El Consejo de la UE ha establecido un marco que permite a la UE imponer medidas restrictivas específicas para disuadir y contrarrestar los ciberataques que representen una amenaza exterior para la UE o sus Estados miembros, en particular los perpetrados contra terceros Estados u organizaciones internacionales, cuando esas medidas se consideren necesarias para alcanzar los objetivos de la política exterior y de seguridad común (PESC).
Los ciberataques que entran en el ámbito de aplicación de este nuevo régimen de sanciones son los que tienen repercusiones importantes y que:
-Se originan o se cometen desde el exterior de la UE, o
-Utilizan infraestructura exterior a la UE, o
-Son cometidos por personas o entidades establecidas o activas fuera de la UE, o
-Son cometidos con el apoyo de personas o entidades activas fuera de la UE.
El régimen abarca también las tentativas de ciberataques con repercusiones potencialmente importantes.
Más concretamente, este marco permite por primera vez a la UE imponer sanciones a las personas o entidades responsables de ciberataques o tentativas de ciberataques, o que prestan para ello apoyo financiero, técnico o material o están implicadas de algún otro modo, así como a las personas y entidades asociadas con ellas.
Entre las medidas restrictivas figuran la inmovilización de activos de dichas personas y entidades y la prohibición de viajar a la UE. Además, las personas y las entidades de la UE tienen prohibido poner fondos a disposición de aquellas que figuren en la lista.