MiCAR voor Vergunninghoudende Financiële Ondernemingen

In onze vorige bijdrage in de reeks over de Markets in Crypto-Assets Regulation (MiCAR) bespraken we de vergunningplicht voor aanbieders van cryptoactivadiensten (CASP's). Ondertussen is bekend dat de aanvraag voor een CASP-vergunning door marktpartijen vanaf 22 april 2024 ingediend kan worden bij de Autoriteit Financiële Markten (AFM).

Bestaande vergunninghoudende financiële entiteiten zijn onder omstandigheden uitgezonderd van deze vergunningplicht en kunnen volstaan met een notificatie aan de bevoegde toezichthouder. In deze bijdrage gaan we nader in op deze notificatieprocedure en signaleren we enkele belangrijke aandachtspunten. 

Partijen die gebruik kunnen maken van de notificatieprocedure onder de MiCAR 

De notificatieprocedure is een vereenvoudigde procedure ten opzichte van een vergunningsaanvraag onder MiCAR en geldt voor de volgende entiteiten die al zijn onderworpen aan financieel toezicht:

• Banken
• Centrale effectenbewaarinstellingen
• Beleggingsondernemingen
• Elektronischgeldinstellingen
• Instellingen voor collectieve belegging (icbe-beheerders en abi-beheerders)
• Marktexploitanten
  
  

Notificatieprocedure beperkt tot activiteiten waarvoor men reeds een vergunning heeft

De mogelijkheid om gebruik te maken van de notificatieprocedure is voor de meeste financiële entiteiten wel beperkt. Alleen banken zijn volledig uitgezonderd van de vergunningplicht en kunnen, na het doorlopen van het notificatieproces, alle typen cryptoactivadiensten aanbieden. Voor alle andere financiële entiteiten geldt de notificatieprocedure alleen voor de cryptoactivadiensten die gelijkwaardig zijn aan de diensten of activiteiten waarvoor zij reeds een vergunning hebben. Voor andere diensten moet wel een vergunning worden aangevraagd. Zo is een beleggingsonderneming met een vergunning voor het verlenen van beleggingsadvies over financiële instrumenten onder Markets in Financial Instruments Directive (MiFID II) uitgezonderd van de vergunningplicht onder de MiCAR voor adviesverlening over cryptoactiva. Beheerders van beleggingsinstellingen met een MiFID top-up voor individueel vermogensbeheer, beleggingsadvies en/of het ontvangen en doorgeven van orders ten aanzien van financiële instrumenten, kunnen de notificatieprocedure gebruiken om deze vergunde diensten te verlenen ten aanzien van cryptovaluta.

Als de notificatieprocedure eenmaal succesvol is doorlopen, vervalt het recht om cryptoactivadiensten aan te bieden als de primaire vergunning van de gereguleerde entiteit wordt ingetrokken. Dat is ook logisch, omdat juist die vergunning de rechtvaardiging vormt om via een notificatie cryptoactivadiensten aan te bieden.  Zonder vergunning valt die rechtvaardiging weg.

Notificatieprocedure vervangt alleen vergunningsplicht andere bepalingenblijven van kracht

Een ander belangrijk aandachtspunt is dat de notificatie alleen in de plaats komt van de vergunningplicht. Het merendeel van de overige bepalingen uit MiCAR blijft onverminderd van kracht De notificatieprocedure verplicht de relevante financiële entiteiten aan te tonen dat zij voldoen aan deze bepalingen uit MiCAR. Bepalingen uit MiCAR die onverminderd van kracht blijven, zijn onder andere:

• De regels over de uitgifte en aanbieden van cryptoactiva uit titels II tot en met IV van MiCAR.
• De doorlopende verplichtingen voor CASP's uit titel V van MiCAR die van toepassing zijn tijdens de dienstverlening na het afronden van de notificatieprocedure of vergunningaanvraag.
• De separate verplichting om voorafgaand aan het verlenen van grensoverschrijdende cryptoactivadiensten de toezichthouder van de home state te informeren over dit voornemen.
  
  

Doorlooptijd van de notificatieprocedure

De notificatieprocedure is voor alle bovengenoemde financiële entiteiten hetzelfde. Ten minste 40 werkdagen voorafgaand aan het verlenen van de cryptoactivadiensten moet de desbetreffende onderneming een informatiepakket verschaffen aan haar home state toezichthouder. Deze beoordeelt binnen 20 werkdagen of de notificatie alle benodigde informatie bevat. In geval van een incomplete aanvraag kan een termijn van maximaal 20 werkdagen worden gegeven aan de notificerende partij om de ontbrekende informatie te verschaffen onder opschorting van de notificatietermijn van 40 werkdagen. Daarnaast kan de toezichthouder zonder opschorting van deze termijn ook vragen stellen ter completering of verduidelijking.

De relatief korte termijnen voor de notificatieprocedure zoals opgenomen in de MiCAR wekken wellicht de indruk dat dit proces snel zal verlopen en/of dat toezichthouders gebonden zijn aan deze tijdslijnen. Wij willen erop wijzen dat u er rekening mee moet houden dat de beslistermijnen in praktijk van relatief beperkte betekenis zullen zijn. De reden hiervoor is dat MiCAR ook bepaalt dat de cryptoactivadiensten pas mogen worden aangeboden nadat de toezichthouder heeft bevestigd dat de notificatie compleet is. Dit is een vangnet voor toezichthouders om additionele informatie op te vragen bij partijen.

Daarnaast is niet ondenkbaar dat de toezichthouders in het kader van de notificatieprocedure toch inhoudelijk zullen gaan kijken naar de aangeleverde informatie. Hoewel de tekst van MiCAR enkel de bevoegdheid verleent om de volledigheid van de notificatie te beoordelen, zullen de AFM en DNB onder de noemer van "volledigheid" mogelijk ook naar de inhoud van de stukken gaan kijken. Dit is in het verleden ook gebeurd bij het huidige systeem met een registratieplicht voor cryptodienstverleners waarin DNB het proces vergelijkbaar aan een vergunningsverlening had ingericht om veel uitgebreider te toetsen dan waarin wettelijk is voorzien. Hoewel DNB daar door de Rotterdamse bestuursrechter (deels) op teruggefloten is nadat enkele cryptodienstverleners een gerechtelijke procedure waren gestart, achten we niet ondenkbaar dat ook nu weer getracht zal worden meer inhoudelijk te toetsen. Hierbij speelt mee dat crypto inherent verbonden is aan witwasrisico's en CASP's na de notificatieprocedure doorlopend gebonden zijn aan de regels uit MiCAR. Vroeg of laat is het dus noodzakelijk om aan die regels te voldoen.

Om de notificatieprocedure te bespoedigen en onnodig lange trajecten met de toezichthouders te voorkomen, adviseren wij om op tijd te beginnen met de voorbereiding van de notificatie en de stukken (alvast) zo veel mogelijk aan te laten sluiten bij de eisen uit MiCAR. Later in dit blog gaan we nader in op de inhoud van de notificatie.

Bevoegde toezichthouder

Een relevante vraag voor partijen die een notificatie willen indienen is bij welke toezichthouder zij zich moeten melden. Is dit dezelfde toezichthouder die de vergunningen verleent onder MiCAR (in Nederland de AFM), of de toezichthouder van wie de gereguleerde entiteit zijn vergunning heeft gekregen (DNB voor banken en elektronischgeldinstellingen)?

De MiCAR verwijst naar de bevoegde autoriteit van de lidstaat van herkomst. Dit biedt weinig duidelijkheid. De European Securities and Markets Authority (ESMA) heeft in aanvulling hierop een Q&A gepubliceerd. Ook die tekst is niet eenduidig, maar biedt wel ruimte voor lidstaten om de notificatie te laten beoordelen door de toezichthouder die de (primaire) vergunning heeft verleend aan de desbetreffende gereguleerde entiteit. Wij verwachten dat in Nederland gebruik zal worden gemaakt van die ruimte en DNB de notificaties gaat beoordelen van banken en elektronischgeldinstellingen. Als die lijn inderdaad wordt gevolgd, ligt het ook voor de hand dat deze entiteiten zich moeten melden bij DNB voor het paspoorten van hun cryptoactivadiensten naar andere lidstaten.

Welke informatie moet worden verstrekt?

De informatie die bij de notificatie moet worden verstrekt is mede afhankelijk van het type cryptoactivadiensten dat wordt beoogd, maar omvat in ieder geval het volgende:

• een programma van de werkzaamheden, waaronder de beoogde cryptoactivadiensten, en waar en hoe de diensten op de markt zullen worden gebracht;
• een beschrijving van de interne controlemechanismen, het beleid en de procedures omtrent het witwassen van geld en terrorismefinanciering, een risicobeoordelingskader en een bedrijfscontinuïteitplan;
• een technische en niet technische beschrijving van de ICT-systemen en beveiligingsvoorzieningen; en
• de procedure om de cryptoactiva en geldmiddelen van cliënten te scheiden.
  
  

Een belangrijke kanttekening hierbij is dat de MiCAR ook bepaalt dat de financiële entiteit eerder verstrekte informatie niet opnieuw hoeft te verstrekken bij de notificatie. Dit geldt bijvoorbeeld voor documenten die al bekend zijn bij de toezichthouder na een eerdere vergunningaanvraag. Voorwaarde hiervoor is wel dat die informatie nog actueel is.

De vraag is hoeveel ruimte er in praktijk overblijft voor partijen om te volstaan met hun huidige  documenten. Wij verwachten dat dit beperkt is. De ESMA heeft namelijk al aangegeven dat de informatie wel moet aansluiten bij de beoogde cryptoactivadiensten. Het is daarom raadzaam om ook als gereguleerde entiteit de bestaande beleidsdocumenten, procedures en andere vereiste stukken kritisch tegen het licht te houden om de notificatie voorspoedig en succesvol af te ronden. Wij denken graag mee hoe dit op een efficiënte manier kan worden ingericht voor uw onderneming.

Naleving van de MiCAR na notificatie

Na de bevestiging van de nationale toezichthouder dat de notificatie compleet is, moet de gereguleerde entiteit voldoen aan de MiCAR. Slechts enkele onderwerpen zijn voor deze partijen uitgezonderd:

• eigenvermogenseisen ter waarborging van de financiële stabiliteit; en
• goedkeuring van aandeelhouders en houders van een gekwalificeerde deelneming.
  
  

Voor het overige zijn de doorlopende verplichtingen uit de MiCAR gewoon van toepassing. Het is daarom van groot belang dat de gereguleerde entiteit weet waar de MiCAR aanvullende eisen stelt en waar juist kan worden volstaan met naleving van de regelgeving op basis waarvan zij hun primaire vergunning hebben. Vervolgens zal waar nodig de bedrijfsvoering moeten worden aangepast om volledige compliance te waarborgen. Dit vergt een nauwgezette analyse die per entiteit kan verschillen. Wij verwachten dat dit ook een onderdeel is waar de toezichthouder naar zal kijken bij de notificatieprocedure.

Ter illustratie bespreken we hieronder een MiCAR top-up voor beleggingsondernemingen met een vergunning op basis van MiFID II.

MiCAR top-up voor beleggingsondernemingen

De MiCAR vertoont grote gelijkenissen met de regelgeving voor beleggingsondernemingen uit MiFID II. Er zijn echter ook belangrijke verschillen. Bijvoorbeeld in de regels over de uitbesteding van operationele taken. De uitbestedingsregels uit MiFID II gelden alleen voor zogenoemde kritieke en belangrijke operationele taken. Onder de MiCAR geldt deze beperking niet. De uitbestedingsregels zijn van toepassing op alle operationele taken. Een beleggingsonderneming zal dus moeten (laten) onderzoeken in hoeverre de uitbesteding van niet-kritieke en niet-belangrijke operationele taken die buiten de uitbestedingsregels van MiFID II vallen, voldoet aan de regels uit MiCAR. Dit geldt bijvoorbeeld voor operationele taken als de verlening van juridisch advies, opleiding van personeel, factureringsdiensten, de beveiliging van gebouwen en de aankoop van gestandaardiseerde diensten zoals markt- en koersinformatiediensten. De MiCAR stelt bij de uitbesteding van deze operationele taken onder andere als expliciete eis dat wordt gewaarborgd dat de CASP de vereiste deskundigheid en middelen behoudt om de kwaliteit van de aangeboden diensten te evalueren, om op doeltreffende wijze op de uitbestede taken toezicht te houden en om de aan de uitbesteding verbonden risico's op doorlopende basis te beheren. Een extra punt van aandacht zijn de vereisten die de Verordening digitale operationele weerbaarheid (bekend onder het acroniem DORA) aan beleggingsondernemingen en aanbieders van cryptoactivadiensten stelt. Voor een overzicht van die vereisten verwijzen wij naar Houthoff's publicatie van 12 januari 2024.

Dergelijke verschillen tussen MiFID II en MiCAR dwingen beleggingsondernemingen om in kaart te brengen waar zij een extra stap moeten zetten om te voldoen aan MiCAR. Dit geldt echter niet alleen voor beleggingsondernemingen. Ook banken, centrale effectenbewaarinstellingen, elektronischgeldinstellingen, instellingen voor collectieve belegging (icbe-beheerders en abi-beheerders) en marktexploitanten zullen onderzoek moeten (laten) doen naar de gevolgen van MiCAR voor hun huidige bedrijfsvoering als zij willen uitbreiden met cryptoactivadiensten om volledige compliance te waarborgen.

Next steps

Vanaf 22 april 2024 kunnen de notificaties bij de AFM worden ingediend door gereguleerde entiteiten die cryptoactivadiensten willen gaan verlenen vanaf 30 december 2024. Nu is dus het moment om de notificatie voor te bereiden. Wij kunnen uw huidige beleidsdocumenten, procedures en andere vereiste stukken kritisch tegen het licht te houden en u adviseren over een efficiënte aanpak voor de notificatie. Zo weet u zeker dat uw onderneming op tijd voldoet aan de nieuwe regelgeving en voorkomt u dat het verlenen van uw cryptoactivadiensten moeten worden uitgesteld.

Voor meer informatie over MiCAR kunt u contact opnemen met Berry van Wijk, Juan Vervuurt of Lisanne Haarman.