MiCA ontrafeld: 'We hebben een EU-kantoor' is niet genoeg: dit is wat toezichthouders werkelijk willen zien

MiCA Decoded is een wekelijkse serie van 12 artikelen voor Bitcoin.com News, geschreven door de medeoprichters en directeuren van LegalBison: Aaron Glauberman, Viktor Juskin en Sabir Alijev. LegalBison adviseert crypto- en FinTech-bedrijven over MiCA-licenties, CASP- en VASP-aanvragen en regelgevingsstructurering in heel Europa en daarbuiten.

Het artikel van deze week is geschreven door Krystian Lapka, advocaat bij LegalBison. Krystian is gespecialiseerd in grensoverschrijdende zakelijke en commerciële transacties, naast strategisch risicobeheer op het snijvlak van het burgerlijk recht en het gewoonterecht.

---

De meeste oprichters die hun eerste CASP-aanvraag indienen, begrijpen, althans in abstracte zin, dat MiCA een daadwerkelijke aanwezigheid in de EU vereist. Wat ze onderschatten, is hoe de toezichthouder "daadwerkelijk" definieert.

De typische opzet in de beginfase ziet er op papier coherent uit: een statutaire zetel in een gunstig EU-rechtsgebied, een directeur die in de bestuursdocumenten wordt genoemd, ICT-systemen die ofwel in de cloud worden gehost ofwel worden beheerd vanuit de wereldwijde infrastructuur van de groep, en gestort kapitaal op een nieuw geopende bankrekening.
Van binnenuit voelt dit aan als een EU-bedrijf. Vanuit het perspectief van een nationale bevoegde autoriteit kan het eruitzien als een brievenbus met een directeur eraan vast.

Dit artikel brengt in kaart wat de substantie-eisen van MiCA daadwerkelijk vereisen op het gebied van personeel, technologie en financiële veerkracht, en legt uit waarom toezichthouders elke categorie behandelen als een functionele toets in plaats van een documentatieoefening.

De zorg die hieraan ten grondslag ligt, is dezelfde: het voorkomen van brievenbusbedrijven, entiteiten die op papier bestaan in een gunstig rechtsgebied, maar daarbinnen geen noemenswaardige economische activiteit, menselijk kapitaal of operationele capaciteit hebben.

De mythe: aanwezigheid is gelijk aan substantie

De regelgevende logica hierachter is ouder dan MiCA. In de baanbrekende Cadbury Schweppes-uitspraak (Zaak C-196/04) stelde het Hof van Justitie van de Europese Unie vast dat de vrijheid van vestiging niet mag worden gebruikt om "volledig kunstmatige constructies" te creëren die geen echte economische activiteit vertonen. MiCA codificeert dat principe rechtstreeks in de regelgeving voor crypto-activa.

Artikel 59, lid 2, van MiCA bepaalt dat erkende CASP's hun statutaire zetel moeten hebben in een lidstaat waar zij ten minste een deel van hun crypto-activadiensten verrichten, hun plaats van feitelijk bestuur binnen de Unie moeten hebben en ten minste één bestuurder moeten hebben die in de Unie woont. De bepaling is kort. Wat erachter schuilgaat, is aanzienlijk veeleisender.

De Supervisory Briefing van de ESMA over de vergunningverlening aan CASP's is weliswaar niet bindend, maar geeft duidelijk aan hoe de nationale toezichthouders deze vereisten in de praktijk geacht worden te interpreteren.

De kloof tussen de wettekst en de verwachtingen van de toezichthouders is waar veel aanvragen op weerstand stuiten.

Personeel: wie leidt deze entiteit eigenlijk?

De minimumdrempel onder MiCA is één in de EU woonachtige bestuurder. De toezichtrichtlijnen leggen de lat hoger.

De briefing van de ESMA gaat ervan uit dat ten minste twee leidinggevenden gezamenlijk toezicht houden op de dagelijkse bedrijfsvoering. De reden hiervoor is duidelijk: één enkele leidinggevende creëert concentratierisico en neemt de interne controles weg die een goed functionerende bestuursstructuur vereist. Twee leidinggevenden met afgebakende, overlappende verantwoordelijkheden is de verwachte basisnorm.

Ingezetenschap op zich is niet voldoende. De richtsnoeren geven aan dat wanneer een lid van het bestuursorgaan niet ingezetene is van het rechtsgebied van de NCA, die persoon in staat moet zijn om op verzoek van de autoriteit binnen twee werkdagen persoonlijk vergaderingen bij te wonen.

Voor rechtsgebieden waar fysieke nabijheid tot de toezichthouder operationeel van belang is, is dit een praktische beperking op hoe ver van het thuisland een bestuurder zich effectief kan bevinden.

Tijdsbesteding wordt met een vergelijkbare ernst behandeld. Het standpunt van de ESMA, zoals verwoord in haar Supervisory Briefing on Authorization of CASPs, is dat leden van de raad van bestuur in het algemeen 100% van hun professionele tijd aan de CASP-functie moeten besteden. Het combineren van functies, waarbij dezelfde persoon in leidinggevende hoedanigheid bij meerdere entiteiten werkzaam is, is slechts in beperkte omstandigheden toegestaan. Een leidinggevende die zijn aandacht verdeelt tussen de CASP en een andere groepsmaatschappij, zal waarschijnlijk onder de loep worden genomen tijdens de geschiktheids- en betrouwbaarheidsbeoordeling.

De rapportagelijnen zijn net zo belangrijk als individuele profielen. Het bestuursorgaan moet aantonen dat de strategische en operationele controle bij de EU-entiteit berust, en niet bij een moedermaatschappij in een derde land die de daadwerkelijke beslissingen neemt en instructies naar beneden doorgeeft.

Een EU-dochteronderneming waarvan de leidinggevenden functioneel optreden als uitvoeringsagenten voor een hoofdkantoor buiten de EU, is in toezichttechnische zin geen entiteit met daadwerkelijk EU-bestuur.

De AML-dimensie versterkt dit. De persoon die verantwoordelijk is voor het indienen van meldingen van verdachte activiteiten (de MLRO) moet fysiek aanwezig zijn, daadwerkelijke bevoegdheid binnen de entiteit hebben en in staat zijn om rechtstreeks te communiceren met de lokale financiële inlichtingendienst. Deze vereiste weerspiegelt een bredere wereldwijde trend: het Crypto-Asset Reporting Framework (CARF) van de FATF en de OESO werkt volgens dezelfde logica en breidt de vereisten inzake substance en transparantie uit tot buiten de EU.

De personeelseisen van MiCA en het CARF staan niet los van elkaar; ze weerspiegelen een convergerende internationale norm voor hoe een gereguleerde crypto-entiteit er van binnenuit uit moet zien.

De collectieve geschiktheidsnorm uit artikel 68, lid 1, vereist dat het leidinggevend orgaan zowel individueel als collectief over passende kennis, vaardigheden en ervaring beschikt. Zoals besproken in de vorige aflevering van deze serie, omvat die norm zowel de regulering van traditionele financiële markten, DLT-infrastructuur en cyberbeveiliging als organisatorisch bestuur. Elk van die domeinen moet in de kamer vertegenwoordigd zijn.

Een team dat volledig bestaat uit mensen met een crypto-achtergrond zonder ervaring in gereguleerde financiële dienstverlening, of een team met diepgaande TradFi-ervaring maar zonder het vermogen om on-chain risico's te beoordelen, vertoont structurele tekortkomingen die tijdens het beoordelingsproces aan het licht zullen komen.

Technologie: controle, niet alleen hosting

DORA (Verordening (EU) 2022/2554) is rechtstreeks van toepassing op CASP's en stelt het kader vast voor ICT-veerkrachtvereisten. De vraag die toezichthouders stellen over technologie is niet welke infrastructuur een bedrijf gebruikt. De vraag is wie er controle over heeft.

Cloudinfrastructuur die wordt gehost door AWS, Azure of vergelijkbare aanbieders is aanvaardbaar volgens de huidige toezichtspraktijk. Het probleem doet zich voor wanneer de in de EU geautoriseerde entiteit geen betekenisvolle administratieve controle heeft over de systemen waarvan zij afhankelijk is.

Als het beheer van encryptiesleutels bij het wereldwijde IT-team van een moedermaatschappij ligt, als toegangsrechten tot klantgegevens worden beheerd vanuit een locatie buiten de EU, of als het noodherstelplan afhankelijk is van goedkeuringen van een hoofdkantoor in een derde land, kan de EU-entiteit geen echte operationele onafhankelijkheid aantonen.

Het standpunt van de ESMA, zoals weergegeven in haar raadplegingsdocumenten, is dat het managementteam in de EU daadwerkelijke controle moet hebben over de ICT-infrastructuur die relevant is voor de activiteiten van de CASP. Het beleid inzake bedrijfscontinuïteit en de noodherstelplannen die krachtens artikel 68, lid 7, vereist zijn, moeten eigendom zijn van en uitvoerbaar zijn door de entiteit in de EU, en mogen niet afhankelijk zijn van een wereldwijde functie die in een crisis al dan niet reageert.

De praktische toets is duidelijk: als het wereldwijde IT-team van de moedermaatschappij van de ene op de andere dag niet meer beschikbaar zou zijn, zou de EU-entiteit dan kunnen blijven functioneren, toegang hebben tot klantgelden en activa aan klanten kunnen teruggeven? Als het antwoord nee is, of niet zonder aanzienlijke escalatie naar personeel buiten de EU, is de inhoudelijke kwestie niet opgelost.

De vereisten inzake naleving van de AVG en gegevensbeheer komen bovenop het DORA-kader. Regelingen voor gegevensverwerking, relaties tussen verwerkingsverantwoordelijken en verwerkers, en overwegingen inzake gegevensopslag maken allemaal deel uit van de technische architectuur die toezichthouders zullen onderzoeken.

Financieel: kapitaal dat daadwerkelijk werkt

Artikel 67 stelt de minimale prudentiële waarborgen vast. De kapitaalniveaus worden bepaald per serviceklasse:

Het minimumkapitaal is het uitgangspunt, niet het maximum. De prudentiële waarborgen moeten gelijk zijn aan het hoogste bedrag van het permanente minimumkapitaal of een kwart van de vaste overheadkosten van het voorgaande jaar.

Naarmate een CASP groeit en de vaste overheadkosten stijgen, wordt dit tweede criterium de bindende beperking. Wanneer de overheadkosten meer dan vier keer het aanvankelijke gestorte kapitaal bedragen, moet de onderneming overstappen naar het op overheadkosten gebaseerde kader. Dat omslagpunt komt sneller dan veel exploitanten verwachten, en toezichthouders verwachten proactieve monitoring in plaats van reactieve aanpassingen.

Een structureel punt dat het vermelden waard is: het kapitaal moet worden gestort op een rekening bij een formele kredietinstelling.

Een EMI- of betalingsdienstaanbieder-rekening voldoet niet aan deze eis. Het aangaan van een bankrelatie als cryptobedrijf kost tijd en is niet gegarandeerd. Het is geen optie om pas vroeg in het proces, voordat de aanvraag formeel wordt ingediend, hiermee te beginnen. Het is een beperking in de volgorde die van invloed is op de gehele tijdlijn van de vergunningverlening.

De eis dat de financiële overzichten die worden gebruikt voor de berekening van de vaste overheadkosten naar behoren moeten zijn gecontroleerd of gevalideerd door nationale toezichthouders, voegt een extra administratieve dimensie toe. Nieuw opgerichte entiteiten die een prognose maken van hun overheadkosten voor de eerste twaalf maanden, moeten deze prognoses opnemen in hun vergunningaanvraag, waarbij de methodologie duidelijk moet worden gedocumenteerd.

Uitbesteding en de drempel voor substantiële aanwezigheid

Artikel 73 staat CASP's toe operationele functies uit te besteden aan derden. De beperking is dat uitbesteding de vergunninghoudende entiteit niet mag uithollen. De verantwoordelijkheid blijft bij de CASP; delegatie houdt geen overdracht van aansprakelijkheid in.

In de toezichtbriefing van de ESMA over de vergunningverlening aan CASP's wordt het percentage van de totale kosten dat toe te schrijven is aan functies buiten de EU aangemerkt als een praktische indicator om te bepalen of de uitbesteding te ver is gegaan. Een CASP waarvan het grootste deel van de operationele uitgaven naar dienstverleners buiten de EU gaat, zelfs als deze goed worden geleid en een goede reputatie hebben, kan te maken krijgen met vragen over de vraag of de EU-entiteit voldoende interne capaciteit heeft om als een echte dienstverlener te worden aangemerkt in plaats van als een doorgeefluik.

De toezichthouder maakt een onderscheid tussen CASP's die specifieke functies uitbesteden maar de controle behouden, en CASP's die alle wezenlijke activiteiten uitbesteden en alleen de rechtsvorm behouden. Dit laatste is een lege huls, ongeacht hoe de regeling in de aanvraag wordt beschreven.

Verschillen tussen rechtsgebieden: dezelfde wet, verschillende praktijk

MiCA is rechtstreeks van toepassing in alle EU-lidstaten. De inhoudelijke vereisten zijn uniform. De toezichtpraktijk is dat niet.

Cyprus heeft via CySEC expliciet vereist dat de meerderheid van de raad van bestuur van een CASP fysiek in Cyprus woont. Voor een raad van bestuur met twee uitvoerende en twee niet-uitvoerende bestuurders betekent dit minimaal drie bestuurders die in Cyprus wonen. Dit gaat verder dan wat de tekst van MiCA vereist en weerspiegelt nationale AML-richtlijnen die bovenop het geharmoniseerde EU-kader zijn gelegd.
Estland vertoont een andere dynamiek. Onder het vorige VASP-registratieregime, beheerd door de Financial Intelligence Unit, werd Estland een van Europa's meest toegankelijke jurisdicties voor vergunningverlening. De overgang naar MiCA verschuift de toezichthoudende verantwoordelijkheid naar de Estonian Financial Supervision and Resolution Authority, wat een andere institutionele benadering met zich meebrengt voor beoordeling en doorlopend toezicht.

De wetgevende situatie in Polen, die in eerdere afleveringen van deze serie aan bod is gekomen, heeft een structurele kloof gecreëerd doordat de nationale MiCA-uitvoeringswet nog niet is aangenomen, waardoor de KNF niet formeel is aangewezen als bevoegde autoriteit en VASP-houders geen haalbaar binnenlands CASP-aanvraagtraject hebben.

Deze verschillen zijn geen mazen in de wet of administratieve eigenaardigheden. Ze weerspiegelen de realiteit dat een geharmoniseerd wettelijk kader nog steeds wordt beïnvloed door nationale toezichtculturen, personeelsbeperkingen en institutionele geschiedenis. Het kiezen van een jurisdictie voor CASP-autorisatie betekent het kiezen van een toezichthouder, met alle praktische implicaties van dien.

Wat 'daadwerkelijke vestiging' eigenlijk vereist

Alles bij elkaar genomen weerspiegelen de inhoudelijke vereisten onder MiCA eerder een toezichtsfilosofie dan een checklist. De toezichthouder wil de zekerheid hebben dat hij, als er iets misgaat, over zinvolle rechtsmiddelen beschikt.
Dat betekent dat het uitvoerend management fysiek bereikbaar is en wettelijk aansprakelijk is volgens het EU-recht. Het betekent dat ICT-systemen door de EU-entiteit kunnen worden beheerd zonder afhankelijk te zijn van vergunningketens buiten de EU. Het betekent kapitaal dat daadwerkelijk beschikbaar is en afgestemd is op het werkelijke operationele risico.

En het betekent een governance waarbij de EU-entiteit daadwerkelijk beslissingen neemt in plaats van instructies uit te voeren die elders zijn uitgevaardigd.

Bedrijven die dit benaderen als een documentatieoefening, vinden het proces vaak moeilijker dan verwacht. Bedrijven die eerst de inhoud opbouwen en vervolgens documenteren wat ze hebben opgebouwd, vinden het doorgaans eenvoudiger. De aanvraag creëert de organisatie niet. Het beschrijft een organisatie die grotendeels al zou moeten bestaan.

Bronnen:

• ESMA Supervisory Briefing on Authorization of CASPs
• ESMA MiCA-raadplegingsdocument, 2e pakket
• MFSA MiCA-regelboek

Dit artikel is gebaseerd op een onderzoek dat in mei 2026 door LegalBison is uitgevoerd. De inhoud is uitsluitend bedoeld ter informatie en vormt geen juridisch advies.