Nařízení MiCA v České republice v roce 2026: Praktický přehled

Do roku 2026 nebude nařízení EU o trzích s kryptoměnami (MiCA) rámcem, na který se společnosti „připravují“. Jedná se o základní pravidla pro legální provozování obchodu s kryptoměnami v celé Evropské unii. Starý způsob fungování – provozování v šedých zónách, spoléhání se na základní registrace, používání „mírných“ nastavení nebo odkládání dodržování předpisů až po spuštění – již v reálném dohledu a bankovnictví z velké části přestal fungovat.

MiCA začala platit postupně. Požadavky na tokeny vázané na aktiva (ART) a tokeny elektronických peněz (EMT) začaly platit 30. června 2024. Širší provozní režim – včetně požadavků na autorizaci poskytovatelů služeb v oblasti kryptoměn (CASPs) a většiny povinností týkajících se chování a správy – se uplatňuje od 30. prosince 2024.

V České republice se dohledová praxe ustálila do jasného vzorce: regulátoři se méně zajímají o to, jak propracované jsou politiky, a více se soustředí na to, zda kontroly skutečně fungují v každodenním provozu. Správa, opatření proti praní peněz a financování terorismu, ochrana aktiv klientů a odolnost ICT/provozní odolnost jsou hodnoceny jako živoucí systémy, které musí fungovat nepřetržitě, a nikoli jako papírování připravené k datu podání.

Co si z tohoto průvodce odnesete

• Proč by MiCA v Česku v roce 2026 měla být považována za provozní standard (podstata na prvním místě, průběžně udržovaná shoda), nikoli za jednorázový milník v oblasti licencování
• Jak funguje autorizace ČNB v praxi: oprávnění založená na rozsahu, české přechodné období a skutečné lhůty pro stávající poskytovatele versus zcela nové subjekty
• Co spadá do MiCA a co ne: které služby spouštějí status CASP, jak režimy ART/EMT interagují s rámcem poskytovatelů služeb a kde jsou hranice
• Co orgány dohledu testují během přezkumů a inspekcí: správa a „fit & proper“, finanční stabilita, provádění AML/CFT, ochranné mechanismy, plus kontroly ICT a outsourcingu v souladu s očekáváními typu DORA
• Co obvykle spouští vymáhání v roce 2026: neoprávněná činnost, překročení schválených oprávnění, závažné selhání kontrol – a jak se tyto problémy rychle přenášejí do bankovních a partnerských vztahů

Realita roku 2026: MiCA jako provozní standard (nikoli „přechodná fáze“)

MiCA vytvořila jednotný rámec EU, který pokrývá jak (i) způsob poskytování regulovaných služeb v oblasti kryptoměn, tak (ii) způsob vydávání a udržování určitých typů tokenů. Do roku 2026 bude mít to praktický dopad:

Pokud poskytujete regulované služby v oblasti kryptoměn, potřebujete povolení – a potřebujete provozní model, který obstojí při dohledu na úrovni srovnatelné s regulovanými finančními službami.

Pozornost orgánů dohledu se přesunula k tématům typu „dokázat, že to funguje“, včetně:

• Realita rozhodování: zda je podnik řízen skutečnými kontrolními osobami a odpovědnými manažery, nikoli nominálními řediteli
• Provádění AML/CFT: zda jsou kontroly AML zabudovány do skutečných transakčních toků a zákaznických cest (onboarding → monitoring → eskalace), nikoli izolovány v dokumentech
• Ochrana v praxi: zda ochrana aktiv klientů existuje jako vynutitelné technické a provozní mechanismy (oddělení, kontrola přístupu, odsouhlasení), nikoli jako odstavec v politice
• Kontrola ICT a outsourcingu: zda jsou technologická rizika, závislost na dodavatelích, reakce na incidenty, kontinuita a testování řízeny, dokumentovány a doloženy způsobem odpovídajícím DORA

MiCA také umožňuje po autorizaci pasportizaci v rámci EU. Z provozního hlediska však pasportizace málokdy usnadňuje život: zvyšuje viditelnost, zvyšuje očekávání v oblasti správy a podávání zpráv a podrobně zkoumá přeshraniční konzistenci.

Český přechodný režim: omezený, podmíněný a komerčně citlivý

Specifickým rysem pro Českou republiku v roce 2026 je přechodné („grandfathering“) období pro poskytovatele, kteří před plným vstupem MiCA v platnost působili na základě živnostenského oprávnění.

ČNB uvádí, že společnost, která před 30. prosincem 2024 poskytovala „služby související s virtuálními aktivy“ na základě živnostenského oprávnění a podala žádost o MiCA CASP do 31. července 2025, může pokračovat v činnosti, dokud rozhodnutí o povolení nenabude právní moci – v žádném případě však déle než do 1. července 2026.

Co to znamená z provozního hlediska v roce 2026

Stávající poskytovatelé mohou zůstat aktivní během schvalovacího řízení, ale pouze v rámci přechodných omezení a pouze pokud podali žádost včas a zůstávají v rámci povoleného provozního modelu.

Noví účastníci tuto možnost nemají. Očekává se, že budou připraveni na MiCA od prvního dne a nemohou považovat licencování za cvičení typu „později zajistíme soulad“.

Tento rozdíl má komerční význam. Banky, platební partneři a institucionální protistrany obvykle zacházejí s firmami, které jsou „v přechodném období, ale čekají na schválení“, jinak než s firmami, které prostě nemají licenci. Do roku 2026 se tolerance k provozování mimo regulovaný rámec stane minimální – zejména pokud jde o aktiva klientů nebo směnné toky.

Autorizace MiCA v roce 2026: Licence závisí na činnosti

Podle MiCA je autorizace vázána na to, co skutečně děláte – ne na váš marketing, právní formu ani budoucí plán. Režim je postaven na nabídce služeb: příslušný orgán schvaluje konkrétní činnosti a od firmy se očekává, že bude působit striktně v rámci tohoto rámce.

V EU (včetně České republiky) se regulované subjekty obvykle dělí do dvou skupin:

1. CASPs – firmy poskytující regulované služby v oblasti kryptoměn; a
2. Vydavatelé tokenů – subjekty vydávající ART nebo EMT, z nichž každý má vlastní obezřetnostní a dohledový režim.

Klíčovým prvkem prosazování je disciplína v oblasti působnosti

CASP smí vykonávat pouze činnosti výslovně uvedené v jeho povolení. Rozšíření o další služby bez schválení je považováno za neoprávněnou činnost – i když k tomu dochází postupně, i když se jedná o malé objemy a i když společnost tvrdí, že se jednalo o „náhodu“.

Z hlediska dohledu je rozšiřování rozsahu (provádění činností nad rámec schváleného rozsahu) jedním z nejrychlejších důvodů pro zásah v roce 2026.

Mezi typické regulované služby podle MiCA patří (zjednodušeně, neúplný výčet)

• Úschova / správa kryptoměn klientů (včetně kontroly nad klíči nebo přístupem k peněžence)
• Směnárenské služby (kryptoměna za fiat a kryptoměna za kryptoměnu), ať už jako hlavní subjekt, zprostředkovatel nebo provozovatel platformy v závislosti na struktuře
• Provozování obchodní platformy nebo podobné tržní infrastruktury (párování, knihy objednávek, pravidla obchodního místa)
• Provádění objednávek pro kryptoměny (včetně směrování a logiky provádění)
• Příjem a předávání příkazů (zpracování příkazů bez nutnosti interního provádění)
• Umístění kryptoaktiv (činnost související s distribucí, v závislosti na modelu)
• Převodní služby pro kryptoaktiva (přesun aktiv mezi adresami/peněženkami v rámci servisního modelu)
• Poradenství a správa portfolia, kde je služba poskytována podobným způsobem jako investice a podléhá očekáváním MiCA ohledně chování

ART a EMT: „Stabilní hodnota“ vyvolává odlišný pohled na dohled

MiCA zachází s modely tokenů se stabilní hodnotou odděleně od poskytovatelů služeb, protože jejich rizikový profil je odlišný: očekávání ohledně zpětného odkupu, integrita rezerv, expozice spotřebitelů a potenciál stresových událostí vyžadují přísnější kontroly.

Tokeny vázané na aktiva (ART)

ART jsou navrženy tak, aby udržovaly hodnotu odkazem na jedno nebo více aktiv nebo práv, s výjimkou EMT. V praxi se struktury ART často podobají modelům stablecoinů, které jsou podloženy:

• koši fiat měn,
• komoditami,
• jinými aktivy,
• kombinacemi výše uvedeného.

Dohled se obvykle zaměřuje na správu rezerv, opatření týkající se úschovy a oddělení, metodiku oceňování, plánování likvidity a mechanismy zpětného odkupu – zejména za nepříznivých tržních podmínek.

Tokeny elektronických peněz (EMT)

EMT jsou navrženy tak, aby udržovaly hodnotu odkazem na jednu oficiální měnu, jako je euro nebo americký dolar. Emitenti EMT jsou regulováni způsobem, který je v zásadě srovnatelný s institucemi elektronických peněz, a čelí zvýšeným požadavkům v následujících oblastech:

• kapitálové a obezřetnostní rezervy,
• zaručená práva na zpětný odkup,
• správa a ochrana rezerv
• standardy ochrany spotřebitelů a uživatelů platebních služeb.

Rozsah působnosti: kde MiCA končí

MiCA se vztahuje na kryptoaktiva chápaná jako digitální reprezentace hodnoty nebo práv převáděných a uchovávaných pomocí technologie distribuované účetní knihy nebo podobných systémů. Zároveň však stanoví jasné hranice.

• NFT obecně nespadají do působnosti MiCA, pokud jsou skutečně jedinečné a nezaměnitelné (a nejsou strukturovány tak, aby napodobovaly zaměnitelné nebo investiční nástroje).
• Finanční nástroje zůstávají v působnosti stávajících finančních předpisů EU (např. MiFID II), nikoli MiCA, což znamená, že chyby v klasifikaci mohou vést k zařazení podniku do nesprávného režimu.

Tyto výjimky mají význam v reálném dohledu. Nesprávná klasifikace není považována za drobnou technickou záležitost, pokud vede k provozu na základě nesprávného povolení nebo nesprávného kontrolního rámce.

Výběr správného povolení v roce 2026

Pro firmy působící v Česku (a potenciálně v celé EU) by měla být strategie povolení zakotvena v provozním modelu, včetně:

• přesné služby poskytované klientům a způsob jejich poskytování,
• zda se podnikání týká úschovy nebo kontroly nad aktivy klientů,
• kde se nachází burzovní činnost (principál, makléř, platforma),
• jak je organizována úschova, správa klíčů a provádění transakcí,
• technologická architektura a závislost na třetích stranách (outsourcing),
• dlouhodobý obchodní a škálovací režim

Provozování bez správného povolení – nebo provozování mimo schválený rozsah – je považováno za neoprávněnou finanční činnost a může vést k donucovacím opatřením, finančním sankcím, ztrátě bankovní podpory a omezením přístupu na trh.

Minimální kapitálové požadavky (CASPs): Vázané na rizikový profil

MiCA váže minimální počáteční kapitál na intenzitu rizika povolené činnosti. V praxi se orgány dohledu nezaměřují pouze na počáteční prahovou hodnotu, ale hodnotí, zda kapitálové a obezřetnostní záruky zůstávají adekvátní i při rozšiřování činnosti, zvyšování objemů a vývoji expozice vůči AML/CFT.

50 000 EUR – Modely CASP bez úschovy

Obecně relevantní v případě, že společnost nedrží ani nekontroluje aktiva klientů. Příkladem jsou modely zaměřené na poradenství, přijímání/předávání příkazů a určité funkce umístění (pokud jsou relevantní).

Obezřetnostní rizikový profil je obvykle ovlivněn spíše operačním rizikem a rizikem souvisejícím s dodržováním předpisů než rizikem spojeným s úschovou, ale orgány dohledu i tak očekávají důvěryhodné kontrolní prostředí a správu.

125 000 EUR – Služby související s úschovou a směnou

Obvykle relevantní v případě, že společnost drží nebo kontroluje aktiva klientů (úschova/správa) a/nebo poskytuje služby směny kryptoměn za fiat měny nebo kryptoměn za kryptoměny.

Vyšší kapitálové požadavky odrážejí potřebu podporovat:

• účinné kontrolní mechanismy ochrany a oddělení,
• disciplínu při odsouhlasování a provozní spolehlivost,
• odolnost proti podvodům, chybám nebo selháním procesů,
• vyšší expozici vůči AML/CFT v důsledku transakčních toků.

150 000 EUR – Obchodní platformy a provozovatelé trhů

Obvykle relevantní pro provozovatele obchodních platforem a funkcí tržní infrastruktury.

Tato kategorie čelí nejvyšším kapitálovým požadavkům CASP z důvodu zvýšené expozice vůči:

• požadavkům na integritu trhu a spravedlivé/řádné obchodování,
• očekáváním v oblasti provozní odolnosti (kontinuita, reakce na incidenty, dostupnost),
• povinnostem v oblasti prevence a dohledu nad zneužíváním trhu.

Kapitál je přezkoumáván společně s řízením, návrhem kontrolních mechanismů a schopností společnosti monitorovat a řídit činnost platformy.

Režimy pro vydavatele tokenů.

Vydavatelé ART – 350 000 EUR nebo 2 % rezervních aktiv

Vydavatelé ART musí udržovat minimální vlastní prostředky ve výši 350 000 EUR nebo 2 % rezervních aktiv (podle toho, která částka je vyšší). Cílem je řešit rizika související s úschovou rezerv, volatilitou ocenění a likvidity, provozní stabilitou a tlakem na zpětný odkup.

Emitenti EMT – 2 % průměrné hodnoty nesplacených elektronických peněz (s úpravou)

Emitenti EMT musí obecně držet kapitál ve výši nejméně 2 % průměrné hodnoty nesplacených elektronických peněz v oběhu. V případě nejistoty ohledně emise mohou být povoleny prognózy a orgány dohledu mohou požadavek upravit směrem nahoru nebo dolů až o 20 % v závislosti na rizikovém profilu.

Průběžné dodržování obezřetnostních požadavků: nejde o jednorázový test

Podle MiCA není kapitálová přiměřenost „splněna/nesplněna při udělování licence“. Od licencovaných subjektů se očekává, že budou průběžně dodržovat obezřetnostní požadavky.

Kapitálové požadavky lze splnit prostřednictvím jedné nebo kombinace následujících možností:

• vlastní prostředky (včetně vysoce kvalitního kapitálu po odpočtech) a/nebo
• pojištění nebo srovnatelná záruka pokrývající území EU, kde jsou služby poskytovány.

Pokud společnost nedokáže udržet adekvátní kapitál nebo obezřetnostní záruky, mohou orgány dohledu uložit nápravná opatření, omezit činnosti nebo odejmout povolení. Související povinnosti v oblasti finančního plánování (rozpočtování, disciplína v podávání zpráv, prognózy) jsou obvykle řešeny v rámci širšího rámce MiCA pro obchodní a finanční plánování.

Požadavky na povolení MiCA v České republice v roce 2026

Povolení MiCA v Česku závisí na dvou věcech: (1) na tom, co jste (CASP versus vydavatel tokenů) a (2) na tom, co skutečně plánujete dělat – tj. na přesném souboru regulovaných činností, které hodláte vykonávat. Povolení se udělují pouze v rámci schváleného rozsahu a přezkum je v podstatě posouzením provozní připravenosti, nikoli „kontrolou papírů“.

Před podáním žádosti by firmy měly převést svůj skutečný provozní model do jazyka MiCA: zmapovat současné a plánované služby do menu regulovaných činností a zamknout správný rozsah. Chyby v rozsahu jsou častou příčinou dotazů a zpoždění – například popis modelu jako „bezúschovného“, zatímco technický návrh stále implikuje kontrolu nad aktivy klientů.

V praxi se žádosti obvykle posuzují na základě pěti základních pilířů:

1. Obezřetnostní opatření (kapitál / pojištění / finanční udržitelnost)
2. Správa a podstata (vhodnost a způsobilost, odpovědnost, nezávislost kontrol)
3. Účinnost AML/CFT (rámec založený na riziku, který funguje v praxi)
4. Ochrana (aktiva a finanční prostředky klientů chráněná v praxi)
5. ICT a provozní odolnost (včetně outsourcingu správy v souladu s očekáváními typu DORA)

Řízení a vhodnost a způsobilost: ředitelé a akcionáři

Příslušné orgány pečlivě zkoumají, kdo je vlastníkem společnosti a kdo ji řídí – nejen zda jsou formálně způsobilí, ale také zda struktura správy obstojí v každodenním dohledu v roce 2026.

Ředitelé: typická očekávání

Od ředitelů se obecně očekává, že:

• prokáží dobrou pověst a příslušnou kompetenci pro provozování kryptoměnových/finančních služeb
• nemají žádné relevantní trestní odsouzení, zejména v souvislosti s AML/TF, podvody nebo přestupky proti integritě
• věnují dostatek času účinnému výkonu své funkce
• vytvoří strukturu řízení schopnou skutečného dohledu a smysluplné spolupráce s orgány dohledu

Kvalifikovaní akcionáři: typická očekávání

Akcionáři s kvalifikovanou účastí jsou obvykle podrobeni zvýšené kontrole a očekává se od nich, že:

• prokáží dobrou pověst a absenci relevantních trestních odsouzení
• poskytnou transparentní, zákonný a ověřitelný zdroj finančních prostředků / zdroj bohatství, podložený dokumentací a jasným ekonomickým odůvodněním
• zveřejní úplný řetězec vlastnictví a kontroly (včetně nepřímých podílů), historii kontroly a potenciální střety zájmů
• zveřejní politickou expozici (struktury spojené s PEP jsou obecně posuzovány v rámci zvýšené náležité péče)
• potvrdí, že jejich vliv neohrozí zdravé a obezřetné řízení instituce

V případě obav orgánů dohledu mohou tyto orgány požadovat nápravu, uložit podmínky, omezit vliv nebo uplatnit správní opatření.

Podstata a klíčové funkce: Vytvořeno pro fungování, ne pro dobrý vzhled

Žadatelé musí prokázat organizační uspořádání, které podporuje:

• jasné oddělení povinností,
• nezávislé kontrolní funkce
• konzistentní dohled vedení.

Orgány dohledu se nespoléhají pouze na organizační schémata. Hodnotí, zda jsou funkce obsazeny, zda mají k dispozici zdroje a zda jsou oprávněny účinně fungovat.

Klíčové funkce (orientační; závisí na rozsahu a riziku)

Struktura by měla být úměrná obchodnímu modelu, povoleným činnostem a rizikovému profilu. Mezi běžné funkce patří:

• Funkce AML/CFT (pracovník AML / odpovědná osoba)
• Vlastní rámec AML/CFT, posuzování rizik, KYC/KYB, logiku monitorování, návrh kontrol a testování účinnosti.
• MLRO / funkce hlášení podezřelých transakcí (pokud je to relevantní)
• Provádí nezávislé přezkoumání, vyšetřování, eskalaci a hlášení SAR/STR s dohledatelnou dokumentací.
• Řízení rizik
• Identifikuje a monitoruje provozní, obezřetnostní, compliance a outsourcingová rizika; udržuje rámec úměrný třídě činností.
• Funkce compliance
• Sleduje MiCA a související povinnosti, řídí compliance riziko, monitoruje porušení a udržuje správu politik.
• Finance (CFO / finanční funkce)
• Monitorování kapitálu, obezřetnostní opatření, rozpočtování, prognózy a připravenost na regulační finanční výkaznictví.
• ICT bezpečnost / bezpečnost informací (CISO nebo ekvivalent)
• Kybernetická správa, kontrola rizik ICT, koordinace reakce na incidenty a testování odolnosti v souladu s očekáváními MiCA a zásadami DORA.
• Vedení / ředitelé
• Strategie, správa a výkonný dohled; orgány dohledu očekávají zdokumentované postupy a odpovědné rozhodování.
• Provoz / poskytování služeb
• Pracovní postupy v rámci životního cyklu klienta, odsouhlasení, vyřizování stížností, koordinace incidentů a provádění každodenní kontroly.
• Technologie (CTO / vedoucí IT)
• Architektura, bezpečný vývoj, stabilita infrastruktury, integrita systému a integrace třetích stran.

V závislosti na složitosti lze očekávat další funkce (např. interní audit, ochrana údajů, dohled nad outsourcingem, zákaznická podpora, dohled nad trhem pro platformy). V roce 2026 budou orgány dohledu věnovat zvláštní pozornost tomu, zda kontrolní funkce mají skutečnou autoritu a nezávislost, zejména v modelech úschovy, burzy a platformy.

Dokumentační balíček: Konzistence je důležitější než objem

Silný soubor MiCA není ten nejdelší, ale ten, který je nejvíce vnitřně konzistentní a založený na důkazech. Dokumenty by měly odrážet skutečné operace a nesmějí si navzájem odporovat v jednotlivých částech.

Typický soubor dokumentů (orientační)

Společnost, vlastnictví a správa

• zakladatelské dokumenty a dokumenty skupiny; vlastnická/kontrolní struktura
• rámec správy a řízení: role, podřízenost, výbory, rozhodování
• politika střetu zájmů; politika outsourcingu správy a řízení

Program činností / obchodní model

• popis regulovaných služeb a požadovaný rozsah
• cílový trh, typy klientů, geografická působnost
• dodavatelské kanály (web/mobilní zařízení/API), pracovní postupy, klíčové procesy
• mapa outsourcingu a závislost na třetích stranách

Obezřetnostní a finanční

• model obezřetnostních opatření (vlastní prostředky / pojištění nebo srovnatelná záruka)
• zdroje financování a doklady o zdrojích financování
• prognózy, stresové scénáře, rozpočtování a finanční kontroly
• připravenost finančního výkaznictví

AML/CFT

• posouzení rizik AML/CFT
• KYC/KYB a monitorování pracovních postupů, eskalační cesty
• jmenování, zdroje a nezávislost funkcí AML/MLRO
• plán školení a metodika testování účinnosti

Rizika, ochranná opatření a provozní kontroly

• ochranná politika a technická implementace (oddělení, návrh peněženky, klíčové kontroly)
• srovnání, řešení incidentů, řešení stížností
• postupy pro provozní rizika a reakce na incidenty

ICT, kybernetická bezpečnost a odolnost (v souladu s MiCA a DORA)

• rámec ICT rizik, kontroly kybernetické bezpečnosti, správa přístupu
• logika reakce na incidenty a hlášení
• Plány BCP/DR a kalendář testování
• penetrační testování / nezávislé přezkumy (úměrné riziku)
• řízení rizik třetích stran a smluvní kontroly

Jednotlivci a balíček důkazů

• životopisy, kvalifikace, dokumentace o integritě, výpisy z rejstříku trestů (je-li to nutné)
• důkazy o připravenosti: popisy systémů, mapy procesů, protokoly/výstupy monitorování (jsou-li k dispozici)
• bankovní/servisní dohody, pokud jsou relevantní pro ochranu a kontinuitu

Regulační orgány obvykle kladou větší důraz na podnikatelský plán, finanční plán a účetní strategii, které jsou popsány níže.

Podnikatelský plán, finanční plán a účetní strategie (tříletý horizont)

Žadatelé o certifikaci CASP by měli předložit ucelený tříletý balíček, který umožní orgánům dohledu posoudit odolnost, udržitelnost a provozní spolehlivost.

Podnikatelský plán (program činnosti)

Měl by zahrnovat:

• obchodní strategii a organizační strukturu (včetně vztahů ve skupině, jsou-li relevantní)
• cílový trh, kategorie zákazníků a geografické pokrytí
• dodavatelské kanály (platformy, aplikace, API) a přehled procesů
• model personálního obsazení a zdrojů přizpůsobený objemům a rizikům
• strategii outsourcingu a delegované činnosti
• služby a typy aktiv v rozsahu
• předpokládané objemy transakcí a klíčové předpoklady výkonnosti

Finanční plán

Měl by zahrnovat:

• předpokládané finanční výkazy (rozvaha, výkaz zisku a ztráty, peněžní tok)
• prognózy výnosů a nákladů podle jednotlivých služeb
• předpoklady činnosti (klienti, obrat, počet transakcí)
• obezřetnostní opatření dodržování předpisů v celém horizontu
• transparentní zdroje financování (vlastní kapitál, úvěry, vnitroskupinové)
• zátěžové testování a nepříznivé scénáře

Účetní strategie

Měla by prokázat:

• jasné účetní zásady v souladu s očekáváními EU (včetně zásad směrnice 2013/34/EU, jsou-li použitelné)
• přísné oddělení aktiv klientů a společnosti, aby se zabránilo jejich smíchání
• účetní/výkaznické systémy schopné zaznamenávat všechny relevantní transakce s auditními stopami
• připravenost na externí audit a správa a řízení finančního výkaznictví

Nově založené společnosti: Praktická očekávání pro rok 2026

Nové subjekty často čelí přísnější kontrole, protože nemají historii činnosti. V praxi kladou orgány dohledu větší důraz na:

• věrohodné tříleté prognózy se stresovými scénáři a obhajitelným obchodním odůvodněním
• důkaz, že regulatorní kapitál a obezřetnostní opatření jsou skutečně k dispozici a udržitelné
• provozní připravenost v době podání (lidé, systémy, kontroly), nikoli pouze plán do budoucna

AML/CFT podle MiCA: „Implementováno“ znamená „v provozu“

Před udělením povolení se od CASP očekává, že prokáží, že mají rámec AML/CFT, který je aktivní a funkční, nikoli pouze navržený. Orgány dohledu obvykle hodnotí skutečnou účinnost, správu a důkazy o provádění kontrol.

Přístup založený na riziku

Posouzení rizika by mělo zahrnovat minimálně:

• kategorie zákazníků a rizikové profily,
• riziko služeb a produktů,
• transakční riziko a distribuční/dodavatelské kanály,
• geografickou expozici a přeshraniční působnost.

Opatření ke zmírnění rizik musí být přiměřená a začleněna do pracovních postupů (začlenění → monitorování → eskalace → hlášení).

Kontroly a správa

Žadatelé by měli prokázat:

• správu pro dohled nad AML, rozhodování a eskalaci
• postupy pro CDD/EDD, průběžné monitorování a řešení podezřelých aktivit
• interní reportingové linie a auditní stopy podporující odpovědnost a sledovatelnost

Monitorování, vedení záznamů a důkazy

Monitorovací schopnosti by měly být schopny detekovat neobvyklé nebo podezřelé vzorce a v příslušných případech by měly:

• odrážet známé typologie
• zahrnovat indikátory v řetězci i mimo řetězec
• podporovat vyšetřovací pracovní postupy a auditovatelné rozhodnutí

Uchovávání záznamů a integrita dat musí podporovat kontrolu a včasné podávání zpráv.

Školení a testování účinnosti

Žadatelé by měli mít:

• školení AML při nástupu a pravidelné školení AML
• školení specifické pro role s vyšším rizikem/kontrolní role
• pravidelné testování účinnosti a nápravné postupy s jasným vlastnictvím.

Střet zájmů

CASPs musí zavést kontroly k prevenci a řízení konfliktů, které by mohly ohrozit AML/CFT nebo posuzování souladu.

Funkce AML Officer a MLRO: nezávislost a pravomoc

MiCA nevyžaduje konkrétní pracovní pozice, ale vyžaduje, aby byly odpovědnosti AML/CFT jasně přiděleny, měly k dispozici odpovídající zdroje a byly provozně nezávislé. V praxi:

• AML Officer řídí každodenní provádění rámce
• MLRO (nebo ekvivalent) zajišťuje nezávislé přezkoumávání, vyšetřování a podávání zpráv

Ochrana a provozní odolnost v roce 2026

Do roku 2026 bude ochrana patřit mezi nejintenzivněji sledované oblasti. CASP musí prokázat, že aktiva klientů jsou chráněna před zneužitím, provozním selháním a rizikem insolvence prostřednictvím technických a provozních kontrol, nikoli pouze smluvním jazykem.

Oddělení aktiv a finančních prostředků klientů

Od CASP se očekává, že budou udržovat přísné oddělení mezi:

• vlastními aktivy společnosti a
• aktivy drženými pro klienty.

Mezi základní bezpečnostní opatření obvykle patří:

• fiatové prostředky klientů nejsou používány pro vlastní účet společnosti
• kryptoaktiva klientů nejsou používána, zastavena nebo převáděna bez výslovného souhlasu klienta
• peněženky a struktury úschovy jsou provozně odděleny
• oddělení je vynucováno technicky (architektura peněženky, přístupová práva), nikoli pouze smluvními podmínkami

Správa klíčů a kontrola přístupu

Pokud CASP drží nebo kontroluje kryptografické klíče, měl by implementovat a doložit:

• bezpečné úložiště klíčů (např. multi-sig / HSM)
• kontrolu přístupu a schvalovací pracovní postupy
• oddělení povinností v oblasti technologií, provozu a dodržování předpisů
• auditorské protokoly a postupy pro řešení incidentů

Ochrana fiatových prostředků klientů (mimo EMT)

V případě přijetí fiatových prostředků klientů (kromě EMT) vyžaduje ochrana obvykle umístění u:

• centrální banky,
• licencované úvěrové instituce.

Společnosti by měly dokumentovat nastavení ochranného účtu, časové harmonogramy, postupy odsouhlasení, přezkum rizika protistrany a správu více bank (pokud se používá).

Zveřejňování informací klientům

CASP musí poskytovat jasné informace vysvětlující:

• jak je prováděna segregace,
• rizika a kontroly úschovy,
• jak je ochrana v praxi uplatňována podle MiCA.

ICT systémy, kybernetická bezpečnost a provozní odolnost (MiCA & DORA)

MiCA očekává, že kryptoměnové podniky budou provozovat bezpečné, stabilní a kontrolovatelné operace. Souběžně s tím poskytuje DORA strukturovaný manuál pro řízení ICT rizik – a do roku 2026 se stane efektivním měřítkem, které regulační orgány a protistrany budou používat při posuzování, zda jsou kontroly odolnosti „skutečné“.

V praxi by CASP měly být schopny prokázat, že jejich ICT prostředí je zdokumentováno, řízeno a testováno, včetně:

• jasné technické dokumentace pro základní systémy a kritické závislosti
• politik kybernetické bezpečnosti a rámce řízení ICT rizik, který je skutečně používán
• nezávislého zajištění úměrného rizikovému profilu (například audity a penetrační testy)

Kontinuita podnikání a zotavení po havárii

Kontinuita je hodnocena jako provozní schopnost, nikoli jako příloha. Od CASP se očekává, že budou udržovat kritické služby prostřednictvím:

• zdokumentovaného plánu kontinuity podnikání (BCP)
• funkčních opatření pro obnovu po havárii
• opakovaných testů s uchováním důkazů o výsledcích a sledováním nápravných opatření

Outsourcing a řízení rizik třetích stran

V případě outsourcingu technologií, úschovy nebo jiných kritických funkcí očekávají orgány dohledu správu dodavatelů, která přesahuje rámec administrativy související s nákupem. CASP by měly obvykle:

• vedení aktuálního registru outsourcingu
• identifikace, posouzení a zmírnění rizik třetích stran (včetně rizika koncentrace a rizika jediného bodu selhání)
• začlenění smluvních ochran (bezpečnostní požadavky, oznamování incidentů, práva na audit/inspekci)
• provádění rutinních kontrol kritických poskytovatelů a udržování důvěryhodných plánů odchodu pro klíčové závislosti

Připravenost na řešení incidentů a hlášení

CASPs by měly být vybaveny tak, aby mohly detekovat a řídit incidenty ICT od začátku do konce. To zahrnuje postupy pro identifikaci, dokumentaci, eskalaci a – v příslušných případech – hlášení významných incidentů, podporované:

• protokoly incidentů a kritérii klasifikace
• analýzou příčin a hlášením po incidentu
• nápravnými opatřeními s vlastníky, termíny a důkazy o uzavření

Sankce a vymáhání podle MiCA (2026)

Do roku 2026 již nebude vymáhání MiCA považováno za „přechodné téma“. V celé EU je součástí běžné dozorové praxe. Kryptofirmy působící v Česku čelí aktivnímu dohledu a nedodržování předpisů je považováno za porušení předpisů, nikoli za fázi učení.

Orgány mají k dispozici širokou škálu nástrojů pro vymáhání, od finančních sankcí po provozní omezení a v závažných případech až po odebrání povolení. Opatření se uplatňují přiměřeně, obvykle s ohledem na povahu porušení, jeho trvání, dopad a dosavadní výsledky společnosti v oblasti správy a dodržování předpisů.

Správní pokuty a opatření týkající se povolení

MiCA umožňuje příslušným orgánům ukládat smysluplné správní pokuty. V závislosti na porušení mohou pokuty dosáhnout:

• několika milionů eur jako pevné částky,
• významného procenta ročního obratu společnosti.

Pokud nedostatky přetrvávají, mohou orgány dohledu také uplatnit pravidelné penále, jejichž cílem je vynutit nápravu, nikoli potrestat jednotlivý případ.

V případě závažných nebo systémových problémů mohou regulační orgány:

• pozastavit konkrétní činnosti,
• zúžit povolený rozsah,
• zcela zrušit povolení MiCA.

V roce 2026 bude provozování bez povolení – nebo provozování mimo schválený rozsah – považováno za neoprávněnou finanční činnost a může vést k rychlému vynucení.

AML/CFT a kybernetická bezpečnost jako spouštěče vynucení

Slabiny v AML/CFT zůstávají jedním z nejčastějších důvodů, proč regulátoři zasahují. Selhání v oblasti KYC, monitorování transakcí nebo řešení podezřelých aktivit obvykle vedou k:

• zesílené kontrole ze strany orgánů dohledu,
• formálním nápravným programům,
• následným omezením ze strany bank a platebních institucí.

Souběžně s tím se mohou podle DORA stupňovat závažné selhání ICT. Závažné incidenty, nedostatečná reakce na incidenty nebo slabá správa ICT mohou vést k nápravným opatřením, finančním sankcím a nařízeným nápravným opatřením.

I v případě, že formální sankce jsou omezené, závěry regulačních orgánů často vedou k snížení rizika partnerů, ztrátě přístupu k bankovním službám a poškození reputace.

Proč jsou průběžné kontroly důležité

Pravidelné interní kontroly a nezávislá hodnocení často rozhodují o tom, zda dojde k řízené nápravě, nebo k vynucovacím opatřením. Orgány dohledu stále více zdůrazňují:

• důkazy o provozní účinnosti (nejen zdokumentované záměry),
• viditelnou účast managementu na dohledu nad dodržováním předpisů a
• včasné odstranění zjištěných nedostatků.

Společnosti, které odkládají nápravná opatření nebo se spoléhají na „dodržování předpisů formou zaškrtávání políček“, obvykle čelí podstatně vyššímu regulačnímu riziku.

Praktická očekávání v oblasti dodržování předpisů v českém procesu MiCA (přístup ČNB k dohledu)

Do roku 2026 bude MiCA plně integrována do způsobu, jakým Česká národní banka (ČNB) dohlíží na tento sektor. Je aplikována jako stabilní provozní standard, nikoli jako postupné slaďování. V praxi ČNB tendenci považovat proces schvalování za test, zda je žadatel již v době podání žádosti schopen fungovat jako regulovaný účastník finančního trhu, a nikoli za kolaborativní proces, v jehož rámci se očekává, že zásadní nedostatky budou odstraněny později.

Autorizace jako test připravenosti (nikoli konzultační proces)

ČNB obvykle vychází z předpokladu, že:

• provozní model je konečný a jasně definovaný,
• klíčové funkce jsou obsazeny a fungují,
• kontroly jsou zavedeny a lze je doložit,
• jsou k dispozici a udržitelné obezřetnostní záruky.

Žádosti formulované ve smyslu „toto zavedeme po podání“ obecně představují v roce 2026 vyšší riziko z hlediska dohledu. V praxi je „později“ často interpretováno jako nedostatečná institucionální vyspělost spíše než jako realistický plán implementace.

Trvalé dodržování předpisů je standardem

Dodržování předpisů MiCA není považováno za jednorázový milník. Základním očekáváním ČNB v roce 2026 je trvalé dodržování předpisů zakotvené v každodenních postupech správy a kontroly.

Od firem se očekává, že budou i nadále v souladu s:

• povoleným rozsahem a povolenými činnostmi,
• správou a nezávislostí kontrolních funkcí,
• prováděním AML/CFT a účinností monitorování,
• obezřetnostními opatřeními a kapitálovou přiměřeností,
• ochranou a operační odolností (včetně správy ICT a outsourcingu).

Rámce, které existují pouze na papíře, nejsou aktivně udržovány nebo nelze prokázat prostřednictvím operačních výstupů, jsou obvykle považovány za nedostatečné.

Rizika a obezřetnostní opatření se musí přizpůsobovat podnikání

Posuzování rizik a obezřetnostní opatření jsou hodnocena jako dynamické povinnosti. ČNB očekává přehodnocení v případě podstatných změn v:

• objemu transakcí a chování klientů,
• vývoji rozsahu (včetně přírůstkových funkcí, které mění riziko),
• expozici úschovy nebo směny / kontrole nad aktivy klientů,
• složení zákazníků a geografickém pokrytí,
• struktuře outsourcingu a klíčových poskytovatelích.

Statická nebo zastaralá hodnocení rizik/kapitálu jsou často vnímána jako slabá vnitřní kontrola a nedostatečný dohled ze strany vedení.

Dokumentace musí odpovídat realitě (nesrovnalosti jsou označeny)

Dokumentace není posuzována izolovaně. Musí přesně popisovat skutečné pracovní postupy. Nesoulad mezi písemnými zásadami a skutečným provozem patří mezi nejčastější zdroje zjištění orgánů dohledu, zejména v oblastech, jako jsou:

• správní a rozhodovací procesy,
• postupy AML, logika monitorování, eskalační cesty a balíčky důkazů,
• architektura zabezpečení a správy peněženek/klíčů,
• zdroj finančních prostředků/zdroj bohatství,
• bezpečnost ICT, reakce na incidenty a testování BCP/DR,
• správa outsourcingu a rutinní dohled.

Obecné politiky ve formě šablon, které nejsou vázány na provozní model žadatele, často neprojdou testem „podstaty“.

Klíčové oblasti rizika: správa, nezávislost kontroly a transparentnost financování

ČNB klade velký důraz na správu a realitu vnitřní kontroly: odpovědnosti musí být jasně rozděleny, hierarchie musí fungovat a dohled musí být prokazatelný. Slabá správa, nedostatečná nezávislost funkcí AML/compliance nebo netransparentní rozhodování mohou stačit k vyvolání nepříznivého závěru.

Transparentnost financování je podobně citlivá. Formální potvrzení (bankovní zůstatky, certifikáty) málokdy obstojí samy o sobě, pokud není vysvětlen, zdokumentován a v souladu s vlastnickým řetězcem právní a ekonomický původ finančních prostředků. Mezery v řízení, návrhu kontrol nebo popisu zdrojů finančních prostředků mohou být důvodem pro eskalaci – včetně zastavení postupu.

Praktické důsledky pro řízení v roce 2026

V roce 2026 by dodržování MiCA mělo být řízeno jako soustavná odpovědnost vedení, která přímo ovlivňuje:

• stabilitu povolení a integritu rozsahu,
• přístup k bankovním a platebním službám,
• schopnost poskytovat služby v celé EU,
• dlouhodobou provozní životaschopnost a důvěryhodnost dohledu.

Pokud jsou interní zdroje nebo zkušenosti s regulací omezené, mohou nezávislá hodnocení nedostatků a odborná podpora snížit riziko – nikoli nahrazením interního vlastnictví, ale posílením kvality implementace, připravenosti důkazů a konzistence v rámci autorizačního spisu.

V případě potřeby využijte odbornou podporu v oblasti dodržování předpisů

Dodržování předpisů MiCA v roce 2026 je průběžná manažerská funkce, nikoli jednorázový právní úkol. Mnoho kryptoměnových podniků využívá externí specialisty, aby zůstaly v souladu, zejména v případě omezených interních zdrojů.

AMS podporuje kryptoměnové společnosti regulované MiCA v oblastech, jako jsou:

• nezávislé posouzení nedostatků v oblasti dodržování předpisů,
• přezkoumání AML/CFT a správy a řízení,
• kontroly kapitálu a obezřetnosti,
• hodnocení ICT a provozní odolnosti,
• plánování nápravných opatření a podpora dohledu.

Externí dohled může snížit riziko vynucování a posílit důvěryhodnost u regulačních orgánů, bank a protistran.

FAQ: Nařízení MiCA v Česku v roce 2026

Co se změnilo, když se MiCA v roce 2026 stala plně platnou?

Do roku 2026 bude MiCA považována za pravidla pro každodenní provoz v celé EU, nikoli za „nový“ rámec. Praktická změna spočívá v tom, že regulace kryptoměn se posunula od nesourodých vnitrostátních opatření a dočasných postupů k jednotnému, vymahatelnému modelu s konzistentními očekáváními v oblasti licencování, správy, ochrany, AML/CFT a odolnosti ICT. Jinými slovy, rok 2026 je bodem, kdy „registrační“ přístupy a provizorní dodržování předpisů přestávají být z obchodního a dohledového hlediska životaschopné.

Je povolení MiCA povinné pro kryptoměnové podniky působící v České republice?

Pokud poskytujete regulované služby v oblasti kryptoměn v České republice, je obecně vyžadováno povolení. Klíčovou otázkou není to, jak nazýváte svůj podnik, ale co ve skutečnosti děláte. Provozování bez správného povolení – nebo poskytování regulovaných služeb nad rámec schváleného rozsahu – je obvykle považováno za neoprávněnou činnost. To, zda se uplatní nějaké výjimky, závisí na klasifikaci (například zda aktivum nespadá do působnosti MiCA nebo je regulováno jinde), takže před spuštěním je rozhodující analýza rozsahu a produktu.

Jak se MiCA v praxi uplatňuje v České republice?

Uplatňování je řízeno praxí dohledu, nikoli teorií. Česká národní banka (ČNB) hodnotí, zda kontroly fungují v reálném provozu: postupy správy, monitorování AML, ochranné mechanismy, dohled nad outsourcingem a připravenost na incidenty. Od firem se stále více očekává, že prokáží implementaci (pracovní postupy, protokoly, výsledky testování, stopy odpovědnosti), a ne pouze předloží dobře napsané zásady.

Jaké typy povolení MiCA jsou k dispozici?

Povolení MiCA závisí na roli firmy:

• Autorizace CASP pro podniky poskytující regulované služby v oblasti kryptoměn;
• samostatné režimy autorizace a dohledu pro vydavatele ART a vydavatele EMT.

Výběr správného rozsahu je klíčovým krokem při udělování licence. Firma může vykonávat pouze činnosti zahrnuté v její schválené autorizaci. Pokud provozní model zahrnuje funkce úschovy, směny nebo platformy, obvykle se zvyšuje požadovaný rozsah a očekávání v oblasti dohledu.

Které služby v oblasti kryptoměn spadají pod regulaci MiCA?

MiCA zahrnuje širokou škálu služeb orientovaných na klienta. Regulované činnosti obvykle zahrnují úschovu a správu, směnárenské služby (krypto-fiat a krypto-krypto), provozování obchodních platforem, provádění a směrování příkazů, služby umístění a převodu a – v příslušných případech – poradenské a portfoliové služby. Přesný rozsah závisí na technickém nastavení a způsobu poskytování služby (včetně kontroly nad aktivy klienta a prováděním transakcí).