Artikel 5
Informationen über den internen Kontrollrahmen
(1) Der Zulassungsantrag muss eine umfassende Beschreibung des internen Kontrollrahmens des antragstellenden Emittenten enthalten, insbesondere auch alle folgenden Angaben:
|
a) |
eine umfassende Beschreibung der internen Compliance-Abteilung als Teil des internen Kontrollmechanismus gemäß Artikel 34 Absatz 10 der Verordnung (EU) 2023/1114, die über ausreichende Befugnisse, Kompetenzen, Ressourcen und einen direkten Zugang zum Leitungsorgan verfügt; |
|
b) |
eine umfassende Beschreibung des Rahmens für das Risikomanagement und der Risikomanagement-Funktion, sofern diese eingerichtet wurde, oder, entsprechend der Verhältnismäßigkeit in Bezug auf Größe, Komplexität und Risikoprofil einem Drittanbieter anvertraut wurde, der jeweiligen Vereinbarungen mit Dritten gemäß Artikel 4 Absatz 2; |
|
c) |
eine umfassende Beschreibung der Systeme und Kontrollen für das Risikomanagement, in der die Strategie des antragstellenden Emittenten zur Ermittlung, Bewertung, Überwachung, Eindämmung und Meldung aller Risiken erläutert wird, denen der antragstellende Emittent ausgesetzt ist oder ausgesetzt sein könnte, einschließlich der Risiken für die Inhaber eines vermögenswertereferenzierten Token, der Markt-, Liquiditäts-, Konzentrations-, Betriebs-, IKT-, Reputations-, Rechts-, Handlungs-, Compliance-, ESG-, Geldwäsche- und Terrorismusfinanzierungsrisiken sowie der strategischen Risiken; |
|
d) |
eine umfassende Beschreibung der Innenrevisionsstelle als Teil des internen Kontrollmechanismus gemäß Artikel 34 Absatz 10, der Verordnung (EU) 2023/1114, sofern eingerichtet, oder falls dieser Mechanismus im Einklang mit dem Grundsatz der Verhältnismäßigkeit in Bezug auf Größe, Komplexität und Risikoprofil der Tätigkeiten des antragstellenden Emittenten einem Drittdienstleister übertragen wurde, eine umfassende Beschreibung der Vereinbarungen mit diesem Dritten, die alle in Artikel 4 Absatz 2 Buchstaben a bis g der vorliegenden Verordnung genannten Elemente enthalten muss, sowie den Namen und die Kontaktdaten des bestellten externen Prüfers; |
|
e) |
eine Erläuterung der Regelungen zur Unternehmensführung, die umgesetzt wurden, um die Trennung und angemessene Aufgabentrennung der Geschäftsbereiche und -einheiten von den internen Kontrollfunktionen im Rahmen des internen Kontrollmechanismus gemäß Artikel 34 Absatz 10 der Verordnung (EU) 2023/1114 sicherzustellen, sowie eine Erläuterung der Vorkehrungen, die getroffen wurden, um die Unabhängigkeit der internen Kontrollfunktionen zu gewährleisten, auch durch ihren direkten Zugang zum Leitungsorgan in seiner Leitungs- und Aufsichtsfunktion. |
Für die Zwecke von Buchstabe c umfasst die Beschreibung auch die Erklärung der Risikobereitschaft und der Risikotoleranz des antragstellenden Emittenten, einschließlich der geplanten Verfahren und Maßnahmen zur Steuerung der ermittelten Risiken im Rahmen der Risikobereitschaft.
(2) Der Zulassungsantrag muss eine Beschreibung der Vorkehrungen und der zugewiesenen IKT- und Personalressourcen enthalten, mit denen sichergestellt wird, dass der antragstellende Emittent die Verordnung (EU) 2022/2554 einhält, insbesondere auch alle folgenden Informationen in Bezug auf die IKT-Systeme, -Protokolle und -Instrumente des antragstellenden Emittenten:
|
a) |
eine detaillierte technische Dokumentation, einschließlich einer Beschreibung des Rahmens für das IKT-Risikomanagement gemäß Artikel 6 Absatz 1 der Verordnung (EU) 2022/2554, aus der hervorgeht, dass der antragstellende Emittent in der Lage ist, schnell, effizient und umfassend gegen IKT-Risiken vorzugehen und ein hohes Maß an digitaler operationaler Resilienz sicherzustellen; |
|
b) |
Einzelheiten, aus denen hervorgeht, dass der antragstellende Emittent aktualisierte IKT-Systeme, -Protokolle und -Instrumente unterhält, die angemessen und zuverlässig sind, über ausreichende Kapazitäten verfügen, um die für die Durchführung von Tätigkeiten und die rechtzeitige Erbringung von Dienstleistungen erforderlichen Daten korrekt zu verarbeiten, und die gemäß Artikel 7 der Verordnung (EU) 2022/2254 technologisch resilient sind; |
|
c) |
eine ausführliche Beschreibung der Sicherheitsleitlinie, aus der hervorgeht, dass die Systeme und Verfahren des antragstellenden Emittenten in der Lage sind, die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten, des Datenbestands und der IKT-Assets, einschließlich derjenigen seiner Kunden, im Einklang mit Artikel 9 Absatz 4 der Verordnung (EU) 2022/2554 zu schützen; |
|
d) |
eine umfassende Beschreibung der IKT-Prozesse und -Systeme, aus der hervorgeht, dass sie dem antragstellenden Emittenten verlässliche Informationen und Daten zur Unterstützung der Datenmeldeanforderungen liefern können. |
(3) Der Zulassungsantrag muss eine Beschreibung des Geschäftsfortführungsplans und der Strategie enthalten, die sicherstellen, dass der antragstellende Emittent in der Lage ist, seine Geschäftstätigkeit kontinuierlich fortzusetzen und Verluste im Falle einer schwerwiegenden Geschäftsunterbrechung zu begrenzen. Zu diesem Zweck enthält der Geschäftsfortführungsplan Folgendes:
|
a) |
die Bestandsaufnahme der wesentlichen Daten und Funktionen; |
|
b) |
eine Übersicht über die verfügbaren Sicherungs- und Wiederherstellungssysteme; |
|
c) |
eine Beschreibung der Verfügbarkeit von Mitarbeitern in Schlüsselpositionen in Fragen der Geschäftsfortführung gemäß Artikel 34 Absatz 8 der Verordnung (EU) 2023/1114 und Artikel 11 Absatz 1 der Verordnung (EU) 2022/2554. |
(4) Werden vermögenswertereferenzierte Token unter Verwendung einer unternehmenseigenen DLT oder einer ähnlichen Technologie, die vom antragstellenden Emittenten oder einem in seinem Namen handelnden Dritten betrieben wird, ausgegeben, gespeichert und übertragen, muss im Zulassungsantrag die ordnungsgemäße Funktionsweise der DLT oder einer ähnlichen Technologie nachgewiesen werden, wobei alle folgenden Punkte anzugeben sind:
|
a) |
die Beschreibung des Rechtsanspruchs des antragstellenden Emittenten auf die DLT oder eine ähnliche Technologie, unabhängig davon, ob es sich um Eigentumsrechte oder andere vertragliche Beziehungen handelt, die dem antragstellenden Emittenten die Kontrolle über die Distributed-Ledger-Technologie oder die ähnliche Technologie verschaffen, und zwar ungeachtet des Umstands, dass die DLT von einem anderen Unternehmen betrieben wird; |
|
b) |
der Name und die Kontaktdaten des Betreibers oder der Betreiber der DLT, falls es sich nicht um den antragstellenden Emittenten handelt; |
|
c) |
der Plan des antragstellenden Emittenten oder Drittbetreibers zur Risikoermittlung, -überwachung, -bewertung, -minderung und -vermeidung, auch im Hinblick auf das potenzielle Übergreifen auf andere Kryptowerte, die über diese DLT ausgegeben, übertragen oder gespeichert werden, und die damit verbundenen Anbieter von Kryptowerte-Dienstleistungen, sowie der Plan für die regelmäßige technologische Wartung und Aktualisierung der DLT oder einer ähnlichen Technologie; |
|
d) |
ein Bericht über die technische und sicherheitstechnische Prüfung der Vereinbarkeit der DLT-Funktionen mit den auf dem Markt geltenden Qualitätsstandards sowie über die Zweckmäßigkeit und Angemessenheit der unter Buchstabe c genannten Pläne; |
|
e) |
für den Fall, dass die unternehmenseigene DLT beschränkt ist, eine detaillierte Beschreibung der Transparenzmechanismen. |
(5) Sind Kooperationsvereinbarungen zwischen dem antragstellenden Emittenten und bestimmten Anbietern von Kryptowerte-Dienstleistungen vorgesehen, so enthält der Zulassungsantrag eine ausführliche Beschreibung der derzeitigen internen Kontrollmechanismen und Verfahren des Anbieters von Kryptowerte-Dienstleistungen, mit denen die Einhaltung der Verpflichtungen in Bezug auf die Verhinderung von Geldwäsche und Terrorismusfinanzierung gemäß der Richtlinie (EU) 2015/849 und gegebenenfalls der Verordnung (EU) 2023/1113 sichergestellt wird. Diese detaillierte Beschreibung umfasst eine zukunftsbezogene Beurteilung der kontinuierlichen Einhaltung dieser Verpflichtung für den Dreijahreszeitraum des Geschäftsplans des antragstellenden Emittenten. Die zuständige Behörde kann eine solche Beschreibung und zukunftsbezogene Beurteilung des Anbieters von Kryptowerte-Dienstleistungen mit den für die Bekämpfung von Geldwäsche und Terrorismusfinanzierung zuständigen Behörden und den Zentralstellen für Geldwäsche-Verdachtsanzeigen oder anderen öffentlichen Stellen gemäß Artikel 20 Absatz 2 Unterabsatz 2 der Verordnung (EU) 2023/1114 austauschen.