De cryptosector staat aan de vooravond van ingrijpende veranderingen door de invoering van MiCAR (Markets in Crypto Assets Regulation) en DORA (Digital Operational Resilience Act). Wat voor effect gaat dit hebben op de bedrijfsvoering van de Nederlandse cryptobedrijven?
Dit artikel (geschreven door Danny Oosterveer, Digital Marketing Manager bij Amdax) is deels gebaseerd op de aflevering ‘Compliance in de Cryptowereld‘ van de podcast Compliance Adviseert, waarin Sanne de Gier, Chief Legal & Compliance Officer bij Amdax, te gast was.
MiCAR en DORA
Het laatste deel van MiCAR is 30 december 2024 van kracht gegaan, waarmee een vergunningplicht voor cryptobedrijven zal gelden in heel de Europese Unie. Dit heeft als doel de sector te professionaliseren en consumenten beter te beschermen. De regelgeving is grotendeels gebaseerd op MiFID, een bekende richtlijn voor traditionele financiële markten. Belangrijke aspecten zijn onder meer:
- Consumentenbescherming: Er moet altijd worden gehandeld in het belang van de klant.
- Kapitaaleisen: Bedrijven moeten voldoende reserves aanhouden om continuïteit te waarborgen.
- Belangenconflicten: Identificatie en mitigatie van conflicten zijn verplicht, evenals transparantie hierover.
- Marktmisbruikbeleid: Strikte regels om manipulatie en misbruik tegen te gaan.
- Klachtenprocedures: Klanten moeten eenvoudig klachten kunnen indienen en laten behandelen.
- Doorlopend toezicht: Cryptobedrijven komen onder toezicht te staan van de Autoriteit Financiële Markten (AFM)
Naast MiCAR is op 17 januari 2025 DORA in werking getreden. Deze wetgeving richt zich op het versterken van digitale veiligheid van alle financiële instellingen. Ook voor cryptobedrijven betekent dit onder andere:
- Bedrijfscontinuïteit: Waarborgen dat systemen en processen kunnen blijven draaien en er voldoende backups zijn
- ICT-risicomanagement: Identificeren en mitigeren van technologische risico’s.
- Contractuele verplichtingen: Strengere eisen voor samenwerkingen met externe ICT-leveranciers.
- Testprocedures: Regelmatige controles om systemen robuust te houden.
Een bijzondere uitdaging is het omgaan met niet-Europese leveranciers die onbekend zijn met DORA. Dit vraagt om nauwe samenwerking en soms aanpassingen in contracten.
Overigens, hoewel MiCAR en DORA beiden van kracht zijn geworden, geldt er voor MiCAR nog een overgangsperiode waarin bestaande cryptobedrijven met een lopende aanvraag nog tot halverwege dit jaar de tijd krijgen om de vergunning te behalen.
Professionalisering en consolidatie
De nieuwe regelgeving, vooral MiCAR, wordt gezien als een stap naar professionalisering van de cryptosector. Dit wordt over het algemeen als positief beschouwd, aangezien het de belangen van klanten beter beschermt. Echter, de vraag rijst of alle partijen in Nederland aan deze eisen kunnen voldoen. Dit leidt tot een 'survival of the fittest'-scenario.
De regelgeving is zo ingrijpend dat het voor kleinere partijen in de toekomst mogelijk onhaalbaar wordt om een MiCAR-vergunning te krijgen, vanwege de hoge kosten en inspanningen die ermee gemoeid zijn. Dit kan leiden tot verminderde concurrentie in de markt
De doorlopende kosten, met name de toezichtskosten die door de sector zelf moet worden gedragen, kunnen behoorlijk hoog oplopen. Als deze kosten verdeeld worden over een slechts een klein aantal crypto-dienstverleners, kan dit een zware financiële last vormen.
Dit leidt tot consolidatie in de markt, waarbij kleinere spelers worden overgenomen of stoppen met hun activiteiten.
Disproportioneel
Volgens De Gier zijn sommige eisen disproportioneel. Zo verplicht MiCAR het gebruik van LEI-codes (Legal Entity Identifiers) voor klanten, terwijl deze oorspronkelijk bedoeld waren voor andere doeleinden zoals transactierapportage. Dit leidt ook tot extra kosten, zonder duidelijke voordelen.
Verschillen tussen MiCAR en MiFiD
MiCAR en MiFID lijken sterk op elkaar, maar er zijn ook verschillen, vertelt De Gier. Een belangrijk verschil is bijvoorbeeld dat MiCAR geen productgoedkeuringsproces vereist, wat wel het geval is bij MiFID.
Daarnaast zijn er verschillen in de manier waarop belangenconflicten moeten worden bekendgemaakt. Onder MiCAR moeten alle belangenconflicten worden geopenbaard, ongeacht het risico voor klanten, terwijl onder MiFID dit alleen nodig is bij een hoog risico op schade voor klanten.
De bal ligt bij de traditionele financiële instellingen
De Gier ziet dat traditionele financiële instellingen meer betrokken raken bij crypto.
Institutionele partijen houden goed in de gaten wat er allemaal gebeurt. Voor traditionele financiële instellingen is de stap naar crypto-dienstverlening vanuit regelgevingsperspectief namelijk een stuk eenvoudiger. Bijvoorbeeld door het starten van de notificatieprocedure onder MiCAR.
De echte uitdaging ligt echter in de bereidheid van deze financiële instellingen om deze strategische keuze te maken. Veel partijen blijven nog huiverig, maar De Gier verwacht dat de integratie van cryptodiensten bij traditionele financiële instellingen onvermijdelijk is.
“Ik denk dat het er sowieso gaat komen en je gaat dan zien wie is er vooruitstrevend is en wie is te langzaam”, aldus De Gier. “Zij moeten dat dan daarna op een andere manier oplossen, bijvoorbeeld door een overname van een partij die het al wel geregeld heeft.”