Ответственность юридических лиц за преступления наступает при наличии определенных критериев и при этом не исключает возможности уголовного преследования физического лица, непосредственно совершившего преступные деяния. Основания ответственности юридических лиц за киберпреступления можно условно разделить на обязательные и дискреционные. При наличии всех обязательных оснований государства-члены обязаны привлечь юридическое лицо к ответственности; если установлены все дискреционные основания, то государство-член должно решить вопрос о необходимости привлечения юридического лица к ответственности.
Под обязательными основаниями понимаются: совершение преступления физическим лицом; совершение преступления в пользу и в интересах юридического лица, наличие у физического лица руководящей позиции. Руководящая роль выражается в наличии полномочий по представлению юридического лица, по совершению юридических действий от имени юридического лица, а также наличии контролирующих полномочий в целом. При этом не имеет значения, в каком качестве выступает физическое лицо в момент совершения преступления.
Дискреционные основания включают в себя: совершение преступления физическим лицом (а именно любым, кто представляет интересы юридического лица), совершение преступления в пользу юридического лица, отсутствие достаточного контроля со стороны руководящего лица.
Стандартным положением для данного института уголовного права является государственный иммунитет и иммунитет международных публичных организаций: меры ответственности юридических лиц не могут быть применены к государству, государственным предприятиям, институциям государства и местной власти, а также к международным публичным организациям.
Также предусматриваются следующие рекомендательные санкции: штраф, временное лишение права деятельности, ликвидация, запрет на предоставление государственной помощи, временный запрет на участие в государственных закупках (в том числе там, где покупателем выступает ЕС или его институция).
Таким образом, правовое регулирование противодействия киберпреступности в Европейском союзе является достаточно широким и в первую очередь направленным на защиту потерпевших, их прав на неприкосновенность частной и семейной жизни, а также на защиту личной информации. Стоит отметить, что европейское законодательство в данной области учитывает все опасные тенденции развития информационных и коммуникационных технологий, а также совершение уже ранее известных уголовному законодательству государств-членов преступных деяний, получивших принципиально новую форму ввиду использования для их совершения информационных удобств сети Интернет.