Ustawa C-59, zezwalająca kanadyjskim służbom bezpieczeństwa na dokonywanie cyberataków w obronie bezpieczeństwa publicznego, uzyskała sankcję królewską. Prace legislacyjne trwały dwa lata.

Przeprowadzenie cyberataku (określonego w ustawie jako “active cyber operations”) przez Communications Security Establishment ma się odbywać na rozkaz premiera lub ministrów. Za każdym razem w przypadku cyberataku niezbędna będzie zgoda ministrów obrony narodowej i spraw zagranicznych,a  wprzypadku akcji defensywnej – ministra obrony narodowej. Operacje z założenia mają mieć na celu np. zablokowanie telefonu terrorysty przed odpaleniem ładunku wybuchowego lub uniemożliwienie komunikacji między osobami szykującymi zamach.

Stephanie Carvin, profesor Carleton University, była analityk CSIS, podkreśla, że przyjęcie ustawy nie oznacza natychmiastowego rozpoczęcia działań hakerskich. Ustawa powołuje dodatkową agencję – National Security and Intelligence Review Agency – która ma czuwać nad działaniami agencji zaangażowanych w ochronę bezpieczeństwa: Canadian Security Intelligence Service, Royal Canadian Mounted Police, Communications Security Establishment i Canada Border Services Agency. Nowa agencja będzie powstawać przez 6-12 miesięcy.