(evp) Es dürfte ein echte Herausforderung sein, das neue Informationssicherheitsgesetz zu etablieren ohne die Arbeit der Verwaltung signifikant einzuschränken. Die EVP erachtet das InfoSiG aber als zwingend nötig und ist erstaunt, dass der Kanton beim Thema Cybersicherheit die Mindeststandard des Bundes noch nicht erreicht.
Entgegen der Vorlage sollte eine Personensicherheitsprüfung auch für Mitglieder der Legislative und Exekutive möglich sein.
Cybersicherheit heute ungenügend
Die EVP zeigt sich erstaunt bis erschrocken darüber, dass der Kanton beim Thema Cybersicherheit eigentlich noch gar nirgends steht. Als Verwaltung ist der Kanton ein beliebteres Angriffsziel als andere und muss tendenziell mehr tun. Das Informationssicherheitsgesetz ist deshalb überfällig und zwingend nötig.
Es ist wichtig, die Zuständigkeiten festzulegen und die Verantwortliche Stelle mit der nötigen Weisungsbefugnis auszustatten. Sich bei den technischen und organisatorischen Massnahmen zunächst am Minimalstandard des Bundes für kritische Infrastrukturen und später an den branchenüblichen internationalen Standards zu orientieren, halten wir für sinnvoll.
Damit keine Lücke in der Sicherheitsarchitektur besteht, müssen die Bestimmungen aus Sicht der EVP ganz klar auch für Gemeinden gelten, wenn sie klassifizierte Informationen des Kantons bearbeiten oder auf Informatikmittel des Kantons zugreifen. Damit werden einige Gemeinden bereits sehr gefordert sein. Ihre Anforderungen gesetzlich über den IKT-Mindeststandard des Bundes auf den neuen kantonalen Standard zu heben, wäre deshalb wohl nicht mehrheitsfähig.
Sicherheitsprüfung auch für Grossräte
Nicht einverstanden ist die EVP mit dem vorgeschlagenen Personenkreis für die Durchführung der Personensicherheitsprüfung (PSP). Während Kandidierende in den nationalen Parlamenten möglicherweise noch durch die Medien durchleuchtet werden, stimmt das auf Ebene Kanton schon lange nicht mehr. Die EVP findet es deshalb falsch, hier die Regelung des Bundes als Vergleich heranzuziehen, sondern verlangt zwingend eine kantonale Diskussion zum Personenkreis. Zu allen Akteuren, welche Einblick in wichtige politische oder sicherheitsrelevante Geschäfte haben, soll eine PSP durchgeführt werden können; Regierungs- und Grossrätinnen und -räte gehören sicher zu diesem Kreis dazu.
Die Frage ist natürlich, ob eine vom Stimmvolk gewählte Person bei nicht bestandener PSP in ihrer Handlungsfreiheit eingeschränkt oder gar abgesetzt werden kann. Es soll auch kein Bürokratischer Aufwand im Voraus für die Parteien entstehen. Deshalb sind wir der Meinung, dass das eingehend politisch diskutiert werden muss.
Einer Eignungsprüfung für Unternehmen im Rahmen von sicherheitsrelevanten Vergabeverfahren oder Auslagerungen einer öffentlichen Aufgabe stimmt die EVP zu, sofern nicht stur angewendet wird. Eine zu restriktive Handhabung könnte innovative Startups als Anbieter ausschliessen ihren Markteintritt erschweren. Ein Marktschutz von etablierten Firmen würde zudem zu Mehrkosten und nicht optimalen Lösungen für den Kanton Aargau führen.
Herausforderung bei der Umsetzung
Die grosse Herausforderung sieht die EVP in der Zusammenarbeit der zentralen IT mit den IT-Stellen in den Departementen. Dass sie es schafft, konstruktiv mit den Leuten vor Ort die IT zu entwickeln und deren Arbeit nicht zu behindern. Und dass gleichzeitig die Verantwortlichen in den Abteilungen bereit sind, ein gemeinsames Verständnis für die Informationssicherheit zu bilden. Wir wünschen der Verwaltung dabei gutes Gelingen.
