KOMMISSIONENS DELEGEREDE FORORDNING (EU) 2025/303

af 31. oktober 2024

om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) 2023/1114 for så vidt angår reguleringsmæssige tekniske standarder, der præciserer de oplysninger, der skal fremlægges af visse finansielle enheder i meddelelsen om deres hensigt om at levere kryptoaktivtjenester

(EØS-relevant tekst)

EUROPA-KOMMISSIONEN HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde,

under henvisning til Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og om ændring af forordning (EU) nr. 1093/2010 og (EU) nr. 1095/2010 og direktiv 2013/36/EU og (EU) 2019/1937 (1), særlig artikel 60, stk. 13, tredje afsnit, og

ud fra følgende betragtninger:

(1)

For at gøre det muligt for de kompetente myndigheder at vurdere, om visse finansielle enheder, der har til hensigt at levere kryptoaktivtjenester, opfylder de gældende krav i afsnit V og, hvis det er relevant, afsnit VI i forordning (EU) 2023/1114, bør de oplysninger, som visse finansielle enheder skal meddele om deres hensigt om at levere kryptoaktivtjenester, være tilstrækkeligt udførlige og omfattende uden at pålægge unødige byrder.

(2)

I overensstemmelse med artikel 60, stk. 7, litra a), i forordning (EU) 2023/1114 skal en meddelelse om hensigten om at levere kryptoaktivtjenester indeholde en driftsplan. For at give et fuldstændigt billede af de aktiviteter, som den meddelende enhed har til hensigt at udføre, bør driftsplanen indeholde en beskrivelse af den meddelende enheds organisationsstruktur, dens strategi for levering af kryptoaktivtjenester til sine kunder og dens operationelle kapacitet i de tre år, der følger efter datoen for meddelelsen. Med hensyn til den strategi, der er målrettet kunderne, bør den meddelende enhed beskrive de markedsføringsmidler, den har til hensigt at anvende, herunder websteder, mobiltelefonapplikationer, personlige møder, pressemeddelelser eller enhver form for fysiske eller elektroniske midler, herunder kampagneværktøjer på de sociale medier, internetannoncer eller -bannere, retargeting af reklamer, aftaler med influencere, sponsoraftaler, opkald, webinarer, invitationer til arrangementer, medlemskampagner, gamification-teknikker, opfordringer til at udfylde en svarkupon eller til at følge et kursus, demokonti eller undervisningsmateriale.

(3)

For at sætte de kompetente myndigheder i stand til at vurdere den meddelende enheds modstandsdygtighed over for udefrakommende finansielle chok, herunder dem, som berører værdien af kryptoaktiver, bør den meddelende enhed i sin meddelelse angive stressscenarier, der simulerer alvorlige, men plausible hændelser i sin prognosticering af forventede regnskaber.

(4)

For at undgå driftsafbrydelser, idet de kan have store konsekvenser for den meddelende enhed og mere generelt for markederne for kryptoaktiver som helhed vedrørende finansielle forhold, lovgivning og omdømme, er det afgørende at opretholde aktiviteterne eller i det mindste de væsentlige funktioner for udbydere af kryptoaktivtjenester og minimere nedetid som følge af uventede forstyrrelser, herunder cyberangreb og naturkatastrofer. En meddelelse bør derfor indeholde udførlige oplysninger om den meddelende enheds ordninger for at sikre kontinuitet og regelmæssighed i leveringen af kryptoaktivtjenester, herunder en detaljeret beskrivelse af dennes risiko- og forretningskontinuitetsplaner.

(5)

Der er behov for effektive mekanismer, systemer og procedurer, som er i overensstemmelse med Europa-Parlamentets og Rådets direktiv (EU) 2015/849 (2), for at sikre, at meddelende enheder på passende vis håndterer risici og praksis vedrørende hvidvask af penge og finansiering af terrorisme i forbindelse med levering af kryptoaktivtjenester. Meddelende enheder bør derfor i deres meddelelse give udførlige oplysninger om de mekanismer, systemer og procedurer, de har indført for at forebygge risici forbundet med deres forretningsaktiviteter, som vedrører bl.a. bekæmpelse af hvidvask af penge og finansiering af terrorisme.

(6)

På grund af kryptoaktivers decentraliserede og digitale karakter er cybersikkerhedsrisici for udbydere af kryptoaktivtjenester betydelige og antager mange former. For at sikre, at den meddelende enhed er i stand til at forebygge brud på datasikkerheden og økonomiske tab, som cyberangreb kan forårsage, bør oplysningerne om den meddelende enheds anvendte IKT-systemer og relaterede sikkerhedsordninger, f.eks. udbydernes identitet og geografiske placering, beskrivelse af de outsourcede aktiviteter eller IKT-tjenester med deres vigtigste karakteristika, kopi af kontraktlige aftaler som omhandlet i artikel 60, stk. 7, litra c), i forordning (EU) 2023/1114, omfatte de menneskelige ressourcer, der er afsat til håndtering af cybersikkerhedsrisici.

(7)

Adskillelse af kunders kryptoaktiver og midler beskytter kunderne mod tab hos udbyderen af kryptoaktivtjenester og mod misbrug af deres kryptoaktiver og midler. I henhold til artikel 70 i forordning (EU) 2023/1114 skal udbydere af kryptoaktivtjenester derfor træffe passende foranstaltninger til at beskytte kundernes ejendomsrettigheder. Dette krav gælder også for udbydere af kryptoaktivtjenester, der ikke leverer deponerings- og administrationstjenester.

(8)

For at sætte de kompetente myndigheder i stand til at vurdere tilstrækkeligheden af den meddelende enheds driftsregler for deres handelsplatforme for kryptoaktiver bør den meddelende enhed redegøre for specifikke elementer, når den beskriver disse regler. Den meddelende enhed bør navnlig uddybe aspekter af driftsreglerne vedrørende optagelse til handel, handel med og afvikling af kryptoaktiver. For så vidt angår optagelse til handel af kryptoaktiver bør de meddelende enheder give udførlige oplysninger om den måde, hvorpå de kryptoaktiver, der er optaget til handel, overholder den meddelende enheds regler, om de typer kryptoaktiver, som den meddelende enhed ikke vil optage til handel på sin handelsplatform, og årsagerne til sådanne udelukkelser samt om gebyrer for optagelsen til handel. For så vidt angår handel med kryptoaktiver bør den meddelende enhed præcisere de elementer i driftsreglerne, der gælder for udførelse og annullering af ordrer, korrekt handel, gennemsigtighed og registrering. Endelig bør den meddelende enhed i beskrivelsen af driftsreglerne medtage de elementer, der regulerer afviklingen af transaktioner med kryptoaktiver på handelsplatformen, herunder om afviklingen indledes ved hjælp af distributed ledger-teknologi (DLT), den tidsramme, inden for hvilken udførelsen indledes, definitionen af det tidspunkt, hvor afviklingen er endelig, alle kontroller, der er nødvendige for at sikre en effektiv afvikling af transaktionen, og enhver foranstaltning til begrænsning af afviklingsfejl.

(9)

For at de kompetente myndigheder kan vurdere tilstrækkeligheden af den meddelende enhed vedrørende dennes levering af visse kryptoaktivtjenester, såsom udveksling af kryptoaktiver med midler eller andre kryptoaktiver, udførelse, levering af rådgivning om kryptoaktiver eller porteføljepleje af kryptoaktiver og overførselstjenester, bør den meddelende enhed præcisere, hvordan disse kryptoaktivtjenester vil blive leveret, samt hvilke ordninger der er indført for at sikre, at den meddelende enhed overholder de relevante bestemmelser i forordning (EU) 2023/1114 for så vidt angår levering af disse kryptoaktivtjenester.

(10)	Behandling af personoplysninger i henhold til denne forordning bør finde sted i fuld overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2016/679 (3).

(11)	Denne forordning er baseret på det udkast til reguleringsmæssige tekniske standarder, der er udarbejdet af Den Europæiske Værdipapir- og Markedstilsynsmyndighed (»ESMA«) i tæt samarbejde med Den Europæiske Banktilsynsmyndighed og er blevet forelagt for Kommissionen.

(12)

ESMA har afholdt åbne offentlige høringer om udkastet til reguleringsmæssige tekniske standarder, som denne forordning er baseret på, har analyseret de potentielle omkostninger og fordele herved og har anmodet om rådgivning fra interessentgruppen for værdipapirer og markeder, der er nedsat i henhold til artikel 37 i Europa-Parlamentets og Rådets forordning (EU) nr. 1095/2010 (4).

(13)	Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 42, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (5) og fremsatte formelle bemærkninger den 21. juni 2024 —

VEDTAGET DENNE FORORDNING:

Artikel 1

Driftsplan

1. Med henblik på artikel 60, stk. 7, litra a), i forordning (EU) 2023/1114 skal den meddelende enhed forelægge følgende for de kompetente myndigheder:en driftsplan for tre år efter datoen for meddelelse af tilladelsen, herunder alle følgende oplysninger:

hvis den meddelende enhed tilhører en koncern som defineret i artikel 2, stk. 11, i Europa-Parlamentets og Rådets direktiv 2013/34/EU (6), en redegørelse for, hvordan den meddelende enheds aktiviteter passer ind i denne koncernstrategi og interagerer med aktiviteterne i de andre enheder i den pågældende koncern, herunder en oversigt over den pågældende koncerns nuværende og planlagte organisation og struktur

en redegørelse for, hvordan aktiviteterne i de enheder, der er tilknyttet den meddelende enhed, herunder hvis der er regulerede enheder i koncernen, forventes at påvirke den meddelende enheds aktiviteter, herunder en liste over og oplysninger om de enheder, der er tilknyttet den meddelende enhed, og, hvis der er regulerede enheder, de tjenester, som disse enheder leverer, og domænenavne på hvert websted, der drives af sådanne enheder

c)	en liste over kryptoaktivtjenester, som den meddelende enhed har til hensigt at levere, og de typer kryptoaktiver, som kryptoaktivtjenesterne vedrører

d)	andre planlagte aktiviteter, der er reguleret i overensstemmelse med EU-retten eller national ret eller er uregulerede, herunder andre tjenester end kryptoaktivtjenester, som den meddelende enhed har til hensigt at levere

e)	om den meddelende enhed har til hensigt at udbyde kryptoaktiver til offentligheden eller anmoder om optagelse til handel af kryptoaktiver, og i givet fald hvilken type kryptoaktiver

f)	en liste over jurisdiktioner, både i Unionen og i tredjelande, hvor den meddelende enhed planlægger at levere kryptoaktivtjenester, herunder oplysninger om det tilstræbte antal kunder efter geografisk område

g)	typer af potentielle kunder, som den meddelende enheds kryptoaktivtjenester er rettet mod

en beskrivelse af de metoder, der giver kunderne adgang til den meddelende enheds kryptoaktivtjenester, herunder alle følgende oplysninger:

domænenavne for hvert websted eller anden IKT-baseret applikation, hvorigennem den meddelende enhed vil levere kryptoaktivtjenesterne, og oplysninger om de sprog, hvorpå webstedet eller en anden IKT-baseret applikation vil være tilgængelig(t), de typer kryptoaktivtjenester, der kan opnås adgang til på dette websted eller en anden IKT-baseret applikation, og, hvis det er relevant, fra hvilke medlemsstater webstedet eller den anden IKT-baserede applikation vil være tilgængelig(t)

ii)	navnet på enhver IKT-baseret applikation, der er tilgængelig for kunder for at få adgang til kryptoaktivtjenesterne, de sprog, hvorpå den IKT-baserede applikation er tilgængelig, og de kryptoaktivtjenester, der kan opnås adgang til via den IKT-baserede applikation

de planlagte markedsførings- og pr-aktiviteter og -ordninger for kryptoaktivtjenesterne, herunder følgende:

i)	alle markedsføringsmidler, der skal anvendes for hver af tjenesterne

ii)	det påtænkte identifikationsmiddel, som den meddelende enhed skal anvende

iii)	oplysninger om den kundekategori, som aktiviteterne er rettet mod

iv)	typer af kryptoaktiver

v)	sprog, der vil blive anvendt i markedsførings- og pr-aktiviteterne

j)	en udførlig beskrivelse af de menneskelige og finansielle ressourcer samt IKT-ressourcer, der er tildelt de påtænkte kryptoaktivtjenester, og deres geografiske placering

den meddelende enheds outsourcingpolitik, og hvordan den er tilpasset kryptoaktivtjenester, samt en udførlig beskrivelse af den meddelende enheds planlagte outsourcingordninger, herunder koncerninterne ordninger, og den måde, hvorpå den meddelende enhed vil overholde artikel 73 i forordning (EU) 2023/1114, herunder oplysninger om den funktion eller person, som har ansvar for outsourcing, de menneskelige ressourcer og IKT-ressourcer, der er tildelt kontrollen med de outsourcede funktioner, tjenester eller aktiviteter i de tilknyttede ordninger, og om risikovurderingen i forbindelse med outsourcingen

l)	listen over enheder, der vil levere outsourcede tjenester med henblik på levering af kryptoaktivtjenester, deres geografiske placering og de relevante outsourcede tjenesteydelser

prognosticering af forventede regnskaber, der omfatter stressscenarier på individuelt og, hvis det er relevant, konsolideret koncernniveau og delkonsolideret niveau i overensstemmelse med direktiv 2013/34/EU, under hensyntagen til eventuelle koncerninterne lån, der er ydet eller skal ydes af og til den meddelende enhed

n)	enhver udveksling af kryptoaktiver med midler og andre kryptoaktivaktiviteter, som den meddelende enhed har til hensigt at foretage, herunder gennem decentraliserede finansieringsapplikationer, som den meddelende enhed har til hensigt at interagere med for egen regning.

2. Hvis den meddelende enhed har til hensigt at levere en tjeneste i form af modtagelse og formidling af ordrer vedrørende kryptoaktiver på vegne af kunder, skal den forelægge en kopi af procedurerne og en beskrivelse af de ordninger, der sikrer overholdelse af artikel 80 i forordning (EU) 2023/1114, for den kompetente myndighed.

3. Hvis den meddelende enhed har til hensigt at levere en tjeneste i form af placering af kryptoaktiver, skal den til den kompetente myndighed indgive en kopi af procedurerne til identifikation, forebyggelse, håndtering og offentliggørelse af interessekonflikter og en beskrivelse af de ordninger, der er indført for at overholde artikel 79 i forordning (EU) 2023/1114 og Kommissionens delegerede forordning om fastlæggelse af tekniske standarder, som er vedtaget i henhold til artikel 72, stk. 5, i forordning (EU) 2023/1114.

Artikel 2

Forretningskontinuitetsplan

1. Med henblik på artikel 60, stk. 7, litra b), nr. iii), i forordning (EU) 2023/1114 skal den meddelende enhed indgive en udførlig beskrivelse af sin forretningskontinuitetsplan, herunder de skridt, der skal tages for at sikre kontinuitet og regelmæssighed i leveringen af dens kryptoaktivtjenester, til den kompetente myndighed.

2. Beskrivelsen omhandlet i stk. 1 skal omfatte følgende:

a)	nærmere oplysninger, der dokumenterer, at den fastsatte forretningskontinuitetsplan er hensigtsmæssig, og at der er truffet foranstaltninger til at vedligeholde og regelmæssigt teste denne plan

b)	for så vidt angår kritiske eller vigtige funktioner, der støttes af tredjepartstjenesteudbydere, nærmere oplysninger om, hvordan forretningskontinuiteten sikres i tilfælde af, at kvaliteten af leveringen af sådanne funktioner forringes til et uacceptabelt niveau eller svigter

c)	oplysninger om, hvordan forretningskontinuiteten sikres i tilfælde af en nøglepersons død og, hvis det er relevant, politiske risici i tjenesteudbyderens jurisdiktioner.

Artikel 3

Afsløring og forebyggelse af hvidvask af penge og finansiering af terrorisme

Med henblik på artikel 60, stk. 7, litra b), nr. i) og ii), i forordning (EU) 2023/1114skal den meddelende enhed give den kompetente myndighed oplysninger om sine interne kontrolmekanismer, politikker og procedurer med henblik på at sikre overholdelse af bestemmelserne i national ret til gennemførelse af direktiv (EU) 2015/849 og om rammen for risikovurdering til styring af risici i forbindelse med hvidvask af penge og finansiering af terrorisme, herunder følgende:

den meddelende enheds vurdering af de iboende og resterende risici for hvidvask af penge og finansiering af terrorisme, der er forbundet med dens levering af kryptoaktivtjenester, herunder risiciene i forbindelse med:

i)	den meddelende enheds kundegrundlag

ii)	de udbudte tjenester

iii)	de anvendte distributionskanaler

iv)	de geografiske forretningsområder

de foranstaltninger, som den meddelende enhed har truffet eller vil træffe for at forebygge de identificerede risici og overholde gældende krav til bekæmpelse af hvidvask af penge og finansiering af terrorisme, herunder den meddelende enheds risikovurderingsproces, politikker og procedurer for overholdelse af kundekendskabskrav og politikker og procedurer for afsløring og indberetning af mistænkelige transaktioner eller aktiviteter

udførlige oplysninger om, hvordan de interne kontrolmekanismer, politikker og procedurer er tilstrækkelige og står i et rimeligt forhold til omfanget, karakteren, den iboende risiko for hvidvask af penge og finansiering af terrorisme, herunder udbuddet af kryptoaktivtjenester, der leveres, forretningsmodellens kompleksitet, og hvordan den meddelende enhed sikrer overholdelse af direktiv (EU) 2015/849 og Europa-Parlamentets og Rådets forordning (EU) 2023/1113 (7)

d)	identiteten af den person, som har ansvar for at sikre den meddelende enheds overholdelse af kravene til bekæmpelse af hvidvask af penge og finansiering af terrorisme, herunder dokumentation for den pågældende persons kompetence og erfaring

e)	ordninger, menneskelige og finansielle ressourcer, der, på grundlag af årlige oplysninger, har til formål at sikre, at den meddelende enheds personale er behørigt uddannet i bekæmpelse af hvidvask af penge og finansiering af terrorisme og i specifikke risici forbundet med kryptoaktiver

f)	en kopi af den meddelende enheds politikker, procedurer og systemer til bekæmpelse af hvidvask af penge og bekæmpelse af terrorisme

g)	et sammenfattende dokument med en beskrivelse af de ændringer, der er foretaget i den meddelende enheds procedurer og systemer til bekæmpelse af hvidvask af penge og bekæmpelse af terrorisme som følge af de planlagte kryptoaktivtjenester

h)	hyppigheden af vurderingen af tilstrækkeligheden og effektiviteten af de interne kontrolmekanismer, systemer og procedurer, herunder identiteten af den person eller funktion, der har ansvar for en sådan vurdering.

Artikel 4

IKT-systemer og tilhørende sikkerhedsordninger

Med henblik på artikel 60, stk. 7, litra c), i forordning (EU) 2023/1114 skal den meddelende enhed give den kompetente myndighed følgende oplysninger:

teknisk dokumentation for IKT-systemerne, den anvendte DLT-infrastruktur, hvis det er relevant, og sikkerhedsordningerne, herunder en beskrivelse af de ordninger og anvendte IKT-ressourcer og menneskelige ressourcer, der er indført for at overholde Europa-Parlamentets og Rådets forordning (EU) 2022/2554 (8), herunder følgende:

en beskrivelse af, hvordan den meddelende enhed sikrer en robust, omfattende og veldokumenteret ramme for IKT-risikostyring som led i sit overordnede risikostyringssystem, herunder en udførlig beskrivelse af IKT-systemer, -protokoller og -værktøjer, og af, hvordan den meddelende enheds procedurer, politikker og systemer vil garantere sikkerheden, integriteten, tilgængeligheden, autenticiteten og fortroligheden af data i overensstemmelse med forordning (EU) 2022/2554 og (EU) 2016/679

ii)

en identifikation af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, som er udviklet eller vedligeholdt af den meddelende enhed, samt dem, der leveres af tredjepartsudbydere, en beskrivelse af sådanne kontraktlige ordninger og af, hvordan disse ordninger er i overensstemmelse med artikel 73 i forordning (EU) 2023/1114 og kapitel V i forordning (EU) 2022/2554

iii)	en beskrivelse af den meddelende enheds procedurer, politikker, ordninger og systemer vedrørende sikkerhed og håndtering af hændelser

hvis en sådan findes, en beskrivelse af en revision af cybersikkerheden, som er udført af en revisor for tredjepartscybersikkerhed med tilstrækkelig erfaring i overensstemmelse med Kommissionens delegerede forordning om fastlæggelse af tekniske standarder, som er vedtaget i henhold til artikel 26, stk. 11, fjerde afsnit, i forordning (EU) 2022/2554, der ideelt set omfatter følgende revisioner eller test foretaget af eksterne uafhængige parter:

i)	organisatorisk cybersikkerhed, fysisk sikkerhed og livscyklusordninger for sikker softwareudvikling

ii)	vurderinger af sårbarhed og vurderinger af netværkssikkerhed

iii)	konfigurationsgennemgang af IKT-aktiver, der understøtter kritiske og vigtige funktioner som defineret i artikel 3, nr. 22), i forordning (EU) 2022/2554

iv)

penetrationstest af IKT-aktiver, der understøtter kritiske og vigtige funktioner som defineret i artikel 3, nr. 17), i forordning (EU) 2022/2554, i overensstemmelse med alle følgende revisionstestmetoder:

sort boks: revisoren har ingen andre oplysninger end de IP-adresser og URL'er, der er knyttet til det mål, der er under revision. Forud for denne fase afdækkes der normalt oplysninger, og målet identificeres ved søgning i domænenavnesystemtjenester (DNS), scanning af åbne porte og afdækning af tilstedeværelse af filtreringsudstyr.

2)	fasen grå boks: revisorerne har kendskab til en standardbruger af informationssystemet (lovlig autentifikation, »standard«-arbejdsstation). Identifikatorerne kan tilhøre forskellige brugerprofiler for at teste forskellige rettighedsniveauer

3)	fasen hvid boks: revisorerne råder over så mange tekniske oplysninger som muligt (arkitektur, kildekode, telefonkontakter, identifikatorer osv.), inden analysen påbegyndes, og har adgang til tekniske kontakter i forbindelse med målet

v)	hvis den meddelende enhed anvender og/eller udvikler intelligente kontrakter, en gennemgang af deres cybersikkerhedskildekoder.

c)	en beskrivelse af eventuelle revisioner af IKT-systemerne, herunder anvendt DLT-infrastruktur og sikkerhedsordninger

d)	en beskrivelse af de relevante oplysninger, der er omhandlet i litra a) og b), på ikketeknisk sprog.

Artikel 5

Adskillelse og opbevaring af kundernes kryptoaktiver og midler

1. Med henblik på artikel 60, stk. 7, litra d), i forordning (EU) 2023/1114 skal den meddelende enhed, der har til hensigt at opbevare kryptoaktiver, der tilhører kunder, eller de metoder, der giver adgang til sådanne kryptoaktiver eller kunders midler, bortset fra e-pengetokens, give den kompetente myndighed en udførlig beskrivelse af sine procedurer for adskillelse af kunders kryptoaktiver og midler, herunder følgende:

hvordan den meddelende enhed sikrer følgende:

i)	kundernes midler anvendes ikke for egen regning

ii)	kryptoaktiver, der tilhører kunderne, anvendes ikke for egen regning

iii)	de tegnebøger, hvori kunders kryptoaktiver opbevares, adskiller sig fra den meddelende enheds egne tegnebøger

b)	en udførlig beskrivelse af godkendelsessystemet for kryptografiske nøgler og sikring af kryptografiske nøgler, herunder multisignaturtegnebøger

c)	hvordan den meddelende enhed adskiller kundernes kryptoaktiver, herunder fra andre kunders kryptoaktiver, hvor tegnebøger, der indeholder mere end én kundes kryptoaktiver, opbevares på samlekonti

en beskrivelse af den procedure, der sikrer, at kunders midler, bortset fra e-pengetokens, deponeres i en centralbank eller et kreditinstitut inden udgangen af den bankdag, der følger efter den dag, hvor de blev modtaget, og opbevares på en konto, der kan identificeres særskilt fra konti, der anvendes til at opbevare midler, som tilhører den meddelende enhed

hvis den meddelende enhed ikke har til hensigt at deponere midler i den relevante centralbank, hvilke faktorer den meddelende enhed tager hensyn til ved valget af de kreditinstitutter, som den skal deponere kunders midler hos, herunder den meddelende enheds diversificeringspolitik, hvis en sådan findes, og hyppigheden af gennemgangen af udvælgelsen af kreditinstitutter, som den skal deponere kunders midler hos

f)	hvordan den meddelende enhed sikrer, at kunderne informeres på et klart, præcist og ikketeknisk sprog om de centrale aspekter af den meddelende enheds systemer, politikker og procedurer for at overholde artikel 70, stk. 1, 2, og 3, i forordning (EU) 2023/1114.

2. I overensstemmelse med artikel 70, stk. 5, i forordning (EU) 2023/1114 skal udbydere af kryptoaktivtjenester, der er e-pengeinstitutter eller kreditinstitutter, kun give de oplysninger, der er fastsat i nærværende artikels stk. 1.

Artikel 6

Politik vedrørende deponering og administration

Med henblik på artikel 60, stk. 7, litra e), i forordning (EU) 2023/1114 skal den meddelende enhed give den kompetente myndighed følgende oplysninger:

en beskrivelse af de ordninger, der er knyttet til den type deponering, der tilbydes kunder, en kopi af den meddelende enheds standardaftale om deponering og administration af kryptoaktiver på vegne af kunder i henhold til artikel 75, stk. 1, i forordning (EU) 2023/1114 og en kopi af resuméet af den deponeringspolitik, der stilles til rådighed for kunder i overensstemmelse med artikel 75, stk. 3, tredje afsnit, i nævnte forordning

den meddelende enheds politik vedrørende deponering og administration, herunder en beskrivelse af identificerede kilder til operationelle risici og IKT-risici forbundet med opbevaring af og kontrol med kryptoaktiverne eller de metoder, der giver adgang til kundernes kryptoaktiver, sammen med følgende:

i)	politikker og procedurer og en beskrivelse af ordningerne for at overholde artikel 75, stk. 8, i forordning (EU) 2023/1114

ii)	politikker og procedurer og en beskrivelse af systemerne og kontrollerne til styring af de operationelle risici og IKT-risici, herunder de tilfælde, hvor deponering og administration af kryptoaktiver på vegne af kunder outsources til en tredjepart

iii)	politikker og procedurer forbundet med de systemer, der sikrer kundernes udøvelse af de rettigheder, der er knyttet til kryptoaktiverne, og en beskrivelse af disse systemer

iv)	politikker og procedurer for og en beskrivelse af de systemer, der sikrer returnering af kryptoaktiver eller de metoder, der giver kunderne adgang

c)	oplysninger om, hvordan kryptoaktiverne og de metoder, der giver adgang til kundernes kryptoaktiver, identificeres

d)	oplysninger om ordninger, der har til formål at minimere risikoen for tab af kryptoaktiver eller af de metoder, der giver adgang til kryptoaktiver

hvis udbyderen af kryptoaktivtjenester har uddelegeret leveringen af deponering og administration af kryptoaktiver på vegne af kunder til en tredjepart:

i)	oplysninger om identiteten af enhver tredjepart, der leverer tjenester i form af deponering og administration af kryptoaktiver, og dennes status i overensstemmelse med artikel 59 eller artikel 60 i forordning (EU) 2023/1114

ii)

en beskrivelse af eventuelle funktioner i forbindelse med deponering og administration af kryptoaktiver, som udbyderen af kryptoaktivtjenester har uddelegeret, listen over eventuelle delegerede og underdelegerede, alt efter hvad der er relevant, og eventuelle interessekonflikter, der kan opstå som følge af en sådan uddelegering

iii)	en beskrivelse af, hvordan den meddelende enhed har til hensigt at føre tilsyn med de delegerede eller underdelegerede.

Artikel 7

Handelsplatformens driftsregler og afsløring af markedsmisbrug

1. Med henblik på artikel 60, stk. 7, litra f), i forordning (EU) 2023/1114 skal den meddelende enhed, der har til hensigt at drive en handelsplatform for kryptoaktiver, give den kompetente myndighed følgende oplysninger:

a)	reglerne for optagelse til handel af kryptoaktiver

b)	godkendelsesproceduren for optagelse til handel af kryptoaktiver, herunder kundekendskabskrav, der udføres i overensstemmelse med direktiv (EU) 2015/849

c)	listen over eventuelle kategorier af kryptoaktiver, der ikke vil blive optaget til handel, og årsagerne til en sådan udelukkelse

d)	politikker, procedurer og gebyrer for optagelse til handel sammen med en beskrivelse, hvis det er relevant, af medlemskab, rabatter og de dertil knyttede betingelser

e)	reglerne for ordreudførelse, herunder eventuelle annulleringsprocedurer for udførte ordrer og for videregivelse af sådanne oplysninger til markedsdeltagere

f)	de metoder, der er indført for at vurdere egnetheden af kryptoaktiver i overensstemmelse med artikel 76, stk. 2, i forordning (EU) 2023/1114

g)	de systemer, procedurer og ordninger, der er indført for at overholde artikel 76, stk. 7, i forordning (EU) 2023/1114

den måde, hvorpå købs- og salgspriser offentliggøres, markedsdybden ved disse priser, der annonceres for kryptoaktiver gennem deres handelsplatforme, og pris, volumen og tidspunkt for transaktioner, der udføres i forbindelse med kryptoaktiver handlet på deres handelsplatform, i overensstemmelse med artikel 76, stk. 9 og 10, i forordning (EU) 2023/1114

i)	gebyrstrukturerne og en begrundelse for, hvordan disse strukturer er i overensstemmelse med artikel 76, stk. 13, i forordning (EU) 2023/1114

j)	de systemer, procedurer og ordninger, der er indført for at kunne stille data vedrørende alle ordrer til rådighed for den kompetente myndighed, eller den mekanisme, der skal sikre, at den kompetente myndighed har adgang til ordrebogen og ethvert andet handelssystem

for så vidt angår afvikling af transaktioner:

i)	om den endelige afvikling af transaktioner indledes på distributed ledgeren eller uden for distributed ledgeren

ii)	den tidsramme, inden for hvilken den endelige afvikling af kryptoaktivtransaktioner indledes

iii)	hvordan det kan kontrolleres, at der er midler og kryptoaktiver til rådighed

iv)	hvordan de relevante oplysninger om transaktioner kan bekræftes

v)	de foranstaltninger, der er planlagt for at begrænse afviklingsfejl

vi)	det tidspunkt, hvor afviklingen er endelig, og det tidspunkt, hvor den endelige afvikling indledes efter gennemførelsen af transaktionen

l)	de procedurer og systemer, der er indført for at afsløre og forebygge markedsmisbrug, herunder oplysninger om meddelelser til den kompetente myndighed om mulige sager om markedsmisbrug.

2. Meddelende enheder, der har til hensigt at drive en handelsplatform for kryptoaktiver, skal forelægge en kopi af handelsplatformens driftsregler og af eventuelle procedurer til afsløring og forebyggelse af markedsmisbrug for den kompetente myndighed.

Artikel 8

Veksling mellem kryptoaktiver og midler eller andre kryptoaktiver

Med henblik på artikel 60, stk. 7, litra g), i forordning (EU) 2023/1114 skal den meddelende enhed, der har til hensigt at veksle kryptoaktiver med midler eller andre kryptoaktiver, give den kompetente myndighed følgende oplysninger:

a)	en beskrivelse af den handelspolitik, der er fastlagt i henhold til artikel 77, stk. 1, i forordning (EU) 2023/1114

metoden til fastsættelse af prisen på de kryptoaktiver, som den meddelende enhed foreslår at veksle med midler eller andre kryptoaktiver i overensstemmelse med artikel 77, stk. 2, i forordning (EU) 2023/1114, herunder hvordan mængden af kryptoaktiver og deres markedsvolatilitet påvirker prisfastsættelsesmekanismen.

Artikel 9

Politik for ordreudførelse

Med henblik på artikel 60, stk. 7, litra h), i forordning (EU) 2023/1114 skal den meddelende enhed, der har til hensigt at udføre ordrer vedrørende kryptoaktiver på vegne af kunder, forelægge sin politik for ordreudførelse for den kompetente myndighed, herunder følgende oplysninger:

a)	de ordninger, der sikrer, at kunden har givet samtykke til politikken for ordreudførelse forud for udførelsen af ordren

b)	en liste over de handelsplatforme for kryptoaktiver, som den meddelende enhed vil benytte med henblik på udførelse af ordrer, og kriterierne for vurdering af de handelssystemer, der indgår i politikken for ordreudførelse i overensstemmelse med artikel 78, stk. 6, i forordning (EU) 2023/1114

hvilke handelsplatforme den meddelende enhed har til hensigt at anvende for hver type kryptoaktiver, og bekræftelse af, at den meddelende enhed ikke vil modtage nogen form for aflønning, rabat eller naturalieydelse til gengæld for at videresende modtagne ordrer til en særlig handelsplatform for kryptoaktiver

d)	hvordan udførelsen tager hensyn til pris, omkostninger, hastighed, sandsynlighed for udførelse og afvikling, omfang, art, betingelser for deponering af kryptoaktiverne eller andre relevante faktorer, der betragtes som en del af alle nødvendige skridt for at opnå det bedst mulige resultat for kunden

e)	hvis det er relevant, ordningerne for at informere kunderne om, at den meddelende enhed vil udføre ordrer uden for en handelsplatform, og hvordan den meddelende enhed vil indhente kundens forudgående udtrykkelige samtykke, inden sådanne ordrer udføres

hvordan kunden advares om, at eventuelle specifikke instrukser fra en kunde kan forhindre den meddelende enhed i at træffe de nødvendige foranstaltninger i overensstemmelse med de ordninger, som den meddelende enhed har etableret og gennemført i sin politik for ordreudførelse, for at opnå det bedst mulige resultat for udførelsen af disse ordrer for så vidt angår de elementer, der er omfattet af disse instrukser

g)	udvælgelsesprocessen for markedspladser, de anvendte udførelsesstrategier, de ordninger, der anvendes til at analysere kvaliteten af den opnåede udførelse, og hvordan den meddelende enhed overvåger og kontrollerer, at der er opnået de bedst mulige resultater for kunderne.

h)	ordninger, der skal forhindre, at den meddelende enheds medarbejdere misbruger oplysninger om kundernes ordrer

i)	ordninger og procedurer for, hvordan den meddelende enhed vil videregive oplysninger om sin politik for ordreudførelse til kunderne og give dem meddelelse om eventuelle væsentlige ændringer i deres politik for ordreudførelse

j)	ordninger for at påvise overensstemmelse med artikel 78 i forordning (EU) 2023/1114 over for den kompetente myndighed efter anmodning fra den kompetente myndighed.

Artikel 10

Rådgivning om kryptoaktiver eller porteføljepleje af kryptoaktiver

Med henblik på artikel 60, stk. 7, litra i), i forordning (EU) 2023/1114 skal den meddelende enhed, der har til hensigt at yde rådgivning om kryptoaktiver eller porteføljepleje af kryptoaktiver, give den kompetente myndighed følgende oplysninger:

en udførlig beskrivelse af de ordninger, som den meddelende enhed har indført for at sikre overholdelse af artikel 81, stk. 7, i forordning (EU) 2023/1114, herunder følgende:

i)	mekanismer til at kontrollere, vurdere og effektivt opretholde viden og ekspertise hos de fysiske personer, der yder rådgivning om kryptoaktiver eller forvalter porteføljer af kryptoaktiver

ii)

ordninger, der sikrer, at fysiske personer, der er involveret i at yde rådgivning eller porteføljepleje, er bekendte med, forstår og anvender den meddelende enheds interne politikker og procedurer, der er fastlagt for at overholde forordning (EU) 2023/1114, navnlig nævnte forordnings artikel 81, stk. 1, og direktiv (EU) 2015/849

iii)	omfanget af menneskelige og finansielle ressourcer, som den meddelende enhed planlægger at afsætte på årsbasis til faglig udvikling og uddannelse af det personale, der yder rådgivning om kryptoaktiver eller forvalter porteføljer af kryptoaktiver

mekanismerne til at kontrollere, vurdere og opretholde, at de fysiske personer, der yder rådgivning på vegne af den meddelende enhed, har den nødvendige viden og kompetence i henhold til de kriterier for en sådan vurdering, der anvendes i national lovgivning, til at vurdere egnetheden, jf. artikel 81, stk. 1, i forordning (EU) 2023/1114.

Artikel 11

Overførselstjenester

Med henblik på artikel 60, stk. 7, litra k), i forordning (EU) 2023/1114 skal den meddelende enhed, der har til hensigt at tilbyde tjenester vedrørende overførsel af kryptoaktiver på vegne af kunder, give den kompetente myndighed følgende oplysninger:

a)	nærmere oplysninger om de typer kryptoaktiver, for hvilke den meddelende enhed har til hensigt at levere overførselstjenester

en udførlig beskrivelse af de ordninger, som den meddelende enhed har indført for at overholde artikel 82 i forordning (EU) 2023/1114, herunder udførlige oplysninger om den meddelende enheds ordninger og anvendte IKT-ressourcer og menneskelige ressourcer til at håndtere risici hurtigt, effektivt og grundigt under leveringen af overførselstjenester for kryptoaktiver på vegne af kunder, under hensyntagen til potentielle operationelle svigt og cybersikkerhedsrisici

c)	hvis en sådan foreligger, en beskrivelse af den meddelende enheds forsikringspolice, herunder vedrørende forsikringens dækning af skade på kundens kryptoaktiver, som kan skyldes cybersikkerhedsrisici

d)	ordninger, der sikrer, at kunderne er tilstrækkeligt informeret om de ordninger, der er omhandlet i litra b).

Artikel 12

Ikrafttræden

Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Bruxelles, den 31. oktober 2024.

På Kommissionens vegne

Ursula VON DER LEYEN

Formand

(1) EUT L 150 af 9.6.2023, s. 40, ELI: http://data.europa.eu/eli/reg/2023/1114/oj.

(2) Europa-Parlamentets og Rådets direktiv (EU) 2015/849 af 20. maj 2015 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme, om ændring af Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012 og om ophævelse af Europa-Parlamentets og Rådets direktiv 2005/60/EF samt Kommissionens direktiv 2006/70/EF (EUT L 141 af 5.6.2015, s. 73, ELI: http://data.europa.eu/eli/dir/2015/849/oj).

(3) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(4) Europa-Parlamentets og Rådets forordning (EU) nr. 1095/2010 af 24. november 2010 om oprettelse af en europæisk tilsynsmyndighed (Den Europæiske Værdipapir- og Markedstilsynsmyndighed), om ændring af afgørelse nr. 716/2009/EF og om ophævelse af Kommissionens afgørelse 2009/77/EF (EUT L 331 af 15.12.2010, s. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).

(5) Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(6) Europa-Parlamentets og Rådets direktiv 2013/34/EU af 26. juni 2013 om årsregnskaber, konsoliderede regnskaber og tilhørende beretninger for visse virksomhedsformer, om ændring af Europa-Parlamentets og Rådets direktiv 2006/43/EF og om ophævelse af Rådets direktiv 78/660/EØF og 83/349/EØF (EUT L 182 af 29.6.2013, s. 19, ELI: http://data.europa.eu/eli/dir/2013/34/oj).

(7) Europa-Parlamentets og Rådets forordning (EU) 2023/1113 af 31. maj 2023 om oplysninger, der skal medsendes ved pengeoverførsler og ved overførsler af visse kryptoaktiver og om ændring af direktiv (EU) 2015/849 (EUT L 150 af 9.6.2023, s. 1, ELI: http://data.europa.eu/eli/reg/2023/1113/oj).

(8) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og om ændring af forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011 (EUT L 333 af 27.12.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj).