Jaké dokumenty jsou potřeba k žádosti o licenci MiCA?

Nařízení EU o trzích s kryptoaktivy (MiCA, nařízení (EU) 2023/1114) stanovilo jednotné požadavky pro poskytovatele služeb v oblasti kryptoaktiv (CASP) v celé Evropské unii. K získání licence je nutné připravit podrobnou sadu dokumentů, které příslušným orgánům umožní provést komplexní posouzení žadatele, jeho správy a řízení, spolehlivosti, dodržování obezřetnostních požadavků a schopnosti zajistit ochranu zákazníků a stabilitu poskytovaných služeb. Níže jsme sestavili seznam dokumentů potřebných k podání žádosti o licenci MiCA v EU.

Firemní dokumenty a informace o žadateli
Klíčovým krokem je předložení zakládacích dokumentů: stanov, zakladatelské listiny, výpisu z obchodního rejstříku a identifikátoru právnické osoby (LEI). Pokud žadatel plánuje provozovat obchodní platformu, musí uvést používané obchodní jméno. Soubor dokumentů musí obsahovat informace o akcionářích a účastnících s kvalifikovanou účastí, jejich reputaci a původu finančních prostředků, jakož i údaje o členech představenstva a klíčových manažerech potvrzující jejich kvalifikaci, bezúhonnost a neexistenci střetu zájmů.

Program činnosti a obchodní plán
V souladu s čl. 62 odst. 2 MiCA žadatel předloží program činnosti, který bude obsahovat:

• organizační strukturu společnosti,
• strategii poskytování služeb a cílovou skupinu,
• provozní kapacity na příští tři roky,
• marketingové kanály (webové stránky, mobilní aplikace, online reklama, spolupráce s influencery, sponzorství, akce, školicí kurzy),
• finanční prognózy a plán využití kapitálu.

Regulační orgán rovněž očekává analýzu scénářů a zátěžové testy, které simulují nepříznivé, ale pravděpodobné tržní podmínky, aby bylo možné posoudit odolnost společnosti vůči vnějším šokům.

Mechanismy řízení a vnitřní kontrola
Žadatel je povinen popsat systém správy a řízení společnosti, rozdělení funkcí, mechanismy vnitřní kontroly a rozhodovací procesy. To zahrnuje postupy pro řízení operačních, právních, kybernetických a reputačních rizik, jakož i popis plánů pro zajištění kontinuity podnikání, minimalizaci prostojů a zotavení z incidentů, včetně kybernetických útoků a vyšší moci.

AML/KYC a opatření na ochranu zákazníků
Zvláštní pozornost je věnována mechanismům boje proti praní peněz a financování terorismu (v souladu s AMLD5 a nařízením (EU) 2023/1113). Musí být předloženy interní postupy KYC, monitorování transakcí a podávání zpráv. Kromě toho musí žádost obsahovat popis opatření k oddělení aktiv zákazníků za účelem jejich ochrany před riziky ztráty nebo zneužití.

IT infrastruktura a kybernetická bezpečnost
Soubor dokumentů obsahuje popis ICT systémů, protokoly informační bezpečnosti, lidské zdroje přidělené k řízení kybernetických rizik, jakož i plány na prevenci úniků dat a ochranu před finančními ztrátami.

Pravidla pro provoz obchodních platforem (pro CASP spravující platformy)
Pokud žadatel plánuje provozovat obchodní platformu, musí být předložena pravidla pro přijímání kryptoměn k obchodování, postup pro ověřování jejich souladu s požadavky, popis typů kryptoměn, které nebudou přijaty, a důvody pro tato omezení. Dále musí být zveřejněna pravidla pro provádění obchodů, provádění a rušení příkazů, zajištění transparentnosti a vedení záznamů, jakož i postup pro vypořádání transakcí, včetně použití technologie distribuované účetní knihy (DLT).

Finanční a účetní údaje
Příslušné orgány ověří, zda jsou k dispozici dostatečné vlastní prostředky k zajištění souladu s obezřetnostními požadavky (článek 67 MiCA). Žadatel předloží finanční výkazy (jsou-li již k dispozici), popis účetních zásad a doklady o požadované výši kapitálu (50 000 EUR/125 000 EUR/150 000 EUR v závislosti na třídě licence).

Důkaz o bezúhonnosti vedení a akcionářů
Je třeba přiložit prohlášení o bezúhonnosti, informace o všech probíhajících vyšetřováních nebo správních řízeních a informace, které umožní regulačnímu orgánu provést test vhodnosti a způsobilosti.

Další požadavky pro třídu 2 a třídu 3
U licencí vyšší úrovně je třeba přiložit popis postupů pro prevenci a oznamování střetů zájmů, pravidla pro monitorování zneužívání trhu a posílená opatření v oblasti kybernetické bezpečnosti.

Podrobné informace o kryptoměnovém projektu, které musí být uvedeny v žádosti o licenci MiCA

Společnost, která žádá o licenci poskytovatele služeb v oblasti kryptoměn (CASP) v souladu s článkem 62 nařízení (EU) 2023/1114, je povinna do své žádosti zahrnout následující informace a dokumenty:

• oficiální právní název společnosti, její telefonní číslo a e-mailová adresa;
• obchodní nebo obchodní název, který se používá nebo se plánuje používat;
• identifikátor právnické osoby (LEI);
• celé jméno, pozice, kontaktní telefonní číslo a e-mailová adresa určené kontaktní osoby odpovědné za komunikaci s regulačním orgánem;
• právní forma společnosti (s uvedením, zda se jedná o právnickou osobu nebo jiný podnik), národní identifikační číslo a potvrzení o zápisu do národního rejstříku společností;
• datum založení společnosti a členský stát EU, ve kterém je registrována;
• zakladatelské dokumenty a stanovy, jakož i vnitřní předpisy (jsou-li relevantní);
• adresa sídla společnosti a adresa jejího registrovaného sídla, pokud se liší;
• informace o pobočkách, které budou působit v jiných zemích EU, včetně jejich identifikátorů právnických osob (LEI), pokud existují;
• doménová jména všech webových stránek, které společnost používá k poskytování služeb, jakož i odkazy na oficiální účty společnosti na sociálních médiích;
• pokud žadatel nemá status právnické osoby, dokumenty potvrzující:
  • úroveň právní ochrany zákazníků a třetích stran rovnocennou úrovni poskytované právnickým osobám, a to i v případě úpadku;
  • dodržování obezřetného dohledu ze strany žadatele, který je přiměřený jeho organizační a právní formě;
• pokud společnost hodlá provozovat obchodní platformu pro kryptoměny:
  • fyzická adresa, telefonní číslo a e-mailová adresa obchodní platformy;
  • obchodní název, pod kterým bude platforma provozována.

Tyto informace umožňují regulačnímu orgánu identifikovat žadatele, posoudit jeho právní status, strukturu a připravenost poskytovat služby a ověřit soulad se základními požadavky MiCA, než přistoupí k posouzení obchodního modelu a vnitřních procesů.

1) Obecné informace, které je třeba poskytnout při podání žádosti o licenci MiCA

Právnická osoba, která žádá o povolení jako poskytovatel služeb v oblasti kryptoměn (CASP) podle článku 62 nařízení (EU) 2023/1114, musí předložit orgánu dohledu žádost obsahující komplexní soubor informací a podpůrných dokumentů nezbytných pro posouzení a rozhodnutí o udělení povolení:

• právní název společnosti, její kontaktní telefonní číslo a e-mailová adresa;
• používaný nebo plánovaný obchodní název;
• identifikátor právnické osoby (LEI);
• jméno, pozice, telefonní číslo a e-mailová adresa určené kontaktní osoby oprávněné komunikovat s regulačním orgánem;
• právní forma společnosti (právnická osoba nebo jiný podnik), národní identifikační číslo a doklad o registraci v národním rejstříku společností;
• datum založení a členský stát EU, ve kterém byla společnost založena;
• zakladatelské dokumenty, stanovy a podřízené právní předpisy, jsou-li relevantní;
• adresa sídla a, pokud se liší, adresa registrovaného sídla;
• informace o pobočkách, které budou působit v jiných jurisdikcích, včetně jejich LEI;
• doménová jména všech webových stránek, prostřednictvím kterých jsou poskytovány služby, jakož i oficiální účty společnosti na sociálních médiích;
• pokud společnost nemá status právnické osoby, dokumenty potvrzující:
  • úroveň ochrany práv zákazníků a třetích stran, včetně ochrany v případě úpadku, srovnatelnou s ochranou poskytovanou právnickou osobou;
  • podléhání obezřetnostnímu dohledu odpovídajícímu její organizační a právní formě;
• pokud společnost hodlá provozovat obchodní platformu:
  • fyzická adresa, kontaktní telefonní číslo a e-mailová adresa obchodní platformy;
  • obchodní název, pod kterým bude platforma provozována.

Tyto informace umožňují regulačnímu orgánu identifikovat žadatele, posoudit jeho právní status a organizační strukturu a ověřit, zda disponuje nezbytnými zdroji a infrastrukturou k poskytování služeb na legálním základě.

2) Program činnosti společnosti

Společnost, která žádá o licenci poskytovatele služeb v oblasti kryptoměn (CASP), je povinna předložit podrobný program činnosti na tři roky po získání licence, který musí obsahovat:

• popis postavení žadatele ve skupině společností (pokud patří do skupiny) a vysvětlení, jak jeho činnosti odpovídají strategii skupiny a jak spolupracuje s ostatními společnostmi ve skupině;
• analýzu dopadu přidružených organizací (včetně regulovaných) na podnikání žadatele;
• úplný seznam služeb souvisejících s kryptoaktivy, které se plánují poskytovat, s uvedením typů kryptoaktiv, kterých se týkají;
• popis dalších činností (regulovaných nebo neregulovaných), které společnost hodlá provádět kromě služeb CASP;
• údaj o tom, zda žadatel bude nabízet kryptoměny veřejnosti nebo usilovat o jejich přijetí k obchodování, s uvedením typů těchto kryptoměn;
• seznam jurisdikcí EU a třetích zemí, ve kterých budou služby poskytovány, s prognózou počtu klientů podle geografické oblasti;
• charakteristiky typů klientů, na které jsou služby zaměřeny (maloobchodní, profesionální investoři atd.);
• popis kanálů, prostřednictvím kterých klienti přistupují ke službám, včetně:
  • doménových jmen webových stránek a aplikací, prostřednictvím kterých jsou služby poskytovány, jazyků rozhraní, typů služeb a zemí, kde jsou k dispozici;
  • názvy mobilních a webových aplikací, jazyky rozhraní a seznam služeb, které jsou prostřednictvím nich dostupné;
• marketingový a reklamní plán:
  • používané propagační kanály (online reklama, sociální sítě, akce, tiskové zprávy atd.);
  • způsoby identifikace společnosti v komunikaci se zákazníky;
  • popis cílové skupiny a typů kryptoměn, na které jsou kampaně zaměřeny;
  • jazyky používané v reklamních materiálech;
• popis lidských, finančních a ICT zdrojů přidělených k realizaci plánovaných služeb s uvedením jejich geografické polohy;
• politika outsourcingu a podrobný popis plánovaných smluv, včetně dohod uvnitř skupiny, postup pro splnění požadavků článku 73 MiCA, informace o poskytovatelích služeb, jejich umístění a outsourcovaných funkcích, jakož i popis procesů monitorování a hodnocení rizik outsourcingu;
• plánovaný účetní plán, včetně stresových scénářů, které zohledňují vnitroskupinové úvěry a finanční toky;
• popis všech směnných transakcí (fiat on-/off-ramp), včetně interakce s decentralizovanými aplikacemi (DeFi), které se plánují používat jménem společnosti.

Dále:

• pokud žadatel hodlá poskytovat službu přijímání a předávání příkazů klientů týkajících se kryptoměn, předložit postupy a opatření k dodržování článku 80 MiCA;
• pokud žadatel plánuje zabývat se umisťováním kryptoměn, předložte postupy pro identifikaci, prevenci a zveřejňování střetů zájmů, jakož i popis opatření odpovídajících článku 79 MiCA a technickým standardům přijatým v souladu s čl. 72 odst. 5.

Takový program umožňuje regulačnímu orgánu posoudit strategii společnosti, udržitelnost jejího obchodního modelu, její zdroje a připravenost dodržovat regulační požadavky po celou dobu jejího fungování.

3) Obezřetnostní požadavky

Společnost, která žádá o licenci CASP, musí připravit a předložit regulačnímu orgánu úplný soubor informací potvrzujících splnění obezřetnostních požadavků stanovených v článku 67 nařízení (EU) 2023/1114.

Žádost musí obsahovat:

• Popis obezřetnostních opatření:
  • výši vlastních prostředků (kapitálu) k datu podání žádosti a metodiku jejich výpočtu;
  • výši obezřetnostních záruk krytých vlastními prostředky (pokud existují);
  • výši záruk krytých pojistnou smlouvou nebo srovnatelnou finanční zárukou (pokud existují).
• Prognózy a plány:
  • prognóza kapitálu a obezřetnostních opatření na první tři roky činnosti po získání licence;
  • klíčové předpoklady použité při plánování, včetně scénářů zátěžových testů;
  • očekávaný počet klientů, objem objednávek a transakcí a objem kryptoměn držených v úschově.
• Účetní závěrky (pokud společnost již působí):
  • schválené účetní závěrky za poslední tři roky;
  • pokud zprávy nebyly auditovány, potvrzení od vnitrostátního orgánu dohledu o výši vlastních prostředků.
• Postupy plánování a monitorování kapitálu:
  • popis systému vnitřní kontroly a monitorování pro obezřetnostní opatření.
• Důkazy o splnění obezřetnostních požadavků:
  • dokumenty potvrzující výpočet vlastních prostředků v souladu s MiCA;
  • u nově založených společností výpis z bankovního účtu potvrzující převod schváleného kapitálu na účet;
  • pokud se používá pojistná smlouva nebo srovnatelná záruka:
    • informace o pojišťovně (název, datum a země registrace, adresa sídla a registrovaného úřadu, kontaktní údaje);
    • kopie podepsané pojistné smlouvy nebo pojistné smlouvy v souladu s články 67(5) a 67(6) MiCA.

Tato sada dokumentů potvrzuje finanční stabilitu společnosti, dostatečný kapitál k pokrytí provozních a tržních rizik a schopnost chránit klienty v případě nepředvídaných událostí.

4) Mechanismy správy a řízení, vnitřní kontrola a politika střetu zájmů

Žádost musí popisovat organizační strukturu, včetně skupiny společností (pokud je žadatel její součástí), rozdělení funkcí a pravomocí, hierarchii a stávající mechanismy vnitřní kontroly. Je důležité identifikovat vedoucí klíčových interních funkcí, poskytnout jejich životopisy s popisem jejich vzdělání, kvalifikace a odborných zkušeností a potvrdit, že mají potřebné znalosti a dovednosti k výkonu svých povinností.

Regulační orgán vyžaduje popis interních politik a postupů, které zajišťují soulad s MiCA, stejně jako mechanismy pro sdělování těchto postupů zaměstnancům. Zvláštní pozornost je věnována existenci interního systému pro oznamování podezření z protiprávního jednání, který umožňuje zaměstnancům informovat vedení o nesouladu s regulačními požadavky. Žadatel je povinen popsat postup pro vedení záznamů a uchovávání dokumentace v souladu s technickými normami stanovenými Evropskou komisí a prokázat existenci systému pro monitorování a pravidelné přezkoumávání účinnosti zavedených politik a postupů.

Vedení společnosti musí být schopno pravidelně dostávat zprávy od orgánů vnitřní kontroly, které potvrzují nezávislost těchto orgánů a jejich právo podávat zprávy přímo, a to i v případě, že jsou zjištěna významná rizika nesouladu s regulačními požadavky. Žádost musí popisovat informační a komunikační technologie, kontrolní nástroje a záložní řešení, která zajišťují stabilitu procesů, jakož i opatření k prevenci zneužívání trhu, pokud žadatel provádí činnosti, které jsou takovým rizikům vystaveny.

Kromě toho je nutné uvést, zda byl jmenován externí auditor, poskytnout jeho kontaktní údaje a popsat použité účetní zásady a období pro podávání zpráv.

Zvláštní význam má řízení střetu zájmů. Žádost musí obsahovat kopii příslušné politiky popisující, jak společnost identifikuje, předchází a zveřejňuje střety zájmů v souladu s článkem 72 MiCA. Tento dokument musí zohledňovat rozsah a povahu činností žadatele a zajistit, aby systém odměňování nevytvářel konflikty mezi zájmy společnosti a jejími klienty. Žadatel je rovněž povinen popsat kontrolní systémy zavedené pro sledování účinnosti politiky, zaznamenávat každý případ střetu zájmů, zaznamenávat jeho řešení a skutečnost, že informace byla sdělena klientovi.

Tyto komplexní informace umožňují příslušnému orgánu ověřit, zda žadatel zavedl robustní systém správy a řízení společnosti, má nezávislé vnitřní kontrolní funkce a uplatňuje účinná opatření k prevenci a řešení střetů zájmů, což je předpokladem pro vydání licence MiCA.

5) Plán na zajištění kontinuity činnosti

Tento plán je povinnou součástí žádosti a prokazuje, že společnost je schopna udržet pravidelný provoz i v případě narušení klíčových systémů nebo infrastruktury.

Popis musí potvrzovat, že plán splňuje požadavky nařízení (EU) 2023/1114, je pravidelně aktualizován a testován v praxi. Dokument by měl nastínit opatření, která společnost přijme k udržení provozu v případě nepředvídaných událostí, včetně selhání IT systémů, okolností vyšší moci nebo incidentů v oblasti kybernetické bezpečnosti.

Pokud jsou kritické funkce outsourcovány třetím stranám, dokument by měl specifikovat, jak bude zajištěna kontinuita podnikání v případě prudkého poklesu kvality jejich služeb nebo ukončení jejich poskytování. Je také nutné popsat akční plán pro případ ztráty klíčového zaměstnance nebo rozhodovacího činitele a v případě potřeby posoudit politická rizika v jurisdikci, kde se nacházejí hlavní poskytovatelé služeb.

Předložení takového plánu umožňuje regulačnímu orgánu ověřit, zda je společnost připravena na potenciální krizové situace a zda je schopna minimalizovat dopad případných narušení při zachování důvěry zákazníků a stability podnikání.

6) Opatření proti praní peněz a financování terorismu (AML/CFT)

Společnost, která žádá o licenci MiCA, je povinna potvrdit, že má zaveden účinný systém proti praní peněz a financování terorismu (AML/CFT), který je v souladu se směrnicí (EU) 2015/849 a nařízením (EU) 2023/1113.

Žádost musí popisovat přístup k řízení rizik AML/CFT, počínaje jejich identifikací a posouzením. Společnost musí poskytnout analýzu inherentních a zbytkových rizik spojených s povahou její zákaznické základny, typy poskytovaných služeb, používanými distribučními kanály a geografickými regiony, ve kterých působí.

Pro regulační orgán je důležité vidět konkrétní opatření, která organizace již zavedla nebo plánuje zavést, aby předešla identifikovaným rizikům: postupy posuzování rizik, pravidla pro provádění KYC a hloubkové prověřování zákazníků, postupy pro identifikaci podezřelých transakcí a jejich včasné hlášení příslušným orgánům. Je nutné prokázat, že vnitřní politiky a postupy jsou úměrné rozsahu podnikání, složitosti modelu, rozsahu poskytovaných služeb a úrovni inherentního rizika.

Žadatel musí jmenovat osobu odpovědnou za dodržování požadavků AML/CFT a potvrdit její kvalifikaci a zkušenosti. Rovněž by měly být popsány lidské a finanční zdroje přidělené k provádění těchto postupů a mělo by být potvrzeno, že zaměstnanci absolvují pravidelné školení v oblasti boje proti praní peněz, včetně školení o specifických rizicích spojených s kryptoměnami.

K žádosti musí být přiloženy kopie všech interních politik, postupů a systémů AML/CFT, jakož i informace o frekvenci přezkoumávání jejich účinnosti a funkcích odpovědných za provádění těchto hodnocení.

Tento balíček údajů prokazuje regulačnímu orgánu, že společnost plní své povinnosti v oblasti boje proti praní peněz a financování terorismu, minimalizuje rizika zneužití a je připravena dodržovat evropskou legislativu při poskytování služeb souvisejících s kryptoaktivy.

7) Identifikace, kontrola reputace a posouzení kvalifikace členů řídícího orgánu společnosti

Žadatelská společnost je povinna poskytnout podrobné informace o každém členovi svého řídícího orgánu, potvrdit jejich totožnost, obchodní reputaci, kvalifikaci a ochotu věnovat dostatečný čas svým povinnostem.

Žádost musí obsahovat úplné osobní údaje každého člena, včetně jména, místa a data narození, současné a předchozí adresy za posledních 10 let, státní příslušnosti, národního identifikačního čísla a kopie dokladu totožnosti. Kromě toho musí být popsána zastávaná nebo plánovaná funkce s uvedením její povahy (výkonná nebo nevýkonná), data zahájení funkčního období a klíčových povinností.

Společnost musí poskytnout životopis každého člena řídícího orgánu s podrobnými údaji o jeho vzdělání, odborné přípravě, pracovních zkušenostech za posledních 10 let, s uvedením všech organizací, pozic, povahy jejich povinností, jakož i zkušeností v oblastech finančních služeb, kryptoměn, digitálních technologií, kybernetické bezpečnosti a inovací. Je třeba přiložit doporučující dopisy a kontaktní údaje referenčních osob, jakož i úřední dokumenty potvrzující bezúhonnost.

Důležitou součástí balíčku jsou informace o bezúhonnosti, případných probíhajících trestních nebo správních vyšetřováních, disciplinárních opatřeních, konkurzních řízeních, odebrání nebo zamítnutí licencí, vyloučení z profesních organizací, jakož i informace o posouzení pověsti provedeném vládními nebo regulačními orgány.

Žadatel je povinen uvést veškeré finanční nebo nefinanční zájmy členů vedení a jejich nejbližších rodinných příslušníků, které by mohly vést ke střetu zájmů, včetně účasti na kapitálu skupiny, existence půjček, poskytnutých záruk nebo právních sporů. Pokud je zjištěn významný střet zájmů, je nutné popsat opatření přijatá k jeho odstranění nebo zmírnění s odkazem na interní politiku týkající se střetu zájmů.

Regulační orgán obdrží informace o odhadovaném čase, který každý člen orgánu vedení věnuje práci ve společnosti: minimální počet hodin za měsíc a za rok, seznam všech dalších funkcí (výkonných i nevýkonných), které zastávají, s popisem velikosti společností, ve kterých pracují, objemu aktiv a počtu zaměstnanců, jakož i seznam dalších povinností, jako je účast v výborech nebo předsednictví.

K žádosti musí být přiloženy výsledky individuálního posouzení vhodnosti každého člena řídícího orgánu, jakož i posouzení kolektivní vhodnosti představenstva, včetně zprávy nebo dokumentů potvrzujících, že složení řídícího orgánu splňuje požadavky MiCA. Všechny úřední dokumenty a osvědčení potvrzující informace o reputaci a neexistenci překážek pro výkon funkce musí být vydány nejdříve tři měsíce před podáním žádosti.

Poskytnutí těchto informací umožňuje regulačnímu orgánu ověřit, zda vedení společnosti má potřebné znalosti, zkušenosti a pověst a je schopno účinně řídit poskytovatele služeb v oblasti kryptoměn v souladu s požadavky nařízení (EU) 2023/1114.

8) Informace o akcionářích a účastnících s významnými podíly

Žádost o licenci MiCA musí obsahovat úplné informace o akcionářích nebo účastnících s významnými podíly, aby regulátor mohl posoudit jejich integritu, finanční stabilitu a vliv na řízení podniku.

Žadatel musí předložit podrobný organizační diagram své korporátní a holdingové struktury s uvedením rozložení kapitálu a hlasovacích práv. Diagram musí identifikovat všechny akcionáře a účastníky s kvalifikovanou účastí a poskytnout jejich identifikační údaje.

Pro každého vlastníka přímé nebo nepřímé významné účasti musí být poskytnuty dokumenty a informace uvedené v článcích 1–4 nařízení Komise v přenesené pravomoci (EU) 2025/414. Je rovněž nutné uvést členy řídícího orgánu, kteří budou jmenováni těmito akcionáři nebo na jejich doporučení a kteří se budou podílet na řízení podniku.

V žádosti se uvede počet a druh akcií upsaných každým akcionářem, jejich jmenovitá hodnota, zaplacené nebo splatné prémie a veškerá zástavní práva, zástavy a jiné zajišťovací práva s uvedením stran, v jejichž prospěch jsou zřízena.

Kromě toho musí být poskytnuty informace uvedené v článku 6 (body b, d, e) a článku 8 nařízení Komise (EU) 2025/414, včetně dokumentů potvrzujících pověst, původ finančních prostředků a finanční transparentnost akcionářů.

Tento soubor informací umožňuje příslušnému orgánu ověřit, zda vlastníci společnosti splňují požadavky MiCA, nepředstavují riziko pro řádné řízení a jsou schopni podporovat finanční stabilitu žadatele.

9) Systémy ICT a opatření v oblasti kybernetické bezpečnosti

Společnost, která žádá o licenci MiCA, musí potvrdit, že disponuje spolehlivou infrastrukturou IT a systémem kybernetické bezpečnosti, který splňuje požadavky nařízení (EU) 2022/2554 (DORA) a nařízení (EU) 2016/679 (GDPR). Žádost musí obsahovat technickou dokumentaci o systémech ICT a, pokud se používají, infrastruktuře DLT, jakož i popis bezpečnostních opatření, která zajišťují odolnost, integritu a důvěrnost údajů.

Regulačnímu orgánu musí být poskytnut popis architektury řízení rizik ICT jako součásti celkového systému řízení rizik společnosti s uvedením použitých systémů, protokolů a nástrojů. Žádost by měla vysvětlovat, jak politiky a postupy společnosti zajišťují ochranu, dostupnost a autentičnost dat, jakož i soulad s DORA a GDPR.

Měly by být uvedeny všechny kritické ICT služby podporované v rámci společnosti, jakož i služby poskytované externími dodavateli. Je třeba uvést identifikaci a umístění poskytovatelů, popis outsourcingových vztahů a kopie smluv potvrzujících soulad s článkem 73 MiCA a kapitolou V DORA.

Důležitou součástí je popis postupů pro řízení incidentů, opatření v oblasti kybernetické bezpečnosti, plánů reakce na útoky a plánů obnovy po havárii. Pokud byly provedeny externí audity nebo penetrační testy, musí žadatel přiložit jejich výsledky nebo zprávy o kybernetické bezpečnosti. Pro regulační orgán je užitečné vidět, že audit zahrnoval organizační a fyzickou bezpečnost, životní cyklus vývoje softwaru, skenování zranitelností, posouzení konfigurací kritických ICT aktiv a testy black box, grey box a white box k ověření různých úrovní přístupu.

Pokud společnost používá nebo vyvíjí inteligentní smlouvy, musí být přiložen přehled jejich zdrojového kódu z hlediska kybernetické bezpečnosti. Dále by měly být poskytnuty informace o předchozích auditech ICT systémů, včetně infrastruktury DLT a implementovaných bezpečnostních opatření.

Žadatel musí nakonec poskytnout stručný popis všech těchto opatření v netechnickém jazyce, aby si regulátor mohl udělat ucelený obraz o systému kybernetické bezpečnosti a spolehlivosti infrastruktury ICT, aniž by musel analyzovat původní technické dokumenty.

10) Oddělení a bezpečné uložení kryptoměn a prostředků klientů

Společnost, která má v úmyslu poskytovat služby úschovy kryptoměn nebo prostředků klientů (s výjimkou elektronických peněžních tokenů), musí ve své žádosti o licenci MiCA předložit podrobný popis svých postupů pro oddělení a ochranu prostředků klientů.

Dokument musí vysvětlovat, jak organizace zajišťuje, aby prostředky klientů a kryptoměny nebyly využívány pro vlastní zájmy společnosti. Měl by potvrdit, že peněženky, ve kterých jsou uložena klientská aktiva, jsou oddělené od firemních peněženek žadatele a že prostředky každého klienta lze identifikovat i při použití souhrnných účtů obsahujících aktiva několika klientů.

Zvláštní pozornost je věnována systému správy a ochrany kryptografických klíčů, včetně popisu postupů pro vytváření a ukládání klíčů, používání více podpisů a opatření k zajištění jejich důvěrnosti a odolnosti proti zneužití.

Žadatel je povinen popsat postup zpracování prostředků klientů: prostředky musí být připsány na účet u centrální banky nebo úvěrové instituce nejpozději do konce pracovního dne následujícího po jejich přijetí a musí být odděleny od vlastních prostředků společnosti. Pokud se neplánuje uložení prostředků u centrální banky, musí být zveřejněna kritéria pro výběr úvěrových institucí, politika diverzifikace a četnost přezkoumávání těchto rozhodnutí.

Důležitou součástí žádosti je popis způsobu, jakým jsou klienti informováni o mechanismech ochrany jejich aktiv, včetně vysvětlení zásad oddělení, politiky úschovy finančních prostředků a bezpečnostních postupů v jednoduché a srozumitelné formě, bez zbytečných technických termínů.

Tyto informace potvrzují, že žadatel splňuje požadavky článku 70 MiCA, chrání majetková práva klientů a minimalizuje riziko jejich ztrát i v případě finančních potíží nebo úpadku společnosti.

11) Postupy pro vyřizování stížností

Společnost musí potvrdit, že má transparentní a účinný systém pro vyřizování stížností zákazníků. Žádost by měla popisovat lidské i technické zdroje přidělené k vyřizování stížností a identifikovat osobu odpovědnou za řízení tohoto procesu. Regulační orgán očekává, že bude poskytnut souhrn vzdělání, odborné přípravy a zkušeností tohoto zaměstnance, který prokáže jeho schopnost vykonávat přidělené funkce.

Žadatel musí prokázat, že jeho postupy jsou v souladu s technickými normami stanovenými Evropskou komisí na základě čl. 71 odst. 5 MiCA a že zákazníci mají možnost podat stížnost bezplatně. Je důležité popsat, jak organizace informuje zákazníky o této možnosti, včetně umístění informací na webových stránkách nebo jiných digitálních kanálech, prostřednictvím kterých jsou služby poskytovány.

Je nutné vysvětlit postup pro zaznamenávání stížností, lhůty pro jejich posouzení, prošetření a odpověď zákazníkovi, jakož i mechanismy informování zákazníků o dostupných právních prostředcích nápravy. Žádost popisuje hlavní procesní kroky při posuzování stížnosti, včetně způsobu a formy sdělení rozhodnutí zákazníkovi nebo potenciálnímu zákazníkovi, který stížnost podal.

Takový popis prokazuje regulačnímu orgánu, že žadatel poskytuje adekvátní ochranu práv zákazníků, funguje transparentně a má zavedeny mechanismy pro rychlé řešení konfliktů, což je klíčovým prvkem důvěry v poskytovatele služeb v oblasti kryptoměn.

12) Politika úschovy a správy

Politika úschovy a správy kryptoměn je povinnou součástí balíčku dokumentů, které žadatel předkládá podle čl. 62 odst. 2 písm. m) nařízení (EU) 2023/1114. Společnosti, které plánují poskytovat služby úschovy a správy kryptoměn jménem klientů, musí orgánu dohledu předložit úplný popis řešení úschovy nabízených klientům, včetně typů úschovy, kopii standardní smlouvy o poskytování služeb a shrnutí politiky úschovy sdělené klientům v souladu s čl. 75 odst. 1 a čl. 75 odst. 3 nařízení.

Žadatel je povinen předložit interní politiku úschovy a správy, která musí identifikovat provozní a ICT rizika spojená s úschovou a správou kryptoměn nebo prostředků pro přístup k nim. Politika musí obsahovat popis postupů a opatření pro splnění požadavků čl. 75 odst. 8 nařízení, popis systémů vnitřní kontroly a řízení rizik, včetně ustanovení o outsourcingu úložných funkcí, pravidla a postupy zajišťující výkon práv zákazníků a postupy zaručující vrácení kryptoaktiv nebo prostředků pro přístup k nim.

Kromě toho je nutné popsat mechanismy pro identifikaci kryptoměn a prostředků pro přístup k nim, jakož i opatření k minimalizaci rizika jejich ztráty. V případech, kdy jsou služby úschovy a správy outsourcovány třetí straně, musí žadatel poskytnout informace o totožnosti outsourcera, jeho statusu v souladu s články 59 a 60 nařízení, popis delegovaných funkcí, seznam delegátů a subdelegátů, jakož i potenciální střety zájmů, které mohou v souvislosti s takovým delegováním vzniknout. Rovněž je vyžadován popis systému kontroly a monitorování výkonu delegovaných funkcí.

Tento přístup umožňuje regulačnímu orgánu posoudit schopnost žadatele zajistit vysokou úroveň ochrany práv a zájmů klientů, řádnou organizaci procesů úložiště, řízení operačních a technologických rizik a dodržování evropských regulačních požadavků.

13) Pravidla fungování obchodní platformy a odhalování zneužívání trhu

Žadatelé, kteří plánují provozovat obchodní platformu pro kryptoaktiva, jsou povinni v souladu s čl. 62 odst. 2 písm. n) nařízení (EU) 2023/1114 poskytnout orgánu dohledu úplný popis pravidel fungování platformy a mechanismů pro prevenci zneužívání trhu. Předložené materiály musí obsahovat popis pravidel pro přijímání kryptoaktiv k obchodování a postup jejich schvalování, včetně ověřování zákazníků v souladu se směrnicí (EU) 2015/849, jakož i seznam kategorií kryptoaktiv vyloučených z obchodování s uvedením důvodů tohoto vyloučení. Musí být zveřejněny zásady, postupy a poplatky spojené s přijetím k obchodování, jakož i popis podmínek členství, slev a souvisejících ustanovení.

Žadatel je povinen stanovit pravidla pro provádění příkazů, postup pro jejich zrušení a mechanismus pro oznamování zrušených transakcí účastníkům trhu. Měly by být popsány postupy a metody používané k posuzování vhodnosti kryptoměn pro obchodování, jakož i systémy a opatření zavedená k zajištění souladu s článkem 76 nařízení. Dokumenty musí obsahovat postup zveřejňování nabídkových a poptávkových cen, údaje o hloubce trhu, jakož i ceny, objemy a časy uzavřených transakcí, aby byla zajištěna transparentnost obchodního procesu.

Rovněž je vyžadováno odůvodnění struktury poplatků a potvrzení jejího souladu s čl. 76 odst. 13 nařízení, jakož i popis systémů a postupů pro ukládání údajů o všech zadaných příkazech a mechanismů pro poskytování přístupu orgánu dohledu k knize příkazů a dalším obchodním informacím. Pokud jde o vypořádání transakcí, žadatel musí uvést, zda je konečné vypořádání prováděno v distribuované účetní knize nebo mimo ni, časový rámec pro zahájení a dokončení vypořádání, metody ověřování dostupnosti finančních prostředků a kryptoměn, postup pro potvrzení údajů o transakcích a okamžik, kdy se vypořádání stává konečným.

Zvláštní pozornost by měla být věnována popisu politik, postupů a technických systémů používaných k odhalování, prevenci a hlášení zneužívání trhu. Kromě popisné části je žadatel povinen poskytnout orgánu dohledu kopii provozních pravidel obchodní platformy a interních postupů zaměřených na prevenci manipulace a jiných porušení integrity trhu.

14) Výměna kryptoměn za hotovost nebo jiné kryptoměny

Žadatelé, kteří plánují směnu kryptoměn za hotovost nebo jiné kryptoměny, jsou povinni v souladu s čl. 62 odst. 2 písm. o) nařízení (EU) 2023/1114 poskytnout orgánu dohledu úplný popis své obchodní politiky vypracované v souladu s čl. 77 odst. 1 nařízení. Kromě toho musí být zveřejněna metodika pro stanovení ceny kryptoměn, které mají být vyměněny, s vysvětlením, jak jsou při výpočtech zohledněny tržní objem a volatilita příslušných aktiv. Takové zveřejnění umožňuje regulačnímu orgánu posoudit transparentnost cen, ochranu zájmů zákazníků a dodržování požadavků dobré obchodní praxe v oblasti směny kryptoměn ze strany žadatele.

15) Politika provádění

Společnosti, které mají v úmyslu provádět příkazy týkající se kryptoměn jménem klientů, jsou povinny v souladu s čl. 62 odst. 2 písm. p) nařízení (EU) 2023/1114 předložit orgánu dohledu svou vlastní politiku provádění, která odráží klíčové zásady a postupy pro organizaci tohoto procesu. Tato politika musí obsahovat ujednání potvrzující, že klient souhlasil s podmínkami provádění před zadáním nebo provedením příkazu. Musí být poskytnut seznam obchodních platforem pro kryptoměny, na které se žadatel bude při provádění příkazů spoléhat, jakož i kritéria pro výběr míst provádění, vytvořená v souladu s čl. 78 odst. 6 nařízení.

Dokumentace specifikuje obchodní platformy používané pro každý typ kryptoměny a potvrzuje, že žadatel nemá žádný finanční ani nefinanční prospěch z odesílání příkazů na konkrétní platformu. Žadatel je povinen popsat, jak jsou zohledňovány cena, náklady, rychlost a pravděpodobnost provedení a vypořádání, velikost a povaha příkazu, podmínky úschovy kryptoměny a další faktory, aby bylo dosaženo co nejlepšího výsledku pro klienta.

Musí být zveřejněn postup informování klientů o záměru provést jejich příkazy mimo obchodní platformu a mechanismus získání jejich předchozího souhlasu a musí být poskytnuto vysvětlení, jakým způsobem je klient informován o tom, že jeho konkrétní pokyny mohou omezit schopnost žadatele dosáhnout co nejlepšího výsledku. Politika provádění popisuje postupy pro výběr obchodních míst, použité strategie provádění, metody analýzy kvality provádění a mechanismy vnitřní kontroly, které zajišťují soulad s výsledky, které lze považovat za optimální pro klienty.

Žadatel je povinen předložit opatření k zabránění zneužití informací o příkazech klientů zaměstnanci, postup pro zveřejňování informací o politice provádění klientům a informování klientů o jakýchkoli významných změnách v této politice a popsat, jak je organizace připravena potvrdit dodržování požadavků článku 78 nařízení na žádost orgánu dohledu.

16) Poskytování poradenství v oblasti kryptoměn nebo správa portfolií kryptoměn

Žadatelé, kteří plánují poskytovat poradenství v oblasti kryptoměn nebo spravovat portfolio kryptoměn, jsou povinni v souladu s čl. 62 odst. 2 písm. q) nařízení (EU) 2023/1114 poskytnout orgánu dohledu podrobný popis opatření přijatých k zajištění souladu s čl. 81 odst. 7 nařízení. Předložené materiály musí obsahovat informace o mechanismech účinného monitorování, hodnocení a udržování znalostí a zkušeností zaměstnanců zapojených do poskytování poradenství nebo správy portfolií, jakož i o opatřeních zajišťujících, že tito zaměstnanci znají, rozumějí a uplatňují vnitřní politiky a postupy žadatele, které jsou navrženy tak, aby splňovaly požadavky nařízení (EU) 2023/1114 a směrnice (EU) 2015/849.

Žadatel je rovněž povinen uvést výši lidských a finančních zdrojů, které se plánují každoročně vyčlenit na profesní rozvoj a školení zaměstnanců podílejících se na poskytování poradenství nebo správě portfolií kryptoměn. Dokumentace musí popisovat mechanismy pro monitorování a hodnocení kompetencí zaměstnanců, aby bylo zajištěno, že osoby poskytující poradenství jménem žadatele mají nezbytné znalosti a kvalifikaci v souladu s vnitrostátními kritérii a jsou schopny posoudit vhodnost klientů v souladu s čl. 81 odst. 1 nařízení.

Tyto informace umožňují regulačnímu orgánu ověřit, zda má organizace zavedeny dostatečné postupy k udržení vysoké úrovně profesionality a dodržování požadavků na ochranu zákazníků při poskytování poradenských služeb a správě kryptoměn.

17) Služby převodu

Žadatelé, kteří plánují poskytovat služby převodu kryptoaktiv jménem klientů, jsou povinni v souladu s čl. 62 odst. 2 písm. r) nařízení (EU) 2023/1114 poskytnout orgánu dohledu informace o typech kryptoaktiv, pro které mají být tyto služby poskytovány, jakož i podrobný popis opatření zajišťujících soulad s článkem 82 nařízení. Poskytnuté informace musí obsahovat postupy a zdroje, jak technické, tak lidské, zaměřené na rychlé a účinné odstranění rizik při provádění převodů, včetně mechanismů pro reakci na potenciální provozní selhání a kybernetické hrozby.

Pokud je uzavřena pojistná smlouva, musí žadatel popsat její obsah a uvést rozsah krytí škod na kryptoaktivách klientů, které mohou vzniknout v důsledku incidentů v oblasti kybernetické bezpečnosti. Kromě toho je nutné vysvětlit, jak jsou zákazníci informováni o interních politikách, postupech a dohodách uplatňovaných při poskytování služeb převodu kryptoaktiv, aby byla zajištěna transparentnost a porozumění rizikům ze strany uživatelů.

Posouzení žádosti podle MiCA

Žádost o licenci podle nařízení (EU) 2023/1114 (MiCA) je formalizovaný postup, jehož cílem je zajistit jednotné standardy pro společnosti poskytující služby v oblasti kryptoměn v Evropské unii. Nařízení (EU) 2025/306 stanoví jednotné formuláře a postupy pro předkládání dokumentů, jakož i postupy pro interakci mezi žadatelem a příslušným orgánem. Po podání žádosti je příslušný orgán povinen potvrdit její přijetí a zahájit ověřování úplnosti poskytnutých informací. V souladu s čl. 63 odst. 2 nařízení MiCA nesmí lhůta pro takové ověření přesáhnout 25 pracovních dnů ode dne přijetí žádosti a zaplacení správního poplatku. Pokud jsou zjištěny nedostatky nebo chybí povinné informace, regulační orgán oznámí žadateli, že je nutné je napravit. Opravené nebo doplněné údaje musí být předloženy ve stanovených lhůtách a lhůta pro přezkum začíná běžet znovu ode dne přijetí.

Zvláštní pozornost je věnována jazyku předložených dokumentů. Podle části 1 článku 16 občanského soudního řádu státu, ve kterém je žádost podána, musí být všechny materiály sepsány v úředním jazyce příslušné jurisdikce. Toto pravidlo se vztahuje jak na text samotné žádosti, tak na průvodní dokumenty, včetně programů činností, interních politik, finančních zpráv a dalších informací. Úspěšné podání žádosti o licenci MiCA tedy vyžaduje dodržení formálních postupů, včasné zaplacení poplatků, správnou přípravu dokumentů a jejich soulad s jazykovými požadavky. Příprava žádosti s ohledem na tyto podmínky zajišťuje předvídatelnější proces interakce s regulačním orgánem a minimalizuje riziko zpoždění ve fázi ověřování úplnosti informací.