En organisationsplan med rätt befattningsbeteckningar räcker inte för att få en licens. Det tillsynsmyndigheten letar efter är en struktur för regelefterlevnad: dokumenterad oberoende, samlad expertis inom tre olika kunskapsområden och verklig institutionell substans. Så här fungerar den standarden i praktiken.
MiCA förklarat: Varför tillsynsmyndigheten ser ditt regelefterlevnadsteam som en enda enhet
SKRIVEN AV
DELA
MiCA Decoded är en veckoserie med 12 artiklar för Bitcoin.com News, skriven av LegalBisons medgrundare och verkställande direktörer: Aaron Glauberman, Viktor Juskin och Sabir Alijev. LegalBison ger råd till krypto- och FinTech-företag om MiCA-licensiering, CASP- och VASP-ansökningar samt regleringsstrukturering i Europa och utanför.
Myten: Det räcker att outsourca en compliance officer
När grundare börjar planera för auktorisering som leverantör av tjänster för kryptotillgångar (CASP) hamnar samtalet nästan alltid på samma punkt: ”Så, behöver vi anställa en compliance officer?”
Ibland följs frågan av en uppföljning: ”Och en rapporteringsansvarig för penningtvätt (MLRO)? Är det allt?”
Svaret på båda frågorna är ja. Men att betrakta dessa två utnämningar som mållinjen är den vanligaste och mest allvarliga missuppfattningen av vad MiCA faktiskt kräver av en compliance-funktion.
Tillsynsmyndigheterna kontrollerar inte om organisationsschemat har rätt befattningsbeteckningar. De bedömer om ledningsorganet, som en helhet, har den kunskapsarkitektur, den strukturella oberoende ställning och den dokumenterade operativa djupet som krävs för att driva ett reglerat finansiellt institut. En MiCA-licens utfärdas inte till en person. Den utfärdas till en organisation.
Denna distinktion är kärnan i varför så många ansökningar i ett tidigt skede fastnar eller kräver betydande omarbetningar innan en nationell behörig myndighet (NCA) beviljar auktorisation.
Vad ”kollektivt” egentligen betyder i förordningen
Artikel 68.1 i MiCA är tydlig på denna punkt. Ledamöterna i ledningsorganet måste ha lämplig kunskap, kompetens och erfarenhet ”både individuellt och kollektivt”. Det enda ordet ”kollektivt” fyller en viktig reglerande funktion.
De gemensamma riktlinjerna från EBA och ESMA om lämpligheten hos ledningsorganets medlemmar och aktieägare för enheter som omfattas av MiCA tydliggör mekanismerna i denna standard genom att lista de specifika områden av yrkeserfarenhet som ledningsorganet måste besitta. Eira Järvi, seniorjurist på LegalBison, har sammanfattat de specifika kraven i tabellen nedan.
| Kravkategori | Detaljerad beskrivning |
| Reglering av finansmarknaderna | Förståelse för finansiella instrument och DLT-finansiella instrument, inklusive regleringskrav enligt SIBA och annan tillämplig lagstiftning |
| Efterlevnad av AML/CTF | Kunskap om AML/CTF-krav, inklusive strategier för riskidentifiering, riskbedömning och riskminimering |
| Virtuella tillgångar | Kunskap om olika typer av virtuella tillgångar, inklusive tillgångsrefererade tokens och e-pengatokens, samt de risker som är förknippade med var och en |
| Dataskydd | Förståelse för dataskyddsskyldigheter som är relevanta för företagets verksamhet |
| Riskhantering | Förståelse för principer och rutiner för riskhantering, inklusive marknads-, kredit- och likviditetsrisker |
| Styrning och interna kontroller | Förmåga att bedöma effektiviteten hos styrningsarrangemang, övervakningsmekanismer och interna kontroller |
| Digital operativ motståndskraft | Kännedom om krav relaterade till operativ motståndskraft |
| Strategisk och ledningsmässig kunskap | Erfarenhet av strategisk planering, affärsutveckling och genomförande av affärsmål |
| Hantering av tredje part | Förståelse för outsourcingavtal, hantering av tredjepartsleverantörer och tillhörande lagkrav |
| Kommunikation och tillsyn | Förmåga att framföra synpunkter, diskutera strategier och, i förekommande fall, ifrågasätta ledningens beslut för att säkerställa en effektiv tillsyn |
| Redovisning och revision | Förmåga att tolka finansiell information, identifiera nyckelfrågor och förstå relevanta redovisnings- och revisionsstandarder |
| Juridisk och regleringsmässig kunskap | Kännedom om de rättsliga krav som gäller för VASP:er, inklusive utfärdande och hantering av virtuella tillgångar |
När man analyserar ESMA:s riktlinjer blir det tydligt att ledningsorganets samlade profil på ett påvisbart sätt måste täcka tre centrala kunskapsområden, vilka inkluderar alla de som Eira redogör för:
- Traditionella finansmarknader: Regleringsramar, skyldigheter avseende investerarskydd, regler för marknadsuppförande samt de operativa standarder som gäller för licensierade finansiella tjänsteleverantörer.
- Infrastruktur för digital ledger-teknik (DLT) och cybersäkerhet: Blockkedjearkitektur, risker på protokollnivå, exponering för smarta kontrakt, modellering av cybersäkerhetshot samt de specifika operativa sårbarheter som uppstår vid leverans av tjänster på blockkedjan.
- Affärsstrategi och organisatorisk styrning: Utformning av riskhantering, arkitektur för intern kontroll, styrningspolicy samt förmågan att bedöma och regelbundet granska företagets efterlevnadseffektivitet.
Tillsynsmyndigheten förväntar sig inte att en enda person ska behärska alla tre områdena. Förväntningen, som formaliserats genom ESMA:s krav på att företag ska lämna in en bedömning av sin ”kollektiva lämplighet”, är att teamet som helhet täcker alla dessa områden utan betydande luckor.
Ett ledningsorgan som uteslutande består av personer med traditionell finansbakgrund, utan någon som kan utvärdera riskerna med DLT-infrastruktur, är strukturellt ofullständigt redan innan ansökan lämnas in.
Detsamma gäller i omvänd riktning: ett tekniskt kompetent team med kryptovalutakunskap, men utan någon som förstår hur reglerade finansmarknader fungerar, kommer att utsättas för samma granskning.
Det tidsåtagande som ingen talar om
Det finns ett andra lager i standarden för kollektiv lämplighet som överraskar sökande.
Rätt personer måste finnas i praktiken, inte bara på papperet. Varje medlem i ledningsorganet måste skriftligen dokumentera sitt minimala tidsåtagande gentemot företaget: specifikt en uppskattning av den tid som ägnas åt rollen (med både årliga och månatliga uppgifter), tillsammans med en formell deklaration av alla andra verkställande och icke-verkställande styrelseuppdrag som för närvarande innehas.
ESMA:s utkast till tekniska standarder för auktorisation (hämtat från det första samrådspaketet) är tydliga på denna punkt. Bedömningen omfattar huruvida varje person är funktionellt närvarande, inte bara nominellt listad.
En icke-verkställande styrelseledamot med fyra andra styrelseposter och en rådgivande roll inom regelefterlevnad hos ytterligare två företag kommer att utsättas för direkt granskning. Den nationella tillsynsmyndigheten måste vara övertygad om att ledningsorganet faktiskt kan utföra sina uppgifter, inte bara att rätt namn finns med i ansökan.
Detta är särskilt viktigt för kryptovalutaföretag i ett tidigt skede som anlitar erfarna compliance-experter på deltid eller i rådgivande kapacitet för att stärka en ansökan om auktorisation. Tillsynsmyndigheten kommer att se exakt hur många timmar per månad den personen lägger ner, och den kommer att jämföra den siffran med rollens omfattning och de tjänster som företaget avser att tillhandahålla.
En obalans mellan ansvar och tidsåtagande är en varningssignal, inte en formalitet.
De interna kontrollfunktionerna: struktur framför titlar
Att förstå den kollektiva lämpligheten på ledningsnivå är bara en del av helheten. MiCA artikel 68.4 kräver att CASP:er antar policyer och rutiner som är ”tillräckligt effektiva för att säkerställa efterlevnad”. Artikel 68.5 kräver personal med lämplig kunskap på alla nivåer i företaget. Artikel 68.6 kräver att ledningsorganet regelbundet granskar effektiviteten hos dessa arrangemang och åtgärdar eventuella brister som upptäcks.
ESMA:s utkast till RTS går ännu längre. De kräver att företagen identifierar specifika interna kontrollfunktioner och dokumenterar följande för var och en av dem:
- Rapporteringsvägen går direkt till ledningsorganet.
- Hur funktionen fungerar oberoende av det affärsområde den övervakar.
- Hur funktionen kan kontakta ledningsorganet enligt ett fastställt schema och i akuta situationer (ad hoc) när en betydande efterlevnadsrisk upptäcks.
De tre funktionsområden som utgör kärnan i detta ramverk för intern kontroll är:
- Compliance-funktionen (lagstadgade skyldigheter, uppförandepolicyer, interna rutiner).
- Riskbedömningsfunktionen (riskidentifiering, bedömningsmetodik, eskaleringsprotokoll).
- Internrevisionsfunktionen (oberoende effektivitetsgranskning, periodisk bedömning).
Anmärkning: AML/CFT-funktionen och funktionen för affärskontinuitet är också obligatoriska pelare i ansökan om auktorisation, men ESMA behandlar dem som separata organisatoriska krav vid sidan av detta centrala ramverk för intern kontroll.
MiCA tilldelar inte alltid dessa exakta beteckningar i nivå 1-texten. ESMA:s RTS klargör att dessa centrala områden för intern kontroll måste ha namngivna ansvariga, dokumenterade ansvarsområden och verifierad strukturell oberoende.
Det är just den sista punkten där många ansökningar uppvisar en strukturell brist.
En compliance-funktion som rapporterar till Chief Operating Officer, som också hanterar intäkter och affärsutveckling, är inte oberoende i regleringsmässig mening. En riskfunktion som är inbäddad i handelsavdelningen och rapporterar uppåt genom samma kedja som den avdelning den ska övervaka uppfyller inte heller standarden.
Tillsynsmyndigheten kommer att begära organisationsschemat. Därefter kommer den att fråga vem compliance-chefen i praktiken rapporterar till, vilka andra ansvarsområden den personen har och vilka eskaleringsrättigheter denne har när en allvarlig compliance-risk identifieras.
Att bygga en CASP-licensansökan kring en verkligt oberoende struktur kräver att arkitekturen utformas innan ansökan utarbetas, inte efterhand.
Fysisk närvaro: Problemet med nominella styrelseledamöter
I licensansökan måste en fysisk plats för den faktiska ledningen inom EU dokumenteras. Detta innebär huvudkontorets adress, filialernas adresser där så är relevant, samt företagets faktiska geografiska beslutsbas.
- Minst en styrelseledamot som utövar verklig befogenhet måste vara bosatt inom unionen och vara tillgänglig för den nationella tillsynsmyndigheten i hemmedlemsstaten.
- En registrerad adress i en EU-jurisdiktion som stöds av ett arrangemang med en nominell styrelseledamot uppfyller inte denna standard.
- Kravet på substans innebär att den mänskliga beslutsmakten faktiskt måste finnas inom unionen.
De nationella tillsynsmyndigheterna bedömer detta genom uppgifterna om plats i RTS-ansökan och genom uppgifterna om tidsåtagande för varje medlem i ledningsorganet.
En styrelseledamot som är fysiskt närvarande i EU under två veckor per kvartal kvalificerar sig inte som bosatt styrelseledamot i någon meningsfull regleringsmässig mening.
Detta är en punkt som är särskilt viktig för företag som bedriver verksamhet från globala huvudkontor utanför EU och som arbetar för att erhålla en kryptolicens i Europa. Den EU-baserade enheten måste fungera som en verklig beslutsenhet, inte som en administrativ fasad för en koncernstruktur som bedriver verksamhet från någon annanstans.
Affärskontinuitet är compliance-teamets ansvar
Affärskontinuitet betraktas allmänt som ett IT-ansvar. Enligt MiCA och lagen om digital operativ motståndskraft (DORA) är den tolkningen felaktig för alla auktoriserade CASP.
Policyn för affärskontinuitet måste ägas, godkännas och underhållas av ledningsorganet. DORA (förordning EU 2022/2554) reglerar de delar som är specifika för informations- och kommunikationsteknik, och CASP:er faller inom DORA:s tillämpningsområde som finansiella enheter. De två ramverken fungerar samtidigt, och compliance-funktionen måste kunna hantera båda samtidigt.
ESMA:s andra MiCA-samrådsdokument införde en specifik skyldighet för företag som arbetar med tillståndsfri distribuerad liggarteknik (offentliga blockkedjor som Ethereum): proaktiv, strukturerad kommunikation med kunder vid eventuella störningar i tjänster på DLT-nivå.
Företaget måste informera kunderna om deras medel är i riskzonen och ge en tydlig bild av hur återupptagandet av tjänsten hanteras. Företaget förblir fullt ansvarigt för eventuella förluster som uppstår till följd av dess egna smarta kontrakt, oavsett om den underliggande blockkedjan är tillståndsfri.
Detta är inte en standardpolicy för IT-avbrott. För att kunna ta denna skyldighet på allvar krävs det att ledningen förstår riskerna med DLT-infrastruktur på en nivå som går långt utöver allmän teknisk kunskap.
Ett compliance-team som endast kan beskriva blockkedjerisker i allmänna termer kommer inte att kunna utarbeta, granska eller upprätthålla en policy för affärskontinuitet som uppfyller myndigheternas krav.
Datastandarder som en del av regelefterlevnaden
Compliance-funktionens ansvar sträcker sig till dataarkitekturen. CASP:er som driver handelsplattformar måste använda standarden Digital Token Identifier (DTI) för all dokumentation och rapportering till nationella tillsynsmyndigheter. DTI identifierar varje kryptotillgång unikt och kopplar den till den specifika DLT där den utfärdas, handlas eller avvecklas. Detta gör det möjligt för tillsynsmyndigheter att utföra gränsöverskridande övervakning med konsekventa, jämförbara data.
Meddelandestandarderna ISO 20022 reglerar formatet på transaktionsdata som lämnas in till myndigheterna. Uppgifter om transparens före och efter handel måste offentliggöras via icke-diskriminerande, maskinläsbara offentliga kanaler för att förhindra marknadsmissbruk. Var och en av dessa krav har en teknisk dimension som compliance-teamet måste ta ansvar för, inte delegera blint till IT.
Ett företag som behandlar dokumentation som en allmän systemadministrativ uppgift, utan compliance-övervakning av de specifika datastandarder som RTS kräver, kommer att ställas inför tillsynsproblem efter auktoriseringen.
Standarderna finns just för att nationella tillsynsmyndigheter ska kunna jämföra dokumentation från hundratals CASP:er i en enda analys. Ett företag som inte kan producera data i det erforderliga formatet är ett företag som inte kan visa på fortlöpande efterlevnad.
Detta är den praktiska innebörden av standarden om ett ”gemensamt hjärna”. Compliance-teamet integrerar regleringsmedvetenhet, styrningsstruktur, operativ kunskap om DLT och teknisk datakunskap till en enda fungerande kapacitet. Inget av dessa element kan helt outsourcas till en annan funktion.
Bygga teamet innan man bygger ansökan
Ansökan om CASP-licens enligt MiCA dokumenterar en institution som redan existerar. Det är den mentala modellen som skiljer företag som rör sig effektivt genom processen från dem som fastnar.
Företag som ansöker om licens för kryptobörs, tillstånd för förvaring av digitala tillgångar eller någon annan CASP-licens i Europa måste se teamarkitekturen som det första resultatet, inte som något som faller på plats medan ansökan utarbetas.
Compliance-funktionen måste vara strukturellt oberoende innan det första dokumentet skrivs. Ledningsgruppens samlade kunskapsomfång måste utvärderas och eventuella luckor åtgärdas innan NCA:s granskning inleds. Uppgifterna om tidsåtgång måste vara realistiska innan de lämnas in.
Samma logik gäller globalt. Företag som ansöker om en VASP-licens i jurisdiktioner utanför EU stöter allt oftare på parallella standarder: tillsynsmyndigheter i Mellanöstern, Asien-Stillahavsområdet och Amerika närmar sig liknande krav på substans framför form när det gäller utformningen av compliance-funktionen.
EU-standarden, som är den mest detaljerade och tekniskt specifika som för närvarande är i kraft, är en användbar riktlinje för alla team som arbetar mot en reglerad status i någon större jurisdiktion.
”Vi är DeFi, så MiCA gäller inte för oss.” Tyvärr, men EBA och ESMA ser annorlunda på saken
MiCA ifrågasätter påståendena om DeFi:s decentralisering samtidigt som tillsynsmyndigheterna granskar reglerna för kontroll, styrning och efterlevnad. read more.
Läs nu
”Vi är DeFi, så MiCA gäller inte för oss.” Tyvärr, men EBA och ESMA ser annorlunda på saken
MiCA ifrågasätter påståendena om DeFi:s decentralisering samtidigt som tillsynsmyndigheterna granskar reglerna för kontroll, styrning och efterlevnad. read more.
Läs nu”Vi är DeFi, så MiCA gäller inte för oss.” Tyvärr, men EBA och ESMA ser annorlunda på saken
Läs nuMiCA ifrågasätter påståendena om DeFi:s decentralisering samtidigt som tillsynsmyndigheterna granskar reglerna för kontroll, styrning och efterlevnad. read more.
Viktig slutsats
Myten: Att utse en compliance officer och en MLRO uppfyller MiCA:s krav på regelefterlevnad.
Verkligheten: MiCA kräver en fungerande regelefterlevnadsorganisation, inte en lista med befattningsbeteckningar.
Tre saker avgör om ett ledningsorgan uppfyller standarden:
Täckning av kollektiv kunskap. Teamet, betraktat som en enhet, måste täcka traditionell expertis inom finansmarknader, kompetens inom DLT och cybersäkerhet samt organisatorisk styrningsförmåga. Brister inom något av dessa områden är strukturella brister, inte profilpreferenser.
Dokumenterad strukturell oberoende. De centrala interna kontrollfunktionerna (compliance, riskbedömning och internrevision) måste ha en namngiven ansvarig, en direkt rapporteringsväg till ledningsorganet och verifierad oberoende från det affärsområde de övervakar. (Obs: AML/CFT och affärskontinuitet är lika obligatoriska, men behandlas som separata organisatoriska pelare). En organisationsplan som leder compliance genom en intäktsgenererande funktion kommer inte att klara NCA:s granskning.
Verklig institutionell substans. Tidsåtaganden måste vara äkta och dokumenterade. Den fysiska närvaron i EU måste återspegla faktisk beslutsmakt, inte en registrerad adress. Policyn för affärskontinuitet måste ägas på ledningsnivå. Datarapporteringen måste uppfylla DTI- och ISO 20022-standarder från dag ett.
CASP-licensansökan är resultatet. Compliance-arkitekturen är grunden. Bygg grunden först.
Denna artikel baseras på en studie genomförd av LegalBison i april 2026. Innehållet är endast avsett för informationsändamål och utgör inte juridisk rådgivning.
