Un hacker peut en cacher un autre ? Consciente du danger, la Commission européenne évalue la mise en oeuvre de la législation communautaire relative aux attaques visant les systèmes d'information (SI). Premier constat : 6 des 27 Etats-Membres de l'UE n'ont toujours pas mis en oeuvre la décision-cadre du 24 février 2005, alors que celle-ci devait être transposée au plus tard en mars 2007.

Or, à travers l'application de cette décision, l'Europe entend renforcer la coopération judiciaire en matière pénale concernant les attaques des systèmes (le système peut être isolé ou faire partie d'un ensemble de dispositifs interconnectés). Dans ce cadre, les infractions punissables « par des sanctions pénales effectives, proportionnées et dissuasives » qui auront été prévues par les Etats membres, sont : l'accès illicite aux SI, l'atteinte à l'intégrité d'un système et/ou des données. Dans tous les cas, c'est « l'élément d'intentionnalité » qui caractérise le fait criminel. La tentative, l'incitation et la complicité sont également passibles de sanctions.

Par ailleurs, pour intensifier la coopération, chaque Etat membre est censé avoir mis en place des points de contact opérationnels 24h/24 et 7j/7. Leurs coordonnées, ainsi que toute mesure adoptée pour mettre en oeuvre la décision de 2005, auront été précisées au secrétariat général du Conseil de l'UE et à la Commission. Jeudi 10 juillet 2008, le vice-président de la Commission, Jaques Barrot, s'est déclaré « préoccupé » par le fait que six Etats membres (Espagne, Grèce, Malte, Irlande, Royaume-Uni, Slovaquie) n'ont communiqué aucune mesure d'application. Toutefois, il s'est félicité « du bon niveau de mise en œuvre de la décision-cadre 2005/222 par la grande majorité ». Avant d'alerter : « les récentes vagues d'attaques contre les SI, notamment les attaques massives qui ont visé les infrastructures d'information estoniennes en 2007, montrent que les réponses à ces attaques doivent être mieux coordonnées au niveau européen. J'appelle les Etats membres qui n'ont pas encore donné plein effet à la décision-cadre à remédier à cette situation dès que possible ».