Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken

Dossier: Cyber Defence

Ende Juni legte der Bundesrat eine nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken vor. Eine neu geschaffene Koordinationsstelle innerhalb des eidgenössischen Finanzdepartementes soll die Umsetzung begleiten. In der Strategie wird dargelegt, wie die Bedrohungslage im Cyber-Bereich aussieht, wie die Schweiz, beziehungsweise die Betreiber der kritischen Infrastrukturen, dagegen gerüstet sind, wo die Mängel liegen und wie diese am effizientesten und wirksamsten zu beheben sind. Die Massnahmen reichen dabei von Risikoanalysen zu kritischen ICT-Infrastrukturen bis zu einer stärkeren Einbringung der Schweizer Interessen in diesem Bereich auf internationaler Ebene. Dabei geht der Bundesrat davon aus, dass via elektronische Netzwerke ausgeführte Störungen, Manipulationen und gezielte Angriffe tendenziell zunehmen werden. Der Krisenfall wird durch einen gelungenen Angriff mit erheblichen Konsequenzen beschrieben und verlangt von den involvierten und betroffenen Akteuren ein spezifisches Krisenmanagement. Bis Ende 2017 sollen die verantwortlichen Bundesstellen die Massnahmen im Rahmen ihres Grundauftrags umsetzen.

Der Bundesrat verabschiedete am 27. Juni 2012 eine auch durch verschiedene parlamentarische Vorstösse geforderte nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken. Die Strategie sieht vor, dass die bestehende Zusammenarbeit mit Behörden, Wirtschaft und den Betreibern kritischer Infrastrukturen vertieft wird. Zwar soll zusätzlich zur Melde- und Analysestelle Informationssicherung (MELANI) eine Koordinationsstelle im EFD geschaffen werden, jedoch verzichtet die Regierung auf ein zentrales Steuerungs- und Koordinationsorgan. Die Verantwortung liegt weiterhin bei den Organisationseinheiten, während der Staat nur subsidiäre Aufgaben wie Informationsaustausch und nachrichtendienstliche Erkenntnisse übernimmt.

Im Mai 2013 verabschiedete der Bundesrat einen Umsetzungsplan für die im Vorjahr vorgelegte Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS). Der bis 2017 laufende Umsetzungsplan konkretisiert sechzehn Massnahmen der Strategie und legt die Verantwortlichkeiten fest. Da eine personelle Verstärkung im Fachbereich Cyber nötig ist, beabsichtigte der Bundesrat die Schaffung von 28 Stellen in diesem Bereich.

Per Ende April 2014 lag der Jahresbericht 2013 des Steuerungsausschusses der nationalen Strategie zum Schutz vor Cyber-Risiken (NCS) vor. Bei vielen der 16 gefassten Massnahmen, vor allem in den Bereichen Prävention und Reaktion, wurden Ende 2013 bereits erste Meilensteine erreicht. So wurden die notwendigen Schritte zur Erstellung eines Lagebildes, das über die Cyber-Bedrohungen Auskunft geben wird, eingeleitet. In den beteiligten Verwaltungseinheiten beim Bund wurden auch nötige, neue Organisationsstrukturen geschaffen, um Cyber-Bedrohungen rasch erkennen zu können und die Handlungsfähigkeit zu erhöhen. Es wurden Grundlagen für die Zusammenarbeit geschaffen sowie einheitliche Methoden unter den beteiligten Stellen etabliert, damit im Falle von Cyber-Angriffen optimal reagiert und Schäden und Auswirkungen möglichst gering gehalten werden können.
Im Rahmen der Mitte 2012 gestarteten NCS verfolgt der Bundesrat drei strategische Ziele: die frühzeitige Erkennung der Bedrohungen und Gefahren im Cyber-Bereich, die Erhöhung der Widerstandsfähigkeit von kritischen Infrastrukturen sowie eine wirksame Reduktion von Cyber-Risiken. Die Koordination der Umsetzungsarbeiten übernahm die bei der Melde- und Analysestelle Informationssicherung (MELANI) angesiedelte Koordinationsstelle NCS. Dort werden die Umsetzungsarbeiten überwacht und für den Einbezug aller Beteiligten gesorgt. Zusammen mit den verantwortlichen Bundesämtern wurden die Meilensteine und der Zeitplan für die jeweiligen Massnahmen definiert und in einer Roadmap festgehalten.

Ende April 2017 lag die Wirksamkeitsüberprüfung der Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken wie geplant in Berichtsform vor. Bereits bei der Verabschiedung deren Umsetzungsplans im Jahr 2013 war die Absicht gefasst worden, nach vier Jahren eine Evaluation der NCS vorzunehmen. Dem Bericht konnte entnommen werden, dass die strategische Ausrichtung der NCS richtig gewählt worden war und dass in allen Bereichen funktionierende Prozesse und Strukturen hatten etabliert werden können. Damit könne Spezialwissen gesammelt werden, das die Schweiz besser gegen Cyber-Risiken wappne. Kritisch wurde jedoch auch festgehalten, dass mit der ersten NCS erst quasi ein Fundament gelegt werden konnte, auf dem aufbauend weitere Anstrengungen unternommen werden müssen, um den Schutz im Cyberbereich weiter zu erhöhen.

Im Bericht wurde festgestellt, dass die Schnittstellen zur Armee, also zum Bereich Cyberdefence, noch ungenügend seien. Hier fehle noch eine klarere Abgrenzung und Zuständigkeit zwischen den zivilen Aufgaben der NCS und der Führung durch die Armee, die für den Konfliktfall noch nicht abschliessend geklärt seien. Im Gegensatz hierzu stehen die Schnittstellen zu den Aktivitäten der Kantone (SVS), denen ein besseres Zeugnis ausgestellt werden konnte und wo die Ziele als erreicht deklariert wurden. Insgesamt wurde unterschieden zwischen einer Beurteilung der genannten Schnittstellen und – im Fokus des Berichts – von einzelnen Massnahmen. Die Wirksamkeitsüberprüfung habe gezeigt, dass die in der Umsetzungsplanung beschriebenen Organisationsstrukturen und Prozesse mehrheitlich implementiert werden konnten und dass verschiedene Produkte (Berichte und Konzepte) termingerecht erstellt worden waren. Dies habe «nachweislich zu gestärkten Kapazitäten, breiterem Wissensstand und besserer Koordination in den verschiedenen Bereichen geführt.» Es war also in der Summe ein durchaus positives Zeugnis, das der externe Evaluator hier der NCS ausgestellt hatte. Es zeichnete sich im Laufe des Frühjahres 2017 dann auch ab, dass der Bundesrat eine zweite Strategie NCS anstrebte.

Nationale Strategie zum Schutz Kritischer Infrastrukturen 2012

Im Sommer 2012 verabschiedete der Bundesrat die nationale Strategie zum Schutz Kritischer Infrastrukturen 2012 und beauftrage das BABS sowie weitere betroffene Stellen mit deren Umsetzung. Kritische Infrastrukturen stellten einen zentralen und unverzichtbaren Pfeiler der modernen Gesellschaft dar und müssten vor grossflächigen Ausfällen mit gravierenden Auswirkungen auf Bevölkerung, Wirtschaft und Staat geschützt werden, begründete der Bundesrat den Handlungsbedarf. Die neue Strategie soll das bereits hohe Schutzniveau weiterhin gewährleisten und die Widerstandsfähigkeit von kritischen Infrastrukturen der Schweiz stärken. In den zwei Handlungsfeldern «Kritische Infrastrukturen» und «Kritische Infrastrukturen-übergreifender Bereich» konkretisiert der Bundesrat 16 Massnahmen zur Erreichung dieses Ziels.
Die vorgesehenen Massnahmen umfassen unter anderem ein neues Inventar der vorhandenen Infrastrukturen in der Schweiz, Plattformen zur Förderung der Zusammenarbeit sowie die Gewährleistung subsidiärer Unterstützung für die Betreibenden von Kritischen Infrastrukturen im Falle gravierender Ereignisse. Zur Stärkung des Selbstschutzes soll zudem die Erarbeitung und Umsetzung umfassender Schutzkonzepte in Zusammenarbeit mit Akteuren der Bundes- und Kantonsbehörden sowie mit Betreibenden erfolgen und mit ähnlichen Projekten wie den Strategien zur Informationsgesellschaft, zu Cyber-Risiken oder zur Erdbebenvorsorge koordiniert werden.

Nationale Strategie zum Schutz kritischer Infrastrukturen 2018-2022

Am 8. Dezember 2017 verabschiedete der Bundesrat die aktualisierte nationale Strategie zum Schutz kritischer Infrastrukturen 2018–2022. Als kritische Infrastruktur werden Prozesse, Systeme und Einrichtungen bezeichnet, welche für das Wohlergehen der Bevölkerung und das Funktionieren der Wirtschaft eine zentrale Rolle einnehmen. Zum Schutz dieser Infrastrukturen definierte der Bundesrat nach enger Zusammenarbeit mit deren Betreibenden, den zuständigen Aufsichts- und Regulierungsbehörden sowie den Kantonen 17 Massnahmen, mit welchen die Versorgungssicherheit der Schweiz sowohl sektorspezifisch als auch sektorübergreifend optimiert und erhalten werden soll. Die Stossrichtung der bereits 2012 in Kraft gesetzten Strategie wollte die Regierung jedoch weiterhin beibehalten. Die aktualisierte Strategie ziele vielmehr darauf ab, relevante Arbeiten in einen kontinuierlichen Prozess zu überführen, rechtlich zu verankern und punktuell zu ergänzen. Zur Erreichung dieser Ziele beauftragte die Regierung alle zuständige Aufsichts- und Regulierungsbehörden damit, die Sektoren der kritischen Infrastrukturen auf das Vorliegen erheblicher Risiken für Versorgungsstörungen zu prüfen und solche bei Bedarf zu minimieren.
Darüber hinaus beauftragte der Bundesrat das BABS mit der Führung eines Verzeichnisses von für die Schweizer Versorgung strategisch bedeutenden Objekten. Dies sei notwendig, um den Infrastrukturbetreibenden im Falle einer Katastrophe oder Notlage eine möglichst rasche Unterstützung durch die Armee und Partner des Bevölkerungsschutzes zu gewährleisten. Diese seien ausserdem dazu angehalten, vorsorglich Einsatzplanungen zur Verhinderung von Ausfällen oder zur raschen Wiederaufnahme der Funktionsfähigkeit zu erarbeiten und periodisch zu aktualisieren. Im Rahmen der Strategie prüfe der Bundesrat zudem die Notwendigkeit von zusätzlichen Rechtsgrundlagen wie einer Meldepflicht bei schwerwiegenden Sicherheitsvorfällen und Ausfällen sowie sektorübergreifende Vorgaben zur «Resilienz der Betreiber kritischer Infrastrukturen».
Die Strategie 2018–2022 und ihre Massnahmen sollten laut Bundesrat im Jahr 2022 auf ihre Wirksamkeit überprüft und allenfalls aktualisiert werden.

Meldepflicht bei kritischen Infrastrukturen (Po. 17.3475)

Dossier: Cyber Defence

Nationalrätin Graf-Litscher (sp, TG) wies in ihrem Postulat für eine Meldepflicht bei kritischen Infrastrukturen darauf hin, dass Infrastrukturen wie Strom und Telekommunikation sehr essentiell für die Schweiz sind und Risiken wie Cyberangriffe, Naturkatastrophen sowie militärische und terroristische Angriffe auf die Infrastruktur grosse Auswirkungen auf das ganze Land haben würden. Sie forderte den Bundesrat dazu auf, darzustellen, wie eine mögliche Meldepflicht bei potenzieller Bedrohung aussehen könnte. Mithilfe einer systematischen Auswertung dieser Meldungen könnte so ein Frühwarn-, Beratungs- und Abwehrsystem aufgebaut werden, welches potenzielle Risiken verringert.
Bundesrat Maurer begrüsste diese Forderung und betonte die geforderte Systematik, die zur Prävention von Risiken führen könne. Durch den Austausch von Erfahrungen unter den Betreibern und den staatlichen Behörden könne das Sicherheitsdefizit der Schweiz in diesem Bereich verringert werden. In der Schweiz seien derzeit wichtige Infrastrukturen anfällig bezüglich diverser Gefahren. Der Nationalrat nahm das Postulat am 13. Dezember 2017 stillschweigend an.

Im Dezember 2019 legte der Bundesrat einen Bericht in Erfüllung des Postulates Graf-Litscher (sp, TG) vor und präsentierte darin Varianten für die Ausgestaltung von Meldepflichten von kritischen Infrastrukturen bei schwerwiegenden Sicherheitsvorfällen. Der Bericht erörterte die derzeitige Ausgangslage, verglich Meldepflichten im Ausland und präsentierte nebst der Variante, keine weiteren Meldepflichten einzuführen, drei Varianten für eine Meldepflicht und für Meldestellen in der Schweiz. Bei diesen drei Möglichkeiten würde entweder eine zentrale Meldestelle etabliert, die bisherigen dezentralen Meldestellen in den Sektoren auf- und ausgebaut oder als letzte Variante eine Kombination der beiden Ansätze umgesetzt, wobei eine zentrale Meldestelle einzig für Cybervorfälle und die bestehenden dezentralen Stellen für alle anderen sicherheitsrelevanten Vorfälle zuständig wären. Die vorgeschlagenen vier Varianten sollen in einem nächsten Schritt mit Wirtschaftskreisen, den Kantonen und den zuständigen Behörden vertieft diskutiert werden und im Sommer 2020 zur Erarbeitung einer entsprechenden gesetzlichen Grundlage führen.

Im Rahmen des Berichts des Bundesrates über Motionen und Postulate der eidgenössischen Räte 2019 schrieb der Nationalrat im September 2020 das Postulat Graf-Litscher (sp, TG) zur Ausgestaltung einer Meldepflicht bei schwerwiegenden Sicherheitsvorfällen bei kritischen Infrastrukturen stillschweigend ab. Im November desselben Jahres nahm die SiK-NR bei Beratungen zur Cybersicherheit Kenntnis vom Bericht.

Verkaufseinschränkung von Energieinfrastrukturanlagen an ausländische Investoren (Pa.Iv. 16.498)

Dossier: Energie - Sécurité d'approvisionnement
Dossier: Too-big-to-fail dans le secteur de l'énergie
Dossier: Lex Koller
Dossier: Investissements étrangers dans des entreprises suisses

Diverse Medien berichteten über die parlamentarische Initiative Badran (sp, ZH), die eine Beschränkung der Verkäufe von wichtigen Energieinfrastrukturen der Schweiz an ausländische Investoren forderte. Ausgangspunkt der Idee waren gemäss dem Corriere del Ticino auch Pläne der Alpiq gewesen, grosse Anteile ihrer Wasserkraftwerke an ausländische Investoren zu veräussern.
Im Januar 2018 gab die Energiekommission des Nationalrates (UREK-NR) der parlamentarischen Initiative Folge und begrüsste somit die Forderung, dass der Erwerb von strategischen Infrastrukturen in der Energiebranche durch ausländische Investoren eingeschränkt werden soll. So sollen die Bestimmungen über den Erwerb dieser Infrastrukturen dem Bundesgesetz über den Erwerb von Grundstücken durch Personen im Ausland („Lex Koller“) unterstellt werden. Obwohl teilweise noch Zweifel am Instrument „Lex Koller“ bestanden, sprach sich die UREK-NR mit 9 zu 3 Stimmen bei einer Enthaltung für die Initiative aus.

Einstimmig gab im März 2018 auch die UREK-SR einer parlamentarischen Initiaitive Badran (sp, ZH) zur Unterstellung der strategisch wichtigen Infrastrukturen des Energiesektors (Wasserkraftwerke, Stromnetze und Gasnetze) unter die Lex Koller Folge. Damit sollen diese für das einwandfreie Funktionieren der Schweiz notwendigen Schlüsselinfrastrukturen vor einer ausländischen Übernahme geschützt werden. Es gebe selten Geschäfte, in denen sich SVP-Stratege Christoph Blocher und Jaqueline Badran einig seien, die Sorge um den Ausverkauf der inländischen Strom- und Wasserversorgung an ausländische Investoren verbinde aber die beiden Zürcher Politgrössen, postulierte der Tages-Anzeiger kurz vor der Kommissionssitzung. Nicht nur Politikerinnen und Politiker der Polparteien wünschten sich eine Gesetzesanpassung, wie die einstimmig gesinnte Kommission zu erkennen gab. Eine «grosse Mauer gegen die Chinesen» könne so geschaffen werden, titelte der «Blick», und die wettbewerbsverzerrenden Aufkäufe durch den chinesischen Staatsfonds könnten damit unterbunden werden, erklärte Ruedi Noser (fdp, ZH) in derselben Zeitung. In der Offensive gegen eine etwaige Verkaufsbeschränkung stand gemäss Tages-Anzeiger der VSE, da der Verband befürchtete, mit der Ausweitung der Lex Koller «die bereits angespannte Lage der Elektrizitätswirtschaft zusätzlich [zu] verschärfen».

Während die UREK-NR mit der Ausarbeitung eines Gesetzesentwurfs zwecks Unterstellung der strategisch wichtigen Infrastrukturen des Energiesektors unter die Lex Koller beschäftigt war, kursierten in den Medien Teile eines vertraulichen Berichts des Bundesamtes für Justiz (BJ) vom 6. Dezember 2018 zu ebendieser parlamentarischen Initiative Badran (sp, ZH). In dem Bericht sei vorgeschlagen worden, die Lex Koller bei strategischen Infrastrukturen nach dem Prinzip «ja, ausser» anzuwenden, sodass Verkäufe ins Ausland grundsätzlich erlaubt wären und der Bund einen Verkauf nur verhindern könnte, sofern er eine Versorgungssicherheitsgefährdung nachweisen könnte. Dies würde einer Umkehr der Beweislast gleichkommen, da beim Verkauf von Boden an Personen im Ausland – wo bereits heute die Lex Koller gelte – nach dem Prinzip «nein, ausser» gehandelt werde und die Käufer den Nachweis erbringen müssten. Als problematisch stufte der Bericht gemäss Tages-Anzeiger die konkrete Umsetzung dieses Gefährdungsnachweises ein, da einerseits eine solche Einschätzung «mit viel Ermessen» verbunden wäre und andererseits mit zunehmenden Verkäufen die Versorgungssicherheit sinke und so womöglich nicht alle Käuferinnen und Käufer gleich behandelt würden. Des Weiteren klassifizierte das geheime Dokument eine Lex Koller im Stromsektor als nicht kompatibel mit dem angestrebten Stromabkommen mit der EU. Ein Infrastruktur-Verkaufsverbot an EU-Investoren müsste demnach wohl ausgenommen werden, da sonst «eine unzulässige Diskriminierung stattfände», so der Bericht. Bevor es jedoch zu einem Stromabkommen mit der EU kommen könne, müsse zuerst die Frage nach dem Rahmenabkommen geklärt werden, erläuterte das BJ weiter.

Mit 24 Stimmen bei einer Enthaltung beantragte die UREK-NR im Februar 2020 einstimmig, die Behandlungsfrist für die parlamentarische Initiative Badran (sp, ZH) zur Unterstellung der strategischen Infrastrukturen der Energiewirtschaft unter die Lex Koller um zwei Jahre zu verlängern. Die Kommission habe sich bereits an mehreren Sitzungen (20. August 2018, 21. Januar 2019 und 26. August 2019) mit der Ausarbeitung eines entsprechenden Entwurfes beschäftigt und die Verwaltung mit diversen Abklärungen – insbesondere zum Geltungsbereich und zur Vereinbarkeit der Forderung mit internationalen Verpflichtungen – beauftragt, so die Kommission in ihrem Bericht. Aufgrund der Komplexität und der zeitaufwändigen Abklärungen sei eine Fristverlängerung bis zur Frühjahrssession 2022 nötig.

Im Mai 2020 beschloss die UREK-NR mit 17 zu 6 Stimmen bei 2 Enthaltungen, die Arbeiten zur parlamentarischen Initiative Badran (sp, ZH) für die Unterstellung der strategischen Infrastrukturen der Energiewirtschaft unter die Lex Koller zu sistieren und stattdessen eine umfassendere, eigene Motion (20.3461) einzureichen. Die Kommission unterstrich damit erneut den Bedarf, kritische Infrastrukturen vor ausländischen Übernahmen zu schützen. Im Unterschied zur parlamentarischen Initiative, die auf Infrastrukturen der Energiebranche beschränkt war, forderte die Motion eine allgemeine gesetzliche Grundlage für Kontrollen bei ausländischen Investitionen in hiesige kritische Infrastrukturen, sofern die Investition zu einer faktischen ausländischen Kontrolle der jeweiligen Unternehmung führt.

Auf Antrag seiner UREK-NR verlängerte der Nationalrat in der Sommersession 2020 stillschweigend die Behandlungsfrist der parlamentarischen Initiative Badran (sp, ZH) um zwei Jahre bis zur Frühjahrssession 2022. Die Kommission und die Verwaltung erhalten damit mehr Zeit, um sich vertieft mit den komplexen Fragestellungen in Zusammenhang mit dem Geschäft auseinandersetzen zu können.

Im Januar 2021 gab die UREK-NR bekannt, ihre eigene Kommissionsmotion zum Schutz kritischer Infrastrukturen (Mo. 20.3461) zurückzuziehen, nachdem informelle Gespräche und die Rückweisung der Motion durch den Nationalrat aufgezeigt hatten, dass die weiter vorangeschrittene parlamentarische Initiative Badran (sp, ZH) doch der bessere Weg sei, um wichtige Schweizer Infrastrukturen vor ausländischer Kontrolle zu schützen. Im Januar 2021 nahm sie deshalb die Beratungen zur zuvor sistierten Initiative Badran wieder auf, wie sie in ihrer Medienmitteilung verlauten liess.

Mit 15 zu 9 Stimmen verabschiedete die UREK-NR im Oktober 2021 einen Vorentwurf zur Änderung der Lex Koller, wie sie eine von beiden Kommissionen gutgeheissene parlamentarische Initiative Badran (sp, ZH) forderte. Damit soll das Bundesgesetz über den Erwerb von Grundstücken durch Personen im Ausland dahingehend angepasst werden, dass wichtige energiewirtschaftliche Infrastrukturen vor ausländischer Kontrolle geschützt werden und nur noch unter eng gefassten Bedingungen veräussert werden dürfen. Unter «strategische Infrastrukturen der Energiewirtschaft» summierte die Kommission Wasserkraftwerke, gewisse Rohrleitungen, das Stromnetz sowie die Kernkraftwerke. Nach Meinung der Kommissionsmehrheit bestehe ein fundamentales öffentliches Interesse, dass solche Anlagen, die für das Funktionieren des Landes essenziell sind und oft durch Staatsmittel finanziell gestützt werden, nicht in ausländische Hände geraten. Eine Minderheit Jauslin (fdp, AG) erkannte in der Massnahme hingegen einen Eingriff in die Wirtschaftsfreiheit und warnte vor Umgehungsmöglichkeiten. Die Vernehmlassung zum Vorentwurf läuft bis Mitte Februar 2022.

Etant donné les pérégrinations de l'initiative parlementaire, la fin de la consultation de l'avant-projet a été fixée au 17 février 2022. Par conséquent, la Commission de l'environnement, de l'aménagement du territoire et de l'énergie du Conseil national (CEATE-CN) a demandé le prolongement du délai de deux années pour traiter l'initiative. Une telle prolongation permettrait à la CEATE-CN de prendre en compte les réponses à la consultation afin de proposer un projet au Parlement qui réponde à la volonté de l'initiative parlementaire de soumettre à la Lex Koller les infrastructures stratégiques du secteur énergétique. La chambre basse a validé tacitement la prorogation du délai.

Après avoir prolongé, en 2022, le délai de traitement de l'initiative parlementaire, la Commission de l'environnement, de l'aménagement du territoire et de l'énergie du Conseil national (CEATE-CN) s'est emparée du projet de modification de la loi fédérale sur l'acquisition d'immeubles par des personnes à l'étranger (LFAIE). L'objectif de ce projet est d'intégrer les infrastructures stratégiques du secteur énergétique dans la LFAIE (dite Lex Koller). Selon la CEATE-CN, les risques qui pèsent sur la sécurité d'approvisionnement énergétique de la Suisse confirment l'intérêt fondamental des infrastructures énergétiques et justifient la modification de la Lex Koller. Cette modification concernerait les centrales hydroélectriques, les infrastructures permettant le transport de combustible ou de carburant, les centrales nucléaires et le réseau électrique.
Dans son projet, la commission ne souhaite pas interdire les investissements étrangers, mais définir des conditions strictes. Concrètement, des investisseurs étrangers ne pourraient pas obtenir une position dominante dans l'entreprise. Deux minorités se sont opposées au projet. La première propose d'interdire complètement les investissements étrangers. La seconde met en avant la liberté économique et rejette l'ensemble du projet.

La Commission de l'aménagement du territoire, de l'environnement et de l'énergie du Conseil national (CEATE-CN) a soumis au Conseil fédéral son projet de modification de la loi fédérale sur l'acquisition d'immeubles par des personnes à l'étranger (LFAIE ou Lex Koller). Ce projet de loi découle d'une initiative parlementaire de la députée Jacqueline Badran (ps, ZH). L'objectif est de soumettre les infrastructures stratégiques du secteur énergétique à la Lex Koller afin de garantir la sécurité d'approvisionnement énergétique de la Suisse.
Le projet de la CEATE-CN prévoit une obligation d'autorisation pour l'acquisition d'infrastructures stratégiques du secteur énergétique, mais aussi une autorisation pour toute prise de contrôle qui pourrait, par analogie, permettre à son acquéreur d'agir comme un propriétaire. Afin de soumettre les infrastructures énergétiques à la Lex Koller, la CEATE-CN a introduit des règles spécifiques, et encore non-existantes, dans la loi fédérale afin de traiter autant des immeubles, objectif initial de la Lex Koller, que des infrastructures énergétiques. Pour être précis, le projet de loi fédérale assujettit au régime d'autorisation les centrales hydrauliques, selon la loi sur les forces hydrauliques (LFH), les installations de transports par conduites de combustibles ou carburant gazeux, selon la loi sur les installations de transports par conduites (LITC), les réseaux de transport et de distribution d'électricité, selon la loi sur l'approvisionnement en électricité (LApEl), et les centrales nucléaires, selon la loi sur l'énergie nucléaire (LENu).
Lors de la procédure de consultation, les partis et organisations invitées se sont, dans la majorité des cas, opposées au projet de loi fédérale. Néanmoins, la CEATE-CE a fait fi des résultats de la procédure de consultation et soumis, tel quel, son projet au gouvernement et à l'Assemblée fédérale. Dans son avis, le Conseil fédéral s'est également opposé au projet. De son point de vue, il n'est pas cohérent de régir deux procédures d'autorisation distinctes – infrastructures énergétiques et immeubles – dans la même loi. L'intégration des infrastructures énergétiques dans la Lex Koller mettrait en difficulté la garantie de propriété et la liberté économique. En outre, le Conseil fédéral considère que la législation en vigueur ainsi que les travaux relatifs à la motion 18.3021 offrent une protection adaptée.
Au Conseil national, les députés et députées ont validé par 120 voix contre 72 et 1 abstention le projet de loi fédérale de la CEATE-CN. Au final, seul l'argument de la liberté économique semble avoir fait mouche. En effet, les voix opposées au projet provenaient du PLR (29 voix), des Vert'libéraux (15 voix) et du groupe du Centre (27 voix). Néanmoins, cela n'a pas suffi. Le projet passe la première rampe du Conseil national.

À l'inverse de la chambre du peuple, la chambre des cantons a refusé d'entrer en matière sur le projet de loi pour soumettre les infrastructures énergétiques stratégiques à la loi fédérale sur l'acquisition d'immeubles par des personnes à l'étranger (LFAIE). Le Conseil des Etats s'est rallié à la majorité de sa commission de l'environnement, de l'aménagement du territoire et de l'énergie (CEATE-CE) et à l'avis du Conseil fédéral. En effet, la majorité de la CEATE-CE a indiqué que le projet de loi fédérale sur le contrôle des investissements étrangers (23.086), déposé par le Conseil fédéral, permettrait de protéger le secteur énergétique sans élaborer de solution distincte pour le secteur. De plus, à la tribune, Pirmin Bischof (centre, SO) a précisé, pour la commission, que l'intégration des infrastructures énergétiques dans la LFAIE n'était pas adéquate car elle donnait toute la compétence au Conseil fédéral, sans prévoir de recours juridique. À l'opposé, le parti socialiste a plaidé en vain pour une législation plus restrictive que le projet de loi fédérale sur le contrôle des investissements étrangers pour les infrastructures énergétiques. Mais surtout, une motion d'ordre du sénateur Pierre-Yves Maillard (ps, VD) a demandé la suspension du traitement de l'initiative parlementaire jusqu'à la mise en œuvre du message 23.086 relatif à la loi fédérale sur le contrôle des investissements étrangers.
La motion d'ordre a été rejetée par 26 voix contre 17 et 1 abstention. Les voix du PS (7) n'ont été rejointes par des voix de l'UDC (6), des Vert-e-s (2) et du groupe du Centre (2). Puis, cette alliance hétéroclite s'est encore délitée lors du vote sur l'entrée en matière. Le Conseil des Etats a refusé l'entrée en matière par 29 voix contre 12 et 3 abstentions. Le parti socialiste (7) n'a rallié que des voix au sein de l'UDC (3) et des s Vert-e-s (2) avec son plaidoyer.

Protéger l'économie suisse en contrôlant les investissements (Mo. 18.3021)

Dossier: Investissements étrangers dans des entreprises suisses

Par l’intermédiaire d’une motion, Beat Rieder (pdc, VS) souhaite protéger l’économie suisse en contrôlant les investissements directs étrangers dans des entreprises helvétiques. Il indique que la hausse des investissement directs étrangers constitue une menace pour le savoir-faire, les emplois et la sécurité de la Suisse. Selon lui, un cadre juridique trop souple entraîne une hausse incontrôlable des investissements étrangers. Il cite notamment en exemple les rachats récents de «Bartholet, Syngenta, Gategroup, Swissport et SRTechnics». Pour lutter contre cette menace, non seulement pour la compétitivité de la place économique, mais aussi pour la sécurité du pays, il propose la création d’une autorité d’approbation.
Le Conseil fédéral s’est opposé à la motion. Il a souligné l’importance du libéralisme pour l’économie helvétique. Selon les Sept Sages, l'ouverture économique garantit un afflux de capitaux indispensables à l’emploi et à l’innovation. Néanmoins, en ligne avec plusieurs objets comme la motion 13.3280, le postulat 18.3376 ou encore l’initiative parlementaire 16.498, le Conseil fédéral est disposé à étudier la problématique dans un rapport.
La motion a été transmise à la Commission de l’économie et des redevances du Conseil national (CER-CE) pour un examen préalable. Par 7 voix contre 5, la majorité de la CER-CE a proposé d’adopter la motion. La majorité de la commission a donc été sensible à la hausse des investissements directs étrangers et aux conséquences potentielles pour la sécurité et l’économie helvétique. Une minorité a suivi les arguments du Conseil fédéral. Le Conseil des Etats tranchera en premier sur la question.

Beat Rieder (pdc, VS) souhaite protéger l’économie suisse en contrôlant les investissements directs étrangers dans des entreprises helvétiques. Le sénateur valaisan met en avant des arguments liés à la perte de savoir-faire, à la perte d'emplois et aux risques liés à la sécurité. La Commission de l'économie et des redevances du Conseil des Etats (CER-CE) recommande à sa chambre de rejeter la motion par 7 voix contre 5. Une minorité propose d'adopter la motion.
En chambre, l'objet a donné lieu a un débat animé. D'un côté, le PLR a mis en avant l'importance du libéralisme et le risque de rétorsion en cas de mesures protectionnistes. Selon les opposants, ces deux arguments pèsent particulièrement dans un pays comme la Suisse qui repose sur ses exportations. A l'opposé, les défenseurs de la motion ont souligné les risques pour la sécurité helvétique. Au final, la motion a été adoptée par 22 voix contre 18 et 2 abstentions. La chambre du peuple se prononcera donc sur la motion.

Tout comme le Conseil des Etats, le Conseil national a adopté la motion, déposée par Beat Rieder (pdc, VS), qui vise la protection de l’économie suisse en contrôlant les investissements directs étrangers dans des entreprises helvétiques. La chambre basse va donc à l'encontre de sa Commission de l'économie et des redevances (CER-CN) qui préconisait, par 15 voix contre 9, de rejeter la motion. Elle a suivi la minorité Müller (pdc, LU) qui considérait que la motion ne remettait en cause ni le libéralisme économique, ni l'importance des investissements directs étrangers, mais permettait un meilleur contrôle des entreprises d'importance systémique. A l'opposé, la majorité estimait que la motion enverrait un signal négatif en contradiction avec notre politique économique extérieure. Lors des débats en chambre, la motion a été adoptée par 96 voix contre 82 et 15 abstentions. Les 28 voix PLR, rejointes par 12 Vert'libéraux et 41 UDC n'ont pas suffi pour rejeter la motion. Le camp de l'adoption de la motion, principalement représenté par le groupe du Centre, le PS et les Verts, a profité de 3 voix dissidentes de l'UDC, et surtout de 7 et 3 abstentions chez l'UDC et les Vert'libéraux pour faire pencher la balance.

Reprise d'entreprises par des investisseurs étrangers. L'absence totale de contrôle est-elle encore tenable? (Po. 18.3376)

Dossier: Investissements étrangers dans des entreprises suisses

Face à la hausse des investissements étrangers dans des entreprises suisses, Pirmin Bischof (pdc, SO) demande un rapport du Conseil fédéral qui dresse un bilan de la situation, dessine un comparatif international des mesures législatives et envisage des dispositions, si nécessaire. Le dépositaire cite comme exemple les reprises de Syngenta, Swissport, Gate Gourmet ou encore la stratégie chinoise «Made in China 2025». Plus précisément, le postulat pointe du doigt les risques de fuite de savoir-faire, les risques pour la politique de sécurité à cause d’infrastructures sensibles, les récentes évolutions et les limites de la législation helvétique en comparaison internationale. Le Conseil fédéral a proposé d’adopter le postulat. Il a été tacitement validé, en parallèle de l’objet 18.3021, par le Conseil des États.

Alors que des pays émergents intensifient leurs politiques d’investissement dans des entreprises privées ou publiques de pays avancés, nombreux sont ceux qui pointent du doigt les risques pour la sécurité nationale et l’économie. La Suisse, qui se positionne comme une destination majeure des investissements directs étrangers, mais également comme un grand investisseur à l’étranger, n’échappe pas au débat. Le rapport sur le postulat Bischof (pdc, SO) adresse cette problématique. Tout d’abord, le rapport précise que les autres pays européens, avec une économie comparable à l’économie helvétique, n’ont pas introduit de réglementation spécifique sur les investissements directs étrangers. Ensuite, sur la question de la sécurité nationale, d’un côté, la problématique n’existe qu’en cas d’investissement dans une entreprise d’importance systémique. Or, la législation en vigueur, et notamment les législations sectorielles dans les domaines des banques et infrastructures financières, permet d’écarter la grande majorité des risques. D’un autre côté, la stratégie nationale pour la protection des infrastructures critiques dresse des rapports réguliers et prend en compte la sécurité des approvisionnements. Ensuite, d’autres réglementations sont en vigueur pour les secteurs non critiques. Le rapport cite notamment la lex Koller ou encore le droit des marchés financiers. Finalement, l’argument des places de travail ou de la perte de savoir-faire n’est pas justifié selon le rapport. Il précise qu’une intervention législative s’apparenterait à une politique industrielle à tendance protectionniste, donc en inadéquation avec la stratégie économique helvétique. Au final, le rapport préconise un statu quo avec la possibilité de monitorage régulier sur la question.

Verpflichtender Grundschutz für kritische Strominfrastrukturen (Mo. 17.3496)

Dossier: Cyber risques dans le secteur de l'énergie

Der Nationalrat nahm in der Sommersession 2019 eine Motion der Thurgauer Nationalrätin Edith Graf-Litscher (sp, TG) mit 114 gegen 77 Stimmen an. Die Sozialdemokratin forderte im Vorstoss, die gesetzlichen Grundlagen dergestalt zu präzisieren, dass für die Strombranche ein verpflichtender Grundschutz gegenüber Gefahren wie Cyberangriffen oder Naturgewalten festgelegt wird. Sie begründete ihr Anliegen mit der essenziellen Bedeutung einer stabilen Stromversorgung für das Wohlergehen der Bevölkerung und für die Volkswirtschaft im Allgemeinen. Ein Cyberangriff auf die Strombranche sowie ein grossflächiger Versorgungsunterbruch hätten milliardenschwere Schäden für die Wirtschaft zur Folge. Der Bundesrat hatte im Vorfeld erklärt, er unterstütze zwar die Stossrichtung der Motion, hatte aber vergebens versucht, eine Mehrheit der grossen Kammer von den bereits laufenden oder abgeschlossenen Arbeiten (wie beispielsweise den international etablierten Standards für die Sicherheit von Informations- und Kommunikationstechnik IKT oder den nationalen Strategien zum Schutz kritischer Infrastrukturen SKI und zum Schutz der Schweiz vor Cyberrisiken NCS) zu überzeugen und eine Ablehnung der Motion zu erreichen.

Entgegen dem Nationalrat lehnte der Ständerat in der Wintersession 2019 die Motion Graf-Litscher (sp, TG) für die Schaffung eines gesetzlich verpflichtenden Grundschutzes für kritische Strominfrastrukturen gegenüber Cyberangriffen und relevanten Naturgefahren stillschweigend ab. Zuvor hatte die einstimmige UREK-SR wie auch der Bundesrat dafür plädiert, die Motion abzulehnen. Kommissionssprecher Martin Schmid (fdp, GR) erklärte in der kleinen Kammer, weder der Bundesrat noch die ständerätliche Kommission stellten das Ziel der Motionärin infrage, sie sähen jedoch den gesetzgeberischen Handlungsbedarf nicht mehr gegeben. So seien beispielsweise mit der nationalen Strategie zum Schutz kritischer Infrastrukturen 2018–2022 oder mit dem revidierten Energiegesetz, das erst nach Einreichen dieses Vorstosses in Kraft getreten sei und das einige Anpassungen in den Bereichen Datensicherheit erfahren habe, bereits ausreichende Massnahmen erarbeitet worden, um den Schutz dieser wichtigen Infrastrukturen vor Cyberangriffen zu verbessern, erklärte Schmid im Plenum.

Gestion des risques et sécurité des composants cyber physiques de l'armée (Po. 19.3135)

Le Conseil national a adopté le postulat de Marcel Dobler (plr, SG) visant à ce que le Conseil fédéral analyse les standards applicables à la gestion des risques du fournisseur et la sécurité des composants cyberphysiques de l'armée. Il est également attendu du Conseil fédéral qu'il juge si les mesures actuelles permettent d'identifier les risques et de les ramener à un niveau acceptable.
Dans sa réponse, le Conseil fédéral proposait d'accepter le postulat, pour que la sécurité soit contrôlée lors des acquisitions.

Haben wir die Hard- und Softwarekomponenten bei unseren kritischen Infrastrukturen im Griff? (Po. 19.3136)

Dossier: Cyber Defence

«Haben wir die Hard- und Softwarekomponenten bei unseren kritischen Infrastrukturen im Griff?», fragte Marcel Dobler (fdp, SG) mit einem im Frühjahr 2019 eingereichten Postulat. Damit griff Dobler Sorgen auf, die bei grösseren IT-Beschaffungen immer wieder geäussert werden. Unter anderem geht es dabei namentlich um ICT-Systeme, die in diversen sensiblen Bereichen eingesetzt werden und die von ausländischen Herstellern produziert und bereitgestellt werden. Solche «digitale[n] Lieferobjekte», die in ihrer Komplexität zu Cyberrisiken führen können, stehen im Fokus seines Vorstosses. Der Bundesrat sollte folglich beauftragt werden, zu prüfen, ob und wie nationale und internationale Standards angewendet werden können, um die Risiken zu vermindern.
Der Bundesrat zeigte sich mit der Stossrichtung des Postulats einverstanden und beantragte dessen Annahme, jedoch seien die Forderungen in einen Bericht aufzunehmen, der bereits mit der Annahme zweier anderer Postulate (Po. 18.3376 und Po. 18.3233) in Auftrag gegeben worden war, erklärte er.
Der Nationalrat sollte sich in der Sommersession 2019 damit befassen, da jedoch auf jegliche Wortmeldungen verzichtet wurde, überwies der Rat das Postulat stillschweigend.

En exécution des postulats Dobler (19.3135) et (19.3136), le Conseil fédéral a fourni son rapport intitulé «Sécurité des produits et gestion des risques de la chaîne d'approvisionnement dans les domaines de la cybersécurité et de la cyberdéfense». Le rapport détaille les standards existants et les engagements de la Confédération et des exploitant.e.s d'infrastructures critiques y découlant en la matière. Si le domaine de la sécurité des produits est plutôt normé et appliqué, les directives relatives à la gestion des risques de la chaîne d'approvisionnement dans le domaine de la cybersécurité sont moins étoffées. La Confédération dispose d'une base légale pour appliquer les standards de sécurité des produits TIC et la gestion des risques de la chaîne d'approvisionnement. Les règles liées au respect des standards de sécurité des TIC pour les infrastructures critiques sont par contre «rares». Pour les standards de sécurité des produits, le rapport appelle à se concentrer sur la mise en œuvre globale et continue des directives. S'agissant des directives en matière de gestion des risques de la chaîne d'approvisionnement dans le domaine de la cybersécurité, les standards se révèlent être des recommandations plutôt que des normes contraignantes. Afin de remédier au manque de directives contraignantes pour les infrastructures critiques, le rapport expose plusieurs solutions: l'élaboration de directives juridiquement contraignantes, les références aux standards dans le domaine de la sécurité des produits ou des directives adressées aux exploitant.e.s d'infrastructures critiques pour une gestion sûre des produits TIC. Le rapport recommande également d'introduire des directives liées à des mesures régulatrices pour la gestion des risques de la chaîne d'approvisionnement.

Après la publication du rapport traitant des deux motions 19.3135 et 19.3136 nommé «Sécurité des produits et gestion des risques de la chaîne d'approvisionnement dans les domaines de la cybersécurité et de la cyberdéfense», le Conseil fédéral a décrété que les objets devaient être classés. Ceci a été entrepris et finalisé le 7 juin 2022 dans le cadre de l'objet 22.006.

Bericht zu Cyberrisiken in der Energiebranche 2019

Dossier: Cyber risques dans le secteur de l'énergie

In einem Bericht kam die Eidgenössische Elektrizitätskommission ElCom im Februar 2019 zum Schluss, dass im Bereich der Cybersicherheit im Schweizer Stromversorgungsnetz diverse Mängel bestünden. Von den befragten 92 grössten Netzbetreibern verfügten demnach 22 über keine Richtlinien oder Massnahmen bezüglich Cybersicherheit und 21 Unternehmen würden ihre Mitarbeitenden in diesem Thema nicht schulen. Um die Sicherheit zu erhöhen, sollten deshalb einerseits die VSE-Branchenrichtlinien durchgehend umgesetzt und andererseits auf die Energiebranche spezialisierte Computer-Notfallteams (Cert) gebildet werden, empfahl die ElCom in ihrem Bericht. Einen anderen Weg wählte indes Swissgrid, die Betreiberin des Schweizer Stromübertragungsnetzes, die mit eigenen Hackern auf die Suche nach Schwachstellen im System gehen wolle, berichtete der Tages-Anzeiger. Auch im Parlament wurde der Ruf nach mehr Cybersicherheit im Stromsektor laut. Bereits im Jahr 2017 hatte Nationalrätin Edith Graf-Litscher (sp, TG) eine entsprechende Motion eingereicht.

Investitionskontrollen bei kritischen Infrastrukturen schaffen (Mo. 20.3461)

Dossier: Investissements étrangers dans des entreprises suisses

In Erweiterung einer parlamentarischen Initiative Badran (sp, ZH; Pa.Iv. 16.498) zur Unterstellung wichtiger Infrastrukturen der Energiewirtschaft unter die Lex Koller reichte die UREK-NR im Mai 2020 mit 17 zu 6 Stimmen bei 2 Enthaltungen eine eigene Kommissionsmotion zwecks Schaffung einer gesetzlichen Grundlage für Investitionskontrollen bei kritischen Infrastrukturen ein. Damit sollen künftig ausländische Direktinvestitionen in zentrale Schweizer Unternehmen, die zu einer faktischen Kontrolle dieser Firma und Infrastrukturen führen, dem Segen einer Genehmigungsbehörde unterstellt werden. Im August 2020 beantragte auch der Bundesrat die Annahme der Motion. Er verwies in seiner Stellungnahme auf eine bereits angenommene Motion Rieder (cvp, VS; Mo. 18.3021), die sich weitgehend mit dieser Forderung decke.

In der Wintersession 2020 befasste sich der Nationalrat als Erstrat mit der Motion seiner UREK zur Schaffung einer gesetzlichen Grundlage für Investitionskontrollen bei kritischen Infrastrukturen. Die grosse Kammer folgte dabei mit 138 zu 41 Stimmen bei 10 Enthaltungen einem Antrag Girod (gp, ZH) zwecks Rückweisung der Motion an die Kommission. Wie Girod im Rat erklärte, sei man in der UREK-NR durch informelle Gespräche zum Schluss gekommen, dass die ursprüngliche parlamentarische Initiative Badran (sp, ZH; Pa.Iv. 16.498) der bessere Weg sei, um hiesige zentrale Infrastrukturen vor der Kontrolle durch ausländische Investoren zu schützen. Es dürfe aufgrund dieser Kommissionsmotion nicht zu einer weiteren Verzögerung der parlamentarischen Initiative Badran kommen, da zeitnahes Handeln geboten sei. Eine gescheiterte SP-Minderheit Nordmann (sp, FR) hatte gar verlangt, die Motion ganz abzulehnen, um der Kommission das klare Signal zu geben, sich direkt mit der von beiden Kommissionen angenommenen und von der Verwaltung vorbereiteten parlamentarischen Initiative zu beschäftigen. Doch auch mit der Rückweisung wird sich die Kommission wieder vorrangig mit der sistierten und weiter fortgeschrittenen Forderung Badran beschäftigen müssen.

Ende Januar 2021 zog die UREK-NR im Rahmen der Beratungen zur parlamentarischen Initiative Badran (sp, ZH; Pa.Iv. 16.498) ihre eigene Motion zum Schutz kritischer Infrastrukturen zurück. Die in der Motion verlangten Schutzmassnahmen würden – wie der Bundesrat bereits ausgeführt hatte – mit der angenommenen Motion Rieder (mitte, VS; Mo. 18.3021) bereits umgesetzt, erklärte die Kommission in ihrer Medienmitteilung.

Investissements directs étrangers. Renforcer le contrôle des fusions (Po. 19.3491)

Dossier: Investissements étrangers dans des entreprises suisses

Le parlementaire zurichois Fabian Molina (ps, ZH) explique que lorsque des entreprises helvétiques du service public, actives pour la sécurité du pays, ou actives dans des domaines économiques stratégiques sont reprises par des Etats ou des fonds souverains étrangers, la sécurité et la démocratie helvétique sont en danger. Il charge donc le Conseil fédéral de modifier le droit suisse des cartels afin de permettre un filtrage des investissements directs étrangers comme cela a été introduit au sein de l'UE.
Le Conseil fédéral s'est opposé au postulat. D'un côté, il a précisé que le droit sur les cartels ne permettait pas d'empêcher des fusions d'entreprises avec comme seul critère l'intérêt public. D'un autre côté, il a indiqué que l'art.185, al. 3 de la Constitution répondait déjà à la demande du postulat. En outre, il estime inopportun de freiner les investissements directs étrangers en Suisse.
En chambre, l'objet a été rejeté par 100 voix contre 89 et 4 abstentions. L'UDC (52), le PLR (28) et le groupe du Centre (20 voix contre, 8 voix pour) ont décidé du sort du postulat.

Sektorenmarkt der Flughäfen im öffentlichen Beschaffungswesen (Mo. 21.3458)

Die KVF-NR reichte im April 2021 eine Motion ein, mit welcher Konzessionen für den Betrieb eines Flughafens von der öffentlichen Ausschreibungspflicht befreit werden sollten. Flughäfen seien systemrelevant und würden stark zur Standortattraktivität einer Region beitragen. Es sei daher nicht angebracht, ihren Betrieb dem öffentlichen Beschaffungswesen zu unterstellen. Ansonsten bestehe die Gefahr, dass sich ausländische Investorinnen und Investoren diese « kritische[n] Infrastrukturen unter den Nagel reissen wollen und geopolitische Ziele statt Rentabilitätsüberlegungen in den Vordergrund stellen».
Der Bundesrat beantragte die Annahme der Motion; der Nationalrat stimmte dem Ansinnen in der Sommersession 2021 stillschweigend zu.

In der Herbstsession 2021 stimmte nach dem Nationalrat auch die kleine Kammer stillschweigend der Motion «Sektorenmarkt der Flughäfen im öffentlichen Beschaffungswesen» der KVF-NR zu. Damit wurde beschlossen, dass die Vergabe von Konzessionen für den Betrieb eines Flughafens von der öffentlichen Ausschreibungspflicht befreit werden soll.

Digitale Infrastruktur. Geopolitische Risiken minimieren (Po. 20.3984)

Jon Pult (sp, GR) reichte im September 2020 ein Postulat betreffend die digitale Infrastruktur und deren geopolitische Risiken ein. Der Bündner Nationalrat wollte den Bundesrat beauftragen darzulegen, wie die Risiken beim Ausbau und der Weiterentwicklung von digitalen Infrastrukturen wie etwa 5G reduziert werden können. Es gelte zu klären, welche Risiken Anbieter wie Huawei darstellten, «die in Ländern domiziliert sind, die weder marktwirtschaftlich noch rechtsstaatlich organisiert sind». Pult ging es insgesamt auch darum, dass die Schweizer Technologieinfrastruktur nicht durch den sich abzeichnenden geoökonomischen Wettbewerb zwischen China und den USA tangiert wird. Der Bundesrat beantragte die Annahme des Postulats. Er verwies dabei auf die angenommenen Postulate 19.3135 und 19.3136, die sich ebenfalls mit den Risiken in Zusammenhang mit digitalen Infrastrukturen befassen. Die von Pult geforderte Analyse werde mit diesen Arbeiten abgestimmt.
Der Nationalrat behandelte das Geschäft in der Sommersession 2021; es war zuvor von Franz Grüter (svp, LU) bekämpft worden. Grüter argumentierte, dass die Schweiz in digitaler Hinsicht nun einmal vom Ausland abhängig sei und dies in absehbarer Zukunft auch bleiben werde. Daher gelte es, Partnerschaften und damit auch gewisse Risiken einzugehen. Um diese Risiken wiederum zu kontrollieren, brauche die Schweiz technologisches und geopolitisches Knowhow sowie Prüfverfahren für gewisse Technologien. Eine solche Prüfung könne jedoch durch private Testinstitute erfolgen und brauche keinen staatlichen Eingriff. Eine Ausnahme könne hingegen für national kritische Infrastrukturen gemacht werden, so Grüter. Anschliessend erläuterte Bundesrätin Simonetta Sommaruga, dass der Bundesrat das Thema unter anderem auch deshalb aufgreifen möchte, weil die digitale Sicherheit auch die Infrastrukturanbieter, die Fernmeldeunternehmen und die Privatwirtschaft stark beschäftige. Die grosse Kammer nahm das Postulat mit 104 zu 83 Stimmen bei 4 Enthaltungen an. Die SVP- und die FDP.Liberale-Fraktion stimmten geschlossen gegen den Vorstoss.

In Erfüllung eines überwiesenen Postulats Pult (sp, GR) verabschiedete der Bundesrat im Dezember 2023 einen Bericht mit dem Titel «Digitale Infrastruktur. Geopolitische Risiken minimieren».
Gemäss dem Bericht sind digitale Netzwerke zentral für Wirtschaft, Gesellschaft und Politik. Diese Systeme könnten aber beispielsweise durch Cyberangriffe bedroht werden, was insbesondere bei kritischen Infrastrukturen eine grosse Gefahr darstelle. Erste Schritte zum Schutz digitaler Netzwerke seien bereits in der nationalen Strategie zum Schutz kritischer Infrastrukturen 2023 sowie in der nationalen Cyberstrategie 2023 getroffen worden. Der Bundesrat sehe es aber als notwendig an, weitere Massnahmen zu ergreifen und wo nötig die Gesetzgebung anzupassen.
Konkret stellte er eine Anpassung des FMG in Aussicht, angelehnt an die 5G-Toolbox der EU. Dazu sollten vier Massnahmenbereiche im Zentrum stehen. Erstens sollte die Sicherheit der Fernmeldeinfrastruktur erhöht werden. Dazu könnten beispielsweise die Telekommunikationsbetreiberinnen und -betreiber dazu verpflichtet werden, ihre Fernmeldeinfrastruktur durch verschiedene Lieferantinnen und Lieferanten ausstatten zu lassen, oder die Sicherheitsanforderungen bei der Neuausschreibung der Mobilfunkfrequenzen könnten erhöht werden. Zweitens sollte der Bundesrat die Möglichkeit erhalten, die Beschaffung, die Einrichtung und den Betrieb von «risikobehafteter Ausrüstung» – etwa bei als problematisch eingestuften Lieferantinnen oder Lieferanten oder bei solchen, die unter der Kontrolle eines anderen Landes stehen – verbieten zu können, wenn ein konkretes geopolitisches Risiko vorliegt. Drittens sollten die Prüfungs- und Zertifizierungskapazitäten für digitale Infrastruktur durch den Bund erhöht werden. Dazu werden laut dem Bericht bereits nationale Kontroll- und Zertifizierungsstellen durch den Schweizer Cybersicherheitssektor ausgebaut. Schliesslich soll gemäss dem Bericht auch die internationale Zusammenarbeit im Bereich der Cybersicherheit gestärkt werden.

Mit der Veröffentlichung des Postulatsberichts «Digitale Infrastruktur. Geopolitische Risiken minimieren» erachtete der Nationalrat das Anliegen des Postulats Pult (sp, GR) als erledigt und genehmigte dessen Abschreibung. Der Bundesrat hatte im Bericht verschiedene Massnahmen präsentiert, wie digitale Netzwerke besser geschützt werden können.

KMU und öffentliche Verwaltungen vor Cyberangriffen schützen (Mo. 21.4187)

Mit einer Motion forderte die Freiburger Ständerätin Johanna Gapany (fdp), dass der Bund den Schutz von Cyberangriffen auf die KMU sowie auf die kantonalen und kommunalen Verwaltungen ausdehnt. Nach Meinung der Freisinnigen verfüge nur der Bund über die geeigneten Ressourcen und Kompetenzen, um diese kritischen Infrastrukturen vor Angriffen aus dem Internet zu schützen. In der Wintersession 2021 überwies der Ständerat die Motion auf Antrag von Charles Juillard (mitte, JU) stillschweigend an seine SiK zur Vorberatung. Entgegen der ablehnenden Haltung des Bundesrates, der auf das Subsidiaritätsprinzip pochte und auf die bereits getroffenen Massnahmen verwies, müsse vertieft geprüft werden, ob in diesem Bereich nicht besser der Bund verstärkt eingreifen sollte, begründete der Jurassier seinen Ordnungsantrag.

Die SiK-SR gab im Februar 2022 bekannt, die Motion Gapany (fdp, FR) zur Ausdehnung des Schutzes vor Cyberangriffen auf KMUs sowie auf die kantonalen und kommunalen Verwaltungen bis zum folgenden Quartal zu sistieren. Die Kommission wollte das Anliegen zusammen mit zwei parlamentarischen Initiativen (21.507 und 21.495) behandeln, welche ebenfalls das Thema Cybersicherheit betrafen. Zudem bat die Kommission die Verwaltung darum, einen Bericht über die Handlungsspielräume des Bundes in Sachen Erhöhung der Cybersicherheit für die Kantone, Gemeinden sowie KMUs zu erarbeiten. Im Mai 2022 zog die Freiburger Ständerätin ihr Anliegen schliesslich zurück.

Zeitgemässe Rechtsgrundlagen für den Schutz kritischer Infrastrukturen (Mo. 23.3001)

Stillschweigend nahm der Ständerat in der Frühjahrssession 2023 als Erstrat eine Motion seiner SiK an, die zeitgemässe Rechtsgrundlagen für den Schutz kritischer Infrastrukturen forderte. Der Bundesrat soll insbesondere die Zuständigkeiten und Prozesse sowohl für den ordentlichen Fall als auch für den Krisenfall klären. Zu berücksichtigen hat er dabei gemäss Motionstext etwa die Zusammenarbeit innerhalb der Bundesverwaltung, mit den Kantonen und mit privaten Eigentümern kritischer Infrastrukturen. Bundesrätin Viola Amherd erklärte im Rat, das VBS habe in einer Auslegeordnung bereits festgestellt, dass die Schutzbestimmungen je nach Sektor sehr unterschiedlich und zum Teil lückenhaft seien, weshalb die Regierung die Motion unterstütze. Für eine einheitliche, zentralisierte Regelung aller kritischer Infrastrukturen fehle dem Bundesrat jedoch die Regulierungskompetenz, sodass er, wo nötig, sektorielle Anpassungen plane.