Podstawowym ustaleniem, które znalazło się w projekcie nowej dyrektywy było rozszerzenie odpowiedzialności za cyberwłamania z samych hakerów także na osoby prawne, które miały potencjalnie skorzystać na popełnionym przez nich przestępstwie. Czy to świadomie zatrudniając w tym celu odpowiednią osobę (hakera), czy też pozwalając na popełnienie cyberprzestępstwa przez brak odpowiedniego nadzoru nad pracownikiem.
Dyrektywa wprowadza także konkretne kary za różne formy Osobom prywatnym za dopuszczenie się cyberataku grozić będzie maksymalny wyrok w wysokości dwóch lat pozbawienia wolności. Wzrasta on do 3 lat, jeśli podczas ataku haker posłuży się cudza tożsamością, wskazując na jej prawowitego właściciela jako winowajcę. 5 lat otrzyma jeśli w ramach popełnionego przestępstwa pojawią się dodatkowe okoliczności obciążające, jak na przykład kradzież szczególnie ważkich danych, znaczące straty finansowe obiektu ataku, czy skorzystanie z botnetu, albo innych struktur zaprojektowanych do prowadzenia ataków na dużą skalę.
Nawet wyższe wyroki mają być wydawane w przypadkach cyberprzestępczości zorganizowanej lub jeśli celem ataku padną struktury IT kluczowych dla państwa instytucji, takie jak na przykład elektrownie, czy kontrola ruchu.
Co więcej, jak pisze The Register, karze ma podlegać nawet pobieranie i posiadanie narzędzi służących do hakowania. Pod sąd można pójść jednak także już za "produkcję" hakerskiego oprogramowania lub dostarczanie innego mogącego w tym celu posłużyć, jeśli czynione jest to ze świadomością jego przeznaczenia. Nie wiadomo jednak nadal, czy powstanie jakaś lista - indeks aplikacji zakazanych.
Jeśli proces legislacyjny potoczy się bez opóźnień, możliwe jest, że kształt nowej dyrektywy uda się uzgodnić jeszcze przed początkiem lata 2012 roku.
