MiCA та DORA compliance: ваш ключ до європейського фінансового ринку
Ви плануєте вийти на ринок ЄС зі своїм криптопроєктом чи фінтех-рішенням?
Тоді дві абревіатури мають стати вашими постійними супутниками: MiCA та DORA.
Це не просто нові «модні слова» з юридичного словника. Це — ваші перепустки до легальної та безпечної роботи в Європі. Без них — штрафи, блокування роботи, втрата клієнтів та інвесторів.
А з ними — довіра, прозорість і стабільний розвиток бізнесу.
Ми у Legal IT Group допомагаємо компаніям не просто «відповідати вимогам», а робимо так, щоб ці вимоги працювали на вас: оптимізували процеси, зміцнювали безпеку та приваблювали інвесторів.
Що таке MiCA, DORA, CASP: простими словами
MiCA (Markets in Crypto-Assets Regulation)
Єдиний регламент для всіх постачальників послуг, пов’язаних із криптоактивами (CASP), у країнах ЄС.
Визначає правила ліцензування, прозорості, управління ризиками та захисту клієнтів.
Охоплює криптобіржі, кастодіальні сервіси, емітентів стейблкоїнів, постачальників токенів та інші проєкти.
Приклад: Ви — український стартап, що створює платформу для обміну криптовалют. Без MiCA-ліцензії в ЄС ви працювати не зможете.
DORA (Digital Operational Resilience Act)
Регламент ЄС, що встановлює єдині стандарти цифрової стійкості для фінансових компаній.
Мета: захистити бізнес від кібератак, технічних збоїв та ризиків, пов’язаних із постачальниками ІТ-послуг.
Поширюється і на CASP, і на банки, і на платіжні сервіси, і навіть на провайдерів хмарних рішень для фінансового сектору.
Приклад: Якщо ваша біржа «ляже» через атаку або збій, DORA вимагає, щоб ви мали чіткий план відновлення і могли продовжити роботу з мінімальними втратами.
CASP — це юридичні або фізичні особи, які надають послуги, пов’язані з криптоактивами, і підпадають під регулювання MiCA та DORA. До них належать:
- Криптобіржі (обмін криптовалют)
- Платформи для зберігання криптовалют (кастодіальні сервіси)
- Емітенти токенів і стейблкоїнів
- Постачальники послуг із випуску, купівлі, продажу криптоактивів
- Провайдери гаманців і платіжних сервісів, які працюють із криптовалютами
CASP зобов’язані отримати ліцензію CASP у країнах ЄС, виконувати вимоги AML/KYC, впроваджувати системи управління ризиками, а також відповідати стандартам цифрової стійкості відповідно до DORA.
Кому обов’язково впроваджувати MiCA та DORA
- Криптобіржам і DeFi-платформам
- Емітентам стейблкоїнів і токенів
- Кастодіальним сервісам
- Платіжним сервісам і провайдерам гаманців
- Фінтех-стартапам з ЄС та поза ним
- IT-компаніям, що обслуговують фінансовий сектор
Наслідки невпровадження MiCA та DORA
| Ризик | Наслідок |
|---|---|
| Відсутність ліцензії CASP | Заборона на роботу в ЄС |
| Недотримання DORA | Штрафи, заморозка чи відкликання ліцензії |
| Кібератака без плану відновлення | Фінансові втрати, позови від клієнтів |
Етапи впровадження MiCA/DORA compliance
1. Аудит (Gap assessment)
MiCA: аналіз корпоративної структури, бізнес-моделі, відповідності AML/KYC, наявності whitepaper та політик управління ризиками.
DORA: аналіз ІТ-інфраструктури, кіберзахисту, планів реагування на інциденти, Disaster Recovery та управління постачальниками ІТ-послуг.
2. Compliance-план
MiCA: розробка покрокового плану отримання CASP-ліцензії, оновлення політик щодо захисту клієнтів, управління ризиками та конфліктами інтересів.
DORA: створення дорожньої карти з впровадження стандартів цифрової стійкості, графіку тестувань та процедур реагування на кібератаки.
3. Розробка політик і процедур
MiCA: AML/KYC Policy, Risk Management Framework, Whitepaper, Safeguarding Policy, Complaints Policy, Conflicts of Interest Policy.
DORA: Information Security Policy, Incident Response Plan, Disaster Recovery Plan, Third-Party Risk Management, журнали тестувань кіберзахисту.
4. Визначення ролей
| Роль | Основні обов’язки |
|---|---|
| AML Officer | – Розробка та впровадження політик AML/KYC- Контроль фінансових операцій- Навчання персоналу- Взаємодія з регуляторами- Проведення внутрішніх аудитів |
| DORA Officer / IT Risk Manager | – Управління ІТ-ризиками згідно DORA- Розробка планів реагування на інциденти- Координація Disaster Recovery Plan- Контроль ІТ-постачальників- Проведення IT-аудитів |
| CISO / Tech Lead | – Формування політик інформаційної безпеки- Керівництво технічними командами- Впровадження заходів захисту інфраструктури- Аналіз загроз- Забезпечення відповідності стандартам |
| Risk Owners | – Ідентифікація та оцінка ризиків- Розробка заходів мінімізації ризиків- Моніторинг виконання- Взаємодія з підрозділами- Звітність для керівництва |
5. Навчання персоналу
MiCA: тренінги з AML/KYC, корпоративного управління та взаємодії з регулятором.
DORA: курси з кібербезпеки, симуляції інцидентів, відпрацювання планів відновлення.
6. Демонстрація відповідності
MiCA: підготовка пакету документів для регулятора, проходження перевірок на відповідність CASP-вимогам.
DORA: проведення IT-аудиту, тестування кіберстійкості, надання звітності регулятору та аудиторам.
MiCA vs DORA: ключові відмінності для фінансових компаній
| Параметр | MiCA | DORA |
| Що це | Регламент ЄС про криптоактиви та пов’язані послуги | Регламент ЄС про цифрову операційну стійкість у фінансовому секторі |
| Кого стосується | Постачальники послуг з криптоактивами (CASP), емітенти стейблкоїнів, криптобіржі | Усі фінансові компанії, включно з CASP |
| Основні вимоги | Ліцензія CASP, AML/KYC, whitepaper, управління ризиками | ІТ-аудит, кібербезпека, контроль ІТ-постачальників |
| Дата набрання чинності | 30.12.2024 | 17.01.2025 |
Чекліст готовності до MiCA та DORA compliance
- Перед впровадженням вимог MiCA та DORA корисно перевірити, чи ваша компанія відповідає базовим критеріям. Наведений нижче список не є вичерпним і не замінює юридичну консультацію, але допоможе зорієнтуватися у ключових аспектах підготовки:☐ Компанія зареєстрована в одній із країн ЄС
- Наявна ліцензія CASP або розпочато процес її отримання
- Розроблені та затверджені політики AML, KYC, управління ризиками, ІТ-безпеки
- Призначені відповідальні особи (AML Officer, DORA Officer, CISO тощо)
- Проведено аудит постачальників ІТ-послуг та критичної інфраструктури
- Розроблено план відновлення після інцидентів (Disaster Recovery Plan)
- Whitepaper відповідає вимогам MiCA
FAQ: Найпоширеніші питання про MiCA та DORA
Чи можна вести діяльність без MiCA та DORA до початку їх дії?
Так, але після 30 грудня 2024 року (MiCA) та 17 січня 2025 року (DORA) діяльність без відповідності буде заборонена, і бізнес у ЄС ризикує блокуванням.
Чи потрібно одночасно виконувати вимоги обох регламентів?
Якщо ви є CASP, то так — обидва регламенти застосовуються, і дотримання їх є обов’язковим.
Скільки часу займає впровадження MiCA/DORA compliance?
Залежно від поточного рівня готовності компанії, від 2 до 6 місяців.
Чому варто розпочинати впровадження вже зараз?
Регулятори встановлюють обмежені терміни адаптації, попит на ліцензії зростає, а ранній старт дає конкурентну перевагу.
Чи потрібна ліцензія CASP для компаній за межами ЄС?
Якщо компанія планує працювати з клієнтами в ЄС, вона має отримати ліцензію CASP незалежно від місця реєстрації.
Які основні штрафи за недотримання MiCA та DORA?
Штрафи можуть сягати значних сум, включно з можливим призупиненням чи відкликанням ліцензії, а також блокуванням діяльності.
Чи можна делегувати обов’язки з compliance стороннім консультантам?
Так, але відповідальність перед регулятором залишається за керівництвом компанії.
Попит на ліцензії CASP зростає — черги будуть тільки збільшуватися. Раннє впровадження дає конкурентну перевагу.
