Art. 5 Information om ramen för intern kontroll | RTS on ART issuer authorisation | MiCA

1. Ansökan om auktorisation ska innehålla en uttömmande beskrivning av den ansökande utgivarens ram för intern kontroll, inklusive samtliga av följande uppgifter:
  1. En uttömmande beskrivning av den interna funktionen för regelefterlevnad, som ingår i den interna kontrollmekanismen enligt artikel 34.10 i förordning (EU) 2023/1114, med tillräcklig auktoritet och ställning, tillräckliga resurser och direkt tillgång till ledningsorganet.
  2. En uttömmande beskrivning av riskhanteringsramen samt riskhanteringsfunktionen om en sådan är inrättad, eller, om den i enlighet med proportionalitetsprincipen sett till storlek, komplexitet och riskprofil är anförtrodd åt en tredjepartsleverantör, av de relaterade tredjepartsarrangemangen i enlighet med artikel 4.2.
  3. En uttömmande beskrivning av riskhanteringssystemen och riskhanteringskontrollerna, med en förklaring av den ansökande utgivarens strategi för att identifiera, bedöma, övervaka, minska och rapportera alla risker som den ansökande utgivaren är eller kan tänkas bli exponerad för, inbegripet risker för innehavarna av en tillgångsanknuten tokenen typ av kryptotillgång som inte är en e-pengatoken och som ska upprätthålla ett stabilt värde genom att hänvisa till ett annat värde eller en annan rättighet eller en kombination därav, inbegripet en eller flera officiella valutor., marknadsrisker, likviditetsrisker, koncentrationsrisker, operativa risker, IKT-risker, risker rörande anseende, juridiska risker, uppföranderisker, efterlevnadsrisker, ESG-risker (miljö, samhällsansvar och bolagsstyrning), risker kopplade till penningtvätt och finansiering av terrorism samt strategiska risker.
  4. En uttömmande beskrivning av den internrevisionsfunktion som ingår i den interna kontrollmekanismen enligt artikel 34.10 i förordning (EU) 2023/1114 om en sådan är inrättad, eller, om mekanismen i enlighet med proportionalitetsprincipen sett till storlek, komplexitet och riskprofil vad gäller den ansökande utgivarens verksamhet har anförtrotts åt en tredjepartsleverantör, en uttömmande beskrivning av arrangemangen med den tredje parten som ska innehålla alla uppgifter som avses i artikel 4.2 a–g i denna förordning samt namn på och kontaktuppgifter till den externa revisor som utsetts.
  5. En beskrivning av de styrningsarrangemang som har införts för att säkerställa att affärsområdena och affärsenheterna separeras från och har andra ansvarsområden än de interna kontrollfunktionerna som en del av den interna kontrollmekanismen enligt artikel 34.10 i förordning (EU) 2023/1114 och en beskrivning av de arrangemang som har införts för att säkerställa de interna kontrollfunktionernas oberoende, bland annat genom direkt tillgång till ledningsorganet i dess lednings- och dess tillsynsfunktion.
2. Vid tillämpning av led c ska beskrivningen även omfatta den ansökande utgivarens uttalande om riskaptit och dennes risktolerans, vilket innefattar planerade förfaranden och åtgärder för att hantera de identifierade riskerna inom riskaptiten.
1. Ansökan om auktorisation ska innehålla en beskrivning av arrangemangen och de tilldelade IKT-resurserna och personalresurserna för att säkerställa att den ansökande utgivaren uppfyller kraven i förordning (EU) 2022/2554, inbegripet samtliga av följande uppgifter om den ansökande utgivarens IKT-system, IKT-protokoll och IKT-verktyg:
  1. Detaljerad teknisk dokumentation, inklusive en beskrivning av IKT-riskhanteringsramen i enlighet med artikel 6.1 i förordning (EU) 2022/2554, som visar den ansökande utgivarens förmåga att snabbt, effektivt och heltäckande hantera IKT-risker och säkerställa en hög nivå av digital operativ motståndskraft.
  2. Uppgifter som visar att den ansökande utgivaren upprätthåller uppdaterade IKT-system, IKT-protokoll och IKT-verktyg som är lämpliga och tillförlitliga, har tillräcklig kapacitet för att korrekt behandla de uppgifter som krävs för att bedriva verksamheten och skyndsamt tillhandahålla tjänster och som är tekniskt motståndskraftiga i enlighet med artikel 7 i förordning (EU) 2022/2254.
  3. En detaljerad beskrivning av säkerhetspolicyn som visar att den ansökande utgivarens system och förfaranden kan skydda tillgängligheten, äktheten, integriteten och konfidentialiteten hos data, informationstillgångar och IKT-tillgångar, inbegripet hos deras kunder, i enlighet med artikel 9.4 i förordning (EU) 2022/2554.
  4. En uttömmande beskrivning av IKT-processen och IKT-systemen som visar att den ansökande utgivaren kan förses med tillförlitlig information och tillförlitliga data till stöd för datarapporteringskraven.
1. Ansökan om auktorisation ska innehålla en beskrivning av kontinuitetsplanen och kontinuitetspolicyn som säkerställer den ansökande utgivarens förmåga att fortlöpande bedriva verksamheten och begränsa förlusterna i händelse av allvarliga avbrott i verksamheten. Av detta skäl ska kontinuitetsplanen innefatta följande:
  1. En kartläggning av väsentliga data och funktioner.
  2. En översikt över tillgängliga säkerhetskopierings- och återställningssystem.
  3. En beskrivning av tillgången till nyckelpersonal i kontinuitetssituationer i enlighet med artikel 34.8 i förordning (EU) 2023/1114 och artikel 11.1 i förordning (EU) 2022/2554.
1. Om tillgångsanknutna token ges ut, lagras och överförs med användning av proprietär teknik för distribuerade liggare eller liknande teknik som drivs av den ansökande utgivaren eller av en tredje part som agerar för den ansökande utgivarens räkning, ska ansökan om auktorisation visa hur tekniken för distribuerade liggare eller liknande teknik fungerar, med samtliga av följande uppgifter:
  1. Beskrivning av den ansökande utgivarens rätt till tekniken för distribuerade liggare eller liknande teknik, oavsett om det rör sig om äganderätt eller andra avtalsförhållanden som ger den ansökande utgivaren kontroll över tekniken för distribuerade liggare eller liknande teknik och oberoende av om tekniken för distribuerade liggare drivs av ett annat företag.
  2. Namn och kontaktuppgifter för den eller de som driver tekniken för distribuerade liggare, om annan än den ansökande utgivaren.
  3. Den ansökande utgivarens eller den tredje partens plan för att identifiera, övervaka, bedöma, minska och förebygga risker, även med beaktande av de potentiella spridningseffekterna till andra kryptotillgångar som ges ut, överförs eller lagras med denna teknik för distribuerade liggare och de relaterade leverantörerna av kryptotillgångstjänster, samt planen för regelbundet tekniskt underhåll och regelbunden uppdatering av tekniken för distribuerade liggare eller liknande teknik.
  4. En teknisk och säkerhetsmässig revisionsrapport om överensstämmelsen mellan tekniken för distribuerade liggare och de kvalitetsstandarder som används på marknaden samt om lämpligheten och tillräckligheten hos de planer som avses i led c.
  5. Om den proprietära tekniken för distribuerade liggare är tillståndsbaserad, en detaljerad beskrivning av transparensmekanismerna.
1. Om samarbetsarrangemang mellan den ansökande utgivaren och specifika leverantörer av kryptotillgångstjänster planeras ska ansökan om auktorisation innehålla en detaljerad beskrivning av leverantörens aktuella mekanismer och förfaranden för intern kontroll för att säkerställa efterlevnad av skyldigheterna i fråga om förebyggande av penningtvätt och finansiering av terrorism enligt direktiv (EU) 2015/849 och, i tillämpliga fall, förordning (EU) 2023/1113. En sådan detaljerad beskrivning ska innehålla en framåtblickande bedömning av den fortsatta efterlevnaden av sådana skyldigheter under den treåriga tidshorisonten i den ansökande utgivarens affärsplan. En sådan beskrivning och framåtblickande bedömning som tagits fram av den specifika leverantören av kryptotillgångstjänster får av den behöriga myndigheten utbytas med behöriga myndigheter för bekämpning av penningtvätt och finansiering av terrorism eller finansunderrättelseenheter eller andra offentliga organ i enlighet med artikel 20.2 andra stycket i förordning (EU) 2023/1114.