Een organigram met de juiste functietitels is niet voldoende om een vergunning te krijgen. De toezichthouder kijkt naar een compliance-architectuur: gedocumenteerde onafhankelijkheid, collectieve expertise op drie verschillende kennisgebieden en daadwerkelijke institutionele inhoud. Zo werkt die norm in de praktijk.
MiCA ontrafeld: waarom de toezichthouder uw compliance-team als één geheel beschouwt
GESCHREVEN DOOR
DELEN
MiCA Decoded is een wekelijkse serie van 12 artikelen voor Bitcoin.com News, geschreven door de medeoprichters en managing directors van LegalBison: Aaron Glauberman, Viktor Juskin en Sabir Alijev. LegalBison adviseert crypto- en FinTech-bedrijven over MiCA-vergunningen, CASP- en VASP-aanvragen en regelgevingsstructurering in heel Europa en daarbuiten.
De mythe: het uitbesteden van een compliance officer is voldoende
Wanneer oprichters beginnen met het plannen van de autorisatie voor crypto-assetdienstverleners (CASP), komt het gesprek bijna altijd op hetzelfde punt: "Moeten we dus een compliance officer aannemen?"
Soms volgt er nog een vervolgvraag: "En een Money Laundering Reporting Officer (MLRO)? Is dat alles?"
Het antwoord op beide vragen is ja. Maar het beschouwen van die twee aanstellingen als de finishlijn is de meest voorkomende en ingrijpende misvatting over wat MiCA daadwerkelijk van een compliancefunctie verlangt.
Regelgevers controleren niet of het organigram de juiste functietitels bevat. Ze beoordelen of het bestuursorgaan, als geheel, beschikt over de kennisarchitectuur, de structurele onafhankelijkheid en de gedocumenteerde operationele diepgang om een gereguleerde financiële instelling te runnen. Een MiCA-vergunning wordt niet aan een persoon verleend. Ze wordt verleend aan een organisatie.
Dit onderscheid vormt de kern van de reden waarom zoveel aanvragen in een vroeg stadium vastlopen of aanzienlijk moeten worden herwerkt voordat een nationale bevoegde autoriteit (NCA) toestemming verleent.
Wat "collectief" eigenlijk betekent in de verordening
Artikel 68, lid 1, van MiCA is op dit punt duidelijk. Leden van het leidinggevend orgaan moeten "zowel individueel als collectief" over de juiste kennis, vaardigheden en ervaring beschikken. Dat ene woord, "collectief", vervult een belangrijke regelgevende functie.
De gezamenlijke richtsnoeren van de EBA en de ESMA inzake de geschiktheid van leden van het leidinggevend orgaan en aandeelhouders voor entiteiten onder MiCA maken de werking van die norm expliciet door de specifieke gebieden van beroepservaring op te sommen waarover het leidinggevend orgaan moet beschikken. Eira Järvi, Senior Lawyer bij LegalBison, heeft de specifieke vereisten in de onderstaande tabel uiteengezet.
| Vereistencategorie | Gedetailleerde beschrijving |
| Regelgeving inzake financiële markten | Inzicht in financiële instrumenten en DLT-financiële instrumenten, met inbegrip van regelgevingsvereisten onder SIBA en andere toepasselijke wetgeving |
| Naleving van AML/CTF | Kennis van AML/CTF-vereisten, inclusief strategieën voor risico-identificatie, -beoordeling en -beperking |
| Virtuele activa | Kennis van soorten VA's, inclusief aan activa gekoppelde tokens en e-geldtokens, en de risico's die aan elk daarvan verbonden zijn |
| Gegevensbescherming | Inzicht in de verplichtingen inzake gegevensbescherming die relevant zijn voor de bedrijfsactiviteiten |
| Risicobeheer | Inzicht in de principes en procedures van risicobeheer, waaronder markt-, krediet- en liquiditeitsrisico's |
| Governance en interne controles | Vermogen om de effectiviteit van bestuurs- en toezichtsmechanismen en interne controles te beoordelen |
| Digitale operationele veerkracht | Bekendheid met vereisten met betrekking tot operationele veerkracht |
| Strategische en managementkennis | Ervaring met strategische planning, bedrijfsontwikkeling en de implementatie van bedrijfsdoelstellingen |
| Beheer van externe partijen | Inzicht in uitbestedingsovereenkomsten, het beheer van externe leveranciers en de bijbehorende wettelijke vereisten |
| Communicatie en toezicht | Vermogen om standpunten te presenteren, strategieën te bespreken en, waar van toepassing, beslissingen van het management ter discussie te stellen om effectief toezicht te waarborgen |
| Boekhouding en controle | Vermogen om financiële informatie te interpreteren, belangrijke kwesties te identificeren en relevante boekhoud- en auditnormen te begrijpen |
| Juridische en regelgevingskennis | Bekendheid met wettelijke vereisten die van toepassing zijn op VASP's, inclusief de uitgifte en het beheer van VA's |
Wanneer men de richtlijnen van de ESMA analyseert, wordt duidelijk dat het gecombineerde profiel van het bestuursorgaan aantoonbaar drie kerngebieden van kennis moet bestrijken, waaronder alle door Eira beschreven gebieden:
- Traditionele financiële markten: regelgevingskaders, verplichtingen inzake beleggersbescherming, gedragsregels voor de markt en de operationele normen die van toepassing zijn op erkende financiële dienstverleners.
- Infrastructuur voor Digital Ledger Technology (DLT) en cyberbeveiliging: blockchainarchitectuur, risico's op protocolniveau, blootstelling aan slimme contracten, modellering van cyberbeveiligingsrisico's en de specifieke operationele kwetsbaarheden die voortvloeien uit de levering van on-chain-diensten.
- Bedrijfsstrategie en organisatorisch bestuur: ontwerp van risicobeheer, interne controlearchitectuur, bestuursbeleid en het vermogen om de effectiviteit van de naleving door de onderneming te beoordelen en periodiek te evalueren.
De toezichthouder verwacht niet dat één persoon alle drie de domeinen beheerst. De verwachting, geformaliseerd door de eis van de ESMA dat bedrijven een beoordeling van hun "collectieve geschiktheid" indienen, is dat het team als geheel al deze domeinen zonder noemenswaardige hiaten bestrijkt.
Een bestuursorgaan dat volledig bestaat uit mensen met een traditionele financiële achtergrond, zonder iemand die in staat is om DLT-infrastructuurrisico's te beoordelen, is structureel onvolledig voordat de aanvraag wordt ingediend.
Hetzelfde geldt omgekeerd: een technisch onderlegd crypto-native team zonder iemand die verstand heeft van gereguleerde financiële markten zal aan hetzelfde kritische onderzoek worden onderworpen.
Het probleem van de tijdsbesteding waar niemand over praat
Er is een tweede laag aan de norm voor collectieve geschiktheid die aanvragers overrompelt.
De juiste mensen moeten in de praktijk aanwezig zijn, niet alleen op papier. Elk lid van het bestuursorgaan moet schriftelijk zijn minimale tijdsbesteding aan de onderneming vastleggen: met name een schatting van de tijd die aan de functie wordt besteed (met zowel jaarlijkse als maandelijkse indicaties), naast een formele verklaring van alle andere bestuursfuncties (al dan niet uitvoerend) die momenteel worden bekleed.
De ontwerp-technische reguleringsnormen van de ESMA inzake vergunningverlening (ontleend aan het eerste raadplegingspakket) zijn hierover expliciet. De beoordeling heeft betrekking op de vraag of elke persoon functioneel aanwezig is, en niet alleen nominaal vermeld staat.
Een niet-uitvoerend bestuurder met vier andere bestuurszetels en een adviesrelatie op het gebied van compliance met twee andere ondernemingen zal direct onder de loep worden genomen. De nationale bevoegde autoriteit moet ervan overtuigd zijn dat het leidinggevend orgaan daadwerkelijk zijn taken kan uitvoeren, en niet alleen dat de juiste namen op de aanvraag staan.
Dit is vooral van belang voor cryptobedrijven in een vroeg stadium die ervaren compliance-figuren in parttime- of adviserende hoedanigheid aantrekken om een vergunningaanvraag te versterken. De toezichthouder zal precies zien hoeveel uur per maand die persoon inzet, en zal dat cijfer vergelijken met de reikwijdte van de rol en de diensten die het bedrijf voornemens is te verlenen.
Een discrepantie tussen verantwoordelijkheid en tijdsbesteding is een rode vlag, geen technische formaliteit.
De interne controlefuncties: structuur boven titels
Inzicht in de collectieve geschiktheid op het niveau van het leidinggevend orgaan is slechts een deel van het plaatje. MiCA-artikel 68, lid 4, vereist dat CASP's beleidsregels en procedures vaststellen die "voldoende effectief zijn om naleving te waarborgen". Artikel 68, lid 5, vereist dat er op elk niveau van de onderneming personeel met de juiste kennis aanwezig is. Artikel 68, lid 6, vereist dat het leidinggevend orgaan de effectiviteit van die regelingen periodiek evalueert en eventuele tekortkomingen aanpakt.
De ontwerp-RTS van de ESMA gaan hierin nog verder. Zij verplichten ondernemingen om specifieke interne controlefuncties aan te wijzen en voor elke functie het volgende te documenteren:
- De rapportagelijn loopt rechtstreeks naar het leidinggevend orgaan.
- Hoe de functie onafhankelijk functioneert van het bedrijfsonderdeel waarop zij toezicht houdt.
- Hoe de functie toegang heeft tot het leidinggevend orgaan op gezette tijden en in noodgevallen (ad hoc) wanneer een aanzienlijk nalevingsrisico wordt vastgesteld.
De drie functionele gebieden die de kern van dit interne controlekader vormen, zijn:
- De compliancefunctie (wettelijke verplichtingen, gedragsregels, interne procedures).
- De risicobeoordelingsfunctie (risico-identificatie, beoordelingsmethodologie, escalatieprotocollen).
- De interne-auditfunctie (onafhankelijke effectiviteitsbeoordeling, periodieke evaluatie).
Opmerking: De AML/CFT-functie en de bedrijfscontinuïteitsfunctie zijn ook verplichte pijlers van de vergunningaanvraag, maar ESMA behandelt deze als afzonderlijke organisatorische vereisten naast dit kernkader voor interne controle.
MiCA kent deze precieze benamingen niet altijd toe in de tekst van niveau 1. De ESMA RTS maken duidelijk dat deze kerngebieden voor interne controle benoemde eigenaren, gedocumenteerde verantwoordelijkheidsgebieden en geverifieerde structurele onafhankelijkheid moeten hebben.
Dat laatste punt is waar veel aanvragen een structurele tekortkoming vertonen.
Een compliancefunctie die rapporteert aan de Chief Operating Officer, die ook de inkomsten en bedrijfsontwikkeling beheert, is niet onafhankelijk in de zin van de regelgeving. Een risicofunctie die is ingebed in de handelsdesk en via dezelfde hiërarchie rapporteert als de desk die zij geacht wordt te monitoren, voldoet evenmin aan de norm.
De toezichthouder zal om het organigram vragen. Vervolgens zal hij vragen aan wie het hoofd compliance in de praktijk rapporteert, wat de andere verantwoordelijkheden van die persoon zijn en welke escalatierechten hij heeft wanneer een ernstig compliance-risico wordt vastgesteld.
Om een CASP-licentieaanvraag op te bouwen rond een echte onafhankelijkheidsstructuur, moet de architectuur worden ontworpen voordat de aanvraag wordt opgesteld, en niet achteraf worden aangepast.
Fysieke aanwezigheid: het probleem van de gevolmachtigde bestuurder
De vergunningaanvraag moet een fysieke plaats van effectief beheer binnen de EU documenteren. Dit betekent het adres van het hoofdkantoor, de vestigingsplaatsen van filialen indien relevant, en de daadwerkelijke geografische locatie waar de beslissingen van de onderneming worden genomen.
- Ten minste één bestuurder die daadwerkelijk gezag uitoefent, moet binnen de Unie woonachtig zijn en bereikbaar zijn voor de nationale toezichthoudende autoriteit van de lidstaat van herkomst.
- Een geregistreerd adres in een EU-rechtsgebied dat wordt ondersteund door een regeling met een nominee-bestuurder voldoet niet aan deze norm.
- De inhoudelijke vereiste houdt in dat het menselijke besluitvormingsgewicht daadwerkelijk binnen de Unie moet liggen.
De nationale toezichthoudende autoriteiten beoordelen dit aan de hand van de locatievelden in de RTS-aanvraag en aan de hand van de informatie over de tijdsbesteding van elk lid van het bestuursorgaan.
Een bestuurder die twee weken per kwartaal fysiek in de EU aanwezig is, kwalificeert zich in geen enkele zinvolle regelgevende zin als een ingezeten bestuurder.
Dit is een punt dat met name van belang is voor ondernemingen die opereren vanuit een wereldwijd hoofdkantoor buiten de EU en die toewerken naar een cryptolicentie in Europa. De in de EU gevestigde entiteit moet functioneren als een daadwerkelijke besluitvormende eenheid, niet als een administratief front voor een groepsstructuur die vanuit elders opereert.
Bedrijfscontinuïteit is een taak van het compliance-team
Bedrijfscontinuïteit wordt algemeen beschouwd als een IT-verantwoordelijkheid. Onder MiCA en de Digital Operational Resilience Act (DORA) is die invulling onjuist voor elke geautoriseerde CASP.
Het beleid inzake bedrijfscontinuïteit moet worden vastgesteld, goedgekeurd en onderhouden door het leidinggevend orgaan. DORA (Verordening (EU) 2022/2554) regelt de elementen die specifiek zijn voor informatie- en communicatietechnologie, en CASP's vallen als financiële entiteiten binnen het toepassingsgebied van DORA. De twee kaders werken gelijktijdig, en de compliancefunctie moet in staat zijn om in beide tegelijk te navigeren.
Het tweede MiCA-raadplegingsdocument van de ESMA introduceerde een specifieke verplichting voor bedrijven die werken met permissionless distributed ledger-technologie (openbare blockchains zoals Ethereum): proactieve, gestructureerde communicatie met klanten tijdens elke dienstonderbreking op DLT-niveau.
De onderneming moet klanten op de hoogte houden van het risico voor hun gelden en een duidelijk beeld geven van hoe de hervatting van de dienstverlening wordt aangepakt. De onderneming blijft volledig aansprakelijk voor eventuele verliezen die voortvloeien uit haar eigen slimme contracten, ongeacht of de onderliggende blockchain permissionless is.
Dit is geen standaardbeleid voor IT-storingen. Om deze verplichting op een zinvolle manier na te komen, moet het management de risico's van de DLT-infrastructuur begrijpen op een niveau dat veel verder gaat dan algemene technische kennis.
Het compliance-team dat blockchain-risico's alleen in algemene termen kan beschrijven, zal niet in staat zijn om een bedrijfscontinuïteitsbeleid op te stellen, te beoordelen of te onderhouden dat voldoet aan de toezichtseisen van de regelgevende instanties.
Datastandaarden als compliance-capaciteit
De verantwoordelijkheden van de compliancefunctie strekken zich uit tot de data-architectuur. CASP's die handelsplatforms exploiteren, moeten de Digital Token Identifier (DTI)-standaard gebruiken voor alle administratie en rapportage aan nationale toezichthouders. De DTI identificeert elk crypto-actief op unieke wijze en koppelt het aan de specifieke DLT waarop het wordt uitgegeven, verhandeld of afgewikkeld. Dit stelt toezichthouders in staat om grensoverschrijdend toezicht uit te oefenen met consistente, vergelijkbare gegevens.
De ISO 20022-berichtenstandaarden regelen het formaat van transactiegegevens die aan autoriteiten worden verstrekt. Gegevens over transparantie vóór en na de handel moeten via niet-discriminerende, machinaal leesbare openbare kanalen worden bekendgemaakt om marktmisbruik te voorkomen. Elk van deze vereisten heeft een technische dimensie die het compliance-team zelf moet beheersen en niet blindelings aan IT mag delegeren.
Een onderneming die het bijhouden van gegevens behandelt als een algemene systeembeheertaak, zonder compliance-toezicht op de specifieke gegevensstandaarden die de RTS vereist, zal na autorisatie te maken krijgen met toezichtsproblemen.
De standaarden bestaan juist zodat nationale toezichthouders (NCA's) gegevens van honderden CASP's in één analyse kunnen vergelijken. Een onderneming die geen gegevens in het vereiste formaat kan produceren, is een onderneming die niet kan aantonen dat zij voortdurend aan de regels voldoet.
Dit is de praktische betekenis van de "single brain"-norm. Het compliance-team integreert kennis van regelgeving, bestuursstructuur, operationele kennis van DLT en technische datageletterdheid tot één functionerend geheel. Geen van deze elementen kan volledig worden uitbesteed aan een andere functie.
Het team samenstellen voordat de aanvraag wordt ingediend
De vergunningaanvraag voor een CASP MiCA-licentie documenteert een instelling die al bestaat. Dat is het mentale model dat bedrijven die efficiënt door het proces gaan, onderscheidt van bedrijven die vastlopen.
Bedrijven die een vergunning voor cryptobeurshandel, bewaarneming van digitale activa of een andere CASP-licentie in Europa nastreven, moeten de teamarchitectuur benaderen als het eerste te leveren resultaat, niet als iets dat pas tot stand komt terwijl de aanvraag wordt opgesteld.
De compliancefunctie moet structureel onafhankelijk zijn voordat het eerste document wordt geschreven. De collectieve kennis van het bestuursorgaan moet worden beoordeeld en eventuele hiaten moeten worden aangepakt voordat de beoordeling door de NCA begint. De informatie over de tijdsbesteding moet realistisch zijn voordat deze wordt ingediend.
Dezelfde logica geldt wereldwijd. Bedrijven die een VASP-vergunning aanvragen in rechtsgebieden buiten de EU, krijgen steeds vaker te maken met vergelijkbare normen: toezichthouders in het Midden-Oosten, Azië-Pacific en Noord- en Zuid-Amerika komen steeds meer tot vergelijkbare 'substance-over-form'-vereisten voor het ontwerp van de compliancefunctie.
De EU-norm, die momenteel de meest gedetailleerde en technisch specifieke is die van kracht is, vormt een nuttige maatstaf voor elk team dat toewerkt naar een gereguleerde status in elk belangrijk rechtsgebied.
'Wij zijn DeFi, dus MiCA is niet op ons van toepassing.' Sorry, maar de EBA en de ESMA zien dat anders
MiCA zet vraagtekens bij de beweringen over de decentralisatie van DeFi, nu toezichthouders de regels inzake controle, bestuur en naleving onder de loep nemen. read more.
Lees nu
'Wij zijn DeFi, dus MiCA is niet op ons van toepassing.' Sorry, maar de EBA en de ESMA zien dat anders
MiCA zet vraagtekens bij de beweringen over de decentralisatie van DeFi, nu toezichthouders de regels inzake controle, bestuur en naleving onder de loep nemen. read more.
Lees nu'Wij zijn DeFi, dus MiCA is niet op ons van toepassing.' Sorry, maar de EBA en de ESMA zien dat anders
Lees nuMiCA zet vraagtekens bij de beweringen over de decentralisatie van DeFi, nu toezichthouders de regels inzake controle, bestuur en naleving onder de loep nemen. read more.
Belangrijkste conclusie
De mythe: het aanstellen van een compliance officer en een MLRO voldoet aan de nalevingsverplichtingen van MiCA.
De realiteit: MiCA vereist een functionerend compliance-orgaan, geen lijst met functietitels.
Drie zaken bepalen of een bestuursorgaan aan de norm voldoet:
Collectieve kennisdekking. Het team moet als geheel beschikken over expertise op het gebied van traditionele financiële markten, vaardigheid op het gebied van DLT en cyberbeveiliging, en organisatorische bestuurscapaciteiten. Tekortkomingen op een van deze gebieden zijn structurele tekortkomingen, geen voorkeuren in profielen.
Gedocumenteerde structurele onafhankelijkheid. De kernfuncties voor interne controle (compliance, risicobeoordeling en interne audit) moeten een benoemde verantwoordelijke hebben, rechtstreeks rapporteren aan het bestuursorgaan en aantoonbaar onafhankelijk zijn van het bedrijfsonderdeel waarop zij toezicht houden. (Opmerking: AML/CFT en bedrijfscontinuïteit zijn eveneens verplicht, maar worden behandeld als afzonderlijke organisatorische pijlers). Een organigram waarin compliance via een inkomstengenererende functie verloopt, zal de toetsing door de NCA niet doorstaan.
Echte institutionele inhoud. Tijdsbesteding moet oprecht en gedocumenteerd zijn. De fysieke aanwezigheid in de EU moet het daadwerkelijke besluitvormingsgewicht weerspiegelen, niet alleen een geregistreerd adres. Het bedrijfscontinuïteitsbeleid moet op het niveau van het bestuursorgaan worden gedragen. Gegevensrapportage moet vanaf dag één voldoen aan de DTI- en ISO 20022-normen.
De CASP-licentieaanvraag is het eindresultaat. De compliance-architectuur is het fundament. Bouw eerst het fundament.
Dit artikel is gebaseerd op een onderzoek dat in april 2026 door LegalBison is uitgevoerd. De inhoud is uitsluitend bedoeld ter informatie en vormt geen juridisch advies.
