Wniosek dotyczący dyrektywy w sprawie przeciwdziałania nowym przestępstwom cybernetycznym, takim jak ataki cybernetyczne na wielką skalę, uzupełnia wniosek dotyczący rozporządzenia w sprawie wzmocnienia i zmodernizowania Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA). Zgodnie z proponowaną dyrektywą sprawcy ataków cybernetycznych i producenci służących temu celowi programów oraz oprogramowania złośliwego mogą być ścigani i podlegać bardziej surowym karom. Państwa członkowskie byłyby również zobowiązane do szybkiego udzielenia odpowiedzi na pilne prośby o pomoc w przypadkach ataków cybernetycznych, zwiększając skuteczność europejskiej współpracy organów sprawiedliwości i policji w tej dziedzinie. Wzmocnienie i modernizacja ENISA pomogłyby także UE, państwom członkowskim i zainteresowanym stronom prywatnym w rozwinięciu swoich możliwości i przygotowaniu się do zapobiegania, wykrywania i reagowania na wyzwania bezpieczeństwa cybernetycznego.

- Działalność przestępcza przyjmuje nowe formy. Za pomocą złośliwego oprogramowania można przejmować kontrolę nad dużą liczbą komputerów i kraść numery kart kredytowych, wchodzić w posiadanie danych szczególnie chronionych lub przypuszczać ataki na dużą skalę. Nadszedł czas, abyśmy zwiększyli nasze wysiłki przeciwko cyberprzestępczości, która wykorzystywana jest często również w przestępczości zorganizowanej. Wnioski, które dzisiaj przedkładamy, stanowią ważny krok, ponieważ uznajemy tym samym tworzenie i sprzedaż oprogramowania złośliwego za przestępstwo i zwiększamy europejską współpracę policyjną - mówi Cecilia Malmström, komisarz UE do spraw wewnętrznych. Wiceprzewodnicząca Komisji ds. agendy cyfrowej Neelie Kroes dodała: Obywatele Europy będą wykorzystywali przestrzeń cyfrową tylko wtedy, gdy będą się czuli pewnie i bezpiecznie w środowisku on-line. Zagrożenia cybernetyczne nie znają granic. Zmodernizowania Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji zapewni nową specjalistyczną wiedzę i wesprze wymianę najlepszych praktyk w Europie. Nasze instytucje UE i rządy muszą współpracować ściślej niż zwykle, aby pomóc nam zrozumieć charakter i skalę nowych zagrożeń cybernetycznych. Potrzebujemy porady i wsparcia Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji, by pomóc opracować skuteczne mechanizmy reakcji w celu ochrony naszych obywateli i przedsiębiorstw w środowisku on-line

Pomimo że Europa jest zaangażowana w pełnym wykorzystywaniu potencjału sieci i systemów informatycznych, nie powinna stać się bardziej narażona na zakłócenia spowodowane przez zdarzenia przypadkowe lub zjawiska naturalne (jak awaria kabla podmorskiego), czy też działania złośliwe (jak hakerstwo lub inne ataki cybernetyczne). Działania takie mogą być spowodowane na przykład przez coraz bardziej zaawansowane narzędzia, które wykorzystują dużą liczbę komputerów, manipulując nimi jednocześnie jak armią robotów w Internecie (tzw. botnety), bez wiedzy ich właścicieli. Takie zainfekowane komputery mogą być później wykorzystane do przeprowadzenia niszczących ataków cybernetycznych na publiczne i prywatne systemy IT. Takie zdarzenie miało miejsce w Estonii w 2007 r., kiedy to zarówno większość publicznych usług on-line, jak i rządowych, parlamentarnych i policyjnych serwerów przestała na pewien czas funkcjonować.

Ilość ataków na systemy informatyczne stale wzrasta, od kiedy UE przyjęła pierwsze przepisy w sprawie ataków na systemy informatyczne w lutym 2005 r. W marcu 2009 r. systemy komputerowe rządów i organizacji prywatnych w ponad 100 państwach zostały zaatakowane za pośrednictwem sieci zainfekowanych komputerów w celu pobrania dokumentów szczególnie chronionych i poufnych. W tym przypadku, po raz kolejny, złośliwe oprogramowanie stworzyło tzw. botnety, sieci zainfekowanych komputerów, którymi można sterować na odległość w celu przeprowadzenia ataku.

Pakiet zaproponowany przez Komisję ma wzmocnić reakcję Europy na zakłócenia w przestrzeni cybernetycznej. Ponadto pakiet ten utorowałoby drogę dla poprawy współpracy pomiędzy sądownictwem i policją państw członkowskich, wprowadzając obowiązek, aby państwa członkowskie pełniej wykorzystywały istniejące sieci punktów kontaktowych (które funkcjonują 24 godziny na dobę przez 7 dni w tygodniu) poprzez udzielanie odpowiedzi na wnioski pilne w wyznaczonym przedziale czasu.