Однако на данный момент не представляется возможным гармонизировать институт уголовной ответственности юридических лиц на общесоюзном уровне ввиду слишком больших различий в правовом регулировании данного вопроса в государствах-членах. Соответственно в наднациональном праве Европейского союза нет института уголовной ответственности юридических лиц, но предусматривается ответственность юридических лиц за преступления. При этом государства-члены обязаны преследовать юридические лица за совершение киберпреступлений, однако вид преследования (административное или уголовное), а также виды санкций остаются на усмотрение государств-членов.

При этом, указывая на возможность ответственности юридических лиц за преступления, европейские институты всегда оставляют рекомендательную норму, содержащую возможные административные и уголовные виды санкций, применимые к юридическим лицам. Норма ответственности юридических лиц за преступления содержится в неизменном виде практически в каждом нормативно-правовом акте, который относится к уголовному праву ЕС, и преследование киберпреступлений, совершаемых в и при помощи сети Интернет, не является исключением.

Ответственность юридических лиц за преступления наступает при наличии определенных критериев и при этом не исключает возможности уголовного преследования физического лица, непосредственно совершившего преступные деяния. Основания ответственности юридических лиц за киберпреступления можно условно разделить на обязательные и дискреционные. При наличии всех обязательных оснований государства-члены обязаны привлечь юридическое лицо к ответственности; если установлены все дискреционные основания, то государство-член должно решить вопрос о необходимости привлечения юридического лица к ответственности.

Под обязательными основаниями понимаются: совершение преступления физическим лицом; совершение преступления в пользу и в интересах юридического лица, наличие у физического лица руководящей позиции. Руководящая роль выражается в наличии полномочий по представлению юридического лица, по совершению юридических действий от имени юридического лица, а также наличии контролирующих полномочий в целом. При этом не имеет значения, в каком качестве выступает физическое лицо в момент совершения преступления.

Дискреционные основания включают в себя: совершение преступления физическим лицом (а именно любым, кто представляет интересы юридического лица), совершение преступления в пользу юридического лица, отсутствие достаточного контроля со стороны руководящего лица.

Стандартным положением для данного института уголовного права является государственный иммунитет и иммунитет международных публичных организаций: меры ответственности юридических лиц не могут быть применены к государству, государственным предприятиям, институциям государства и местной власти, а также к международным публичным организациям.

Также предусматриваются следующие рекомендательные санкции: штраф, временное лишение права деятельности, ликвидация, запрет на предоставление государственной помощи, временный запрет на участие в государственных закупках (в том числе там, где покупателем выступает ЕС или его институция).

Таким образом, правовое регулирование противодействия киберпреступности в Европейском союзе является достаточно широким и в первую очередь направленным на защиту потерпевших, их прав на неприкосновенность частной и семейной жизни, а также на защиту личной информации. Стоит отметить, что европейское законодательство в данной области учитывает все опасные тенденции развития информационных и коммуникационных технологий, а также совершение уже ранее известных уголовному законодательству государств-членов преступных деяний, получивших принципиально новую форму ввиду использования для их совершения информационных удобств сети Интернет.