{"d":{"__metadata":{"id":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='DE')","uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='DE')","type":"itsystems.Pd.DataServices.DataModel.Business"},"BusinessResponsibilities":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='DE')/BusinessResponsibilities"}},"RelatedBusinesses":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='DE')/RelatedBusinesses"}},"BusinessRoles":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='DE')/BusinessRoles"}},"Publications":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='DE')/Publications"}},"LegislativePeriods":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='DE')/LegislativePeriods"}},"Sessions":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='DE')/Sessions"}},"Preconsultations":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='DE')/Preconsultations"}},"Bills":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='DE')/Bills"}},"Councils":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='DE')/Councils"}},"BusinessTypes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='DE')/BusinessTypes"}},"Votes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='DE')/Votes"}},"SubjectsBusiness":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='DE')/SubjectsBusiness"}},"BusinessStates":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='DE')/BusinessStates"}},"Council":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='DE')/Council"}},"Transcripts":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='DE')/Transcripts"}},"ID":20223415,"Language":"DE","BusinessShortNumber":"22.3415","BusinessType":8,"BusinessTypeName":"Interpellation","BusinessTypeAbbreviation":"Ip.","Title":"Integrale Betrachtung der Sicherheit von kritischen Infrastrukturen bei IKT-Beschaffungen durch eine IT-Empa?","Description":null,"InitialSituation":null,"Proceedings":null,"DraftText":null,"SubmittedText":"<p>Kritische Infrastrukturen sind f\u00fcr die Schweiz von zentraler Bedeutung und umfassen alle sozialen und technischen Systeme, die f\u00fcr das Funktionieren einer demokratischen Gesellschaft unabdingbar sind. Zugleich r\u00fccken kritische IKT-Infrastrukturen vermehrt in den Fokus von Cyberkriminellen, so z.B. bei der Ransomware-Attacke auf Swissport oder bei Cyberattacken auf Schweizer Gemeinden. Ebenso w\u00e4chst die Besorgnis \u00fcber einzelne Anbieter in Bezug auf mangelnde Transparenz bei Sicherheitsaspekten oder in Bezug auf geopolitische Risiken.</p><p>Um die Integrit\u00e4t der kritischen Infrastrukturen und die Versorgungssicherheit der Schweiz stets sicherzustellen, sind Sicherheits- und Transparenzaspekte bereits bei IKT-Beschaffungen st\u00e4rker zu gewichten. In diesem Zusammenhang stellen sich folgende Fragen:</p><p>a. Teilt der Bundesrat die Auffassung, dass bei IKT-Beschaffungen im Bereich kritische Infrastrukturen sicherheitspolitische Aspekte integral in einem Gesamtkontext betrachtet und diese neben Preis und Leistung bei der Vergabe mitber\u00fccksichtigt werden m\u00fcssen? </p><p>b. Ist der Bundesrat bereit zu pr\u00fcfen, ob Betreiber von kritischen Infrastrukturen auch Beurteilungsparameter wie beispielsweise Schulungs- und Monitoring-Kompetenzen, ausreichende personelle Ressourcen, Knowhow entlang des ganzen Lebenszyklus und der Gesamtarchitektur sowie Transparenz und \u00dcberpr\u00fcfbarkeit erf\u00fcllen m\u00fcssen? </p><p>c. Ist der Bundesrat auch der Auffassung, dass die Sicherheit der Systeme durch transparente Informationen zur Liefer-/Herstellerfirma, zu Entwicklungs- und Produktionsprozessen, zum zugrundeliegenden Source-Code, zur Lieferkette und schlussendlich auch zum Lebensweg (Entwicklung, Produktion, Integration, Betrieb und Ausserbetriebssetzung) verbessert werden kann? </p><p>d. Wie beurteilt der Bundesrat die Schaffung einer unabh\u00e4ngigen, nationalen Pr\u00fcfinstanz (\"IT-Empa\"), welche die Beschaffung von kritischen Infrastrukturen integral, also unter Ber\u00fccksichtigung einer gr\u00f6sseren Anzahl von Beurteilungsparametern, pr\u00fcfen k\u00f6nnte?</p>","ReasonText":"<p>Die Beurteilungskriterien bei der Beschaffung von kritischen Infrastrukturen sind zu standardisiert. Entscheide zur Vergabe ber\u00fccksichtigen heute prim\u00e4r Preis und Leistung sowie allenfalls die Sicherheit der ausgeschriebenen Komponenten. Mit Blick auf die Tragweite der potenziellen Risiken ist dies ungen\u00fcgend und greift als Entscheidungsgrundlage zu kurz, um kritische Infrastrukturen zuverl\u00e4ssig und nachhaltig zu sichern. Eine integrale und langfristige sicherheitspolitische Betrachtung des Gesamtsystems ist deshalb unabdingbar. F\u00fcr den Betrieb von kritischen Infrastrukturen m\u00fcssen beim Beschaffungsentscheid nicht nur einzelnen Elemente, sondern auch das Zusammenspiel der einzelnen Komponenten und Systeme \u00fcber einen l\u00e4ngeren Zeithorizont gew\u00e4hrleistet sein. Dazu geh\u00f6ren auch weitere vor- und nachgelagerte Dienstleistungen, wie beispielsweise Schulungen f\u00fcr den operativen Betrieb, welche die Anbieter anbieten k\u00f6nnen muss. Daneben soll die Sicherheit der ausgeschriebenen Komponenten und Systeme von einer unabh\u00e4ngigen nationalen Pr\u00fcfstelle \u00fcberpr\u00fcft werden. Die Bereitschaft der Anbieter seine Systeme und Komponenten auf sicherheitspolitische Aspekte zu \u00fcberpr\u00fcfen, soll in Zukunft Gegenstand der Beurteilungskriterien werden. Ist die Funktionsf\u00e4higkeit kritischer Infrastrukturen eingeschr\u00e4nkt oder nicht mehr gegeben, wird das Gesamtsystem angreifbar und gef\u00e4hrdet die Souver\u00e4nit\u00e4t des Landes, die Sicherheit der Bev\u00f6lkerung sowie die Versorgungssicherheit und Innovationskraft der Schweiz.</p>","DocumentationText":null,"MotionText":null,"FederalCouncilResponseText":"<p>Zu a.: Der Bundesrat hat in seiner nationalen Strategie zum Schutz kritischer Infrastrukturen bekr\u00e4ftigt, dass ein integrales Vorgehen in Sicherheitsfragen notwendig ist. Dementsprechend sollten die Betreibenden kritischer Infrastrukturen bei allen relevanten Beschaffungsvorhaben die Risiken ihrer Lieferantenketten kennen und ber\u00fccksichtigen. Dazu geh\u00f6ren auch Analysen zu sicherheitspolitischen Aspekten der Lieferanten und ihrer Lieferungen und die Aufnahme entsprechender Kriterien in die Pflichtenhefte der Ausschreibungen. Das \u00f6ffentliche Beschaffungsrecht erlaubt solche Kriterien auch f\u00fcr Beschaffungen von Betreibenden, welche diesem unterstehen. Dabei muss aber die Gleichbehandlung von Anbieterinnen gew\u00e4hrleistet werden. So kann etwa der Markt nicht unter pauschalem Hinweis auf Sicherheitsgr\u00fcnde faktisch auf einzelne Anbieter eingeschr\u00e4nkt werden.</p><p>Zu b.: Der Bundesrat ist bereit zu pr\u00fcfen, ob erg\u00e4nzende Vorgaben zur IKT-Beschaffung in Einzelf\u00e4llen n\u00f6tig sind und ins Pflichtenheft der Ausschreibung aufzunehmen sind. Generelle Vorschriften h\u00e4lt er jedoch auch aufgrund der grossen Unterschiede zwischen den verschiedenen KI-Betrieben und Branchen nicht f\u00fcr zielf\u00fchrend. Es liegt im wirtschaftlichen Eigeninteresse der Betreibenden kritischer Infrastrukturen, die aufgef\u00fchrten Kriterien bei solchen Beschaffungen zu ber\u00fccksichtigen. Vorschriften w\u00fcrden der Komplexit\u00e4t von Beschaffungsprozessen kaum gerecht, w\u00fcrden diese verlangsamen und verteuern und k\u00e4men bei privaten Auftraggeberinnen einem Eingriff in die Wirtschaftsfreiheit der Unternehmen gleich.</p><p>Zu c.: Ja, der Bundesrat teilt diese Auffassung.</p><p>Zu d.: Der Bundesrat erkennt einen Bedarf an Pr\u00fcfkapazit\u00e4ten in der Schweiz. Im Kanton Zug befindet sich bereits ein entsprechendes unabh\u00e4ngiges Nationales Testinstitut f\u00fcr Cybersicherheit (NTC) im Aufbau. Das Nationale Zentrum f\u00fcr Cybersicherheit (NCSC) unterst\u00fctzt dessen Aufbau fachlich. Das NTC hat sich zum Ziel gesetzt, Unternehmen und Beh\u00f6rden mit vertieften Sicherheitspr\u00fcfungen von IKT-Systemen und -Anwendungen zu unterst\u00fctzen. Sein Machbarkeitsnachweis wurde unter anderem mit der Pr\u00fcfung der Funktionalit\u00e4ten und Sicherheit des Schweizer Covid-Zertifikatsystems erbracht.</p>  Antwort des Bundesrates.","FederalCouncilProposal":8,"FederalCouncilProposalText":null,"FederalCouncilProposalDate":"\/Date(1660694400000)\/","SubmittedBy":"Pult Jon","BusinessStatus":229,"BusinessStatusText":"Erledigt","BusinessStatusDate":"\/Date(1664496000000)\/","ResponsibleDepartment":7,"ResponsibleDepartmentName":"Finanzdepartement","ResponsibleDepartmentAbbreviation":"EFD","IsLeadingDepartment":true,"Tags":"4|8|15|34","Category":null,"Modified":"\/Date(1690499146157)\/","SubmissionDate":"\/Date(1652054400000)\/","SubmissionCouncil":1,"SubmissionCouncilName":"Nationalrat","SubmissionCouncilAbbreviation":"NR","SubmissionSession":5114,"SubmissionLegislativePeriod":51,"FirstCouncil1":1,"FirstCouncil1Name":"Nationalrat","FirstCouncil1Abbreviation":"NR","FirstCouncil2":null,"FirstCouncil2Name":null,"FirstCouncil2Abbreviation":null,"TagNames":"Staatspolitik|Internationale Politik|Wirtschaft|Medien und Kommunikation"}}