Informations- und Cybersicherheit werden angesichts der zunehmenden Digitalisierung immer wichtiger. Gleichzeitig steigt nicht nur die Bedrohungslage, sondern IT-Systeme sind auf allen Ebenen unzähligen Angriffen ausgesetzt. Bisher bestanden für die Informations- und Cybersicherheit in der Verwaltung erst ansatzweise gesetzliche Regelungen. Das neue Gesetz über die Informations- und Cybersicherheit (ICSG) soll diese Lücke füllen. Zu den wesentlichen Neuerungen gehören Regeln zum Risikomanagement, für die Klassifizierung von Informationen und ICT-Mitteln sowie für die Personensicherheitsprüfung. Damit will der Kanton Bern eine dem Bund gleichwertige Informationssicherheit gewährleisten. Er nimmt dabei unter den Kantonen eine Vorreiterrolle ein.
Die Kommission für Staatspolitik und Aussenbeziehungen (SAK) hat das ICSG für die erste Lesung im Grossen Rat vorberaten, die für die Wintersession 2024 vorgesehen ist. Sie anerkennt die Bedeutung der Informations- und Cybersicherheit und begrüsst, dass auf Gesetzesstufe einheitliche Regeln eingeführt werden sollen. Trotzdem hat die Kommission einige Vorbehalte.
Erhebliche Auswirkungen auf die Gemeinden
Gemeinden sind vom Geltungsbereich des Gesetzes grundsätzlich nur erfasst, wenn sie Bundes- oder Kantonsdaten bearbeiten oder mit ICT-Mitteln des Bundes oder des Kantons arbeiten. Die Auswirkungen auf die Gemeinden sind nach Einschätzung der Kommission aber weitgehend, da alle kantonalen und kommunalen Behörden via ICT-Mittel vernetzt sind. Die SAK befürchtet, dass gerade kleinere Gemeinden die gesetzlichen Anforderungen nicht aus eigener Kraft umsetzen können. Deshalb verlangt sie, dass der Kanton den Gemeinden die nötige Bildung und Beratung zur Verfügung stellt, allenfalls gegen Entgelt.
Personensicherheitsprüfungen sind zu wenig geregelt
Mit einer Personensicherheitsprüfung sollen Behörden namentlich feststellen, ob eine Person wegen Vorstrafen weniger vertrauenswürdig oder wegen Schulden potenziell erpressbar ist. Gemäss dem Antrag des Regierungsrates soll es in der Verantwortung der einzelnen Behörden liegen, gestützt auf ihre Risikobeurteilung festzulegen, welche Personen sie wie oft einer Personensicherheitsprüfung unterziehen und welche Daten sie dabei erheben wollen. Der Kommission fehlen hier konkrete gesetzliche Vorgaben zu den prüfenden Behörden, zu den Personen, die geprüft werden sollen und zur Regelmässigkeit dieser Prüfungen. Sie beantragt dem Grossen Rat daher, diese Bestimmung zurückzuweisen, damit für die zweite Lesung eine entsprechende Regelung ausgearbeitet werden kann.
Ausreichende Ressourcen nötig
Die SAK geht im Gegensatz zum Regierungsrat davon aus, dass sich das Gesetz nur mit zusätzlichen Ressourcen umsetzen lässt. Aus ihrer Sicht darf der Aufbau einer effektiven und effizienten Sicherheitsorganisation nicht an fehlenden Ressourcen scheitern. Sie hält den Grossen Rat daher an, zu gegebener Zeit die entsprechenden Mittel zu sprechen.
Besonderheiten des Parlaments berücksichtigen
Das ICSG soll auch für den Grossen Rat gelten. Weil sich der Ratsbetrieb aber von der restlichen kantonalen Verwaltung unterscheidet, beantragt die SAK eine Ausnahmebestimmung. Diese soll dem Grossen Rat die Möglichkeit geben, bei Bedarf für sich selber abweichende Ausführungsbestimmungen zu beschliessen. Damit können die Besonderheiten des Parlaments berücksichtigt werden.