Segundo um comunicado do Conselho da UE, o quadro de sanções estabelece que podem também ser impostas medidas restritivas específicas a pessoas ou entidades associadas aos responsáveis.

Os ciberataques abrangidos pelo âmbito deste novo regime de sanções são os que tenham um impacto significativo e que constituam uma ameaça externa à UE ou aos seus Estados-membros.

As sanções podem ser aplicadas ainda em caso de ciberataques contra Estados terceiros ou organizações internacionais em que se considere necessário aplicar medidas restritivas para alcançar os objetivos da política externa e de segurança comum (PESC) da UE.

A UE poderá, pela primeira vez, impor sanções a pessoas ou entidades responsáveis por ciberataques ou tentativas de ciberataques, que prestem apoio financeiro, técnico ou material a esses ataques ou que participem de outras formas.

As medidas restritivas incluem a proibição de pessoas viajarem para a UE e o congelamento de bens de pessoas e entidades.

Além disso, é proibido a pessoas e entidades da UE colocarem fundos à disposição de pessoas e entidades incluídas na respetiva lista de sanções.