Í flestum nágrannalöndum Íslands eru í gildi reglur sem skylda net- og símafyrirtæki til að gefa opinberum stofnunum upplýsingar um innbrot í kerfi sín og gagnaleka. Þetta segir Rey LeClerc Sveinsson, yfirmaður upplýsingaöryggisþjónustu Deloitte á Íslandi. Í sumum ríkjum Bandaríkjanna taka lögin jafnvel til allra fyrirtækja sem búa yfir persónugreinanlegum upplýsingum. Hér á landi eru aftur á móti engin lög sem leggja skyldur á fyrirtæki að tilkynna netárásir.
LeClerc tekur sem dæmi að í Kaliforníuríki í Bandaríkjunum hafi frá árinu 2003 verið lög sem skylda fyrirtæki sem reka tölvukerfi með persónugreinanlegum upplýsingum til að láta strax vita af mögulegum netárásum. Síðan þá hafi löggjöfin verið víkkuð og taki sérstaklega fyrir t.d. heilbrigðisgeirann. LeClerc segir að flest öll önnur ríki hafi tekið upp svipuð lög, en öldungadeild bandaríska þingsins hefur aftur á móti ekki samþykkt alríkislög á þessu sviði.
Evrópusambandið tók fyrr á þessu ári í gildi lög sem gefa net- og símafyrirtækjum 24 klukkustundir til að bregðast við netárásum með því að láta stjórnvöld vita. Þurfa þau að láta vita af umfangi árásarinnar og hverju hafi verið stolið. Þá er í vinnslu að víkka þessi lög út þannig að þau nái einnig til innbrota í öll tölvukerfi sem geyma persónuleg gögn, líkt og er í Bandaríkjunum. Leclerc segir að engin slík lög séu í gildi hér og að Alþingi eigi enn eftir að samþykkja Evrópusambandslögin.
Eftir árásina á Vodafone um síðustu helgi hafa vaknað upp margar spurningar um þessi mál, en greint var frá því að tölvuárásir hafi meðal annars verið gerðar á þrjú önnur fyrirtæki á svipuðum tíma.