RTS on CASP authorisation

I enlighet med artikel 62.2 d i förordning (EU) 2023/1114 ska en ansökan om auktorisation innehålla en verksamhetsplan. Planen bör specificera sökandes organisationsstruktur, strategi för tillhandahållande av kryptotillgångstjänster till de kunder som de inriktar sig på och deras operativa kapacitet i tre år efter auktorisationen. När det gäller den strategi som används för att rikta in sig på särskilda kunder bör sökande av transparensskäl beskriva den typ av marknadsföring som de avser att använda, t.ex. webbplatser, mobiltelefonapplikationer, personliga möten, pressmeddelanden eller någon form av fysiska eller elektroniska medelmedel enligt definitionen i artikel 4.25 i direktiv (EU) 2015/2366., inklusive verktyg för kampanjer i sociala medier, annonser eller banderoller på internet, återmarknadsföring, avtal med influerare, sponsringsavtal, samtal, webbinarier, inbjudningar till evenemang, kampanjer för samverkan, spelifieringsteknik, uppmaningar att fylla i ett svarsformulär eller gå en kurs, demokonton eller utbildningsmaterial.

För att göra det möjligt för behöriga myndigheter att bedöma sökandes förmåga att stå emot externa finansiella chocker, inbegripet sådana som rör värdet av kryptotillgångar, bör sökande i sin ansökan om auktorisation inkludera stresscenarier som simulerar allvarliga men plausibla händelser i deras prognostiserade beräkningar och planer för att fastställa kapitalbasen.

Kunder exponeras för potentiella risker i samband med leverantörer av kryptotillgångstjänster. För att de behöriga myndigheterna ska kunna bedöma om sökande uppfyller försiktighetskraven i artikel 67 i förordning (EU) 2023/1114 för att skydda kunder mot sådana risker bör en ansökan om auktorisation innehålla uppgifter som anger sökandens försiktighetsarrangemang.

För att säkerställa att leverantörer av kryptotillgångstjänster uppfyller sina skyldigheter enligt förordning (EU) 2023/1114 bör sökande visa att de har lämpliga och robusta styrningsarrangemang och interna kontrollmekanismer, inbegripet arrangemang och mekanismer som är nödvändiga för en sund och ansvarsfull ledning av leverantörer av kryptotillgångstjänster.

I systemet för finansiella tjänster är tid en viktig faktor. För att undvika driftstörningar, eftersom dessa kan få betydande finansiella, regleringsmässiga och anseendemässiga konsekvenser för leverantörer av kryptotillgångstjänster och för marknaderna för kryptotillgångar i allmänhet, är det viktigt att upprätthålla verksamheterna eller åtminstone de väsentliga funktionerna hos leverantörer av kryptotillgångstjänster och att minimera driftstopp på grund av oväntade avbrott, inklusive cyberangrepp och naturkatastrofer. En ansökan om auktorisation bör därför innehålla detaljerade uppgifter om sökandens arrangemang för att säkerställa kontinuitet och regelbundenhet i tillhandahållandet av kryptotillgångstjänster, inklusive en detaljerad beskrivning av dess risker och kontinuitetsplaner.

Ändamålsenliga mekanismer, system och förfaranden som är förenliga med Europaparlamentets och rådets direktiv (EU) 2015/849(³)Europaparlamentets och rådets direktiv (EU) 2015/849 av den 20 maj 2015 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism, om ändring av Europaparlamentets och rådets förordning (EU) nr 648/2012 och om upphävande av Europaparlamentets och rådets direktiv 2005/60/EG och kommissionens direktiv 2006/70/EG (EUT L 141, 5.6.2015, s. 73, ELI: http://data.europa.eu/eli/dir/2015/849/oj). och Europaparlamentets och rådets förordning (EU) 2023/1113(⁴)Europaparlamentets och rådets förordning (EU) 2023/1113 av den 31 maj 2023 om uppgifter som ska åtfölja överföringar av medel och vissa kryptotillgångar och ändring av direktiv (EU) 2015/849 (EUT L 150, 9.6.2023, s. 1, ELI: https://eur-lex.europa.eu/eli/reg/2023/1113/oj?locale=sv). behövs för att säkerställa att sökandena på lämpligt sätt hanterar risker och metoder för penningtvätt och finansiering av terrorism i samband med tillhandahållandet av kryptotillgångstjänster. Sökande bör i sin ansökan om auktorisation tillhandahålla detaljerade uppgifter om de mekanismer, system och förfaranden som de infört för att förhindra risker i samband med sin affärsverksamhet vad gäller bland annat bekämpning av penningtvätt och finansiering av terrorism.

I enlighet med artikel 62.2 g i förordning (EU) 2023/1114 ska en ansökan om auktorisation innehålla bevis på att medlemmar i ledningsorganet har tillräckligt gott anseende och lämpliga kunskaper, färdigheter och erfarenheter för att leda leverantören av kryptotillgångstjänster. Sökande bör särskilt förse de behöriga myndigheterna med alla uppgifter om tidigare fällande domar i brottmål och med uppgifter om pågående brottsutredningar, civil- och förvaltningsrättsliga mål, sanktioner, verkställighetsåtgärder och andra rättsliga förfaranden som rör medlemmarna i ledningsorganet och som avser handelsrätt, insolvensrätt, bekämpning av penningtvätt, finansiering av terrorism, bedrägerier och yrkesansvar. För att ge de behöriga myndigheterna tillräckliga uppgifter om ledningsorganets medlemmars goda anseende bör sökande lämna uppgifter om de fall som direkt rör medlemmen eller en organisation där medlemmen innehade en befattning som medlem av ledningsorganet, aktieägare eller medlem med kvalificerade innehav eller en nyckelperson. För att säkerställa att de behöriga myndigheterna får tillräckliga uppgifter om nekande eller återkallande av bland annat registreringar, auktorisationer eller medlemskap i samband med sökandens tillhandahållande av kryptotillgångstjänster, bör sökande tillhandahålla sådana uppgifter om alla medlemmar i ledningsorganet. Dessutom bör sökande för varje medlem i ledningsorganet tillhandahålla relevanta uppgifter som gör det möjligt för de behöriga myndigheterna att bedöma deras yrkesmässiga kunskaper, färdigheter och erfarenheter när det gäller omfattningen av den befattning de söker samt en beskrivning av alla finansiella och icke-finansiella intressen hos medlemmarna i ledningsorganet som skulle kunna skapa potentiella väsentliga intressekonflikter som avsevärt påverkar medlemmarnas pålitlighet i deras utförande av sitt uppdrag.

När det gäller kravet på gott anseende för aktieägare och medlemmar som direkt eller indirekt har kvalificerade innehav i sökande bör ansökan om auktorisation innehålla alla uppgifter om deras tidigare fällande domar och pågående brottsutredningar, civil- och förvaltningsrättsliga mål och andra rättsliga förfaranden samt relevanta uppgifter om säkerheten och det lagliga ursprunget för de medelmedel enligt definitionen i artikel 4.25 i direktiv (EU) 2015/2366. som används för att etablera sökande och finansiera deras verksamhet så att det blir möjligt att bedöma varje försök till eller misstanke om penningtvätt eller finansiering av terrorism.

På grund av kryptotillgångars decentraliserade och digitala karaktär är cybersäkerhetsriskerna för leverantörer av kryptotillgångstjänster betydande och tar sig många former. För att säkerställa att sökande kan förhindra uppgiftsincidenter och ekonomiska förluster som kan orsakas av cyberattacker bör uppgifterna om sökandens använda IKT-system och tillhörande säkerhetsarrangemang, i enlighet med artikel 62.2 j i förordning (EU) 2023/1114, inbegripa de personalresurser som avsatts för att hantera cybersäkerhetsrisker.

Separeringen av kundernas kryptotillgångar och medelmedel enligt definitionen i artikel 4.25 i direktiv (EU) 2015/2366. skyddar kunderna från förluster hos leverantören av kryptotillgångstjänster och från missbruk av deras kryptotillgångar och medelmedel enligt definitionen i artikel 4.25 i direktiv (EU) 2015/2366.. Enligt artikel 70 i förordning (EU) 2023/1114 ska leverantörer av kryptotillgångstjänster därför införa lämpliga arrangemang för att skydda kundernas äganderätt. Detta krav gäller även för leverantörer av kryptotillgångstjänster som inte tillhandahåller förvarings- och administrationstjänster. Det är därför viktigt att ansökan om auktorisation innehåller uppgifter om separering av kundernas kryptotillgångar.

För att de behöriga myndigheterna ska kunna bedöma lämpligheten hos sökandens driftsregler för handelsplattformar för kryptotillgångar bör sökanden närmare ange specifika aspekter i beskrivningen av dessa regler. Sökande bör i synnerhet utveckla de aspekter av driftsreglerna som rör upptagande till handel av, handel med och avveckling av kryptotillgångar. När det gäller upptagande till handel av kryptotillgångar bör sökande tillhandahålla detaljerade uppgifter om regler för upptagande av kryptotillgångar till handel, hur de upptagna kryptotillgångarna följer sökandenas regler, om de typer av kryptotillgångar som sökande inte kommer att ta upp till handel på sin handelsplattform och om skälen till sådana undantag samt om avgifterna för upptagande till handel. När det gäller handel med kryptotillgångar bör sökande specificera de aspekter av driftsreglerna som styr utförande och återkallelse av order, ordnad handel, transparens och dokumentation. Slutligen bör sökande i beskrivningen av driftsreglerna inkludera de aspekter som styr avvecklingen av transaktioner med kryptotillgångar på handelsplattformen, inbegripet huruvida avvecklingen initieras med hjälp av teknik för distribuerade liggare (DLT), den tidsram inom vilken utförandet inleds, fastställandet av den tidpunkt då avvecklingen är slutgiltig, alla kontroller som krävs för att säkerställa en effektiv avveckling av transaktionen och alla åtgärder för att begränsa uteblivna avvecklingar.

Denna förordning grundar sig på det förslag till tekniska standarder för tillsyn som Europeiska värdepappers- och marknadsmyndigheten utarbetat i nära samarbete med Europeiska bankmyndigheten och lämnat in till kommissionen.

Europeiska värdepappers- och marknadsmyndigheten har anordnat öppna offentliga samråd om det förslag till tekniska standarder för tillsyn som denna förordning bygger på, analyserat de potentiella kostnaderna och fördelarna därav och begärt råd från den intressentgrupp för värdepapper och marknader som inrättats i enlighet med artikel 37 i Europaparlamentets och rådets förordning (EU) nr 1095/2010(⁵)Europaparlamentets och rådets förordning (EU) nr 1095/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska värdepappers- och marknadsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/77/EG (EUT L 331, 15.12.2010, s. 84, ELI http://data.europa.eu/eli/reg/2010/1095/oj)..

Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i europaparlamentets och rådets förordning (EU) 2018/1725(⁶)Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI https://eur-lex.europa.eu/eli/reg/2018/1725/oj?locale=sv). och avgav formella kommentarer den 21 juni 2024.