Das Wesentliche in Kürze
Die Eidgenössische Finanzkontrolle (EFK) hat bei den Parlamentsdiensten (PD) eine Nachprüfung der Umsetzung wesentlicher Empfehlungen aus den Jahren 2021–2023 durchgeführt.
Im Rahmen dieser Nachprüfung wurden elf Empfehlungen aus zwei verschiedenen Prüfungen überprüft.
Vier der Empfehlungen stammen aus der Prüfung PA 21310 «Projekt CuriaPlus». Die Empfehlungen betrafen die Erstellung einer Informations- und Kommunikationstechnologie (IKT)-Strategie und Gouvernanz. Die EFK hatte zudem empfohlen, eine Soll-Architektur, ein übergeordnetes Qualitäts- und Risikomanagement sowie Sourcing- und Betriebskonzepte zu erstellen. Des Weiteren galt es, fehlende Lieferobjekte nachzureichen: Eine Testinfrastruktur, Betriebs- und Wartungsverträge, die Prüfung der Sicherheitsanforderungen sowie Informationsschutz und Datenschutzkonzepte.
Sieben weiteren Empfehlungen hat die EFK im Rahmen der Prüfung PA 23702 «Sicherheit von Curia Plus» abgegeben. Sie betrafen die Festlegung eines einheitlichen Sicherheitsverfahrens, den Aufbau eines zentralen Risikomanagements, eine erweiterte Sicherheitsüberprüfung von CuriaPlus inklusive der Umsysteme sowie die Implementierung eines zentralen Schwachstellenmanagements. Zudem empfahl sie, die Verantwortlichkeiten bei der Störungsbehebung zwischen den verschiedenen Lieferanten vertraglich zu regeln sowie die Geschäftskontinuität, das sogenannte Business Continuity Management, zu aktualisieren und entsprechend zu testen. Eine weitere Empfehlung betraf die Erstellung einer ausgelagerten Datensicherung sowie eine georedundant ausgelegte Serverinfrastruktur zu prüfen.
Die EFK stellt fest, dass alle elf Empfehlungen umgesetzt wurden.