ESMA geeft richtsnoeren voor cryptodienstverleners onder MiCAR

9 minuten

Inleiding

Het zijn drukke tijden voor marktpartijen die cryptodiensten verlenen of willen gaan verlenen (CASPs). Op 30 december 2024 is binnen Europa namelijk de Verordening betreffende cryptoactivamarkten (MiCAR) van kracht geworden waarmee een nieuw juridisch raamwerk voor CASPs is geïntroduceerd. Concreet betekent dit dat bestaande CASPs die voor deze datum al actief waren in of vanuit Nederland, binnen zes maanden (dus uiterlijk op 30 juni 2025) een MiCAR-vergunning moeten hebben verkregen van de Autoriteit Financiële Markten (AFM) om cryptodiensten te kunnen blijven verlenen. CASPs die graag actief willen worden, zullen eerst met succes een MiCAR-vergunningaanvraag bij de AFM moeten doorlopen voordat zij cryptodiensten kunnen aanbieden.

De AFM heeft als één van de eerste landen in Europa haar portaal voor MiCAR-vergunningaanvragen al vroegtijdig open gezet afgelopen jaar, ruim voordat MiCAR voor CASPs van kracht werd. Dit heeft Nederlandse CASPs in staat gesteld zich tijdig voor te bereiden op het vergunningtraject. Op dagtekening van het schrijven van deze blog heeft de AFM inmiddels de eerste MiCAR-vergunningen aan Nederlandse CASPs verstrekt.

Op basis van de eerste ervaringen met MiCAR-vergunningtrajecten kan worden vastgesteld dat de weg naar indiening ervan een grote krachtinspanning vergt van bestaande CASPs. Door het uitgebreide regelgevend kader onder MiCAR, in combinatie met het op afgelopen 17 januari van kracht geworden DORA (Digital Operational Resilience Act) raamwerk dat ook van toepassing is op CASPs, komt veel op deze marktpartijen af.

Is de vergunningaanvraag door een CASP eenmaal ingediend, dan volgt een kritische beoordeling vanuit de AFM die met een zeer gedetailleerde blik deze aanvraag beoordeelt. Op sommige onderdelen van zo’n vergunningaanvraag leert ervaring op dit moment dat het zoeken is wat van CASPs exact wordt verwacht met betrekking tot de implementatie van wettelijke verplichtingen. Immers is lang nog niet alles helemaal uitgekristalliseerd onder MiCAR, wat tot bepaalde onduidelijkheden (en daarmee onzekerheid) kan leiden bij CASPs. Hierbij kan worden gedacht aan de exacte reikwijdte van en samenloop tussen verschillende cryptodiensten, de samenloop van het verlenen van cryptodiensten met betaaldiensten en een daarmee samenhangende vergunningplicht als betaalinstelling (PSP) onder de herziene richtlijn betaaldiensten (PSD2), maar ook de precieze inrichting van de doorlopende vereisten.

ESMA Richtsnoeren

In het bijzonder met betrekking tot dit laatste onderdeel beoogt de European Securities and Markets Authority (ESMA) meer duidelijkheid te bieden met de door haar op 31 januari 2025 gepubliceerde briefing (link). Hierin heeft ESMA nadere richtsnoeren (ESMA Richtsnoeren) geformuleerd die nationale toezichthouders in acht dienen te nemen bij het beoordelen van vergunningaanvragen van CASPs. Met deze ESMA Richtsnoeren wordt beoogd het toezicht onder MiCAR verder te verduidelijken en uniforme toepassing van het MiCAR-raamwerk binnen Europa te vergroten. De ESMA Richtsnoeren hebben betrekking op uiteenlopende onderwerpen onder MiCAR. Dit betreft onder meer de risicogebaseerde aanpak die in het toezicht op CASPs door nationale toezichthouders moet worden gehanteerd, substance en interne organisatie van een CASP, uitbesteding en de toetsing van bestuurders (en commissarissen) op geschikt- en betrouwbaarheid. Het voert te ver om in deze blog alle richtsnoeren tot in detail te bespreken. Hierna geef ik een overzicht van de meest wezenlijke onderdelen van ESMA Richtsnoeren en reik ik enkele concrete handvatten aan voor CASPs.

 

Risicogebaseerde aanpak bij vergunningaanvraag

Omdat CASPs in een minder volwassen markt actief zijn, veelal direct te maken hebben met retail beleggers en nog niet over een volwaardig track record beschikken, is ESMA van mening dat CASPs per definitie geen laag risicoprofiel hebben. Een hoogrisicobenadering in dit verband door lokale toezichthouders moet dan ook het uitgangspunt zijn. Op het moment dat een CASP groter in omvang is qua aantal cliënten (bijvoorbeeld meer dan 1 miljoen actieve gebruikers) en/of gelden die onder zich worden gehouden, neemt het risico toe dat de cryptomarkt kan worden beschadigd op het moment dat sprake is van non-compliance aan de zijde van een CASP.

Ook de complexiteit van de groepsstructuur waarbinnen een CASP actief is, de mate van grensoverschrijdende dienstverlening, de combinatie van cryptodiensten waarvoor een CASP een vergunning aanvraagt en de mate van uitbesteding van werkzaamheden zijn kernelementen die volgens ESMA tot een hoger risicoprofiel van een CASP kunnen leiden.

 

  • Concrete acties: een CASP die overweegt een MiCAR-vergunning aan te vragen doet er goed aan voorafgaand een analyse te maken en haar eigen risicoprofiel en bijbehorende aandachtspunten in kaart te brengen. Op basis daarvan kan een CASP rekening houden met onder andere de mate van toetsing door de AFM als in Nederland bevoegde toezichthouder. Eventuele kritieke onderdelen kunnen, waar nodig, door een CASP worden ondervangen door daar extra aandacht aan te besteden in de voorbereiding van de vergunningaanvraag. Dat haalt direct de angel eruit, voorkomt vragen en bespoedigt daarmee de aanvraag.

 

Substance en interne organisatie

ESMA benoemt dat een CASP over voldoende lokale substance moet beschikken en dat een CASP in staat is om autonome beslissingen te nemen over het beleid dat binnen de EU wordt uitgevoerd. Deze lokale autonomie is onder meer van belang voor het effectief toezicht kunnen houden door een lokale toezichthouder. De ESMA Richtsnoeren geven concrete handvatten om vast te stellen of sprake is van voldoende lokale autonomie (substance) van een CASP. Ik som enkele relevante elementen op:

 

  • Bestuursleden moeten ten minste de helft van hun tijd beschikbaar zijn voor het besturen van een CASP;
  • Als uitgangspunt bij voorgaande geldt dat de chief executive officer (CEO) 100% van zijn/haar tijd aan het besturen van de CASP moet besteden, tenzij de lokale toezichthouder van mening is dat een mindere tijdsbesteding geen negatieve impact heeft op het vermogen van de CEO om de CASP in overeenstemming met de voorschriften te besturen;
  • Het is van belang dat individuele bestuursleden over sterke kennis van de markt en het juridische kader, zowel op nationaal- als op EU-niveau, beschikken;
  • Er moet een significant team aanwezig zijn in de lidstaat waar de CASP is gevestigd, in het bijzonder de belangrijkste bestuursleden en senior managers zodat zij hun rol en verantwoordelijkheden effectief kunnen vervullen. Hiermee komt ook tot uitdrukking dat de ESMA Richtsnoeren zich richten tot niet-EU partijen.

 

ESMA geeft ook nog richtsnoeren met betrekking tot de interne controlefunctie van een CASP. Daaruit komt onder meer naar voren dat een CASP naast uitgebreid beleid en procedures voor compliance, interne controle en risicomanagement ook over werkprocessen en instructies moet beschikken. Deze mate van detail zien wij door de AFM ook actief uitgevraagd worden bij een CASP onder een MiCAR-vergunningaanvraag.

Verder verwacht ESMA een uitgebreid kader voor risicobeheer en geeft aan hoe dit er volgens haar uit moet zien, onder meer met betrekking tot de rollen en verantwoordelijkheden binnen de organisatie, risicobereidheid, risico-identificatie, risicobeoordeling en -beheer, maar ook monitoring, rapportage en evaluatie.

 

  • Concrete acties: een CASP zal voorafgaand aan het indienen van een vergunningaanvraag moeten vaststellen dat sprake is van voldoende substance in de lidstaat waar zij is gevestigd. Ook zal moeten worden gekeken naar de samenstelling van het bestuur en de mate van beschikbaarheid van individuele bestuursleden. Hierbij kan voor bestuursleden ook worden gedacht aan een training voor het opdoen van de vereiste kennis en ervaring met betrekking tot MiCAR. Dergelijke trainingen kunnen vanuit Finnius worden verzorgd.

 

Daarnaast dient een CASP ten tijde van een vergunningaanvraag bij de AFM over een robuust en gedetailleerd compliance- en interne controlefunctie raamwerk te beschikken, evenals een risicobeheer raamwerk. Als één of meer onderdelen niet aanwezig zijn, zal een CASP deze aandachtspunten eerst moeten adresseren voordat de vergunningaanvraag wordt ingediend.

 

Uitbesteding

Een belangrijk uitgangspunt bij uitbesteding is dat dit niet zover kan gaan dat dit ertoe leidt dat de CASP een ‘brievenbusmaatschappij’ wordt. Op het moment dat CASPs meer functies uitbesteden aan partijen buiten Europa dan functies die door de CASP binnen Europa worden uitgevoerd, zal dit door een nationale toezichthouder kritisch moeten worden bekeken.

Nationale toezichthouders zullen daarnaast bijzondere aandacht moeten besteden aan uitbesteding van ICT-infrastructuur waarbij rekening wordt gehouden met de specifieke vereisten die hiervoor onder DORA gelden. Een CASP zal bij de uitbesteding ook moeten aantonen dat zij effectieve controle heeft over de uitbestede activiteiten. In het bijzonder moet ervoor worden gezorgd dat de uitbesteding van anti-witwas (AML) functies beperkt is en dat de verantwoordelijkheid voor compliance met AML regelgeving altijd bij de CASP blijft berusten. Daarnaast schrijven de ESMA Richtsnoeren onder meer voor dat CASPs bewaardiensten (custody) uitsluitend kunnen uitbesteden aan marktpartijen die hiervoor zelf over een vergunning als CASP beschikken.

 

  • Concrete acties: naast de primair geldende regels onder MiCAR voor uitbesteding en onder DORA voor het contracteren met derde aanbieders van ICT-diensten, zal een CASP de ESMA Richtsnoeren rondom uitbesteding in haar beleid en procedures moeten betrekken. De wijze waarop en de mate waarin uitbesteding door een CASP plaatsvindt, moet door een CASP ook worden bekeken vanuit het substance-vraagstuk.

 

Overige

In het kader van bestuurderstoetsingen zal van de individuele bestuursleden van een CASP die een grotere omvang heeft, complexe diensten aanbiedt en/of cruciaal is voor het crypto-ecosysteem een hoger niveau van specifieke vaardigheden en ervaring worden gevraagd.

Marktpartijen die al over een vergunning als bijvoorbeeld beleggingsonderneming of elektronisch geldinstelling beschikken en specifieke cryptodiensten willen aanbieden, doen er goed aan ook kennis te nemen van de ESMA Richtsnoeren. Deze geven namelijk nog specifieke guidance in verband met de notificatieproceduce die door deze marktpartijen onder MiCAR moet worden doorlopen voordat specifieke cryptodiensten worden verleend. De belangrijkste take-away hierbij is om een notificatie in te dienen die compleet is. Zolang een notificatie niet compleet is, zal de AFM geen toestemming verlenen om cryptodiensten te mogen aanbieden.

 

Tot besluit

Deze ESMA Richtsnoeren geven op verschillende onderdelen meer richting over wat van een CASP wordt verwacht bij de inhoudelijke beoordeling van een MiCAR-vergunningaanvraag.

De ESMA Richtsnoeren zijn daarmee naar mijn inzicht een must read voor iedere CASP die op dit moment een MiCAR-vergunningaanvraag bij de AFM heeft lopen of van plan is deze in te dienen. De ESMA Richtsnoeren bieden concrete handvatten voor CASPs die van belang en nuttig zijn voor een juiste inrichting van de interne organisatie. ESMA gaat hierbij wel verder dan wat de verwachting zou zijn op grond van MiCAR en bijbehorende level-2 regelgeving.

Heeft u na het bestuderen deze blog of ESMA Richtsnoeren nog vragen of wilt u verder van gedachten wisselen over een vergunningaanvraag bij de AFM als CASP, neem gerust contact met ons op.