Contact en veelgestelde vragen

De AFM is het eerste aanspreekpunt voor alle  zaken die te maken hebben met CASP-vergunningen en notificerende partijen (zie artikel 2 eerste lid Besluit uitvoering EU-verordeningen financiële markten (BuEU) en artikel 60 en artikel 63 MiCAR). Wij zullen waar nodig per geval contact onderhouden met DNB. U kunt ons mailen op crypto@afm.nl. 

Voor vragen over prudentiële vereisten (zie artikel 67, artikel 83 en artikel 84 MiCAR), zoals de kapitaalvereisten en de beoordeling van gekwalificeerde deelnemingen, kunt u contact opnemen met DNB via crypto@dnb.nl en crypto@afm.nl in de CC invullen.

Het huidige toepasselijk recht voor Nederland is gebaseerd op de Implementatiewet wijziging vierde anti-witwasrichtlijn, die bepaalt dat aanbieders van cryptodiensten (aanbieders van wisseldiensten voor virtuele valuta (crypto) en geld (en vice versa)) en aanbieders van bewaarportemonnees voor virtuele valuta, een registratie bij De Nederlandsche Bank (DNB) moeten aanvragen.

Nederland is van plan de overgangsperiode voor cryptodienstverleners die een registratie bij DNB hebben te beperken tot 6 maanden. De AFM ondersteunt dit plan. Dit houdt in dat aanbieders van cryptoactivadiensten die hun diensten op basis van hun DNB-registratie vóór 30 december 2024 hebben verleend, dit tot en met 30 juni 2025 mogen blijven doen. In het geval dat een vergunningsaanvraag wordt toegewezen of afgewezen voor 30 juni 2025, komt de voornoemde overgangsperiode ten einde op de datum van de toewijzing dan wel afwijzing. Dit volgt uit art. 143 lid 3 MiCAR: 'Aanbieders van cryptoactivadiensten die vóór 30 december 2024 hun diensten overeenkomstig het toepasselijke recht aanboden, mogen dit blijven doen tot 1 juli 2026, of totdat hun overeenkomstig artikel 63 een vergunning is 
verleend of geweigerd, naargelang wat zich het eerst voordoet.'

Let op: de overgangsperiode geldt niet voor partijen die vóór 30 december 2024 geen DNB-registratie hebben.

Om die reden roepen wij partijen die in Nederland cryptodiensten willen gaan aanbieden op om zich bij ons te melden voor een MiCAR-vergunningaanvraag, en niet langer bij DNB voor een registratie-aanvraag. Zo wordt dubbel werk, en de daarbij komende kosten, voor alle betrokkenen voorkomen. Mochten partijen na medio 2024 toch nog een registratie aanvragen bij DNB, dan lopen zij (gelet op de doorlooptijden) het risico kosten te maken zonder dat dit leidt tot een registratie in 2024. Zoals hiervoor aangegeven geldt dan ook het overgangsrecht niet.

Er is geen vereenvoudigde procedure conform artikel 143 MiCAR in Nederland. Voor entiteiten die al in Nederland zijn geregistreerd bij DNB kunnen wij in sommige gevallen beslissen dat er een lichtere MiCAR-beoordeling op specifieke onderdelen of onderwerpen kan plaatsvinden indien elementen al door DNB zijn beoordeeld. Dit kan bijvoorbeeld het geval zijn voor de geschiktheids- en betrouwbaarheidstoetsing van personen die verantwoordelijk zijn voor de dagelijkse gang van zaken en leden van de raad van commissarissen van CASP’s.

Let op: het is belangrijk dat de aanvrager van de vergunning in de geschiktheids- en betrouwbaarheidsformulieren duidelijk aangeeft dat de opgevraagde informatie in het verleden bij DNB is aangeleverd in het kader van de aanvraag van de registratie op grond van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). Wij kunnen dan bij DNB verifiëren of de betreffende informatie inderdaad reeds is aangeleverd en beoordeeld, om de noodzaak om dezelfde informatie opnieuw te laten beoordelen door de AFM zo klein mogelijk te maken.

Wanneer een aanbieder van cryptoactivadiensten (CASP) ook PSD2-diensten levert, moet men dit conform de PSD2-regelgeving doen. DNB is de primaire toezichthouder op PSD2 en gaat over PSD2-reikwijdte vraagstukken. Tenzij er sprake is van een uitzondering of vrijstelling, moet er een PSD2-vergunning bij DNB aangevraagd worden.

Een alternatieve mogelijkheid die art. 70 lid 4 MiCAR biedt, is om het verlenen van de betaaldiensten uit te besteden aan een derde partij die een PSD2-vergunning heeft. Het vereist een zorgvuldige beoordeling van de aangeboden diensten om te kunnen vaststellen dat er zowel voldaan wordt aan de MiCAR-regulering, als eventuele toepasselijke betaaldienstregelgeving. Zie ook overweging 90 MiCAR: 'Sommige cryptoactivadiensten, met name het bewaren en beheren van cryptoactiva namens cliënten, het plaatsen van cryptoactiva en cryptoactivaoverdrachtdiensten namens cliënten, kunnen overlappen met betalingsdiensten zoals gedefinieerd in Richtlijn (EU) 2015/2366.' 

Indien een derivaat van cryptoactiva kwalificeert als een financieel instrument, dan moet de CASP waarschijnlijk beschikken over een MiFID II-vergunning voor de dienstverlening met betrekking tot het derivaat. De CASP moet namelijk beschikken over een MiFID II-vergunning, indien zij een beleggingsdienst verleent of een beleggingsactiviteit verricht.

Een CASP die beschikt over een MiFID II-vergunning, mag met een notificatie ook gelijkwaardige cryptoactivadiensten verlenen conform artikel 60, derde lid, MiCAR. In de volgende situaties is er in ieder geval sprake van het verlenen van een beleggingsdienst en is een MiFID II-vergunning vereist:

a. ontvangen en doorgeven van orders van cliënten met betrekking tot financiële instrumenten;
b. voor rekening van cliënten uitvoeren van orders met betrekking tot financiële instrumenten;
c. beheren van een individueel vermogen; en
d. adviseren over financiële instrumenten.

Derivatencontracten en andere afgeleide producten van cryptoactiva kunnen kwalificeren als financieel instrument. Het maakt voor de kwalificatie niet uit of het contract is gestructureerd als optie, future, swap, termijncontract of een ander soort contract. Er is mogelijk sprake van een financieel instrument, indien een dergelijk contract wordt afgewikkeld:

• in contanten;
• in activagerelateerde tokens;
• in e-moneytokens; of
• door fysieke levering van de onderliggende waarde.

Het verlenen van beleggingsdiensten of het verrichten van een beleggingsactiviteit met betrekking tot financiële instrumenten, is alleen toegestaan met de vereiste MiFID II-vergunning. Een CASP die beschikt over een MiFID II-vergunning, mag met een notificatie ook gelijkwaardige cryptoactivadiensten verlenen conform artikel 60, derde lid, MiCAR.

Houd er rekening mee dat dit onderwerp momenteel op Europees niveau wordt besproken onder coördinatie van de Europese Autoriteit voor effecten en markten (ESMA) om verdere toezichtconvergentie door de nationale bevoegde autoriteiten (NBA's), zoals de AFM, te bereiken. Als algemeen uitgangspunt wil de AFM brievenbus-/lege entiteiten vermijden, omdat dit een effectieve bedrijfsvoering van de activiteiten van de CASP alsmede effectief toezicht door de AFM belemmert. Totdat meer specifieke eisen beschikbaar zijn, houdt de AFM zich aan de volgende ESMA-opinie.

ESMA heeft op 31 juli 2024 een opinie uitgebracht ter ondersteuning van de convergente toepassing van MiCA (Opinion to support the convergent application of MiCA) teneinde de risico's aan te pakken die worden gevormd door wereldwijde cryptobedrijven die een vergunning aanvragen op grond van de Markets in Crypto Assets (MiCA) Verordening, terwijl deze een aanzienlijk deel van hun groepsactiviteiten buiten het toepassingsgebied van de Europese Unie (EU) en bijbehorende regelgeving houden. ESMA erkent de risico's die verbonden zijn aan de complexe structuren van wereldwijde cryptobedrijven.

In de opinie wordt gepleit voor een beoordeling per geval, waarbij de specifieke vereisten worden uiteengezet waaraan moet worden voldaan met betrekking tot de inhoud, de optimale uitvoering, belangenconflicten, de verplichting om eerlijk, billijk en professioneel te handelen in het belang van de cliënten, en de verplichting met betrekking tot de bewaring en het beheer van cryptoactiva namens cliënten.

ESMA benadrukt dat bepaalde aanvragen voor een vergunning als aanbieder van cryptoactivadiensten die in het kader van MiCA worden verwacht, enige overeenkomsten vertonen met sommige aanvragen die NBA's hebben ontvangen in het kader van het besluit van het Verenigd Koninkrijk (VK) (Brexit) om zich uit de EU terug te trekken. Gezien de vergelijkbare onderliggende problematiek en risico's van toezichtarbitrage moeten de algemene beginselen die de ESMA heeft ontwikkeld ter ondersteuning van de convergentie van het toezicht in het kader van het besluit van het VK om zich uit de EU terug te trekken, derhalve ook worden toegepast in de context van diensten en activiteiten waarop MiCA van toepassing is. ESMA adviseert daarom om, mutatis mutandis, de beginselen twee tot en met acht toe te passen zoals vastgelegd in haar vorige Brexit-opinie (Opinion on General principles to support supervisory convergence in the context of the United Kingdom withdrawing from the European Union), gepubliceerd in mei 2017 (europa.eu) en ook te worden beschouwd als een van de leidende beginselen voor NBA's wanneer het beoordelen van de vergunningverlening aan CASP's, samen met de andere elementen in de punten 4 tot en met 8 van het de ESMA Opinie ter ondersteuning van de convergente toepassing van MiCA (Opinion to support the convergent application of MiCA).

• De AFM verwacht onder andere van CASPs dat zij hun klanten goed informeren over de manier waarop het vermogen van de klant gescheiden wordt van het vermogen van de CASP. Het moet voor klanten duidelijk zijn welke rechten zij hebben, hoe cryptoactiva en geldmiddelen worden bewaard en wat er met de cryptoactiva en geldmiddelen van de klanten gebeurt in geval van faillissement van de CASP.
 
• Voor cryptoactiva van klanten stelt art. 75 lid 7 MiCAR dat deze afgezonderd dienen te worden van de cryptoactiva van de CASP. Het is van belang dat deze scheiding zowel juridisch als operationeel gebeurt. Dit betekent in ieder geval dat cryptoactiva van klanten via een (of meer) aparte wallet(s) worden aangehouden en eigen cryptoactiva van de CASP via een (of meer) andere wallet(s) aangehouden worden.
 
• Voor het aanhouden van klanttegoeden kan gebruik worden gemaakt van zogenoemde omnibus-wallets. In een omnibus-wallet met klanttegoeden mag geen eigen cryptoactiva van de CASP worden bewaard. Een sluitende administratie is hierbij noodzakelijk om altijd te kunnen nagaan welke cryptoactiva aan welke klant toebehoren.

• Naar Nederlands recht bestaat er voor cryptoactiva geen wet op grond waarvan cryptoactiva gescheiden worden van het vermogen van de CASP, zoals dat onder de Wet giraal effectenverkeer voor banken en beleggingsondernemingen wél is vastgelegd. Om cryptoactiva van klanten juridisch te scheiden van de cryptoactiva van de CASP maken CASPs vaak gebruik van een aparte entiteit. Vaak is dit een stichting. Door deze constructie wordt de juridische scheiding gerealiseerd. Dit wordt in Nederland ook gebruikt bij andere vormen van financiële dienstverlening.
 
• Er zijn ook mogelijkheden om naar het recht van een andere Europese Unie lidstaat aan de eisen voor vermogensscheiding onder MiCAR te voldoen. In andere Europese Unie lidstaten kunnen cryptoactiva door de CASP bewaard worden zonder dat daar een aparte entiteit voor nodig is. Als CASPs een dergelijke regeling gebruiken dan vindt de AFM het belangrijk dat de CASP aantoont dat het beschermingsniveau van deze constructie minimaal gelijk is aan de bescherming die een klant heeft onder Nederlands recht, en dat klanten duidelijk worden geïnformeerd over de wijze van vermogensscheiding en over hun rechten in geval van verlies van de cryptoactiva.

• De aparte entiteit bewaart namens klanten de cryptoactiva en geldmiddelen. De klanten hebben in dit geval een aanspraak op de aparte entiteit, waardoor ook tijdens een faillissement van de CASP de cryptoactiva en geldmiddelen niet tot het vermogen van de CASP behoren en zodoende kunnen schuldeisers van de CASP geen aanspraak maken op de cryptoactiva en geldmiddelen van klanten.
 
• De AFM verwacht dat een CASP met het oprichten van een aparte entiteit kan voldoen aan de juridische en operationele vermogensscheidingseisen gesteld in MiCAR. Hierbij verwacht de AFM dat een apart opgerichte entiteit aan bepaalde vereisten voldoet, zie vraag: Wat verwacht de AFM van CASPs die een aparte entiteit (stichting derdengelden) oprichten voor vermogensscheiding onder MiCAR?

De AFM verwacht dat de CASP de aparte entiteit opricht met als doelstelling het bewaren van de cryptoactiva en geldmiddelen van de klanten van de CASP en deze gescheiden te houden van het vermogen van de CASP. De aparte entiteit wordt zodanig ingericht dat enkel activiteiten kunnen worden verricht die bijdragen aan deze doelstelling. De gemaakte afspraken tussen de aparte entiteit en de CASP worden vastgelegd in een (bewaar)overeenkomst. De AFM is van mening dat wanneer aan deze en andere vereisten wordt voldaan de entiteit fungeert als verlengstuk van de CASP en mogelijkerwijs geen aparte MiCAR vergunning nodig heeft. Om de aparte entiteit als verlengstuk te kunnen kwalificeren is het van belang dat alle cryptoactiva en geldmiddelen van klanten zowel juridisch als operationeel worden gescheiden en de CASP de uiteindelijke verantwoordelijkheid en aansprakelijkheid draagt voor de bewaring en beheer.  

In meer detail, de AFM verwacht dat op zijn minst aan de volgende vereisten is voldaan (niet limitatief):

• De AFM verwacht dat het bestuur van de aparte entiteit voldoende betrouwbaar is en beschikt over de juiste kennis en kunde om de cryptoactiva en geldmiddelen van klanten zorgvuldig en conform MiCAR te beheren en bewaren. Dit kunnen de bestuurders van de CASP zijn. In een dergelijk geval verwacht de AFM dat de CASP rekening houdt met eventuele belangenconflicten die hieruit voort kunnen vloeien.
 
• De AFM verwacht dat de entiteit uitsluitend optreedt in het belang van de klanten voor wie de cryptoactiva en geldmiddelen worden bewaard. Met de aparte entiteit als verlengstuk van de CASP is conform art. 75 lid 8 MiCAR uiteindelijk de CASP richting de klanten aansprakelijk voor het verlies van cryptoactiva of van de toegangsmiddelen tot de cryptoactiva als gevolg van een aan hen toerekenbaar incident.
 
• Met de aparte entiteit als verlengstuk van de CASP verwacht de AFM dat de nakoming van de verplichtingen en eventuele aansprakelijkheid van de aparte entiteit wordt gegarandeerd door de CASP. De operationele kosten voor de aparte entiteit worden gedragen door de CASP. De CASP neemt in haar business continuïteitsplan op hoe de aparte entiteit in geval van faillissement van de CASP wordt afgewikkeld, en zorgt ervoor dat de entiteit over voldoende kapitaal beschikt om de cryptoactiva en geldmiddelen aan de klanten terug te kunnen geven.
 
• De AFM verwacht dat de aparte entiteit wordt betrokken in de risico en controleprocedures van de CASP.

Het is van belang dat cryptoactiva en geldmiddelen van de klanten zowel juridisch als operationeel zijn gescheiden van de cryptoactiva en geldmiddelen van de CASP. Hieronder zijn een aantal voor de AFM belangrijke vereisten (niet limitatief) opgesomd waar voor de operationele scheiding aan moet worden voldaan:

• De AFM verwacht dat cryptoactiva van klanten via een (of meer) aparte wallet(s) worden aangehouden en eigen cryptoactiva van de CASP via een (of meer) andere wallet(s) aangehouden worden. 
• De AFM verwacht dat de CASP een positieregister bijhoudt, waaruit op elk moment blijkt welke klant welke aanspraak heeft op de cryptoactiva. Dit positieregister wordt frequent geüpdatet en altijd actueel gehouden. Conform art. 75 lid 4 MiCAR worden alle gebeurtenissen die de rechten van een klant kunnen doen ontstaan of wijzigen, onmiddellijk vastgelegd in het positieregister van de klant.
• De AFM verwacht conform art. 75 lid 3 MiCAR dat door middel van het opstellen van een bewaringsbeleid de risico’s op verlies van cryptoactiva door (bijvoorbeeld) fraude, cyberdreigingen of nalatigheid tot een minimum worden beperkt. 
• De AFM verwacht dat enkel de aparte entiteit voor het afscheiden van het vermogen van de klanten de controle heeft over (herstel van) de private keys van de wallets waar klanttegoeden zijn ondergebracht.

Bij aanvragen voor een MiCAR-vergunning kijken wij naar verschillende aspecten op het gebied van ICT-risicobeheer (ofwel ICT Risk Management). Wij verwachten van ondernemingen onder ons toezicht dat een krachtig en doeltreffend ICT-risicobeheer wordt gevoerd. Wij vragen ondernemingen daarom een aantal documenten aan te leveren. De documenten die u hiervoor moet aanleveren vindt u in de tabel hieronder (let op: dit is een niet-limitatieve lijst, afhankelijk van de aanvraag of veranderde inzichten kunnen wij andere of extra documenten opvragen).  

Wij verwachten  van partijen dat zij volledig DORA-compliant zijn. Houd er rekening mee dat DORA meer eisen stelt aan ICT-risicobeheer dan in de tabel hieronder is opgenomen. DORA gaat ook over andere onderwerpen dan enkel ICT-risicobeheer. Het is mogelijk dat andere DORA-documentatie opgevraagd wordt wanneer dit nodig wordt geacht. 

Doelmatige documentatie is cruciaal voor interne communicatie, consistent en repeteerbare implementatie het omgaan met uitzonderingen, sancties voor gedrag buiten beleid en het monitoren van effectiviteit. Wij geven de volgende zaken in overweging bij het aanleveren van beleid:  

• Beleid en procedures moeten specifiek zijn.
  De reikwijdte van het document is van groot belang: wij toetsen of beleidsartikelen aantonen dat een CASP in staat is de risico's rondom IT-services voldoende te beheersen. Beleidsstukken en procedures moeten de wettelijke normen documenteren, op het juiste organisatieniveau belegd zijn en proportioneel zijn voor de aard, bedrijfsmodel en activiteiten van de CASP. Generieke taal zoals ‘voldoende, tijdig, adequaat) moet altijd gekwalificeerd en geoperationaliseerd worden. Het moet helder zijn wat deze termen precies betekenen voor de CASP, wie bepaald heeft wat de beleidsbepaling is, is en hoe dat is bepaald. Op procedureniveau verwachten wij uitgebreide concrete uitwerkingen van stappen, input, throughput, output, einde procedure, governance en goedkeuringen en dergelijk details. In essentie, procedures dienen als een interne gebruikershandleiding voor werknemers.   
• Naast het toetsen van huidige DORA compliance, toetsen wij ook hoe compliance is gegarandeerd op de lange termijn.
  Hiervoor toetsen wij documentatie op de aanwezigheid van controls en maatregelen die DORA compliance testen en monitoren op mens, proces en technologieniveau. Daarnaast verwachten wij dat documenteigenaarschap en versiehistorie helder zijn.  
• Beleid en procedures moeten in toepasselijke documenten aangeleverd worden, consistent met andere soorten documentatie. 
  Wij kunnen compliance met DORA regulering niet bevestigen op basis van verbale overdracht of documenten met een andere status dan beleid of procedure, zoals een Programme of Operations of een IT/Securitystrategie. Helder moet zijn hoe beleid, procedure, strategie en programma met elkaar samenhangen. Conflicterende stukken moeten worden vermeden.

Na verlening van de vergunning, verwachten wij het volgende van partijen.

• Als onderdeel van DORA moeten ondernemingen ernstige ICT-gerelateerde incidenten en (nieuwe) overeenkomsten met ICT-dienstverleners melden bij de toezichthouder. Daarnaast is er de mogelijkheid om cyberdreigingen op vrijwillige basis te melden. Ondernemingen kunnen deze meldingen indienen via de DORA-pagina van de AFM, onderdeel van het AFM portaal. Zie voor meer informatie de pagina over DORA-meldingen.
• Medewerkers spelen een belangrijke rol in de uitvoer van het IT-beleid. DORA zet daarom ook in op de ontwikkeling van IT-bewustwordingsprogramma’s, waarbij rekening moet worden gehouden met de verschillen in werkzaamheden van medewerkers. 
• DORA verwacht van financiële instellingen dat zij voldoende maatregelen nemen en processen inrichten die de informatiebeveiliging en cyberweerbaarheid helpen te verbeteren. Om te waarborgen dat deze maatregelen voldoen, is het belangrijk dat de ICT-instrumenten en -systemen regelmatig worden getest om eventuele kwetsbaarheden en gebreken bloot te leggen. 
• Financiële instellingen moeten volgens DORA een informatieregister bijhouden met alle contractuele overeenkomsten met derde aanbieders van ICT-diensten. Dit informatieregister moet jaarlijks met ons worden gedeeld, waarna wij dit weer met de Europese toezichthouders delen (EBA, EIOPA en ESMA). De Europese toezichthouders gebruiken de informatie uit de registers voor de aanwijzing van kritieke derde aanbieders van ICT-diensten. 

Voor meer DORA specifieke informatie verwijzen wij graag naar de DORA-pagina waar allerhande informatie te vinden is.