MiCA avkodet: «Vi har et EU-kontor» er ikke nok: Her er hva regulatorene faktisk vil se

MiCA Decoded er en ukentlig serie på 12 artikler for Bitcoin.com News, medforfattet av LegalBisons medgründere og administrerende direktører: Aaron Glauberman, Viktor Juskin og Sabir Alijev. LegalBison rådgir krypto- og FinTech-selskaper om MiCA-lisenser, CASP- og VASP-søknader samt regulatorisk strukturering i Europa og utover.

Denne ukens innlegg er skrevet av Krystian Lapka, jurist hos LegalBison. Krystian spesialiserer seg på grensekryssende selskaps- og kommersielle transaksjoner, i tillegg til strategisk risikostyring i skjæringspunktet mellom civil law og common law.

---

De fleste gründere som nærmer seg sin første CASP-søknad forstår, i det minste abstrakt, at MiCA krever en reell tilstedeværelse i EU. Det de undervurderer, er hvordan regulatoren definerer «reell».

Det typiske oppsettet i tidlig fase ser sammenhengende ut på papiret: et registrert kontor i en gunstig EU-jurisdiksjon, en direktør oppført i styringsdokumentene, IKT-systemer enten skyhostet eller forvaltet fra konsernets globale infrastruktur, og innbetalt kapital som står på en nyåpnet bankkonto.

Fra innsiden føles dette som et EU-selskap. Fra en nasjonal kompetent myndighets perspektiv kan det se ut som et postkasseselskap med en direktør koblet på.

Denne artikkelen kartlegger hva MiCAs substanskrav faktisk krever på tvers av personell, teknologi og finansiell robusthet, og forklarer hvorfor regulatorer behandler hver kategori som en funksjonell test snarere enn en dokumentasjonsøvelse.

Bekymringen som driver alt dette, er den samme: å hindre postkasseselskaper — enheter som eksisterer på papiret i en gunstig jurisdiksjon, men som mangler meningsfull økonomisk aktivitet, menneskelig kapital eller operasjonell kapasitet der.

Myten: Tilstedeværelse er det samme som substans

Den regulatoriske logikken her er eldre enn MiCA. I den banebrytende Cadbury Schweppes-dommen (sak C-196/04) fastslo EU-domstolen at etableringsfriheten ikke kan brukes til å skape «helt kunstige arrangementer» som mangler reell økonomisk aktivitet. MiCA kodifiserer dette prinsippet direkte inn i reguleringen av kryptoaktiva.

Artikkel 59(2) i MiCA fastslår at autoriserte CASP-er må ha sitt registrerte kontor i en medlemsstat der de yter minst en del av sine kryptoaktivatjenester, må ha sitt sted for faktisk ledelse innenfor Unionen, og må ha minst én direktør bosatt i Unionen. Bestemmelsen er kort. Det som ligger bak den, er langt mer krevende.

ESMAs tilsynsnotat om autorisasjon av CASP-er, selv om det ikke er bindende, signaliserer tydelig hvordan NCA-er forventes å tolke disse kravene i praksis.

Gapet mellom lovteksten og tilsynsforventningen er der mange søknader møter friksjon.

Personell: Hvem er det som faktisk driver denne enheten

Minimumsterskelen under MiCA er én direktør bosatt i EU. Tilsynsveiledning hever den terskelen.

ESMAs notat legger til grunn minst to ledende personer som sammen har ansvar for den daglige driften. Begrunnelsen er enkel: én enkelt leder skaper konsentrasjonsrisiko og fjerner de interne kontrollene som en fungerende styringsstruktur krever. To ledere med definerte, overlappende ansvarsområder er forventet grunnlinje.

Bosted er ikke tilstrekkelig i seg selv. Veiledningen indikerer at dersom et medlem av ledelsesorganet ikke er bosatt i NCA-ens jurisdiksjon, bør vedkommende kunne møte fysisk hos myndigheten på forespørsel innen to virkedager.

For jurisdiksjoner der fysisk nærhet til tilsynsmyndigheten har operasjonell betydning, er dette en praktisk begrensning på hvor langt fra hjemjurisdiksjonen en direktør effektivt kan befinne seg.

Tidsbruk behandles med tilsvarende alvor. ESMAs syn, slik det kommer til uttrykk i Supervisory Briefing on Authorization of CASPs, er at medlemmer av den utøvende ledelsen som hovedregel bør vie 100 % av sin profesjonelle tid til CASP-rollen. Dobbeltroller («double-hatting»), der samme person har en utøvende rolle i flere enheter, tillates bare i begrensede tilfeller. En leder som deler oppmerksomheten mellom CASP-en og et annet konsernselskap, vil sannsynligvis tiltrekke seg oppmerksomhet under egnethets- og vandelvurderingen.

Rapporteringslinjer betyr like mye som individuelle profiler. Ledelsesorganet må vise at strategisk og operasjonell kontroll ligger i EU-enheten, ikke hos et morselskap i et tredjeland som tar de reelle beslutningene og sender instrukser nedover.

Et EU-datterselskap der lederne i praksis fungerer som implementeringsagenter for et hovedkontor utenfor EU, er ikke — i tilsynsmessig forstand — en enhet med reell EU-ledelse.

AML-dimensjonen forsterker dette. Personen som er ansvarlig for å sende inn rapporter om mistenkelig aktivitet (MLRO), må være fysisk til stede, ha reell myndighet i enheten og kunne samhandle direkte med den lokale Financial Intelligence Unit. Dette kravet reflekterer en bredere global trend: FATF og OECDs Crypto-Asset Reporting Framework (CARF) bygger på samme logikk og utvider substans- og transparenskrav utover EU.

MiCAs personellkrav og CARF er ikke urelaterte utviklinger; de reflekterer en konvergerende internasjonal standard for hvordan en regulert kryptoenhet må se ut fra innsiden.

Standarden for samlet egnethet i artikkel 68(1) krever at ledelsesorganet besitter passende kunnskap, ferdigheter og erfaring både individuelt og samlet. Som omtalt i forrige del av denne serien, omfatter denne standarden tradisjonell regulering av finansmarkeder, DLT-infrastruktur og cybersikkerhet, samt organisasjonsstyring. Hvert av disse områdene må være representert i rommet.

Et team som utelukkende kommer fra krypto-native bakgrunner uten erfaring fra regulerte finansielle tjenester, eller et team med dyp TradFi-erfaring uten evne til å vurdere on-chain-risiko, har strukturelle hull som vurderingsprosessen vil avdekke.

Teknologi: Kontroll, ikke bare hosting

DORA (forordning (EU) 2022/2554) gjelder direkte for CASP-er og fastsetter rammeverket for krav til IKT-motstandsdyktighet. Spørsmålet regulatorene stiller om teknologi, er ikke hvilken infrastruktur et selskap bruker. Spørsmålet er hvem som kontrollerer den.

Skyinfrastruktur hostet av AWS, Azure eller lignende leverandører er akseptabelt under dagens tilsynspraksis. Problemet oppstår når enheten som er autorisert i EU, mangler reell administrativ kontroll over systemene den er avhengig av.

Hvis håndtering av krypteringsnøkler ligger hos morselskapets globale IT-team, hvis tilgangsrettigheter til kundedata administreres utenfor EU, eller hvis planen for katastrofegjenoppretting avhenger av godkjenninger fra et hovedkontor i et tredjeland, kan ikke EU-enheten dokumentere reell operasjonell uavhengighet.

ESMAs posisjon, slik den fremgår av konsultasjonsmaterialet, er at EU-ledelsen må ha faktisk kontroll over IKT-infrastrukturen som er relevant for CASP-ens virksomhet. Retningslinjene for virksomhetskontinuitet og planene for katastrofegjenoppretting som kreves etter artikkel 68(7), må eies av og kunne gjennomføres av EU-enheten, ikke være avhengige av en global funksjon som kanskje — eller kanskje ikke — svarer i en krise.

Den praktiske testen er spiss: Hvis morselskapets globale IT-team ble utilgjengelig over natten, kunne EU-enheten fortsatt drive, få tilgang til klientmidler og returnere aktiva til kunder? Hvis svaret er nei, eller ikke uten betydelig eskalering til personell utenfor EU, er substansspørsmålet ikke løst.

GDPR-etterlevelse og krav til datastyring kommer i tillegg til DORA-rammeverket. Databehandlingsavtaler, behandlingsansvarlig–databehandler-forhold og hensyn til datalagringssted utgjør alle deler av den tekniske arkitekturen regulatorer vil undersøke.

Finans: Kapital som faktisk fungerer

Artikkel 67 fastsetter minimumskravene til forsvarlige (prudensielle) sikkerhetsmekanismer. Kapitalklassene er definert etter tjenesteklasse:

Minimumskapitalen er utgangspunktet, ikke taket. De prudensielle sikkerhetsmekanismene må tilsvare det høyeste av enten den permanente minimumskapitalen eller en fjerdedel av foregående års faste driftskostnader.

Når en CASP vokser og de faste driftskostnadene øker, blir denne andre komponenten den bindende begrensningen. Når overhead overstiger fire ganger den opprinnelige innbetalte kapitalen, må foretaket gå over til overhead-basert rammeverk. Dette knekkpunktet kommer raskere enn mange aktører forventer, og regulatorer forventer proaktiv overvåking snarere enn reaktiv justering.

Et strukturelt poeng som er verdt å merke seg: kapital må være innbetalt til en konto hos en formell kredittinstitusjon.

En konto hos et e-pengeselskap (EMI) eller en betalingsforetaksleverandør oppfyller ikke dette kravet. Å etablere en bankrelasjon som kryptovirksomhet tar tid og er ikke garantert. Å starte denne prosessen tidlig, før søknaden formelt leveres, er ikke valgfritt. Det er en rekkefølgebegrensning som påvirker hele autorisasjonstidslinjen.

Kravet om at regnskapstallene som brukes i beregningen av faste driftskostnader, skal være behørig revidert eller validert av nasjonale tilsynsmyndigheter, legger til en ytterligere administrativ dimensjon. Nystiftede enheter som estimerer sine første tolv måneders overhead, må inkludere disse estimatene i autorisasjonssøknaden, med metodikken tydelig dokumentert.

Outsourcing og substans-terskelen

Artikkel 73 tillater CASP-er å outsource operasjonelle funksjoner til tredjeparter. Begrensningen er at outsourcing ikke kan uthule den autoriserte enheten. Ansvar blir værende hos CASP-en; delegering overfører ikke ansvarlighet.

ESMAs Supervisory Briefing on Authorization of CASPs identifiserer andelen av totale kostnader som kan tilskrives funksjoner lokalisert utenfor EU, som en praktisk indikator på om outsourcing har gått for langt. En CASP der majoriteten av driftsutgiftene går til tjenesteleverandører utenfor EU — selv velstyrte og anerkjente — kan møte spørsmål om EU-enheten har tilstrekkelig intern kapasitet til å kvalifisere som en reell tjenesteleverandør snarere enn en kanal.

Skillet regulatoren trekker, er mellom CASP-er som outsourcer spesifikke funksjoner mens de beholder kontroll, og CASP-er som outsourcer alt vesentlig mens de bare beholder den juridiske formen. Sistnevnte er et skallselskap, uansett hvordan ordningen beskrives i søknaden.

Jurisdiksjonsvariasjon: Samme lov, ulik praksis

MiCA gjelder direkte i alle EU-medlemsstater. Substanskravene er ensartede. Tilsynspraksis er det ikke.

Kypros, gjennom CySEC, har eksplisitt krevd at flertallet av en CASP sitt styre skal være fysisk bosatt på Kypros. For et styre med to utøvende og to ikke-utøvende styremedlemmer betyr det minst tre direktører bosatt på Kypros. Dette går lenger enn det MiCA-teksten krever og reflekterer nasjonale AML-direktiver lagt oppå det harmoniserte EU-rammeverket.

Estland har en annen dynamikk. Under det tidligere VASP-registreringsregimet administrert av Financial Intelligence Unit ble Estland en av Europas mest tilgjengelige lisensjurisdiksjoner. Overgangen til MiCA flyttet tilsynsansvaret til den estiske Financial Supervision and Resolution Authority, som har en annen institusjonell tilnærming til gjennomgang og løpende tilsyn.

Polens lovgivningssituasjon, omtalt i tidligere deler av denne serien, har skapt et strukturelt gap der den nasjonale implementeringsloven for MiCA ennå ikke er vedtatt, noe som etterlater KNF uten formell utpeking som kompetent myndighet og VASP-innehavere uten en levedyktig innenlandsk søknadsvei for CASP.

Disse variasjonene er ikke smutthull eller administrative kuriositeter. De reflekterer realiteten i at et harmonisert juridisk rammeverk fortsatt opererer gjennom nasjonale tilsynskulturer, bemanningsbegrensninger og institusjonelle historikker. Å velge jurisdiksjon for CASP-autorisasjon betyr å velge regulator, med alle de praktiske implikasjonene det innebærer.

Hva «reell etablering» faktisk krever

Sett under ett reflekterer substanskravene under MiCA en tilsynsfilosofi snarere enn en sjekkliste. Regulatoren ønsker å være trygg på at den, hvis noe går galt, har reelle sanksjons- og håndhevingsmuligheter.

Det betyr at den utøvende ledelsen er fysisk tilgjengelig og rettslig ansvarlig under EU-rett. Det betyr IKT-systemer som kan kontrolleres av EU-enheten uten avhengighet av godkjenningskjeder utenfor EU. Det betyr kapital som faktisk er tilgjengelig og dimensjonert mot reell operasjonell risiko.

Og det betyr styring der EU-enheten tar reelle beslutninger, i stedet for å implementere instrukser utstedt fra et annet sted.

Selskaper som behandler dette som en dokumentasjonsøvelse, opplever ofte prosessen som vanskeligere enn forventet. Selskaper som bygger substansen først og dokumenterer det de har bygget, opplever den gjerne som mer rett frem. Søknaden skaper ikke organisasjonen. Den beskriver en som i stor grad allerede bør eksistere.

Kilder:

• ESMA Supervisory Briefing on Authorization of CASPs
• ESMA MiCA Consultation Paper, 2nd Package
• MFSA MiCA Rulebook

Denne artikkelen er basert på en studie gjennomført av LegalBison i mai 2026. Innholdet er kun til informasjonsformål og utgjør ikke juridisk rådgivning.