En 2017 déjà, le Conseil a adopté une « boîte à outils de cyberdiplomatie » afin de faire front commun face à la cyber malveillance ; et en 2018, le Conseil européen a enjoint à ses ministres de mettre en place un régime de sanctions contre les cyberattaques. Effectivement, les cyberattaques, définies par le Conseil comme des « actions non autorisées qui concernent l’accès aux systèmes d’information, les atteintes à l’intégrité d’un système d’information, les atteintes à l’intégrité des données ou l’interception de données », ne cessent d’augmenter au sein de l’Union européenne. Selon une enquête « Cyber Readiness Report 2019 » menée par l’assureur privé Hiscox, 61% des entreprises ont signalé avoir été victime d’une cyberattaque au cours de l’année 2018, alors qu’en 2017, elles n’étaient que 45%. Toujours d’après cette enquête, le coût de ces attaques augmente également, de 229 000 dollars en 2017, il serait de 369 000 dollars en 2018. A noter également, une évolution des cibles de ces cyberattaques : si traditionnellement les grandes entreprises sont les victimes de ces attaques, les PME sont aujourd’hui tout autant visées.
Ainsi, afin de lutter contre ces attaques, le Conseil a adopté ce vendredi 17 mai 2019 un cadre juridique permettant de sanctionner les auteurs de cyberattaques à l’encontre de l’UE ou de ses Etats membres. Les mesures restrictives s’appliqueront à tout responsable d’une cyberattaque ayant eu un « impact significatif » ainsi que toutes tentatives de cyberattaque ayant des « effets potentiels importants ». De fait, toutes personnes ou entités ayant commis ou soutenu (financièrement, matériellement, techniquement…) une cyberattaque se verra sanctionner par exemple d’une interdiction de visa ou d’un gel des avoirs. Les cyberattaques peuvent porter atteinte à la sécurité des Etats : elles s’attaquent en effet au traitement d’informations classifiées, aux fonctions critiques des Etats ou encore à des infrastructures critiques. Mais l’UE, ses institutions, organes ou délégations auprès de pays tiers sont aussi l’objet de ce type d’ingérence.