss festhalten, dass die AHV-Nummer nur einmalig zur Erzeugung einer nicht zurückrechenbaren Identifikationsnummer verwendet werden darf und aus Gründen des Datenschutzes nachher gelöscht werden muss. Die Grundsatzfrage der systematischen Verwendung der AHV-Nummer durch alle Behörden solle im Rahmen der entsprechenden Revision des AHV-Gesetzes geklärt und nicht bereits hier vorweggenommen werden, argumentierte etwa Grünen-Sprecher Balthasar Glättli (gp, ZH). Äusserst knapp mit 90 zu 87 Stimmen bei 9 Enthaltungen erhielt die grosse Kammer diese Differenz aufrecht, womit sich der Ständerat noch einmal damit befassen muss.

Die Grüne Fraktion forderte mit einer im Juni 2017 eingereichten parlamentarischen Initiative die Einsetzung einer PUK für die Aufklärung der Spionageaffäre um Daniel M. Die PUK sollte die Rollen von mutmasslich in den Fall involvierten Akteuren und Institutionen (Nachrichtendienst, Bundesrat, Bundeskriminalpolizei/Fedpol, Bundesanwaltschaft, GPDel) gründlich durchleuchten. Im Mai 2017 hatte die GPDel angekündigt, den Fall «Daniel M.» im Rahmen einer Inspektion vertiefter zu untersuchen. Die Grüne Fraktion war jedoch der Meinung, die GPDel könne eine Aufklärung der Affäre nicht mehr glaubwürdig vornehmen, nachdem einzelne Mitglieder der GPDel sich öffentlich mit widersprüchlichen Angaben zur Affäre positioniert hätten und nachdem gemäss verschiedenen Medienquellen die GPDel den Einsatz von Daniel M. selber gutgeheissen habe. Stattdessen müsse die GPDel selbst kritisch untersucht werden, forderten die Initianten.
Das Büro des Nationalrates sprach im Rahmen der Prüfung der Initiative mit dem Präsidenten der GPDel, Ständerat Alex Kuprecht (svp, SZ). Dieser habe laut dem Büro glaubhaft aufzeigen können, dass die GPDel sowohl über den notwendigen Sachverstand als auch die Kompetenzen verfüge, um die Untersuchung zügig und seriös zu führen. Der im März 2018 veröffentlichte Bericht der GPDel bestätigte diesen Eindruck in den Augen des Büros und es empfahl deshalb die Ablehnung der parlamentarischen Initiative. Auch der Fraktionspräsident der Grünen, Balthasar Glättli (ZH), zeigte sich zufrieden ob der Arbeit der GPDel, die entgegen der Befürchtungen der Grünen sehr gute Arbeit geleistet habe. Die Grünen zogen ihre Initiative daraufhin im Sommer 2018 zurück.

Wie im vergangenen Dezember schon der Ständerat und dessen sicherheitspolitische Kommission stellte im Frühjahr 2018 auch die SiK-NR Handlungsbedarf im Informationssicherheitsmanagement des Bundes fest. Anders als ihre Schwesterkommission, der die kleine Kammer widerstandslos gefolgt war, zweifelte die nationalrätliche Kommission jedoch am Mehrwert, den das Informationssicherheitsgesetz mit sich brächte. Die bedeutendsten Unbekannten im Gesetzgebungsprojekt waren nach wie vor die Kosten und der Personalaufwand im Zusammenhang mit der Umsetzung. Während sich der Ständerat mit der Zusicherung zufriedengegeben hatte, zu den Kosten später noch einmal konsultiert zu werden, beauftragte die SiK-NR die Verwaltung, die Kosten und den Personalaufwand für verschiedene mögliche Sicherheitsniveaus zu beziffern. Es wurden also drei mögliche Szenarien vorgestellt: Ambitionsniveau 1 mit Kosten von CHF 5 Mio. und 9,5 bis 15,5 zusätzlichen Stellen, Ambitionsniveau 2 mit Kosten von CHF 33 bis 58 Mio. und 42 zusätzlichen Stellen sowie Ambitionsniveau 3 mit Kosten von CHF 62 bis 87 Mio. und 78 zusätzlichen Stellen. Für die Kommissionsmehrheit standen diese beträchtlichen Kosten in einem ungenügenden Verhältnis zum Ertrag und darüber hinaus befürchtete sie, der neu geschaffene, komplexe Informationsschutzapparat könnte eine Eigendynamik entwickeln und sich zunehmend der Kontrolle durch das Parlament entziehen. Aus diesen Gründen beantragte die Mehrheit der SiK-NR ihrem Rat Nichteintreten. Eine Minderheit erachtete hingegen den gesamtheitlichen Ansatz der Vorlage als zentral, um die Informationssicherheit beim Bund zu verbessern. Sie hielt die Kosten für vertretbar, da dadurch Sicherheitslücken geschlossen und die Koordination erheblich verbessert werden könne. Einen drohenden Kontrollverlust des Parlaments sah sie nicht und beantragte folglich Eintreten. Die Eintretensdebatte gestaltete sich dementsprechend umfangreich, kontrovers und emotionsgeladen.

Die bürgerlichen Fraktionen machten sich – mit Ausnahme der BDP – für den Nichteintretensantrag stark. Die Kosten entsprächen einer «Blackbox» und es sei «unseriös», nur auf Annahmen gestützt zu entscheiden; anstatt Experimente zu machen, sollten besser bestehende Gesetze angepasst werden, um die Sicherheit zu gewährleisten, so Ida Glanzmann-Hunkeler (cvp, LU) als Vertreterin der CVP-Fraktion. David Zuberbühler (svp, AR) legte die Ansicht der SVP-Fraktion dar: Das Gesetz sei ein neues «Bürokratiemonster», biete nur «Scheinsicherheit» und sei einen konkreten Nutzennachweis bisher schuldig geblieben, weshalb es «brandgefährlich» sei, darauf einzutreten. Für die FDP-Fraktion waren vor allem die Bedenken bezüglich der Kostenfolgen ausschlaggebend dafür, dass man nicht auf das überladene Gesetz und den damit verbundenen «Blindflug» eintrete. Demgegenüber stellte BDP-Fraktionssprecherin Rosmarie Quadranti (bdp, ZH) Eintreten als alternativlos dar; angesichts des Handlungsbedarfs sei Nichtstun jetzt «fahrlässig». Priska Seiler Graf (sp, ZH) hielt als Vertreterin der SP-Fraktion eine regelrechte Brandrede für Eintreten: Das Gesetz werde dringend benötigt und es sei «fatal», dass anstelle der Sicherheitsfragen vielmehr die finanziellen Folgen im Zentrum der Beratungen in der sicherheitspolitischen Kommission gestanden hätten. Sie warf der SiK «Arbeitsverweigerung» vor und wies darauf hin, dass man nach dem Eintreten die Möglichkeit hätte, das – je nach Ansicht überladene, unberechenbare oder lückenhafte – Gesetz zu «entrümpeln». Arbeitsscheue sei in diesem Fall jedoch «geradezu verantwortungslos», denn auch ein Versäumnis ziehe unbezifferbare Kosten nach sich. Ins gleiche Horn blies auch der Grünen-Vertreter Balthasar Glättli (gp, ZH), indem er Nichteintreten als «Dienstverweigerung» bezeichnete und argumentierte, dass Informationssicherheitslecks sowohl Reputations- als auch Finanzschäden zur Folge hätten. Auch Beat Flach (glp, AG) als Sprecher der GLP-Fraktion erschien es unverständlich, weshalb trotz erkanntem Handlungsbedarf nicht eingetreten werden sollte; ein weiteres Mal fiel das Wort «Arbeitsverweigerung». Die Abstimmung ergab schliesslich 117 zu 68 Stimmen für Nichteintreten (8 Enthaltungen). Obschon die Fraktionen der BDP, der SP, der Grünen und der GLP geschlossen für Eintreten votierten, besiegelte die geballte Stimmkraft des SVP-/FDP-/CVP-Blocks mit nur drei Abweichlern den Nichteintretensentscheid.