Organisasjonskartet med de riktige stillingstitlene vil ikke gi deg lisens. Det regulatoren ser etter, er en etterlevelsesarkitektur: dokumentert uavhengighet, samlet kompetanse på tvers av tre tydelige kunnskapsdomener og reell institusjonell substans. Slik fungerer denne standarden i praksis.
MiCA avkodet: Hvorfor regulatoren ser på compliance-teamet ditt som én hjerne
SKREVET AV
DEL
MiCA Decoded er en ukentlig serie på 12 artikler for Bitcoin.com News, medforfattet av LegalBisons medgründere og administrerende direktører: Aaron Glauberman, Viktor Juskin og Sabir Alijev. LegalBison rådgir krypto- og FinTech-selskaper om MiCA-lisensiering, CASP- og VASP-søknader samt regulatorisk strukturering i Europa og utover.
Myten: Det er nok å sette bort en compliance officer
Når gründere begynner å planlegge autorisasjon for tilbydere av kryptoaktivatjenester (CASP), lander samtalen nesten alltid på det samme punktet: «Så, må vi ansette en compliance officer?»
Noen ganger kommer spørsmålet med en oppfølger: «Og en Money Laundering Reporting Officer (MLRO)? Er det alt?»
Svaret på begge er ja. Men å behandle disse to utnevnelsene som målstreken er den vanligste og mest konsekvensfulle feiltolkningen av hva MiCA faktisk krever av en compliance-funksjon.
Regulatorer sjekker ikke om organisasjonskartet har de riktige stillingstitlene. De vurderer om ledelsesorganet, som en samlet enhet, har kunnskapsarkitekturen, den strukturelle uavhengigheten og den dokumenterte operasjonelle dybden som trengs for å drive en regulert finansinstitusjon. En MiCA-lisens utstedes ikke til en person. Den utstedes til en organisme.
Denne forskjellen ligger i kjernen av hvorfor så mange søknader i tidlig fase stopper opp eller krever betydelig omarbeiding før en nasjonal kompetent myndighet (NCA) gir autorisasjon.
Hva «kollektivt» faktisk betyr i regelverket
Artikkel 68(1) i MiCA er presis på dette punktet. Medlemmene av ledelsesorganet må ha passende kunnskap, ferdigheter og erfaring «både individuelt og kollektivt». Det ene ordet, «kollektivt», gjør betydelig regulatorisk arbeid.
De felles retningslinjene fra EBA og ESMA om egnethet for medlemmer av ledelsesorganet og aksjonærer for enheter under MiCA, gjør mekanikken i denne standarden eksplisitt ved å liste opp de konkrete områdene av yrkeserfaring som ledelsesorganet må besitte. Eira Järvi, seniorjurist i LegalBison, har skissert de spesifikke kravene i tabellen nedenfor.
| Kravkategori | Detaljert beskrivelse |
| Regulering av finansmarkeder | Forståelse av finansielle instrumenter og DLT-finansielle instrumenter, inkludert regulatoriske krav etter SIBA og annen relevant lovgivning |
| AML/CTF-etterlevelse | Kunnskap om AML/CTF-krav, inkludert risikoidentifisering, vurdering og avbøtende strategier |
| Virtuelle aktiva | Kunnskap om VA-typer, inkludert aktiva-refererte og e-pengetokens, og risikoene knyttet til hver |
| Databeskyttelse | Forståelse av forpliktelser knyttet til databeskyttelse som er relevante for selskapets virksomhet |
| Risikostyring | Forståelse av prinsipper og prosedyrer for risikostyring, inkludert markeds-, kreditt- og likviditetsrisiko |
| Styring og interne kontroller | Evne til å vurdere effektiviteten av styringsordninger, tilsynsmekanismer og interne kontroller |
| Digital operasjonell robusthet | Kjennskap til krav knyttet til operasjonell robusthet |
| Strategisk og ledelsesmessig kunnskap | Erfaring med strategisk planlegging, forretningsutvikling og gjennomføring av forretningsmål |
| Tredjepartsstyring | Forståelse av outsourcingordninger, styring av tredjepartsleverandører og tilhørende regulatoriske krav |
| Kommunikasjon og tilsyn | Evne til å fremlegge synspunkter, diskutere strategier og, der relevant, utfordre ledelsens beslutninger for å sikre effektivt tilsyn |
| Regnskap og revisjon | Evne til å tolke finansiell informasjon, identifisere nøkkelspørsmål og forstå relevante regnskaps- og revisjonsstandarder |
| Juridisk og regulatorisk kunnskap | Kjennskap til juridiske krav som gjelder for VASPer, inkludert utstedelse og forvaltning av VAs |
Når du analyserer ESMAs retningslinjer, blir det tydelig at ledelsesorganets samlede profil påviselig må dekke tre kjerne-domener av kunnskap, som inkluderer alle de detaljerte områdene som Eira har listet:
- Tradisjonelle finansmarkeder: Regulatoriske rammeverk, forpliktelser til investorbeskyttelse, regler for markedskondukt og operasjonelle standarder som gjelder for lisensierte finansielle tjenesteytere.
- Digital Ledger Technology (DLT)-infrastruktur og cybersikkerhet: Blockchain-arkitektur, risiko på protokollnivå, eksponering mot smarte kontrakter, trusselmodellering for cybersikkerhet og de spesifikke operasjonelle sårbarhetene som oppstår ved on-chain tjenesteleveranse.
- Forretningsstrategi og organisasjonsstyring: Utforming av risikostyring, arkitektur for interne kontroller, styringspolicy og evnen til å vurdere og periodisk gjennomgå selskapets etterlevelses-effektivitet.
Regulatoren forventer ikke at én person behersker alle tre domener. Forventningen, formalisert gjennom ESMAs krav om at virksomheter sender inn en vurdering av sin «kollektive egnethet», er at teamet samlet dekker dem alle uten meningsfulle hull.
Et ledelsesorgan som utelukkende består av personer med bakgrunn fra tradisjonell finans, uten noen som kan vurdere DLT-infrastrukturrisiko, er strukturelt ufullstendig før søknaden sendes inn.
Det samme gjelder i motsatt retning: et teknisk sterkt krypto-native team uten noen som forstår adferdsregler i regulerte finansmarkeder vil møte den samme granskingen.
Tidsforpliktelsesproblemet ingen snakker om
Det finnes et andre lag i standarden for kollektiv egnethet som overrasker søkere.
De riktige personene må finnes i praksis, ikke bare på papiret. Hvert medlem av ledelsesorganet må dokumentere, skriftlig, sin minimum tidsforpliktelse til virksomheten: spesifikt et estimat av tiden brukt på rollen (med både årlige og månedlige angivelser), sammen med en formell erklæring om alle andre utøvende og ikke-utøvende styreverv som for tiden innehas.
ESMAs utkast til regulatoriske tekniske standarder om autorisasjon (basert på den første konsultasjonspakken) er tydelige på dette. Vurderingen dekker om hver person er funksjonelt til stede, ikke bare nominelt oppført.
En ikke-utøvende med fire andre styreplasser og en compliance-rådgiverrelasjon til to ytterligere virksomheter vil bli gjenstand for direkte granskning. NCA må være tilfreds med at ledelsesorganet faktisk kan utføre sine plikter, ikke bare at de riktige navnene står i søknaden.
Dette betyr mest for krypto-selskaper i tidlig fase som henter inn erfarne compliance-profiler på deltid eller i rådgiverkapasitet for å styrke en autorisasjonssøknad. Regulatoren vil se nøyaktig hvor mange timer per måned vedkommende forplikter seg til, og vil sammenligne dette tallet med omfanget av rollen og tjenestene virksomheten har til hensikt å tilby.
Et misforhold mellom ansvar og tidsforpliktelse er et rødt flagg, ikke en formalitet.
Interne kontrollfunksjoner: Struktur fremfor titler
Å forstå kollektiv egnethet på ledelsesorgan-nivå er bare en del av bildet. MiCA artikkel 68(4) krever at CASPer vedtar retningslinjer og prosedyrer som er «tilstrekkelig effektive til å sikre etterlevelse». Artikkel 68(5) krever personell med passende kunnskap på alle nivåer i virksomheten. Artikkel 68(6) krever at ledelsesorganet periodisk gjennomgår effektiviteten av disse ordningene og adresserer eventuelle avdekkede mangler.
ESMAs utkast til RTS går videre. De krever at virksomheter identifiserer spesifikke interne kontrollfunksjoner og dokumenterer, for hver av dem:
- At rapporteringslinjen går direkte til ledelsesorganet.
- Hvordan funksjonen opererer uavhengig fra forretningsområdet den fører tilsyn med.
- Hvordan funksjonen kan få tilgang til ledelsesorganet på planlagt basis og på en nød-/ad hoc-basis når en betydelig etterlevelsesrisiko oppdages.
De tre funksjonsområdene som utgjør kjernen i dette interne kontrollrammeverket er:
- Compliance-funksjonen (regulatoriske forpliktelser, adferdspolicyer, interne prosedyrer).
- Risikoverderingsfunksjonen (risikoidentifisering, vurderingsmetodikk, eskaleringsprotokoller).
- Internrevisjonsfunksjonen (uavhengig effektivitetsgjennomgang, periodisk vurdering).
Merk: AML/CFT-funksjonen og forretningskontinuitetsfunksjonen er også obligatoriske pilarer i autorisasjonssøknaden, men ESMA behandler dem som separate organisatoriske krav ved siden av dette kjerne-rammeverket for intern kontroll.
MiCA tildeler ikke alltid disse presise etikettene i Level 1-teksten. ESMA-RTSene gjør det klart at disse kjerneområdene for intern kontroll må ha navngitte ansvarlige, dokumenterte ansvarsomfang og verifisert strukturell uavhengighet.
Det siste punktet er der mange søknader avslører en strukturell svakhet.
En compliance-funksjon som rapporterer til Chief Operating Officer, som også styrer inntekter og forretningsutvikling, er ikke uavhengig i regulatorisk forstand. En risikofunksjon innebygd i tradingdesken, som rapporterer oppover gjennom den samme kjeden som desken den skal overvåke, oppfyller heller ikke standarden.
Regulatoren vil be om organisasjonskartet. Deretter vil den spørre hvem compliance-lederen rapporterer til i praksis, hvilke andre ansvarsområder vedkommende har, og hvilke eskaleringsrettigheter de har når en alvorlig etterlevelsesrisiko identifiseres.
Å bygge en CASP-lisenssøknad rundt en reell uavhengighetsstruktur krever at arkitekturen utformes før søknaden skrives, ikke ettermonteres i etterkant.
Fysisk substans: Problemet med nominee director
Autorisasjonssøknaden må dokumentere et fysisk sted for effektiv ledelse innenfor EU. Dette innebærer hovedkontoradresse, filiallokasjoner der relevant, og den reelle beslutningsgeografien til virksomheten.
- Minst én direktor som utøver reell myndighet må være bosatt i Unionen og tilgjengelig for NCA i hjemstaten.
- En registrert adresse i en EU-jurisdiksjon støttet av en nominee director-ordning oppfyller ikke denne standarden.
- Substanskravet betyr at tyngden av menneskelig beslutningstaking faktisk må ligge innenfor Unionen.
NCAer vurderer dette gjennom lokasjonsfeltene i RTS-søknaden og gjennom tidsforpliktelsesopplysningene for hvert medlem av ledelsesorganet.
En direktor som fysisk er til stede i EU i to uker per kvartal, kvalifiserer ikke som en bosatt direktor i noen meningsfull regulatorisk forstand.
Dette er et punkt som særlig betyr noe for virksomheter som opererer fra globale hovedkontorer utenfor EU og bygger mot en kryptolisens i Europa. Den EU-baserte enheten må fungere som en reell beslutningsenhet, ikke som en administrativ fasade for en konsernstruktur som opererer fra et annet sted.
Forretningskontinuitet hører hjemme i compliance-teamet
Forretningskontinuitet behandles ofte som et IT-ansvar. Under MiCA og Digital Operational Resilience Act (DORA) er den innrammingen feil for enhver autorisert CASP.
Forretningskontinuitetspolicyen må eies, godkjennes og vedlikeholdes av ledelsesorganet. DORA (forordning EU 2022/2554) regulerer elementene som er spesifikke for informasjons- og kommunikasjonsteknologi, og CASPer faller innenfor DORAs virkeområde som finansielle enheter. De to rammeverkene virker samtidig, og compliance-funksjonen må kunne navigere begge på en gang.
ESMAs andre MiCA-konsultasjonsnotat innførte en spesifikk forpliktelse for virksomheter som opererer på permissionless distributed ledger technology (offentlige blockchains som Ethereum): proaktiv, strukturert kommunikasjon med kunder ved enhver DLT-nivå tjenesteforstyrrelse.
Virksomheten må oppdatere kunder om hvorvidt deres midler er i fare og gi et klart bilde av hvordan gjenopptakelse av tjenesten håndteres. Virksomheten forblir fullt ansvarlig for eventuelle tap som oppstår fra egne smarte kontrakter, uavhengig av om den underliggende blockchainen er permissionless.
Dette er ikke en standard policy for IT-nedetid. Å eie denne forpliktelsen på en meningsfull måte krever at ledelsesorganet forstår DLT-infrastrukturrisiko på et nivå som går langt utover generell teknisk bevissthet.
Et compliance-team som bare kan beskrive blockchain-risiko i generelle termer vil ikke være i stand til å utarbeide, gjennomgå eller vedlikeholde en forretningskontinuitetspolicy som tåler regulatorisk granskning.
Datastandarder som en compliance-kapasitet
Compliance-funksjonens ansvar strekker seg inn i dataarkitektur. CASPer som driver handelsplattformer må bruke Digital Token Identifier (DTI)-standarden for all journalføring og rapportering til NCAer. DTI identifiserer hver kryptoaktivum entydig og knytter det til den spesifikke DLT-en som det utstedes, handles eller gjøres opp på. Dette gjør at regulatorer kan utføre grensekryssende overvåking med konsistente, sammenlignbare data.
Meldingsstandardene i ISO 20022 regulerer formatet på transaksjonsdata som sendes inn til myndighetene. Transparensdata før og etter handel må offentliggjøres gjennom ikke-diskriminerende, maskinlesbare offentlige kanaler for å forhindre markedsmisbruk. Hvert av disse kravene har en teknisk dimensjon som compliance-teamet må eie, ikke delegere blindt til IT.
En virksomhet som behandler journalføring som en generell systemadministrasjonsoppgave, uten compliance-tilsyn med de spesifikke datastandardene som RTS krever, vil få tilsynsmessige problemer etter autorisasjon.
Standardene finnes nettopp for at NCAer kan sammenligne registre på tvers av hundrevis av CASPer i én analyse. En virksomhet som ikke kan produsere data i påkrevd format, er en virksomhet som ikke kan demonstrere løpende etterlevelse.
Dette er den praktiske betydningen av «én hjerne»-standarden. Compliance-teamet integrerer regulatorisk bevissthet, styringsstruktur, DLT-operasjonell kunnskap og teknisk datakompetanse som én fungerende kapasitet. Ingen av disse elementene kan outsources fullt ut til en annen funksjon.
Bygg teamet før du bygger søknaden
Autorisasjonssøknaden for en CASP MiCA-lisens dokumenterer en institusjon som allerede eksisterer. Det er den mentale modellen som skiller virksomheter som beveger seg effektivt gjennom prosessen fra dem som stopper opp.
Virksomheter som forfølger lisensiering av kryptobørs, autorisasjon for oppbevaring av digitale aktiva eller enhver annen CASP-lisens i Europa, må tilnærme seg teamarkitektur som første leveranse, ikke som noe som faller på plass mens søknaden utarbeides.
Compliance-funksjonen må være strukturelt uavhengig før det første dokumentet skrives. Ledelsesorganets kollektive kunnskapsdekning må vurderes og eventuelle gap lukkes før NCA-gjennomgangen begynner. Tidsforpliktelsesopplysningene må være realistiske før de sendes inn.
Den samme logikken gjelder globalt. Virksomheter som søker VASP-lisens i jurisdiksjoner utenfor EU, møter i økende grad parallelle standarder: regulatorer i Midtøsten, Asia-Stillehavet og Amerika konvergerer mot tilsvarende substans-fremfor-form-krav til utforming av compliance-funksjoner.
EU-standarden, som er den mest detaljerte og teknisk spesifikke som er i kraft per i dag, er et nyttig referansepunkt for ethvert team som bygger mot regulert status i en større jurisdiksjon.
'Vi er DeFi, så MiCA gjelder ikke for oss.' Beklager, men EBA og ESMA har et annet synspunkt
MiCA utfordrer DeFi-desentraliseringspåstander når regulatorer vurderer kontroll, styring og etterlevelsesregler. read more.
Les nå
'Vi er DeFi, så MiCA gjelder ikke for oss.' Beklager, men EBA og ESMA har et annet synspunkt
MiCA utfordrer DeFi-desentraliseringspåstander når regulatorer vurderer kontroll, styring og etterlevelsesregler. read more.
Les nå'Vi er DeFi, så MiCA gjelder ikke for oss.' Beklager, men EBA og ESMA har et annet synspunkt
Les nåMiCA utfordrer DeFi-desentraliseringspåstander når regulatorer vurderer kontroll, styring og etterlevelsesregler. read more.
Hovedpoeng
Myten: Å utnevne en compliance officer og en MLRO oppfyller MiCAs etterlevelsesforpliktelser.
Virkeligheten: MiCA krever en fungerende compliance-organisme, ikke en liste med stillingstitler.
Tre forhold avgjør om et ledelsesorgan oppfyller standarden:
Kollektiv kunnskapsdekning. Teamet, sett som en enhet, må dekke kompetanse innen tradisjonelle finansmarkeder, ferdigheter innen DLT og cybersikkerhet, og kapasitet innen organisasjonsstyring. Hull i ett av domenene er strukturelle mangler, ikke profilpreferanser.
Dokumentert strukturell uavhengighet. De sentrale interne kontrollfunksjonene (compliance, risikovurdering og internrevisjon) må ha en navngitt ansvarlig, en direkte rapporteringslinje til ledelsesorganet og verifisert uavhengighet fra forretningsområdet de fører tilsyn med. (Merk: AML/CFT og forretningskontinuitet er like obligatoriske, men behandles som separate organisatoriske pilarer). Et organisasjonskart som ruter compliance gjennom en inntektsgenererende funksjon vil ikke overleve NCA-granskning.
Reell institusjonell substans. Tidsforpliktelser må være reelle og dokumenterte. Den fysiske tilstedeværelsen i EU må gjenspeile faktisk beslutningstyngde, ikke en registrert adresse. Forretningskontinuitetspolicyen må eies på ledelsesorgan-nivå. Datarapportering må oppfylle DTI- og ISO 20022-standarder fra dag én.
CASP-lisenssøknaden er resultatet. Etterlevelsesarkitekturen er fundamentet. Bygg fundamentet først.
Denne artikkelen er basert på en studie gjennomført av LegalBison i april 2026. Innholdet er kun til informasjonsformål og utgjør ikke juridisk rådgivning.
