Legislatíva Európskej únie, ktorá na Slovensku v poslednom čase rezonuje najviac, je určite GDPR ako Všeobecné nariadenie o ochrane údajov, ktoré platí od mája.
Europol však poukazuje na jeho zásadný nedostatok, a to, že narušenie systému či ohrozenie osobných údajov musí byť príslušným orgánom ohlásené do 72 hodín. Ak sa tak nestane, ohlasovateľovi, a teda zároveň i poškodenému, plynie pokuta.
Spoločnosti preto niekedy uprednostňujú radšej zaplatenie výkupného, ktoré býva v porovnaní s pokutou často aj nižšie.
Druhou legislatívnou novinkou je nariadenie NIS Directive, ktoré zlepšuje kybernetickú bezpečnosť v kritických odvetviach spoliehajúcich sa na informačno-komunikačné technológie.
V slovenskom právnom poriadku je tiež transponovaný zákon č. 68/2018 Z. z. o kybernetickej bezpečnosti, ktorý je účinný od apríla tohto roka. Jeho cieľom je zaistiť ochranu informačným systémom a sieťam pred narušením.
Podľa viacerých odborníkov by legislatíve v otázke kyberbezpečnosti pomohlo, keby nebola iba teritoriálna, keďže kybernetické útoky nie sú ohraničené hranicami štátov.