MiCA forklaret: »Vi har et EU-kontor« er ikke nok: Her er, hvad tilsynsmyndighederne rent faktisk ønsker at se

MiCA Decoded er en ugentlig serie på 12 artikler til Bitcoin.com News, skrevet i fællesskab af LegalBisons medstiftere og administrerende direktører: Aaron Glauberman, Viktor Juskin og Sabir Alijev. LegalBison rådgiver krypto- og FinTech-virksomheder om MiCA-licenser, CASP- og VASP-ansøgninger samt reguleringsstrukturering i hele Europa og udenfor.

Denne uges artikel er skrevet af Krystian Lapka, advokat hos LegalBison. Krystian er specialiseret i grænseoverskridende selskabs- og handelstransaktioner samt strategisk risikostyring i krydsfeltet mellem civilret og common law.

---

De fleste grundlæggere, der står over for deres første CASP-ansøgning, forstår, i det mindste abstrakt, at MiCA kræver en reel tilstedeværelse i EU. Det, de undervurderer, er, hvordan tilsynsmyndigheden definerer "reel".

Den typiske opstilling i den tidlige fase ser sammenhængende ud på papiret: et registreret kontor i en gunstig EU-jurisdiktion, en direktør angivet i styringsdokumenterne, IKT-systemer, der enten er cloud-hostet eller administreres fra koncernens globale infrastruktur, og indbetalt kapital på en nyåbnet bankkonto.
Fra indersiden føles dette som et EU-selskab. Set fra en national kompetent myndigheds perspektiv kan det se ud som en postkasse med en tilknyttet direktør.

Denne artikel kortlægger, hvad MiCA's substanskrav faktisk kræver inden for personale, teknologi og finansiel modstandsdygtighed, og forklarer, hvorfor tilsynsmyndighederne behandler hver kategori som en funktionel test snarere end en dokumentationsøvelse.

Den bekymring, der ligger til grund for det hele, er den samme: at forhindre postkasseselskaber, enheder, der eksisterer på papiret i en gunstig jurisdiktion, men som mangler enhver meningsfuld økonomisk aktivitet, menneskelig kapital eller operationel kapacitet inden for den.

Myten: Tilstedeværelse er lig med substans

Den reguleringsmæssige logik her er ældre end MiCA. I den banebrydende Cadbury Schweppes-dom (sag C-196/04) fastslog Den Europæiske Unions Domstol, at etableringsfriheden ikke kan bruges til at skabe "helt kunstige ordninger", der mangler ægte økonomisk aktivitet. MiCA kodificerer dette princip direkte i reguleringen af kryptoaktiver.

Artikel 59, stk. 2, i MiCA fastslår, at autoriserede CASP'er skal have deres hjemsted i en medlemsstat, hvor de udfører mindst en del af deres kryptoaktivtjenester, skal have deres faktiske ledelsessted inden for Unionen og skal have mindst én direktør, der er bosiddende i Unionen. Bestemmelsen er kortfattet. Det, der ligger bag den, er betydeligt mere krævende.

ESMA's tilsynsbriefing om godkendelse af CASP'er er ikke bindende, men signalerer klart, hvordan de nationale tilsynsmyndigheder forventes at fortolke disse krav i praksis.

Det er i kløften mellem lovteksten og tilsynsmyndighedernes forventninger, at mange ansøgninger støder på problemer.

Personale: Hvem driver egentlig denne enhed

Minimumskravet i henhold til MiCA er én direktør med bopæl i EU. Tilsynsvejledningen hæver denne tærskel.

ESMA's briefing forventer, at mindst to ledende medarbejdere i fællesskab fører tilsyn med den daglige drift. Begrundelsen er enkel: En enkelt leder skaber koncentrationsrisiko og fjerner de interne kontroller, som en velfungerende ledelsesstruktur kræver. To ledere med definerede, overlappende ansvarsområder er den forventede baseline.

Bopæl er ikke i sig selv tilstrækkeligt. Vejledningen angiver, at hvis et medlem af ledelsen ikke er bosiddende i NCA's jurisdiktion, skal denne person være i stand til at deltage i fysiske møder på myndighedens anmodning inden for to arbejdsdage.

For jurisdiktioner, hvor fysisk nærhed til tilsynsmyndigheden har operationel betydning, er dette en praktisk begrænsning for, hvor langt fra hjemjurisdiktionen en direktør reelt kan være placeret.

Tidsforpligtelse behandles med tilsvarende alvor. ESMA's holdning, som den kommer til udtryk i dens tilsynsbriefing om godkendelse af CASP'er, er, at medlemmer af den øverste ledelse generelt bør afsætte 100 % af deres arbejdstid til CASP-rollen. Dobbeltroller, hvor den samme person varetager ledende funktioner i flere enheder, er kun tilladt under begrænsede omstændigheder. En leder, der deler sin opmærksomhed mellem CASP'en og et andet selskab i koncernen, vil sandsynligvis blive underkastet nøje granskning under egnetheds- og hæderlighedsvurderingen.

Rapporteringslinjer er lige så vigtige som individuelle profiler. Ledelsen skal påvise, at den strategiske og operationelle kontrol ligger hos EU-enheden og ikke hos et moderselskab i et tredjeland, der træffer de reelle beslutninger og udsteder instrukser nedad.

Et EU-datterselskab, hvis ledere funktionelt fungerer som gennemførelsesagenter for et hovedkontor uden for EU, er i tilsynsmæssig forstand ikke en enhed med ægte EU-ledelse.

AML-dimensionen understreger dette. Den person, der er ansvarlig for at indberette mistænkelige aktiviteter (MLRO), skal være fysisk til stede, have reel autoritet inden for enheden og være i stand til at interagere direkte med den lokale finansielle efterretningsenhed. Dette krav afspejler en bredere global tendens: FATF og OECD's Crypto-Asset Reporting Framework (CARF) fungerer efter samme logik og udvider kravene til substans og gennemsigtighed ud over EU.

MiCA's personalekrav og CARF er ikke uafhængige udviklinger; de afspejler en konvergerende international standard for, hvordan en reguleret kryptoenhed skal se ud indefra.

Den kollektive egnethedsstandard fra artikel 68, stk. 1, kræver, at ledelsesorganet besidder passende viden, færdigheder og erfaring både individuelt og kollektivt. Som beskrevet i den forrige del af denne serie omfatter denne standard traditionel regulering af finansielle markeder, DLT-infrastruktur og cybersikkerhed samt organisatorisk ledelse. Hvert af disse områder skal være repræsenteret i ledelsen.

Et team, der udelukkende består af personer med en baggrund inden for kryptovaluta uden erfaring med regulerede finansielle tjenester, eller et team med dyb erfaring inden for traditionelle finansielle tjenester uden evne til at vurdere on-chain-risici, har strukturelle mangler, som vurderingsprocessen vil afsløre.

Teknologi: Kontrol, ikke kun hosting

DORA (forordning (EU) 2022/2554) gælder direkte for CASP'er og fastlægger rammerne for krav til IKT-robusthed. Det spørgsmål, som tilsynsmyndighederne stiller om teknologi, er ikke, hvilken infrastruktur en virksomhed bruger. Spørgsmålet er, hvem der kontrollerer den.

Cloudinfrastruktur hostet af AWS, Azure eller lignende udbydere er acceptabelt i henhold til den nuværende tilsynspraksis. Problemet opstår, når den enhed, der er godkendt i EU, mangler meningsfuld administrativ kontrol over de systemer, den er afhængig af.

Hvis styringen af krypteringsnøgler ligger hos et moderselskabs globale IT-team, hvis adgangsrettigheder til kundedata administreres uden for EU, eller hvis katastrofeberedskabsplanen afhænger af godkendelser fra et hovedkvarter i et tredjeland, kan EU-enheden ikke påvise ægte operationel uafhængighed.

ESMA's holdning, som den kommer til udtryk i høringsmaterialet, er, at ledelsen i EU skal have faktisk kontrol over den IKT-infrastruktur, der er relevant for CASP'ens drift. Den politik for forretningskontinuitet og de katastrofeberedskabsplaner, der kræves i henhold til artikel 68, stk. 7, skal ejes og kunne gennemføres af enheden i EU og må ikke være afhængige af en global funktion, der måske eller måske ikke reagerer i en krise.

Den praktiske test er klar: hvis moderselskabets globale IT-team pludselig blev utilgængeligt, ville EU-enheden så kunne fortsætte driften, få adgang til kundemidler og returnere aktiver til kunderne? Hvis svaret er nej, eller ikke uden en betydelig eskalering til personale uden for EU, er det væsentlige spørgsmål ikke løst.

Krav til overholdelse af GDPR og datastyring ligger oven på DORA-rammen. Ordninger for databehandling, forholdet mellem den dataansvarlige og databehandleren samt overvejelser om datalagring udgør alle en del af den tekniske arkitektur, som tilsynsmyndighederne vil undersøge.

Finansielt: Kapital, der rent faktisk virker

Artikel 67 fastsætter de minimale forsigtighedsforanstaltninger. Kapitalniveauerne defineres efter serviceklasse:

Minimumsbeløbet for egenkapitalen er udgangspunktet, ikke loftet. De forsigtighedsmæssige sikkerhedsforanstaltninger skal svare til det højeste af enten den permanente minimumsegenkapital eller en fjerdedel af det foregående års faste omkostninger.

Efterhånden som en CASP vokser og dens faste omkostninger stiger, bliver denne anden del den bindende begrænsning. Når de faste omkostninger overstiger fire gange den indbetalte startkapital, skal virksomheden overgå til den omkostningsbaserede ramme. Dette vendepunkt indtræffer hurtigere, end mange operatører forventer, og tilsynsmyndighederne forventer proaktiv overvågning frem for reaktiv tilpasning.

Et strukturelt punkt, der er værd at bemærke: Kapitalen skal indbetales på en konto hos et formelt kreditinstitut.

En EMI- eller betalingstjenesteudbyderkonto opfylder ikke dette krav. Det tager tid at etablere en bankforbindelse som kryptovirksomhed, og det er ikke garanteret. Det er ikke valgfrit at påbegynde denne proces tidligt, inden ansøgningen formelt indgives. Det er en rækkefølgebegrænsning, der påvirker hele tidsplanen for godkendelsen.
Kravet om, at regnskaber, der anvendes i beregningen af faste omkostninger, skal være behørigt revideret eller valideret af nationale tilsynsmyndigheder, tilføjer en yderligere administrativ dimension. Nystiftede enheder, der udarbejder prognoser for deres faste omkostninger for de første tolv måneder, skal medtage disse prognoser i deres godkendelsesansøgning, med metodologien klart dokumenteret.

Outsourcing og substanstærsklen

Artikel 73 tillader CASP'er at outsource driftsfunktioner til tredjeparter. Begrænsningen er, at outsourcing ikke må udhule den godkendte enhed. Ansvaret forbliver hos CASP'en; delegering overfører ikke ansvaret.

ESMA's tilsynsbriefing om godkendelse af CASP'er identificerer den procentdel af de samlede omkostninger, der kan henføres til funktioner uden for EU, som en praktisk indikator for, om outsourcing er gået for vidt. En CASP, hvis hovedparten af de operationelle udgifter går til tjenesteudbydere uden for EU, selvom disse er velfungerende og velrenommerede, kan blive stillet over for spørgsmål om, hvorvidt EU-enheden har tilstrækkelig intern kapacitet til at kvalificere sig som en ægte tjenesteudbyder frem for en mellemhandler.

Tilsynsmyndigheden skelner mellem CASP'er, der outsourcer specifikke funktioner, mens de bevarer kontrollen, og CASP'er, der outsourcer alt det væsentlige, mens de kun bevarer den juridiske form. Sidstnævnte er et skalkompagni, uanset hvordan ordningen beskrives i ansøgningen.

Jurisdiktionelle forskelle: Samme lov, forskellig praksis

MiCA finder direkte anvendelse i alle EU-medlemsstater. De materielle krav er ensartede. Tilsynspraksis er det ikke.

Cypern har gennem CySEC udtrykkeligt krævet, at flertallet af medlemmerne i en CASP's bestyrelse skal være fysisk bosiddende i Cypern. For en bestyrelse bestående af to udøvende og to ikke-udøvende bestyrelsesmedlemmer betyder det, at mindst tre bestyrelsesmedlemmer skal være bosiddende i Cypern. Dette går ud over, hvad MiCA's tekst kræver, og afspejler nationale AML-direktiver, der ligger oven på den harmoniserede EU-ramme.
Estland udviser en anden dynamik. Under det tidligere VASP-registreringssystem, der blev administreret af Financial Intelligence Unit, blev Estland en af Europas mest tilgængelige licensjurisdiktioner. Overgangen til MiCA flyttede tilsynsansvaret til den estiske Financial Supervision and Resolution Authority, hvilket medfører en anden institutionel tilgang til gennemgang og løbende tilsyn.

Den lovgivningsmæssige situation i Polen, som er blevet behandlet i tidligere afsnit af denne serie, har skabt et strukturelt hul, hvor den nationale MiCA-gennemførelseslov endnu ikke er vedtaget, hvilket efterlader KNF uden formel udpegning som kompetent myndighed og VASP-indehavere uden en brugbar national CASP-ansøgningsvej.

Disse variationer er ikke smuthuller eller administrative særheder. De afspejler den virkelighed, at en harmoniseret lovramme stadig fungerer gennem nationale tilsynskulturer, personalemæssige begrænsninger og institutionelle historier. At vælge en jurisdiktion til CASP-godkendelse betyder at vælge en tilsynsmyndighed med alle de praktiske implikationer, det medfører.

Hvad 'ægte etablering' faktisk kræver

Samlet set afspejler de materielle krav i MiCA en tilsynsfilosofi snarere end en tjekliste. Tilsynsmyndigheden ønsker at være sikker på, at den har meningsfulde retsmidler, hvis noget går galt.
Det betyder, at den øverste ledelse er fysisk tilgængelig og juridisk ansvarlig i henhold til EU-lovgivningen. Det betyder, at IKT-systemer kan kontrolleres af EU-enheden uden afhængighed af godkendelseskæder uden for EU. Det betyder kapital, der reelt er tilgængelig og dimensioneret i forhold til den faktiske operationelle risiko.

Og det betyder en ledelse, hvor EU-enheden træffer reelle beslutninger i stedet for at gennemføre instrukser udstedt andetsteds.

Virksomheder, der betragter dette som en dokumentationsøvelse, har en tendens til at finde processen sværere end forventet. Virksomheder, der først opbygger substansen og derefter dokumenterer, hvad de har opbygget, har en tendens til at finde det mere ligetil. Ansøgningen skaber ikke organisationen. Den beskriver en organisation, der i vid udstrækning allerede bør eksistere.

Kilder:

• ESMA's tilsynsbriefing om godkendelse af CASP'er
• ESMA's høringsdokument om MiCA, 2. pakke
• MFSA MiCA-regelbog

Denne artikel er baseret på en undersøgelse foretaget af LegalBison i maj 2026. Indholdet er udelukkende til orientering og udgør ikke juridisk rådgivning.