KOMMISSIONENS DELEGERADE FÖRORDNING (EU) 2025/305

av den 31 oktober 2024

om komplettering av Europaparlamentets och rådets förordning (EU) 2023/1114 vad gäller tekniska standarder för tillsyn som anger de uppgifter som ska lämnas i ansökan om auktorisation som leverantör av kryptotillgångstjänster

(Text av betydelse för EES)

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets förordning (EU) 2023/1114 av den 31 maj 2023 om marknader för kryptotillgångar och om ändring av förordningarna (EU) nr 1093/2010 och (EU) nr 1095/2010 samt direktiven 2013/36/EU och (EU) 2019/1937 (1), särskilt artikel 62.5 tredje stycket, och

av följande skäl:

(1)

För att göra det möjligt för behöriga myndigheter att bedöma huruvida juridiska personer eller andra företag som ansöker om auktorisation som leverantörer av kryptotillgångstjänster i enlighet med artikel 62 i förordning (EU) 2023/1114 (sökande) uppfyller de tillämpliga kraven i avdelning V och, i förekommande fall, avdelning VI i den förordningen, bör de uppgifter som ska tillhandahållas i en ansökan om auktorisation som leverantör av kryptotillgångstjänster vilken lämnats in i enlighet med artikel 62.1 i den förordningen (ansökan om auktorisation) vara tillräckligt detaljerad och heltäckande utan att det medför onödiga bördor.

(2)

Ansökan om auktorisation bör innehålla uppgifter om sökandens identitet, styrningsarrangemang och interna kontrollmekanismer och uppgifter som styrker att medlemmarna i ledningsorganet är lämpliga och att aktieägare eller medlemmar som har kvalificerade innehav har tillräckligt gott anseende. I enlighet med principen om uppgiftsminimering enligt artikel 5.1 c i Europaparlamentets och rådets förordning (EU) 2016/679 (2) bör sådana uppgifter vara tillräckliga för att de behöriga myndigheterna ska kunna göra en fullständig bedömning av sökande och av deras förmåga att uppfylla de relevanta kraven i förordning (EU) 2023/1114. Dessa uppgifter bör dessutom vara tillräckliga för att de behöriga myndigheterna ska kunna kontrollera att det inte finns några objektiva och påvisbara belägg för att avslå ansökan om auktorisation enligt artikel 63.10 a–d i den förordningen.

(3)

För att säkerställa att de behöriga myndigheternas bedömning bygger på korrekta uppgifter bör sökande tillhandahålla kopior av sina företagshandlingar, inklusive identifieringskoden för juridiska personer, bolagsordning, en kopia av registreringen i det nationella företagsregistret och, om sökandena avser att driva en handelsplattform, det företagsnamn som används.

(4)

I enlighet med artikel 62.2 d i förordning (EU) 2023/1114 ska en ansökan om auktorisation innehålla en verksamhetsplan. Planen bör specificera sökandes organisationsstruktur, strategi för tillhandahållande av kryptotillgångstjänster till de kunder som de inriktar sig på och deras operativa kapacitet i tre år efter auktorisationen. När det gäller den strategi som används för att rikta in sig på särskilda kunder bör sökande av transparensskäl beskriva den typ av marknadsföring som de avser att använda, t.ex. webbplatser, mobiltelefonapplikationer, personliga möten, pressmeddelanden eller någon form av fysiska eller elektroniska medel, inklusive verktyg för kampanjer i sociala medier, annonser eller banderoller på internet, återmarknadsföring, avtal med influerare, sponsringsavtal, samtal, webbinarier, inbjudningar till evenemang, kampanjer för samverkan, spelifieringsteknik, uppmaningar att fylla i ett svarsformulär eller gå en kurs, demokonton eller utbildningsmaterial.

(5)

För att göra det möjligt för behöriga myndigheter att bedöma sökandes förmåga att stå emot externa finansiella chocker, inbegripet sådana som rör värdet av kryptotillgångar, bör sökande i sin ansökan om auktorisation inkludera stresscenarier som simulerar allvarliga men plausibla händelser i deras prognostiserade beräkningar och planer för att fastställa kapitalbasen.

(6)

Kunder exponeras för potentiella risker i samband med leverantörer av kryptotillgångstjänster. För att de behöriga myndigheterna ska kunna bedöma om sökande uppfyller försiktighetskraven i artikel 67 i förordning (EU) 2023/1114 för att skydda kunder mot sådana risker bör en ansökan om auktorisation innehålla uppgifter som anger sökandens försiktighetsarrangemang.

(7)

För att säkerställa att leverantörer av kryptotillgångstjänster uppfyller sina skyldigheter enligt förordning (EU) 2023/1114 bör sökande visa att de har lämpliga och robusta styrningsarrangemang och interna kontrollmekanismer, inbegripet arrangemang och mekanismer som är nödvändiga för en sund och ansvarsfull ledning av leverantörer av kryptotillgångstjänster.

(8)

I systemet för finansiella tjänster är tid en viktig faktor. För att undvika driftstörningar, eftersom dessa kan få betydande finansiella, regleringsmässiga och anseendemässiga konsekvenser för leverantörer av kryptotillgångstjänster och för marknaderna för kryptotillgångar i allmänhet, är det viktigt att upprätthålla verksamheterna eller åtminstone de väsentliga funktionerna hos leverantörer av kryptotillgångstjänster och att minimera driftstopp på grund av oväntade avbrott, inklusive cyberangrepp och naturkatastrofer. En ansökan om auktorisation bör därför innehålla detaljerade uppgifter om sökandens arrangemang för att säkerställa kontinuitet och regelbundenhet i tillhandahållandet av kryptotillgångstjänster, inklusive en detaljerad beskrivning av dess risker och kontinuitetsplaner.

(9)

Ändamålsenliga mekanismer, system och förfaranden som är förenliga med Europaparlamentets och rådets direktiv (EU) 2015/849 (3) och Europaparlamentets och rådets förordning (EU) 2023/1113 (4) behövs för att säkerställa att sökandena på lämpligt sätt hanterar risker och metoder för penningtvätt och finansiering av terrorism i samband med tillhandahållandet av kryptotillgångstjänster. Sökande bör i sin ansökan om auktorisation tillhandahålla detaljerade uppgifter om de mekanismer, system och förfaranden som de infört för att förhindra risker i samband med sin affärsverksamhet vad gäller bland annat bekämpning av penningtvätt och finansiering av terrorism.

(10)

I enlighet med artikel 62.2 g i förordning (EU) 2023/1114 ska en ansökan om auktorisation innehålla bevis på att medlemmar i ledningsorganet har tillräckligt gott anseende och lämpliga kunskaper, färdigheter och erfarenheter för att leda leverantören av kryptotillgångstjänster. Sökande bör särskilt förse de behöriga myndigheterna med alla uppgifter om tidigare fällande domar i brottmål och med uppgifter om pågående brottsutredningar, civil- och förvaltningsrättsliga mål, sanktioner, verkställighetsåtgärder och andra rättsliga förfaranden som rör medlemmarna i ledningsorganet och som avser handelsrätt, insolvensrätt, bekämpning av penningtvätt, finansiering av terrorism, bedrägerier och yrkesansvar. För att ge de behöriga myndigheterna tillräckliga uppgifter om ledningsorganets medlemmars goda anseende bör sökande lämna uppgifter om de fall som direkt rör medlemmen eller en organisation där medlemmen innehade en befattning som medlem av ledningsorganet, aktieägare eller medlem med kvalificerade innehav eller en nyckelperson. För att säkerställa att de behöriga myndigheterna får tillräckliga uppgifter om nekande eller återkallande av bland annat registreringar, auktorisationer eller medlemskap i samband med sökandens tillhandahållande av kryptotillgångstjänster, bör sökande tillhandahålla sådana uppgifter om alla medlemmar i ledningsorganet. Dessutom bör sökande för varje medlem i ledningsorganet tillhandahålla relevanta uppgifter som gör det möjligt för de behöriga myndigheterna att bedöma deras yrkesmässiga kunskaper, färdigheter och erfarenheter när det gäller omfattningen av den befattning de söker samt en beskrivning av alla finansiella och icke-finansiella intressen hos medlemmarna i ledningsorganet som skulle kunna skapa potentiella väsentliga intressekonflikter som avsevärt påverkar medlemmarnas pålitlighet i deras utförande av sitt uppdrag.

(11)

När det gäller kravet på gott anseende för aktieägare och medlemmar som direkt eller indirekt har kvalificerade innehav i sökande bör ansökan om auktorisation innehålla alla uppgifter om deras tidigare fällande domar och pågående brottsutredningar, civil- och förvaltningsrättsliga mål och andra rättsliga förfaranden samt relevanta uppgifter om säkerheten och det lagliga ursprunget för de medel som används för att etablera sökande och finansiera deras verksamhet så att det blir möjligt att bedöma varje försök till eller misstanke om penningtvätt eller finansiering av terrorism.

(12)

På grund av kryptotillgångars decentraliserade och digitala karaktär är cybersäkerhetsriskerna för leverantörer av kryptotillgångstjänster betydande och tar sig många former. För att säkerställa att sökande kan förhindra uppgiftsincidenter och ekonomiska förluster som kan orsakas av cyberattacker bör uppgifterna om sökandens använda IKT-system och tillhörande säkerhetsarrangemang, i enlighet med artikel 62.2 j i förordning (EU) 2023/1114, inbegripa de personalresurser som avsatts för att hantera cybersäkerhetsrisker.

(13)

Separeringen av kundernas kryptotillgångar och medel skyddar kunderna från förluster hos leverantören av kryptotillgångstjänster och från missbruk av deras kryptotillgångar och medel. Enligt artikel 70 i förordning (EU) 2023/1114 ska leverantörer av kryptotillgångstjänster därför införa lämpliga arrangemang för att skydda kundernas äganderätt. Detta krav gäller även för leverantörer av kryptotillgångstjänster som inte tillhandahåller förvarings- och administrationstjänster. Det är därför viktigt att ansökan om auktorisation innehåller uppgifter om separering av kundernas kryptotillgångar.

(14)

För att de behöriga myndigheterna ska kunna bedöma lämpligheten hos sökandens driftsregler för handelsplattformar för kryptotillgångar bör sökanden närmare ange specifika aspekter i beskrivningen av dessa regler. Sökande bör i synnerhet utveckla de aspekter av driftsreglerna som rör upptagande till handel av, handel med och avveckling av kryptotillgångar. När det gäller upptagande till handel av kryptotillgångar bör sökande tillhandahålla detaljerade uppgifter om regler för upptagande av kryptotillgångar till handel, hur de upptagna kryptotillgångarna följer sökandenas regler, om de typer av kryptotillgångar som sökande inte kommer att ta upp till handel på sin handelsplattform och om skälen till sådana undantag samt om avgifterna för upptagande till handel. När det gäller handel med kryptotillgångar bör sökande specificera de aspekter av driftsreglerna som styr utförande och återkallelse av order, ordnad handel, transparens och dokumentation. Slutligen bör sökande i beskrivningen av driftsreglerna inkludera de aspekter som styr avvecklingen av transaktioner med kryptotillgångar på handelsplattformen, inbegripet huruvida avvecklingen initieras med hjälp av teknik för distribuerade liggare (DLT), den tidsram inom vilken utförandet inleds, fastställandet av den tidpunkt då avvecklingen är slutgiltig, alla kontroller som krävs för att säkerställa en effektiv avveckling av transaktionen och alla åtgärder för att begränsa uteblivna avvecklingar.

(15)	Denna förordning grundar sig på det förslag till tekniska standarder för tillsyn som Europeiska värdepappers- och marknadsmyndigheten utarbetat i nära samarbete med Europeiska bankmyndigheten och lämnat in till kommissionen.

(16)

Europeiska värdepappers- och marknadsmyndigheten har anordnat öppna offentliga samråd om det förslag till tekniska standarder för tillsyn som denna förordning bygger på, analyserat de potentiella kostnaderna och fördelarna därav och begärt råd från den intressentgrupp för värdepapper och marknader som inrättats i enlighet med artikel 37 i Europaparlamentets och rådets förordning (EU) nr 1095/2010 (5).

(17)	Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i europaparlamentets och rådets förordning (EU) 2018/1725 (6) och avgav formella kommentarer den 21 juni 2024.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Allmänna uppgifter

Juridiska personer eller andra företag som ansöker om auktorisation som leverantörer av kryptotillgångstjänster i enlighet med artikel 62 i förordning (EU) 2023/1114 (sökande) ska i sin ansökan om auktorisation inkludera alla följande uppgifter:

a)	Sökandens officiella namn, telefonnummer och e-postadress.

b)	Alla företagsnamn som används eller ska användas av sökanden.

c)	Sökandens identifieringskod för juridiska personer.

d)	Den utsedda kontaktpunktens eller kontaktpersonens fullständiga namn, funktion, e-postadress och telefonnummer.

Sökandens rättsliga form i den mening som avses i artikel 62.2 b i förordning (EU) 2023/1114, inklusive uppgifter om huruvida sökanden är en juridisk person eller ett annat företag, och, i förekommande fall, sökandens nationella id-nummer, samt bevis för dess registrering i det nationella företagsregistret.

f)	Datum och medlemsstat för sökandens bildande eller grundande.

g)	I tillämpliga fall, stiftelseurkund, bolagsordning i den mening som avses i artikel 62.2 c i förordning (EU) 2023/1114 och stadgar.

h)	Adressen till sökandens huvudkontor och, om de inte är samma, dess säte.

i)	Uppgifter om var filialerna kommer att bedriva sin verksamhet, i förekommande fall, och deras identifieringskoder för juridiska personer, om sådana finns tillgängliga.

j)	Domännamnet på varje webbplats som drivs av sökanden och dennes konton på sociala medier.

Om sökanden inte är en juridisk person, dokumentation för att bedöma huruvida

i)	skyddsnivån för tredje parts intressen och rättigheterna för innehavare av kryptotillgångar, även vid insolvens, är likvärdig med skyddet för juridiska personer,

ii)	sökanden är föremål för motsvarande tillsyn som är lämplig för dess rättsliga form,

om sökanden avser att driva en handelsplattform för kryptotillgångar:

i)	fysisk adress, telefonnummer och e-postadress till handelsplattformen för kryptotillgångar,

ii)	företagsnamnet för handelsplattformen för kryptotillgångar.

Artikel 2

Verksamhetsplan

1. Vid tillämpning av artikel 62.2 d i förordning (EU) 2023/1114 ska sökande till den behöriga myndigheten lämna in verksamhetsplanen för tre års tid efter godkännandet, inklusive samtliga följande uppgifter:

Om sökanden tillhör en koncern enligt definitionen i artikel 2.11 i Europaparlamentets och rådets direktiv 2013/34/EU (7), en förklaring av hur sökandens verksamhet passar in i koncernstrategin och samverkar med verksamheterna hos de andra enheterna i denna koncern, inklusive en översikt över den aktuella och den planerade organisationen och strukturen hos denna koncern.

b)	En förklaring av hur verksamheten hos de enheter som är anknutna till sökanden, inbegripet om det finns reglerade enheter i koncernen, förväntas påverka sökandens verksamhet.

c)	En förteckning över de kryptotillgångstjänster som sökanden avser att tillhandahålla och de typer av kryptotillgångar som kryptotillgångstjänsterna avser.

d)	Annan planerad verksamhet, reglerad i enlighet med unionsrätten eller nationell rätt eller oreglerad, inbegripet andra tjänster än kryptotillgångstjänster, som sökanden avser att tillhandahålla.

e)	Huruvida sökanden avser att erbjuda allmänheten kryptotillgångar eller ansöker om upptagande till handel av kryptotillgångar och i så fall vilken typ av kryptotillgångar.

f)	En förteckning över jurisdiktioner, både i unionen och i tredjeländer, där sökanden planerar att tillhandahålla kryptotillgångstjänster, inklusive information om antalet kunder som ställts upp som mål per geografiskt område.

g)	De typer av presumtiva kunder som sökandens kryptotillgångstjänster riktar in sig på.

En beskrivning av medlen för kunders åtkomst till sökandens kryptotillgångstjänster, inklusive samtliga följande:

Domännamn för varje webbplats eller annan IKT-baserad applikation genom vilken kryptotillgångstjänsterna kommer att tillhandahållas av sökanden och information om de språk på vilka webbplatsen eller andra IKT-baserade applikationer kommer att vara tillgängliga, de typer av kryptotillgångstjänster som kommer att nås via den webbplatsen eller andra IKT-baserade applikationer och, i tillämpliga fall, från vilka medlemsstater som webbplatsen eller andra IKT-baserade applikationer kommer att vara tillgängliga.

ii)	Namnet på alla IKT-baserade applikationer som är tillgängliga för kunder för åtkomst till kryptotillgångstjänsterna, de språk på vilka de IKT-baserade applikationerna är tillgängliga och de kryptotillgångstjänster som är tillgängliga via de IKT-baserade applikationerna.

De planerade verksamheterna och arrangemangen för marknadsföring av och reklam för kryptotillgångstjänsterna, inklusive följande:

i)	Alla marknadsföringsmetoder som ska användas för var och en av tjänsterna.

ii)	Den identifieringsmetod som sökanden avser använda.

iii)	Uppgifter om den berörda kategorin av kunder som sökanden riktar in sig på.

iv)	Typer av kryptotillgångar.

v)	De språk som ska användas för marknadsföring och reklam.

j)	En detaljerad beskrivning av de personalresurser, finansiella resurser och IKT-resurser som tilldelats de avsedda kryptotillgångstjänsterna samt deras geografiska läge.

k)	Sökandens policy för utkontraktering samt en detaljerad beskrivning av sökandens planerade arrangemang för utkontraktering, inbegripet koncerninterna arrangemang, och hur sökanden kommer att följa artikel 73 i förordning (EU) 2023/1114.

l)	En förteckning över enheter som kommer att tillhandahålla utkontrakterade tjänster, deras geografiska läge och de relevanta tjänster som utkontrakterats.

m)	En prognostiserad bokföringsplan med stresscenarier på individuell nivå och, i tillämpliga fall, på grupp- eller undergruppsnivå i enlighet med direktiv 2013/34/EU.

n)	Allt utbyte av kryptotillgångar mot medel och annan kryptotillgångsverksamhet som sökanden avser att genomföra, inbegripet genom applikationer för decentraliserad finans som sökanden avser att interagera med för egen räkning.

Vid tillämpningen av led b ska förklaringen innehålla en förteckning över och information om de enheter som är anknutna till sökanden, inbegripet om det finns reglerade enheter, de tjänster som dessa enheter tillhandahåller, inbegripet reglerade tjänster, verksamheter och typer av kunder, och domännamnen för varje webbplats som drivs av sådana enheter.

Vid tillämpningen av led k ska sökanden inkludera uppgifter om de funktioner eller personer som ansvarar för utkontraktering, om personal- och IKT-resurser som tilldelats kontrollen över de tillhörande arrangemangens utkontrakterade funktioner, tjänster eller verksamheter och om riskbedömningen i samband med utkontrakteringen.

Vid tillämpningen av led m ska den finansiella prognosen beakta alla lån inom koncernen som beviljats eller ska beviljas av och till sökanden.

2. Om sökande avser att tillhandahålla tjänster för mottagande och överföring av order avseende kryptotillgångar för kunders räkning ska de förse de behöriga myndigheterna med en kopia av förfarandena och en beskrivning av de arrangemang som säkerställer efterlevnaden av artikel 80 i förordning (EU) 2023/1114.

3. Om sökande avser att tillhandahålla tjänster för placering av kryptotillgångar ska de förse de behöriga myndigheterna med en kopia av förfarandena för att identifiera, förebygga, hantera och redovisa intressekonflikter samt en beskrivning av de arrangemang som införts för att uppfylla kraven i artikel 79 i förordning (EU) 2023/1114 och kommissionens delegerade förordning om tekniska standarder vilken antagits i enlighet med artikel 72.5 i förordning (EU) 2023/1114.

Artikel 3

Försiktighetskrav

Vid tillämpning av artikel 62.2 e i förordning (EU) 2023/1114 ska sökande lämna samtliga följande uppgifter till den behöriga myndigheten:

En beskrivning av sökandens försiktighetsarrangemang i enlighet med artikel 67 i förordning (EU) 2023/1114, bestående av följande:

i)	Beloppet för försiktighetsarrangemangen vid tidpunkten för ansökan om auktorisation och en beskrivning av de antaganden som använts för att fastställa det.

ii)	Beloppet för de försiktighetsarrangemang som täcks av kapitalbasen enligt artikel 67.4 a i förordning (EU) 2023/1114, i tillämpliga fall.

iii)	Beloppet för sökandens försiktighetsarrangemang som täcks av en försäkring enligt artikel 67.4 b i förordning (EU) 2023/1114, i tillämpliga fall.

Prognostiserade beräkningar och planer för att fastställa kapitalbasen, inbegripet följande:

i)	Prognostiserad beräkning av sökandens försiktighetsarrangemang för de tre första verksamhetsåren efter auktorisationen.

ii)	Planeringsantaganden, inklusive stresscenarier för den prognos som avses i led i och förklaringar av siffrorna.

iii)	Förväntat antal och förväntad typ av kunder, förväntad volym av order och transaktioner samt förväntad volym av kryptotillgångar under förvaring.

c)	För företag eller andra juridiska personer som redan är verksamma, i förekommande fall, de årsredovisningar för de senaste tre åren som godkänts, om de granskats, av en extern revisor.

d)	En beskrivning av sökandens förfaranden för planering och övervakning av försiktighetsarrangemang i enlighet med artikel 67.1 i förordning (EU) 2023/1114.

Bevis för att sökanden uppfyller de krav på försiktighetsarrangemang som anges i artikel 67 i förordning (EU) 2023/1114, inbegripet följande:

När det gäller kapitalbas som avses i artikel 67.4 a i förordning (EU) 2023/1114:

(1)	Dokumentation om hur sökanden har beräknat beloppet för försiktighetsarrangemang i enlighet med artikel 67 i förordning (EU) 2023/1114.

(2)	För företag eller andra juridiska personer som redan är verksamma och vars årsredovisningar inte är föremål för revision, ett intyg från det nationella tillsynsorganet om sökandens kapitalbas.

(3)	För företag som håller på att bildas, en förklaring utfärdad av ett kreditinstitut som intygar att medlen har satts in på sökandens bankkonto.

ii)

När det gäller den försäkring eller jämförbara garanti som avses i artikel 67.4 b i förordning (EU) 2023/1114:

(1)	Officiellt namn, datum och medlemsstat för bildande eller grundande, adress till huvudkontoret och, om de inte är samma, sätet och kontaktuppgifter för det företag som är auktoriserat att tillhandahålla försäkringen eller den jämförbara garantin.

(2)

En kopia av något av följande:

—	Den tecknade försäkring som innehåller alla de uppgifter som krävs för att uppfylla kraven i artikel 67.5 och 67.6 i förordning (EU) 2023/1114, om en sådan finns tillgänglig.

—	Det försäkringsavtal som innehåller alla nödvändiga delar för att uppfylla kraven i artikel 67.5 och 67.6 i förordning (EU) 2023/1114 undertecknat av ett företag som är auktoriserat att tillhandahålla försäkringar i enlighet med unionsrätten eller nationell rätt.

Artikel 4

Information om styrningsarrangemang och interna kontrollmekanismer och intressekonflikter

1. Vid tillämpning av artikel 62.2 f och i i förordning (EU) 2023/1114 ska sökande till den behöriga myndigheten lämna följande uppgifter om sina styrningsarrangemang och interna kontrollmekanismer:

a)	En detaljerad beskrivning av sökandens organisationsstruktur, i förekommande fall omfattande koncernen, med uppgift om fördelningen av uppgifter och befogenheter samt relevanta rapporteringsvägar och de interna kontrollarrangemang som genomförts, tillsammans med ett organisationsschema.

Personuppgifter om cheferna för interna funktioner (lednings-, tillsyns- och internkontrollfunktioner), inklusive deras placering och en meritförteckning, med uppgift om relevant utbildning, yrkesutbildning och yrkeserfarenhet samt en beskrivning av de kunskaper, färdigheter och erfarenheter som krävs för att dessa chefer för interna funktioner ska kunna fullgöra sina uppgifter.

Policyer och förfaranden som är tillräckligt effektiva för att säkerställa efterlevnaden av förordning (EU) 2023/1114 i enlighet med artikel 68.4 i den förordningen och en detaljerad beskrivning av de arrangemang som säkerställer att relevant personal är medveten om de förfaranden som ska följas för korrekt fullgörande av deras skyldigheter, inklusive en detaljerad beskrivning av de förfaranden som sökandens personal ska tillämpa för att rapportera potentiella eller faktiska överträdelser av förordning (EU) 2023/1114 i enlighet med artikel 116 i den förordningen.

En detaljerad beskrivning av arrangemangen för att föra register över sökandens verksamhet och interna organisation i enlighet med artikel 68.9 i förordning (EU) 2023/1114, inklusive sökandens arrangemang för registerhållning i enlighet med kommissionens delegerade förordning om tekniska standarder vilken antagits i enlighet med artikel 68.10 b i förordning (EU) 2023/1114.

De arrangemang som gör det möjligt för ledningsorganet att bedöma och regelbundet se över ändamålsenligheten i de arrangemang och förfaranden för policyer som införts för att följa avdelning V kapitlen 2 och 3 i förordning (EU) 2023/1114 i enlighet med artikel 68.6 i den förordningen, inklusive allt följande:

i)	Identifiering av de interna kontrollfunktioner som ansvarar för att övervaka dessa arrangemang och förfaranden för policyer, samt omfattningen av deras ansvar och rapporteringsvägar till sökandens ledningsorgan.

ii)	Uppgift om hur ofta de interna kontrollfunktionerna rapporterar till sökandens ledningsorgan om hur effektiva dessa arrangemang och förfaranden för policyer är.

iii)

En förklaring av

1)	hur sökanden ser till att de interna kontrollfunktionerna fungerar oberoende och separat från de funktioner som de kontrollerar,

2)	huruvida de interna kontrollfunktionerna har tillgång till nödvändiga resurser och nödvändig information,

3)	huruvida dessa interna kontrollfunktioner kan rapportera direkt till sökandens ledningsorgan både minst en gång om året och på ad hoc-basis, inbegripet när de upptäcker en betydande risk för att sökanden inte uppfyller sina skyldigheter enligt förordning (EU) 2023/1114.

iv)

En beskrivning av de IKT-system, försiktighetsarrangemang och kontroller som införts för att övervaka sökandens verksamhet och för att uppfylla kraven i avdelning V kapitlen 2 och 3 i förordning (EU) 2023/1114, inklusive backupsystem, och IKT-system och riskkontroller, om detta inte föreskrivs i enlighet med artikel 9 i den här förordningen.

f)	I tillämpliga fall, en beskrivning av de arrangemang som införts för att förhindra och upptäcka marknadsmissbruk i enlighet med artikel 92 i förordning (EU) 2023/1114.

g)	Huruvida sökanden har utsett eller kommer att utse externa revisorer och, i förekommande fall, deras namn och kontaktuppgifter, om sådana finns tillgängliga.

h)	De redovisningsprinciper och redovisningsrutiner enligt vilka sökanden kommer att registrera och rapportera sin finansiella information, inklusive start- och slutdatum för det tillämpade räkenskapsåret.

2. I enlighet med artikel 72 i förordning (EU) 2023/1114 ska sökande för att identifiera, förebygga, hantera och informera om intressekonflikter förse den behöriga myndigheten med alla följande uppgifter om hanteringen av intressekonflikter:

En kopia av sökandens policyer för intressekonflikter, tillsammans med en beskrivning av hur denna policy

i)	säkerställer att sökanden identifierar, förhindrar och hanterar intressekonflikter i enlighet med artikel 72.1 i förordning (EU) 2023/1114 och informerar om intressekonflikter i enlighet med artikel 72.2 i den förordningen,

ii)	står i proportion till omfattningen, arten och räckvidden av kryptotillgångstjänster som sökanden avser att tillhandahålla och övriga verksamheter i den koncern som sökanden tillhör,

iii)	säkerställer att policyer, förfaranden och arrangemang för ersättning inte skapar intressekonflikter.

Hur sökandens policy för intressekonflikter säkerställer överensstämmelse med kommissionens delegerade förordning om tekniska standarder vilken antagits i enlighet med artikel 72.5 i förordning (EU) 2023/1114, inklusive uppgifter om de system och arrangemang som sökanden har infört för att

i)	övervaka, bedöma, se över ändamålsenligheten i policyn för intressekonflikter och åtgärda eventuella brister,

ii)	registrera fall av intressekonflikter, inbegripet identifiering, bedömning, rättelse och uppgift om huruvida ärendet har meddelats kunden.

Artikel 5

Kontinuitetsplan

1. Vid tillämpning av artikel 62.2 i i förordning (EU) 2023/1114 ska sökande lämna en detaljerad beskrivning av kontinuitetsplanen till den behöriga myndigheten, inklusive de åtgärder som ska vidtas för att säkerställa kontinuitet och regelbundenhet i tillhandahållandet av sökandens kryptotillgångstjänster.

2. Den beskrivning som avses i punkt 1 ska omfatta följande:

a)	Uppgifter som visar att kontinuitetsplanen är lämplig och att arrangemang har införts för att upprätthålla och regelbundet testa planen.

b)	När det gäller kritiska eller viktiga funktioner som stöds av tredjepartsleverantörer av tjänster, uppgifter om hur kontinuiteten i verksamheten säkerställs om kvaliteten på tillhandahållandet av sådana funktioner försämras till en oacceptabel nivå eller tillhandahållandet avbryts.

c)	Information om hur kontinuiteten i verksamheten säkerställs om en nyckelperson avlider och, i förekommande fall, politiska risker i tjänsteleverantörens jurisdiktion.

Artikel 6

Upptäckt och förebyggande av penningtvätt och finansiering av terrorism

Vid tillämpning av artikel 62.2 i i förordning (EU) 2023/1114 ska sökanden förse den behöriga myndigheten med uppgifter om sina interna kontrollmekanismer, policyer och förfaranden för att följa de bestämmelser i nationell rätt som införlivar direktiv (EU) 2015/849 och om ramen för riskbedömning för hantering av risker för penningtvätt och finansiering av terrorism, inbegripet samtliga följande uppgifter:

Sökandens bedömning av de inneboende och kvarstående riskerna för penningtvätt och finansiering av terrorism i samband med dess verksamhet, inbegripet riskerna i samband med följande:

i)	Sökandens kundbas.

ii)	De tjänster som tillhandahålls.

iii)	De distributionskanaler som används.

iv)	Geografiska verksamhetsområden.

De åtgärder som sökanden har vidtagit eller kommer att vidta för att förebygga de identifierade riskerna och uppfylla tillämpliga krav på bekämpning av penningtvätt och finansiering av terrorism, inbegripet sökandens riskbedömningsprocess, policyer och förfaranden för att uppfylla kraven på kundkännedom samt policyer och förfaranden för att upptäcka och rapportera misstänkta transaktioner eller verksamheter.

Detaljerad information om hur dessa interna kontrollmekanismer, policyer och förfaranden är adekvata och står i proportion till omfattningen och arten av samt den inneboende risken för penningtvätt och finansiering av terrorism, urvalet av de kryptotillgångstjänster som tillhandahålls, affärsmodellens komplexitet och hur dessa mekanismer, policyer och förfaranden säkerställer efterlevnad av direktiv (EU) 2015/849 och förordning (EU) 2023/1113.

d)	Identiteten på den person som ansvarar för att säkerställa att sökanden uppfyller kraven på bekämpning av penningtvätt och finansiering av terrorism, inklusive bevis på personens kunskaper, färdigheter och erfarenheter.

e)	Arrangemang, personalresurser och finansiella resurser som säkerställer att sökandens personal har lämplig utbildning i frågor som rör bekämpning av penningtvätt och finansiering av terrorism (årliga indikationer) och specifika risker relaterade till kryptotillgångar.

f)	En kopia av sökandens policyer, förfaranden och system för bekämpning av penningtvätt och finansiering av terrorism.

g)	Hur ofta bedömningen görs av lämpligheten och ändamålsenligheten hos de interna kontrollmekanismerna, policyerna och förfarandena, samt identiteten på den person eller funktion som ansvarar för bedömningen.

Artikel 7

Identitet på och bevis på gott anseende, kunskaper, färdigheter och erfarenheter samt tillräcklig tidsinsats för medlemmarna i ledningsorganet

1. Vid tillämpning av artikel 62.2 g i förordning (EU) 2023/1114 ska sökande förse den behöriga myndigheten med samtliga följande uppgifter för varje medlem i ledningsorganet:

a)	Fullständigt namn och, om de inte är samma, namn vid födseln.

b)	Födelseort, födelsedatum, adress och kontaktuppgifter för den aktuella bosättningsorten och för varje annan bosättningsort under de senaste tio åren, nationalitet eller nationaliteter, nationellt id-nummer och kopia av en officiell identitetshandling eller motsvarande.

Uppgifter om den befattning som innehas eller ska innehas av medlemmen i ledningsorganet, inbegripet huruvida befattningen är verkställande eller icke verkställande, startdatum eller planerat startdatum och, i tillämpliga fall, mandatets varaktighet samt en beskrivning av medlemmens viktigaste uppgifter och ansvarsområden.

En meritförteckning med uppgifter om relevant utbildning, yrkesutbildning och yrkeserfarenhet med namn och beskaffenhet på alla organisationer för vilka medlemmen har arbetat och arten av och varaktigheten för de funktioner som har utförts för befattningar under de senaste tio åren, särskilt med uppgifter om eventuell verksamhet som omfattas av den befattning som söks, inbegripet yrkeserfarenhet som är relevant för finansiella tjänster, kryptotillgångar eller andra digitala tillgångar, DLT, informationsteknik, cybersäkerhet eller digital innovation.

e)	Dokumentation om medlemmens anseende och erfarenhet, i synnerhet en förteckning över referenser med kontaktuppgifter och rekommendationsbrev.

Medlemmens historia, inklusive följande:

i)	Avsaknad av noteringar i kriminalregister.

ii)

Uppgifter om pågående straffrättsliga förfaranden eller utredningar eller påföljder (med anknytning till handelsrätt, lagstiftning om finansiella tjänster, penningtvätt och finansiering av terrorism, lagstiftning om bedrägeri eller förpliktelser avseende yrkesmässigt ansvar), uppgifter om verkställighetsförfaranden eller sanktioner, uppgifter om relevanta civil- och förvaltningsrättsliga mål samt disciplinära åtgärder, inbegripet förbud att agera som styrelseledamot, konkurs, insolvens och liknande förfaranden.

iii)	Uppgifter om avslag, återkallande, indragande eller upphävande av registrering, auktorisation, medlemskap eller tillstånd att bedriva affärsverksamhet eller yrkesverksamhet, eller uteslutning efter beslut av ett tillsyns- eller regeringsorgan eller av en yrkes- eller branschorganisation.

iv)	Uppgifter om uppsägningar från en förtroendeställning, ett förvaltningsuppdrag eller en liknande förtroendeställning eller relation.

v)	Uppgifter om huruvida någon myndighet har bedömt den enskilda personens anseende, inbegripet den myndighetens identitet, datum för bedömningen och uppgifter om resultatet av denna bedömning.

En beskrivning av medlemmens och hans/hennes nära släktingars finansiella och icke-finansiella intressen i eller relationer till andra medlemmar i ledningsorganet och personer som innehar nyckelfunktioner i samma institution, moderinstitutionen, dotterinstitutioner och aktieägare, vilka kan skapa potentiella intressekonflikter.

h)	Om en väsentlig intressekonflikt konstateras, en redogörelse för hur konflikten kommer att mildras eller avhjälpas, inklusive en hänvisning till policyn för intressekonflikter.

Uppgifter om den tid som kommer att avsättas för att fullgöra medlemmens uppgifter hos sökanden, inklusive samtliga följande:

i)	Uppskattad tid per år och månad som medlemmen minst kommer att ägna åt att fullgöra sina uppgifter hos sökanden.

ii)	En förteckning över andra styrelseuppdrag med eller utan verkställande funktion som medlemmen innehar, med hänvisning till kommersiell och icke-kommersiell verksamhet eller som inrättats enbart i syfte att förvalta den berörda medlemmens ekonomiska intressen.

iii)

Uppgifter om storleken på och komplexiteten hos de företag eller organisationer där de styrelseuppdrag som avses i led ii innehas, inklusive totala tillgångar, på grundval av den senast tillgängliga årsredovisningen, oavsett om företaget är noterat eller inte, och antalet anställda i dessa företag eller organisationer.

iv)	En förteckning över eventuella ytterligare ansvarsuppgifter som har anknytning till de styrelseuppdrag som avses i led ii, inbegripet ordförandeskap i en kommitté.

v)	Den beräknade tiden i dagar per år för vart och ett av de andra styrelseuppdrag som avses i led ii och antalet möten per år för varje uppdrag.

Vid tillämpningen av led d ska sökanden inkludera uppgifter om alla delegerade befogenheter och interna beslutsbefogenheter samt verksamhetsområden som personen ansvarar för.

Vid tillämpningen av led f i och ii ska sökanden tillhandahålla uppgifterna genom ett officiellt intyg, om sådant finns tillgängligt från medlemsstaten eller tredjelandet, eller genom en annan likvärdig handling, om ett sådant intyg inte finns. Officiella handlingar, intyg och dokument ska ha utfärdats inom tre månader innan ansökan om auktorisation lämnas in. När det gäller pågående utredningar kan denna information lämnas genom en försäkran på heder och samvete.

Vid tillämpning av led f iv ska sökanden inte vara skyldig att lämna uppgifter om den tidigare bedömningen om den behöriga myndigheten redan har dessa uppgifter.

Vid tillämpningen av led g ska beskrivningen omfatta alla finansiella intressen, inbegripet kryptotillgångar, andra digitala tillgångar, lån, aktieinnehav, garantier eller säkerhetsintressen, oavsett om de beviljats eller mottagits, affärsförbindelser, rättsliga förfaranden och huruvida personen varit en person i politiskt utsatt ställning enligt definitionen i artikel 3.9 i direktiv (EU) 2015/849 under de senaste två åren.

2. En sökande som ansöker om auktorisation som leverantör av kryptotillgångstjänster i enlighet med artikel 62 i förordning (EU) 2023/1114 ska förse den behöriga myndigheten med resultaten av alla lämplighetsbedömningar av varje medlem i ledningsorganet som utförts av sökanden, och resultaten av bedömningen av ledningsorganets kollektiva lämplighet, inklusive rapporten eller handlingarna om resultatet av lämplighetsbedömningen.

Artikel 8

Information om aktieägare eller medlemmar som har kvalificerade innehav

Vid tillämpning av artikel 62.2 h i förordning (EU) 2023/1114 ska sökande lämna samtliga följande uppgifter till den behöriga myndigheten:

a)	Ett detaljerat organisationsschema för sökandens ägarstruktur, med uppdelning av dess kapital och rösträtt samt namnen på aktieägare eller medlemmar som har kvalificerade innehav.

b)	För varje aktieägare eller medlem som har ett direkt eller indirekt kvalificerat innehav i sökanden, de uppgifter och handlingar som anges i artiklarna 1–4 i kommissionens delegerade förordning (EU) 2025/414 (8), i tillämpliga fall.

c)	Identiteten på varje medlem i ledningsorganet som kommer att leda sökandens verksamhet och som kommer att utses eller nomineras av en sådan aktieägare eller medlem med kvalificerade innehav.

För varje aktieägare eller medlem som har ett direkt eller indirekt kvalificerat innehav i sökanden, uppgifter om antalet och typen av aktier eller andra innehav som tecknats, deras nominella värde, eventuella premier som betalats eller ska betalas, eventuella säkerhetsintressen eller inteckningar, inklusive de säkrade parternas identitet.

e)	De uppgifter som avses i artikel 6 b, d och e och artikel 8 i kommissionens delegerade förordning (EU) 2025/414.

Artikel 9

IKT-system och tillhörande säkerhetsarrangemang

Vid tillämpning av artikel 62.2 j i förordning (EU) 2023/1114 ska sökande lämna följande uppgifter till den behöriga myndigheten:

Teknisk dokumentation av IKT-systemen, i tillämpliga fall DLT-infrastrukturen samt säkerhetsarrangemangen, inklusive en beskrivning av de arrangemang och de IKT- och personalresurser som används för att uppfylla kraven i Europaparlamentets och rådets förordning (EU) 2022/2554 (9), enligt följande:

En beskrivning av hur sökanden säkerställer en sund, heltäckande och väldokumenterad IKT-riskhanteringsram som en del av dess övergripande riskhanteringssystem, inklusive en detaljerad beskrivning av IKT-system, IKT-protokoll och IKT-verktyg och av hur sökandens förfaranden, policyer och system värnar uppgifternas säkerhet, integritet, tillgänglighet, äkthet och konfidentialitet i enlighet med förordning (EU) 2022/2554 och förordning (EU) 2016/679.

ii)

En identifiering av de IKT-tjänster som stöder kritiska eller viktiga funktioner och som utvecklats eller underhålls av sökanden samt de IKT-tjänster som stöder kritiska eller viktiga funktioner som tillhandahålls av tredjepartsleverantörer av tjänster, en beskrivning av sådana avtalsarrangemang (leverantörernas identitet och geografiska läge, beskrivning av de utkontrakterade verksamheterna eller IKT-tjänsterna och deras huvuddrag samt kopior av avtalsarrangemang) och hur dessa arrangemang är förenliga med artikel 73 i förordning (EU) 2023/1114 och kapitel V i förordning (EU) 2022/2554.

iii)	En beskrivning av sökandens förfaranden, policyer, arrangemang och system för säkerhets- och incidenthantering.

Om möjligt, en beskrivning av en cybersäkerhetsrevision som utförts av en tredjepartsrevisor inom cybersäkerhet som har tillräcklig erfarenhet i enlighet med kommissionens delegerade förordning om tekniska standarder vilken antagits i enlighet med artikel 26.11 fjärde stycket i förordning (EU) 2022/2554 och som helst omfattar följande revisioner eller tester:

i)	Organisatorisk cybersäkerhet, fysisk säkerhet och säkra arrangemang för systemutvecklingslivscykeln.

ii)	Sårbarhetsbedömningar och sårbarhetsskanningar samt nätverkssäkerhetsbedömningar.

iii)	Konfigurationsgranskningar av IKT-tillgångar som stöder kritiska och viktiga funktioner enligt definitionen i artikel 3.22 i förordning (EU) 2022/2554.

iv)

Penetrationstester av IKT-tillgångar som stöder kritiska och viktiga funktioner enligt definitionen i artikel 3.17 i förordning (EU) 2022/2554, i enlighet med samtliga följande revisionstester:

(1)

Fasen ”Svart låda”: Revisorn har ingen annan information än de IP-adresser och webbadresser som är associerade med det granskade målet. Denna fas föregås i allmänhet av upptäckten av information och identifieringen av målet genom förfrågan via DNS-tjänster, skanning av öppna portar, upptäckt av närvaron av filtreringsverktyg osv.

(2)	Fasen ”grå låda”: Revisorerna har kunskap om en standardanvändare av informationssystemet (legitim autentisering, ”standardmässig” arbetsstation osv.). Identifierarna kan tillhöra olika användarprofiler för att testa olika åtkomstnivåer.

(3)	Fasen ”vit låda”: Revisorerna har så mycket teknisk information som möjligt (arkitektur, källkod, telefonkontakter, identifierare osv.) innan analysen inleds och även tillgång till tekniska kontakter med anknytning till målet.

v)	Om sökanden använder och/eller utvecklar smarta kontrakt, en granskning av deras källkoder med avseende på cybersäkerhet.

c)	En beskrivning av eventuella genomförda revisioner av IKT-systemen, inbegripet DLT-infrastruktur och säkerhetsarrangemang som har använts.

d)	En beskrivning av den relevanta information som avses i leden a och b på ett icke-tekniskt språk.

Artikel 10

Separering och säker förvaring av kunders kryptotillgångar och medel

1. Vid tillämpning av artikel 62.2 k i förordning (EU) 2023/1114 ska sökande som har för avsikt att inneha kryptotillgångar som tillhör kunder eller medel för åtkomst till sådana kryptotillgångar, eller kunders medel med undantag för e-pengatoken, förse den behöriga myndigheten med en detaljerad beskrivning av sina förfaranden för separering av kunders kryptotillgångar och medel, inbegripet samtliga följande:

Hur sökanden säkerställer följande:

i)	Att kundernas medel inte används för egen räkning.

ii)	Att kryptotillgångar som tillhör kunderna inte används för egen räkning.

iii)	Att de plånböcker som innehåller kundernas kryptotillgångar skiljer sig från sökandens egna plånböcker.

b)	En detaljerad beskrivning av systemet för godkännande av krypteringsnycklar och skydd av krypteringsnycklar, inklusive plånböcker med multisignatur.

c)	Hur sökanden separerar kundernas kryptotillgångar, inbegripet från andra kunders kryptotillgångar där plånböcker innehåller kryptotillgångar från mer än en kund (samlingskonton).

En beskrivning av förfarandet för att säkerställa att kundernas medel, med undantag för e-pengatoken, placeras hos en centralbank eller ett kreditinstitut i slutet av den arbetsdag som följer på den dag då de mottogs och hålls på ett konto som kan identifieras separat från konton som används för medel som tillhör sökanden.

Om sökanden inte avser att placera medlen hos den berörda centralbanken, de faktorer som sökanden beaktar för att välja kreditinstitut för placering av kundernas medel, inbegripet sökandens diversifieringspolicy, om sådan finns tillgänglig, och hur ofta valet av kreditinstitut för placering av kunders medel ska ses över.

f)	Hur sökanden säkerställer att kunderna informeras på ett tydligt, koncist och icke-tekniskt språk om de viktigaste aspekterna av sökandens system, policyer och förfaranden för att uppfylla kraven i artikel 70.1, 70.2 och 70.3 i förordning (EU) 2023/1114.

2. I enlighet med artikel 70.5 i förordning (EU) 2023/1114 ska leverantörer av kryptotillgångstjänster som är institut för elektroniska pengar eller betalningsinstitut endast lämna de uppgifter som anges i punkt 1 i den här artikeln i fråga om separering av kunders kryptotillgångar.

Artikel 11

Förfaranden för hantering av klagomål

Vid tillämpning av artikel 62.2 l i förordning (EU) 2023/1114 ska sökande förse den behöriga myndigheten med en detaljerad beskrivning av sina förfaranden för hantering av klagomål, inklusive samtliga följande:

a)	Uppgifter om personalresurser och tekniska resurser för hantering av klagomål.

Uppgifter om den person som ansvarar för de resurser som är avsedda för hantering av klagomål, tillsammans med en meritförteckning med uppgifter om relevant utbildning, yrkesutbildning och yrkeserfarenhet som styrker de kunskaper, färdigheter och erfarenheter som krävs för att fullgöra det ansvar som tilldelats den personen.

c)	Hur sökanden säkerställer överensstämmelse med kommissionens delegerade förordning om tekniska standarder vilken antagits i enlighet med artikel 71.5 i förordning (EU) 2023/1114.

Hur sökanden kommer att informera kunder eller presumtiva kunder om möjligheten att lämna in ett klagomål utan kostnad, var denna information finns tillgänglig på sökandens webbplats eller på någon annan relevant digital enhet som kan användas av kunderna för att få tillgång till kryptotillgångstjänsterna samt innehållet i den information som tillhandahålls.

e)	Sökandens förfaranden för registerföring i samband med klagomål.

f)	Den tidsfrist som anges i sökandens förfaranden för hantering av klagomål för att undersöka, svara på och vid behov vidta åtgärder som svar på mottagna klagomål.

g)	Hur sökanden kommer att informera kunder eller presumtiva kunder om tillgängliga rättsmedel.

h)	Sökandens viktigaste förfarandesteg för att fatta beslut om ett klagomål och hur sökanden kommer att meddela detta beslut till den kund eller presumtiva kund som lämnade in klagomålet.

Artikel 12

Förvarings- och administrationspolicy

Vid tillämpning av artikel 62.2 m i förordning (EU) 2023/1114 ska sökande som avser att tillhandahålla förvaring och administration av kryptotillgångar för kunders räkning lämna samtliga följande uppgifter till den behöriga myndigheten:

En beskrivning av de arrangemang som är kopplade till den typ av förvaring som erbjuds kunderna, en kopia av sökandens standardavtal för förvaring och administration av kryptotillgångar för kunders räkning i enlighet med artikel 75.1 i förordning (EU) 2023/1114 och en kopia av den sammanfattning av förvaringspolicyn som gjorts tillgänglig för kunderna i enlighet med artikel 75.3 i förordning (EU) 2023/1114.

Sökandens förvarings- och administrationspolicy, inbegripet en beskrivning av identifierade källor till operativa risker och IKT-risker avseende förvaring och kontroll av kryptotillgångar eller medel för åtkomst till kundernas kryptotillgångar, tillsammans med en beskrivning av följande:

i)	Policyer och förfaranden samt en beskrivning av arrangemangen för att följa artikel 75.8 i förordning (EU) 2023/1114.

ii)	Policyer och förfaranden, och en beskrivning av systemen och kontrollerna, för att hantera operativa risker och IKT-risker, inbegripet när förvaring och administration av kryptotillgångar för kunders räkning utkontrakteras till en tredje part.

iii)	Policyer och förfaranden för och en beskrivning av systemen för att säkerställa att kunderna utövar de rättigheter som är knutna till kryptotillgångarna.

iv)	Förfaranden för och en beskrivning av de system som säkerställer återförandet av kryptotillgångar eller medel för åtkomst till kunderna.

c)	Information om hur kundernas kryptotillgångar och medel för åtkomst till kryptotillgångar identifieras.

d)	Information om arrangemang för att minimera risken för förlust av kryptotillgångar eller medel för åtkomst till kryptotillgångar.

Om leverantören av kryptotillgångstjänster har delegerat tillhandahållande av förvaring och administration av kryptotillgångar för kunders räkning till en tredje part:

i)	Information om identiteten på varje tredje part som tillhandahåller förvaring och administration av kryptotillgångar och dess status i enlighet med artikel 59 eller artikel 60 i förordning (EU) 2023/1114.

ii)

En beskrivning av eventuella funktioner som rör förvaring och administration av kryptotillgångar som delegerats av leverantören av kryptotillgångstjänster, förteckningen över dem som delegerats och dem som vidaredelegerats förvaring och administration av kryptotillgångar, beroende på vad som är tillämpligt, och eventuella intressekonflikter som kan uppstå till följd av en sådan delegering.

iii)	En beskrivning av hur sökanden avser att utöva tillsyn över delegeringarna eller vidaredelegeringarna.

Artikel 13

Handelsplattformens driftsregler och upptäckt av marknadsmissbruk

1. Vid tillämpning av artikel 62.2 n i förordning (EU) 2023/1114 ska sökande som avser att driva en handelsplattform för kryptotillgångar lämna samtliga följande uppgifter till den behöriga myndigheten:

a)	Reglerna för upptagande av kryptotillgångar till handel.

b)	Godkännandeförfarandet för upptagande av kryptotillgångar till handel, inbegripet åtgärder för kundkännedom i enlighet med direktiv (EU) 2015/849.

c)	En förteckning över alla kategorier av kryptotillgångar som inte kommer att tas upp till handel och skälen till dessa undantag.

d)	Policyer, förfaranden och avgifter för upptagande till handel, i förekommande fall med en beskrivning av medlemskap, rabatter och därmed sammanhängande villkor.

e)	Reglerna för orderutförande, inbegripet eventuella förfaranden för återkallelse av utförda order och för redogörelse av sådan information till marknadsaktörerna.

f)	De policyer, förfaranden och metoder som införts för att bedöma kryptotillgångarnas lämplighet i enlighet med artikel 76.2 i förordning (EU) 2023/1114.

g)	De system, förfaranden och arrangemang som införts för att uppfylla kraven i artikel 76.7 i förordning (EU) 2023/1114.

Det sätt på vilket alla köp- och säljkurser offentliggörs, orderdjupet vid dessa priser som annonseras för kryptotillgångar genom deras handelsplattform samt pris, volym och tidpunkt för transaktioner som utförs i fråga om kryptotillgångar som handlas på deras handelsplattform, i enlighet med artikel 76.9 och 76.10 i förordning (EU) 2023/1114.

i)	Avgiftsstrukturerna och en motivering för hur dessa avgiftsstrukturer överensstämmer med artikel 76.13 i förordning (EU) 2023/1114.

j)	De system, förfaranden och arrangemang som införts för att hålla uppgifter om alla order tillgängliga för den behöriga myndigheten eller mekanismen för att säkerställa att den behöriga myndigheten har tillgång till orderboken och andra handelssystem.

När det gäller avveckling av transaktioner:

i)	Huruvida den slutliga avvecklingen av transaktioner inleds i den distribuerade liggaren eller utanför den distribuerade liggaren.

ii)	Den tidsram inom vilken den slutliga avvecklingen av kryptotillgångstransaktioner inleds.

iii)	Hur tillgången på medel och kryptotillgångar kan kontrolleras.

iv)	Hur relevanta uppgifter om transaktioner kan bekräftas.

v)	De åtgärder som planeras för att begränsa antalet uteblivna avvecklingar.

vi)	Den tidpunkt vid vilken avvecklingen är slutgiltig och den tidpunkt då den slutliga avvecklingen inleds efter transaktionens genomförande.

l)	De riktlinjer, förfaranden och system som införts för att upptäcka och förhindra marknadsmissbruk, inbegripet uppgifter som lämnats till den behöriga myndigheten om eventuella fall av marknadsmissbruk.

2. Sökande som avser att driva en handelsplattform för kryptotillgångar ska förse den behöriga myndigheten med en kopia av handelsplattformens driftsregler och alla förfaranden och system för att upptäcka och förhindra marknadsmissbruk.

Artikel 14

Utbyte av kryptotillgångar mot medel eller andra kryptotillgångar

Vid tillämpning av artikel 62.2 o i förordning (EU) 2023/1114 ska sökande som avser att utbyta kryptotillgångar mot medel eller andra kryptotillgångar lämna samtliga följande uppgifter till den behöriga myndigheten:

a)	En beskrivning av den affärspolicy som fastställts i enlighet med artikel 77.1 i förordning (EU) 2023/1114.

En beskrivning av metoden för att fastställa priset på de kryptotillgångar som sökanden föreslår att utbyta mot medel eller andra kryptotillgångar i enlighet med artikel 77.2 i förordning (EU) 2023/1114, inbegripet hur volymen och marknadsvolatiliteten för kryptotillgångar påverkar prissättningsmekanismen.

Artikel 15

Utförandepolicy

Vid tillämpning av artikel 62.2 p i förordning (EU) 2023/1114 ska sökande som avser att utföra order avseende kryptotillgångar för kunders räkning tillhandahålla den behöriga myndigheten sin utförandepolicy, inbegripet samtliga följande uppgifter:

a)	De arrangemang som säkerställer att kunden har gett sitt samtycke till utförandepolicyn innan ordern utförs.

b)	En förteckning över de handelsplattformar för kryptotillgångar som sökanden kommer att använda sig av för utförande av order och kriterierna för bedömningen av de val av handelsplatser för utförandet som anges i policyn för orderutförande i enlighet med artikel 78.6 i förordning (EU) 2023/1114.

c)	Vilka handelsplattformar som sökanden avser att använda för varje typ av kryptotillgångar och en bekräftelse på att sökanden inte tar emot någon form av ersättning, rabatt eller icke-monetär förmån för att styra order till en viss handelsplattform för kryptotillgångar.

d)	Hur utförandet tar hänsyn till pris, kostnad, hastighet, sannolikhet för utförande och avveckling, storlek, art, villkor för förvaring av kryptotillgångarna eller andra relevanta faktorer som betraktas som en del av alla nödvändiga åtgärder för att uppnå bästa möjliga resultat för kunden.

e)	I tillämpliga fall, arrangemangen för att informera kunder om att sökanden kommer att utföra order utanför en handelsplattform och hur sökanden inhämtar kundernas uttryckliga förhandsgodkännande innan den utför sådana order.

Hur kunden varnas om att särskilda instruktioner från en kund kan förhindra sökanden från att vidta de nödvändiga åtgärderna, i enlighet med de arrangemang som sökanden har fastställt och genomfört i sin utförandepolicy, för att uppnå bästa möjliga resultat vid utförande av dessa order med avseende på de delar som omfattas av dessa instruktioner.

g)	Förfarandet för att välja ut handelsplatser för utförande, tillämpade utförandestrategier, de arrangemang som används för att analysera den kvalitet på utförandet som uppnåtts, och hur sökanden övervakar och kontrollerar att man uppnår bästa möjliga resultat för kunderna.

h)	Arrangemangen för att förhindra att information om kundernas order missbrukas av anställda hos sökanden.

i)	Arrangemangen och förfarandena för hur sökanden lämnar information till kunder om sin policy för orderutförande och underrättar dem om alla väsentliga förändringar av sin policy för orderutförande.

j)	Arrangemangen för att på begäran av den behöriga myndigheten visa för den behöriga myndigheten att artikel 78 i förordning (EU) 2023/1114 efterlevs.

Artikel 16

Tillhandahållande av rådgivning om kryptotillgångar eller portföljförvaltning av kryptotillgångar

Vid tillämpning av artikel 62.2 q i förordning (EU) 2023/1114 ska sökande som avser att tillhandahålla rådgivning om kryptotillgångar eller portföljförvaltning av kryptotillgångar lämna samtliga följande uppgifter till den behöriga myndigheten:

En detaljerad beskrivning av de arrangemang som införts av sökanden för att säkerställa efterlevnad av artikel 81.7 i förordning (EU) 2023/1114, inbegripet följande:

i)	Mekanismerna för att på ett ändamålsenligt sätt kontrollera, bedöma och upprätthålla kunskapen och sakkunskapen hos de fysiska personer som tillhandahåller rådgivning om kryptotillgångar eller förvaltar portföljer med kryptotillgångar.

ii)

De arrangemang som säkerställer att fysiska personer som deltar i tillhandahållandet av rådgivning eller portföljförvaltning är medvetna om, förstår och tillämpar sökandens interna policyer och förfaranden som fastställts för att följa förordning (EU) 2023/1114, särskilt artikel 81.1 i den förordningen, och direktiv (EU) 2015/849.

iii)	De personalresurser och finansiella resurser som sökanden planerar att avsätta på årsbasis för fortbildning och utbildning av den personal som ger råd om kryptotillgångar eller förvaltar portföljer med kryptotillgångar.

Mekanismerna för att kontrollera, bedöma och effektivt upprätthålla kunskapen och kompetensen hos de fysiska personer som ger råd på sökandens vägnar, enligt de kriterier för sådan bedömning som används i nationell lagstiftning, för att bedöma lämpligheten i enlighet med artikel 81.1 i förordning (EU) 2023/1114.

Artikel 17

Överföringstjänster

Vid tillämpning av artikel 62.2 r i förordning (EU) 2023/1114 ska sökande som avser att tillhandahålla överföringstjänster för kryptotillgångar för kunders räkning lämna samtliga följande uppgifter till den behöriga myndigheten:

a)	Uppgifter om de typer av kryptotillgångar för vilka sökanden avser att tillhandahålla överföringstjänster.

En detaljerad beskrivning av de arrangemang som införts av sökanden för att följa artikel 82 i förordning (EU) 2023/1114, inklusive detaljerad information om sökandens arrangemang och de IKT- och personalresurser som den använt för att på ett snabbt, effektivt och grundligt sätt hantera risker i samband med tillhandahållandet av överföringstjänster för kryptotillgångar för kunders räkning, med beaktande av potentiella driftsavbrott och cybersäkerhetsrisker.

c)	Om möjligt, en beskrivning av sökandens försäkring, inbegripet försäkringens täckning av skada på kundens kryptotillgångar som kan uppstå till följd av cybersäkerhetsrisker.

d)	Arrangemangen för att säkerställa att kunderna får tillräcklig information om de riktlinjer, förfaranden och arrangemang som avses i led b.

Artikel 18

Ikraftträdande

Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i Bryssel den 31 oktober 2024.

På kommissionens vägnar

Ursula VON DER LEYEN

Ordförande

(1) EUT L 150, 9.6.2023, s. 40, ELI: https://eur-lex.europa.eu/eli/reg/2023/1114/oj?locale=sv.

(2) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1, ELI: https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=sv).

(3) Europaparlamentets och rådets direktiv (EU) 2015/849 av den 20 maj 2015 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism, om ändring av Europaparlamentets och rådets förordning (EU) nr 648/2012 och om upphävande av Europaparlamentets och rådets direktiv 2005/60/EG och kommissionens direktiv 2006/70/EG (EUT L 141, 5.6.2015, s. 73, ELI: http://data.europa.eu/eli/dir/2015/849/oj).

(4) Europaparlamentets och rådets förordning (EU) 2023/1113 av den 31 maj 2023 om uppgifter som ska åtfölja överföringar av medel och vissa kryptotillgångar och ändring av direktiv (EU) 2015/849 (EUT L 150, 9.6.2023, s. 1, ELI: https://eur-lex.europa.eu/eli/reg/2023/1113/oj?locale=sv).

(5) Europaparlamentets och rådets förordning (EU) nr 1095/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska värdepappers- och marknadsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/77/EG (EUT L 331, 15.12.2010, s. 84, ELI http://data.europa.eu/eli/reg/2010/1095/oj).

(6) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI https://eur-lex.europa.eu/eli/reg/2018/1725/oj?locale=sv).

(7) Europaparlamentets och rådets direktiv 2013/34/EU av den 26 juni 2013 om årsbokslut, koncernredovisning och rapporter i vissa typer av företag, om ändring av Europaparlamentets och rådets direktiv 2006/43/EG och om upphävande av rådets direktiv 78/660/EEG och 83/349/EEG (EUT L 182, 29.6.2013, s. 19, ELI: https://eur-lex.europa.eu/eli/dir/2013/34/oj?locale=sv).

(8) Kommissionens delegerade förordning (EU) 2025/414 av den 18 december 2024 om komplettering av Europaparlamentets och rådets förordning (EU) 2023/1114 vad gäller tekniska standarder för tillsyn som specificerar det detaljerade innehållet i uppgifter som krävs för att utföra bedömningen av ett tilltänkt förvärv av ett kvalificerat innehav i en leverantör av kryptotillgångstjänster (EUT L, 2025/414, 31.3.2025, ELI: http://data.europa.eu/eli/reg_del/2025/414/oj).

(9) Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 (EUT L 333, 27.12.2022, s. 1, ELI: https://eur-lex.europa.eu/eli/reg/2022/2554/oj?locale=sv).