Wird das Bundesamt für Cybersicherheit mit den nötigen Kompetenzen und Ressourcen ausgestattet?

Dieser Antrag wurde eingereicht von:

Gerhard Andrey

Nationalrat

Eingereicht am: 22.12.2023

08.01.2024 - 23.1070
Stufe: Nationale Vorstösse
Stand der Beratung: Erledigt

Ab dem 1. Januar 2024 wir das Nationale Zentrum für Cybersicherheit (NCSC) in das Bundesamt für Cybersicherheit (BACS) überführt und vom EFD ins VBS transferiert werden. Der Bundesrat begründete die Schaffung eines Bundesamts in seiner Kommunikation vom 2.12. 2022 damit, dass die Bedeutung der Cybersicherheit in den vergangenen stark zugenommen habe und dabei die Gewährleistung der Cybersicherheit zu einer unverzichtbaren Aufgabe des Bundes geworden sei. Neben der Sensibilisierung und der Unterstützung von Wirtschaft und Bevölkerung gehöre überdies der “Schutz der Bundesverwaltung” zu den Aufgaben des zu schaffenden Bundesamts. Der Umzug weg vom EFD wurde dabei mit den im VBS vorhandenen Synergiepotentialen begründet.

Ebenfalls am 1. Januar 2024 wird das neu geschaffene Staatssekretariat für Sicherheitspolitik (SEPOS) seine Tätigkeiten aufnehmen. Das SEPOS soll gemäss der Kommunikation des Bundesrats vom 22.11. 2023 u.a. eine Fachstelle Informationssicherheit erhalten, womit das Staatssekretariat zur Umsetzung des Informationssicherheitsgesetzes und somit der sicheren Bearbeitung von Informationen beitrage, für die der Bund zuständig ist.

In Anbetracht dieser Ausgangslage stellen sich folgende Fragen:

  1. Um welche Aufgaben – im Detail – die neu vom SEPOS übernommen werden, wurde das BACS entlastet?
  2. Wird Personal vom BACS ins SEPOS transferiert?
  3. Mit welcher Verbindlichkeit kann das BACS künftig den Cyber-Schutz der Bundesverwaltung garantieren?
  4. Falls keine verbindlichen Vorgaben durch das BACS an die Bundesverwaltung gemacht werden können, wird sich dem dereinst das SEPOS annehmen?
  5. Wie garantiert der Bundesrat, dass es durch die Schaffung des SEPOS, welches neben den primär sicherheitspolitischen auch operative Cybersicherheitstätigkeiten übernimmt, keine Verantwortungsdiffusion entsteht?
  6. Im Finanzplan des Bundes wird mit einem konstanten finanziellen Betrag für die kommenden Jahre gerechnet, rund 15 Mio. CHF jährlich. Weshalb ist in der Planung keine Zunahme der Mittel vorgesehen, konstatiert der Bundesrat doch selber, dass das Thema Cybersicherheit an Wichtigkeit stark zunimmt?

 

Antwort des Bundesrates vom 14.02.2024

Zu 1) Gemäss Übergansbestimmungen der Informationssicherheitsverordnung vom 8. November 2023 (vgl. Art. 51 ISV; SR 128.1) ist das Bundesamt für Cybersicherheit (BACS) bis Mitte 2025 weiterhin für die bestehenden Aufgaben zuständig. Ab Mitte 2025 übernimmt das Staatssekretariat für Sicherheitspolitik (SEPOS) vom BACS die Zuständigkeit für die Aufgaben, die gemäss ISV wie folgt definiert sind:

  • Behandlung und Unterstützung von Vorfällen auf Stufe Bund (sofern das SEPOS nicht dem BACS die Federführung überträgt) (Art. 12 Abs. 3 und Abs. 6-8 ISV)
  • Erlass von Informationssicherheitsvorgaben (Art. 15, Art. 27 Abs. 7, Art. 29 Abs. 1, Art. 31 Abs. 1 ISV)
  • Ausnahmen von den Informationssicherheitsvorgaben (Art. 9 Absätze 2 und 3 ISV)
  • regelmässige Sensibilisierung sowie Erstellung von Schulungs- und Sensibilisierungshilfsmittel (Art. 11 Absätze 3 und 4 ISV)

Das SEPOS wird zusätzlich neue Aufgaben im Bereich der Informationssicherheit wahrnehmen. Dazu gehören beispielsweise verschiedene Dienstleistungen in den Bereichen Vorgabenmanagement, Lieferantenmanagement und Auditmanagement.

Das BACS ist weiterhin das nationale Kompetenzzentrum für Cybersicherheit des Bundes und wird eng mit dem SEPOS zusammenarbeiten. Die Modalitäten dieser Zusammenarbeit werden bis Mitte 2025 etabliert.

Zu 2) Während der Geltungsdauer der Übergangsbestimmungen der ISV sind keine Verschiebungen von personellen oder finanziellen Ressourcen vom BACS ins SEPOS vorgesehen. Der Bundesrat hat das VBS beauftragt, bis Ende 2024 einen Evaluationsbericht über die Funktionsweise der Fachstelle vorzulegen. Der Bericht wird sich u. a. mit Ressourcenfragen (z. B. Ressourcentransfer) im Zusammenhang mit dem Aufbau der Fachstelle für die Zeit nach Ende der Übergangsbestimmung befassen.

Zu 3) und 4) Das BACS ist bis Mitte 2025 für den Erlass von Vorgaben für die Informationssicherheit im Bereich Cybersicherheit der Bundesverwaltung zuständig. Danach übernimmt das SEPOS diese Aufgabe (siehe Antwort zu Frage 1). Das SEPOS nutzt die Expertise von verschiedenen Ämtern und Fachstellen des Bundes (z. B. des BACS oder des kryptografischen Dienstes der Armee). Das BACS bleibt zudem als Kompetenzzentrum für Cybersicherheit weiterhin zuständig für die Unterstützung und Beratung des Bundes bei der Umsetzung der Vorgaben.

Zu 5) Die Aufgaben und Verantwortlichkeiten des SEPOS und des BACS sind in der Organisationsverordnung des VBS und in der ISV geregelt. Darüber hinaus arbeiten das SEPOS und das BACS eng zusammen.

Zu 6) Das BACS hat seinen Betrieb im VBS am 1. Januar 2024 aufgenommen. Es hat die Aufgaben des NCSC unverändert übernommen. Mit der Schaffung eines Bundesamts hat der Bundesrat seinen Willen bekundet, die Fähigkeiten und Kompetenzen in der Cybersicherheit stärker zu gewichten. Er hat dem Bundesamt per 1. Januar 2024 eine Budgeterhöhung um 0,8 Millionen Franken zugesprochen, damit es die Supportaufgaben eigenständig wahrnehmen kann. Ob und in welchem Umfang das Bundesamt zusätzliche Ressourcen benötigt, wird sich im Rahmen der strategischen Weiterentwicklung des BACS zeigen.

Zum Vorstoss