Der zyprische Regulierungsrahmen für den EU-Beitritt - Kernvorschriften, Behörden, Strukturen

Registrieren Sie sich bei der CySEC und erhalten Sie eine CIF-Lizenz, um über den Passporting-Mechanismus Zugang zu den EU-Märkten zu erhalten. Stellen Sie die Einhaltung von MiFID II/MiFIR sicher, halten Sie ausreichend Eigenmittel vor, richten Sie eine klare Unternehmensführung ein und ernennen Sie einen lokalen Compliance-Beauftragten zur Koordinierung grenzüberschreitender Aktivitäten.

Zypern setzt den EU-Rahmen durch das Gesetz über Wertpapierdienstleistungen und -tätigkeiten und geregelte Märkte und die dazugehörigen CySEC-Vorschriften um. Unternehmen klassifizieren Kunden, legen Kosten offen und entwickeln Produkte mit definierten Zwecken. Führungskräfte werden einer Eignungsprüfung unterzogen. Institute implementieren Risikokontrollen, führen detaillierte Aufzeichnungen und berichten regelmäßig an die CySEC.

Zu den wichtigsten Regulierungsbehörden und -organen gehören die Cyprus Securities and Exchange Commission (CySEC) als wichtigste Zulassungsbehörde für Wertpapierdienstleistungen, die Central Bank of Cyprus (CBC) für Banken- und Zahlungsdienstleistungen innerhalb des Eurosystems und die ESMA für eine europaweite Aufsichtskohärenz. Juristische Personen und Anmeldungen fallen unter das Department of Registrar of Companies and Official Receiver, das vom Finanzministerium beaufsichtigt wird.

Die Lizenzierung erfordert einen Geschäftsplan, interne Richtlinien, Governance-Vereinbarungen und den Nachweis der Kapitaladäquanz. Die CySEC führt Vor-Ort-Prüfungen und eine laufende Aufsicht durch, mit regelmäßiger Berichterstattung, jährlichen Audits und Compliance-Prüfungen. Unternehmen richten AML/CFT-Programme ein, ernennen einen Geldwäschebeauftragten, führen eine Customer-Due-Diligence durch und überwachen verdächtige Aktivitäten im Einklang mit EU-Richtlinien und nationalem Recht.

Richten Sie nach der Genehmigung Passporting-Vereinbarungen für teilnahmeberechtigte Mitgliedstaaten ein und passen Sie die Abläufe entsprechend an. Bauen Sie ein lokales Compliance-Team auf, integrieren Sie den Datenschutz mit der DSGVO und implementieren Sie grenzüberschreitende Reporting-Tools. Halten Sie die Dokumentation auf dem neuesten Stand, bereiten Sie sich auf mögliche Koordinierungsmaßnahmen der ESMA vor und pflegen Sie einen klaren Ansprechpartner bei der CySEC für Änderungen der Vorschriften oder Durchsetzungsfragen.

Wer sich ab dem 5. März 2025 bewerben kann: anspruchsberechtigte Kategorien und Grenzen

Lesen Sie die offizielle Zulassungsbekanntmachung vom 5. März 2025, um die genauen Kategorien und Obergrenzen zu bestätigen. Antragsberechtigte Bewerber fallen in zwei Hauptgruppen: natürliche Personen, die eine Anerkennung zur Ausübung in regulierten Sektoren anstreben, und juristische Personen, die grenzüberschreitende Dienstleistungen unter zypriotischer Aufsicht anbieten möchten.

Kategorie A – natürliche Personen mit anerkannten Berufsqualifikationen: EU- und EWR-Bürger sowie in Zypern ansässige Personen können sich um die Ausübung in reglementierten Berufen bewerben, nachdem Berufsverbände in Zypern ihre Qualifikationen anerkannt haben. Die Bewerber müssen die lokalen Zulassungs- oder Registrierungsanforderungen erfüllen und die sektorspezifischen Bedingungen einhalten, einschließlich der kontinuierlichen beruflichen Weiterentwicklung, sofern anwendbar.

Kategorie B – Unternehmen, die sich in Zypern niederlassen oder dort tätig sind: Unternehmen mit Sitz in der EU oder mit einer Niederlassung in Zypern können Genehmigungen erhalten, um grenzüberschreitende Dienstleistungen im Rahmen des durch die Regelung zulässigen Umfangs anzubieten. Die Bewerber müssen Substanz in Zypern nachweisen, einen bevollmächtigten Vertreter oder eine lokale Zweigstelle benennen und die geltenden aufsichtsrechtlichen, versicherungsrechtlichen und Meldepflichten einhalten.

Kategorie C – temporäre oder projektbezogene Dienstleister: Dienstleistungen für definierte, zeitlich begrenzte Projekte oder Aufträge können genehmigt werden, wenn die Tätigkeit eine Nebentätigkeit der Kerngeschäfte des Unternehmens darstellt. Projekte haben in der Regel eine maximale Laufzeit und erfordern eine projektspezifische Genehmigung, einschließlich klarer Enddaten und Leistungsmeilensteine.

Kategorie D – Forschung, Bildung und berufliche Mobilität: Forscher, Akademiker und Bildungseinrichtungen können im Rahmen von Mobilitäts- oder Kooperationsprogrammen teilnehmen, die Entsendungen, gemeinsame Programme oder kurzfristige Lehr- und Forschungstätigkeiten ermöglichen, vorbehaltlich sektorspezifischer Genehmigungen.

Kategorie E – gegenseitige Anerkennung und Übergangsregelungen: Bewerber, die unter Abkommen über gegenseitige Anerkennung oder Übergangsregelungen fallen, können bestimmte regulierte Tätigkeiten mit vereinfachten Schritten ausüben, sofern sie die von der zuständigen Behörde festgelegten Äquivalenz- oder Übergangskriterien erfüllen.

Beschränkungen und Zuweisung: Die zuständige Behörde legt Obergrenzen pro Kategorie und Sektor fest, wobei die Zuweisungen im regulatorischen Zeitplan veröffentlicht werden, der der Bekanntmachung vom 5. März 2025 beiliegt. Wenn die Nachfrage die Obergrenze übersteigt, verwendet die Behörde objektive Kriterien, um die Plätze zuzuweisen und die lokalen wirtschaftlichen Auswirkungen, den Sektormangel und die Compliance-Historie in den Akten zu priorisieren. Die Bewerber sollten das offizielle Portal auf Aktualisierungen, Fristen und alle sektorspezifischen Bedingungen überwachen, die sich auf die Zulassung auswirken.

Vorbereitung und Einreichung: Nachweis der Identität, Staatsangehörigkeit und aller erforderlichen Berufsqualifikationen zusammentragen; Nachweise über Zulassung oder Registrierung von den zuständigen Berufsverbänden beschaffen; Vorhandensein einer zypriotischen Niederlassung (für Unternehmen) dokumentieren, einschließlich Details des Unternehmensregisters, lokale Adresse und Ernennung eines lokalen Vertreters, falls erforderlich; Finanz- und Versicherungsoffenlegungen gemäß den Anforderungen des Regimes vorbereiten; Einhaltung der Datenschutz- und Geldwäschebekämpfungsanforderungen sicherstellen.

Erforderliche Dokumente: eine praktische Checkliste vor der Einreichung

Erstellen Sie ein vollständiges, englischsprachiges Dossier mit beglaubigten Kopien, einem detaillierten Index und klaren Querverweisen auf die Lizenzkategorie. Reichen Sie es über das Online-E-Submission-Portal der CySEC ein und halten Sie die Originale zur Überprüfung bereit.

1. Gesellschaftsidentität und Eigentumsverhältnisse

   • Gründungsurkunde, Satzung und ein aktueller Auszug aus dem zypriotischen Handelsregister.
   • Eingetragene und Handelsnamen, Rechtsform und die Adresse des eingetragenen Firmensitzes.
   • Liste der aktuellen Direktoren, Sekretäre und wirtschaftlich Berechtigten mit Eigentumsanteilen.
   • Nachweis der Registrierung bei der Steuerbehörde und der Umsatzsteuerstatus (falls zutreffend).
   • Bankreferenzschreiben oder Kontoauszüge, die ein funktionierendes Unternehmenskonto im Namen der Firma ausweisen.
   • Beglaubigte Kopien von Ausweisen oder Reisepässen für alle Direktoren und UBOs sowie Adressnachweise.

2. Management und Governance (Eignung)

   • Lebensläufe aller Direktoren und leitenden Angestellten; Berufsqualifikationen und Referenzen.
   • Erklärungen zur Integrität und Erklärungen zu Interessenkonflikten für jede verantwortliche Person.
   • Polizeiliche Führungszeugnisse oder gleichwertige Dokumente, falls erforderlich; Überblick über frühere regulatorische Maßnahmen, falls vorhanden.
   • Organigramm, das die Berichtslinien und die Zuweisung von Compliance- und Risikoverantwortlichkeiten aufzeigt.

3. Tätigkeitsbereich und Geschäftsplan

   • Detaillierter Geschäftsplan, der die lizenzierten Tätigkeiten, die Zielkundensegmente und den geografischen Fokus angibt.
   • Produkt- und Dienstleistungskatalog mit Servicelevels, vorgesehenem Kunden-Onboarding-Ablauf und Preismodell.
   • Prognosen für die ersten drei Jahre, einschließlich Umsatz, Kosten, Kapitalbedarf und Liquiditätsprognosen.
   • Beschreibung der Kundenklassifizierungen (Privatkunden, professionelle Kunden, geeignete Gegenparteien) und der Onboarding-Kriterien.

4. Richtlinien, Kontrollen und Governance-Dokumentation

   • AML/CFT-Richtlinie, Verfahren zur Kundenprüfung (CDD) und risikobasierte CDD-Vorlagen.
   • Richtlinie zur Sanktionsprüfung und laufender Überwachungsprozess.
   • Internes Kontrollsystem, Zuständigkeit der Compliance-Funktion und periodischer Testplan.
   • Whistleblowing-Richtlinie, Datenschutzrichtlinie (DSGVO-Konformität) und Datenverarbeitungsvereinbarungen.
   • Richtlinie zu PR, Interessenkonflikten und Steuerung von Anreizen; Aufbewahrungsplan für Aufzeichnungen und Datensätze.

5. Finanzielle Ressourcen und Solvenz

   • Nachweis des Mindestkapitals, das für die Lizenzkategorie gilt (einschließlich Berechnungsgrundlage und unterstützende Dokumente).
   • Aktuelle geprüfte Jahresabschlüsse (letzte zwei Jahre) oder, falls nicht verfügbar, Managementkonten zuzüglich einer Zusicherung der Direktoren.
   • Finanzierungsplan, Liquiditätsmanagementrichtlinie und Bankreferenzen oder Patronatserklärungen.

6. Kundengelder, Verwahrung und Aufbewahrung von Aufzeichnungen

   • Richtlinie zum Schutz von Kundengeldern und Segregationsvereinbarungen; Verfahren zur Verwahrung und Abstimmung.
   • Verfahren für Kundengelder, falls zutreffend, einschließlich Treuhandkonten und Kundenbuchkontrollen.
   • Richtlinie zur Aufbewahrung von Aufzeichnungen für Handelsbestätigungen, Kontoauszüge und KYC/CDD-Daten für den erforderlichen Aufbewahrungszeitraum.

7. Informationstechnologie und operative Bereitschaft

   • IT-Sicherheitsrichtlinie, Zugangskontrollen und Schwachstellenmanagementplan.
   • Business-Continuity- und Disaster-Recovery-Plan mit RTO/RPO-Zielen und Testergebnissen.
   • Datenschutz-Folgenabschätzung, wenn EU-Personendaten verarbeitet werden; Verfahren zur Reaktion auf Datenschutzverletzungen.
   • Überblick über die Technologiearchitektur und Protokolle für kritische Systeme; Sicherungs- und Wiederherstellungsverfahren.

8. Outsourcing und Beziehungen zu Dritten

• Liste der wesentlichen Outsourcing-Vereinbarungen, Dienstleister und durchgeführten Due-Diligence-Prüfungen.
• SLAs, Risikobewertungen und laufende Aufsichtsmechanismen für wichtige Anbieter.
• Auswirkungen auf die Geschäftskontinuität und Eskalationswege für ausgelagerte Funktionen.

Operative Richtlinien für Kunden und Produkte

• Kunden-Onboarding-Dateien, Vorlagen zur Erfassung von KYC-Daten und risikobasierte Verifizierungsschritte.
• Beschwerdebearbeitungsprozess, Eskalationswege und Berichterstattung an Kunden.
• Alle Produktinformationen, Angaben zu Interessenkonflikten und Überlegungen zur Eignung/Angemessenheit.

Anhänge, Übersetzungen und unterstützende Materialien

• Beglaubigte Übersetzungen von nicht-englischen Dokumenten; Apostille oder Legalisierung, falls erforderlich.
• Index, Querverweis-Matrix und Seitennummerierung; lesbare PDFs (nicht verschlüsselt) mit durchsuchbarem Text.
• Beispielvorlagen (KYC, Risikobewertung, Richtliniendokumente) und Kopien der offiziellen Formulare, die im Antrag verwendet werden.

Antragsphasen und typische Zeitpläne: von der Einreichung bis zur Entscheidung

Reichen Sie ein vollständiges, aufsichtsbehördengerechtes Dossier ein und vereinbaren Sie ein Vorgespräch mit der CySEC, um die Erwartungen abzustimmen.

Phase 1 – Vorbereitung und Voranmeldung (1–2 Wochen). Erstellen Sie Governance-Dokumente, ein Organigramm, Profile der wichtigsten Mitarbeiter und ein robustes AML/CFT-Framework. Bereiten Sie den Geschäftsplan, die Risikomanagementrichtlinien, die IT-Kontrollen, die Outsourcing-Vereinbarungen und den Kapitalplan vor. Ernennen Sie eine einzelne Kontaktperson für die Aufsichtsbehörden und sammeln Sie Vorlagen und Exponate, die die Einreichung erleichtern.

Phase 2 – Einreichung und Vollständigkeitsprüfung (2–4 Wochen). Übermitteln Sie das vollständige Antragsdossier über das Portal der CySEC, einschließlich aller Anhänge, Übersetzungen, falls erforderlich, und aktueller Unternehmensgenehmigungen. Verwenden Sie die Checkliste der CySEC, um zu überprüfen, ob jeder Punkt vorhanden und einheitlich formatiert ist, um Verzögerungen zu vermeiden.

Phase 3 – Administrativen Screening und Erstbewertung (4–8 Wochen). Die CySEC überprüft die Berechtigung, die Unternehmensstruktur, die Kontrollpersonen und die Eignung der Direktoren und leitenden Angestellten. Die Behörde prüft auch die Solvenz, die Kapitaladäquanzplanung und die organisatorische Bereitschaft, die aufsichtsrechtlichen Anforderungen zu erfüllen.

Phase 4 – Gründliche aufsichtsrechtliche Bewertung (8–16 Wochen). Die Aufsichtsbehörde prüft das Risikomanagement, die internen Kontrollen, das Compliance-Programm, die AML/CFT-Maßnahmen, die IT-Governance, die Outsourcing-Vereinbarungen und den Realismus des Geschäftsplans. Rechnen Sie mit Anfragen nach Klarstellungen oder ergänzenden Dokumenten, um die Kontrollen, die Governance und die Kapitalplanung zu validieren.

Phase 5 – Informationsanfragen und Antworten (2–6 Wochen pro Runde). Die CySEC kann gezielte Fragen stellen oder zusätzliche Nachweise anfordern. Geben Sie präzise, gut strukturierte Antworten mit Querverweisen, und fügen Sie bei Bedarf aktualisierte Richtlinien oder Diagramme bei. Begrenzen Sie die Antwortzeiten, um die Prüfung effizient voranzutreiben.

Phase 6 – Entscheidungs- und Lizenzierungsschritte (4–8 Wochen nach den endgültigen Informationen). Die CySEC erlässt den Bescheid, der die Lizenz mit bestimmten Auflagen erteilen oder in seltenen Fällen weitere Änderungen verlangen kann. Bereiten Sie sich auf mögliche bedingte Genehmigungen vor, die Fristen für die Implementierung von Kontrollen, die Berichterstattung oder zusätzliche Kapitalanforderungen festlegen.

Phase 7 – Nach der Entscheidung und Betriebsbereitschaft (2–6 Wochen, falls zutreffend). Schließen Sie die Lizenzierungsformalitäten ab, registrieren Sie sich bei den zuständigen Behörden und richten Sie laufende Aufsichtsvereinbarungen ein. Sobald Sie lizenziert sind, erhalten Sie grenzüberschreitende Passporting-Rechte, um Dienstleistungen in anderen EU-Jurisdiktionen im Rahmen des MiFID II-Rahmens anzubieten, vorbehaltlich der laufenden Einhaltung und regelmäßiger Überprüfungen.

Avi Sela's Sichtweise: Was eToro und FinTechs durch den Zugang zu Zypern gemeinsam gewinnen

Empfehlung: Sichern Sie sich eine CySEC-regulierte CIF-Lizenz, um grundlegende Wertpapierdienstleistungen in der gesamten EU zu passportieren, und sichern Sie diese mit einer in Zypern ansässigen Zahlungsdienstleistungs- oder E-Geld-Lizenz ab, um Kundenzahlungen und Wallets abzuwickeln. Dadurch entsteht ein einziger, EU-weiter Compliance-Fußabdruck von einem zypriotischen Hub aus.

Mit der CySEC haben Sie über das Passporting-Verfahren Zugang zum MiFID II-Rahmen in 27 Märkten und vermeiden separate Lizenzen in jedem Staat. Das ermöglicht es eToro und anderen FinTechs, schnell zu skalieren und gleichzeitig ein einheitliches Produkt und Kunden-Onboarding im gesamten Block beizubehalten.

Wichtige Datenpunkte unterstützen diesen Schritt: Zypern hat einen Körperschaftssteuersatz von 12,5 %, ein breites Netz von Doppelbesteuerungsabkommen und ein stabiles, an die EU angelehntes Aufsichtsregime unter der CySEC. Eine CySEC-CIF-Lizenz beinhaltet etablierte Kontrollen der Kundenprüfung, der AML/CFT und der Berichterstattung, die Gegenparteien von lizenzierten Brokern und Vermögensverwaltern erwarten.

Was dies in der Praxis für das Unternehmen bedeutet: Eine zypriotische Basis reduziert grenzüberschreitende Risiken, ermöglicht eine schnellere EU-Kundenakquise und senkt doppelte Compliance-Kosten. Außerdem öffnet sie die Türen zu Liquiditätsanbietern, FinTech-Anbietern und Banken, die einen in der EU zugelassenen Hub mit klarer Risikosteuerung bevorzugen.

Operativer Masterplan für die Skalierung

Bauen Sie ein Governance-Framework auf, das KYC, AML, Datenschutz und Cybersicherheit abdeckt, mit einem lokalen MLRO und einem engagierten, CySEC-konformen Compliance-Team. Führen Sie Risikokontrollen für das Onboarding, die Überwachung und das Sanktionsscreening durch, die an die CySEC-Berichtszyklen gebunden sind. Ergänzen Sie die CIF-Lizenz mit einer Zahlungs-/EMI-Funktion, um Kundenströme, Wallets und Abrechnungen zu rationalisieren. Richten Sie Kryptoaktivitäten gegebenenfalls an der MiCA-Konformität aus, einschließlich White-Label- oder Beratungsdienstleistungen, um eine Fehlklassifizierung zu vermeiden.

Umsetzbare Schritte jetzt hier

1) Nehmen Sie den Dialog mit der CySEC auf, um den Lizenzumfang für Ihr Produktportfolio zu bestätigen und die Kapitaladäquanzanforderungen gemäß MiFID II zu bestätigen. 2) Ordnen Sie die Passporting-Rechte den Zielmärkten zu und entwerfen Sie einen grenzüberschreitenden Operationsplan, der Onboarding, Marketing und Kundenschutz abdeckt. 3) Stellen Sie einen lokalen Compliance-Leiter ein, legen Sie AML/KYC-Protokolle fest und implementieren Sie GDPR-konforme Datenschutzmaßnahmen. 4) Richten Sie einen modularen Technologie-Stack für Handel, Zahlungen und Risikoberichterstattung ein, der eine nahtlose Integration mit den EU-Aufsichtsbehörden gewährleistet. 5) Führen Sie ein Pilotprojekt in zwei oder drei Mitgliedstaaten durch, überwachen Sie die Kosten für die Kundengewinnung und passen Sie die Preis- und Produktangebote entsprechend an.

Praktische Auswirkungen: Aufenthaltsgenehmigung, Bankgeschäfte und steuerliche Aspekte für Bewerber

Beantragen Sie eine dauerhafte Aufenthaltsgenehmigung auf dem Investitionsweg nur, nachdem Sie den Immobilienwert von mindestens 300.000 € zuzüglich Mehrwertsteuer bestätigt haben und sichergestellt haben, dass die Gelder aus nachverfolgbaren Quellen stammen. Das Civil Registry and Migration Department wird Ihre Unterlagen prüfen, und Sie sollten Passseiten, ein sauberes polizeiliches Führungszeugnis, eine Krankenversicherung, einen Adressnachweis, einen Eigentumsnachweis und einen Kapitalnachweis vorbereiten.

Besonderheiten des Aufenthaltsweges: Ein qualifizierter Immobilienkauf mit laufendem Einkommen unterstützt die Berechtigung. Genehmigungen werden in der Regel für fünf Jahre erteilt und sind verlängerbar, sofern Sie das Eigentum behalten und die Einkommensbedingungen erfüllen. Wenn Sie einen nicht-investiven Weg bevorzugen, sollten Sie einen langfristigen Aufenthalt in Verbindung mit einer Beschäftigung, einer selbstständigen Tätigkeit oder familiären Bindungen in Erwägung ziehen und die aktuellen Programmmöglichkeiten mit dem Civil Registry abklären.

Bankgeschäfte: Eröffnen Sie ein zypriotisches Bankkonto, um Ihre täglichen Finanzen und Überweisungen zu verwalten. Bringen Sie Ihren Reisepass, einen Adressnachweis, die zypriotische Steueridentifikationsnummer oder die ausländische TIN und Dokumente mit, die die Herkunft der Gelder belegen (Kaufverträge, Anlageaufzeichnungen, Gehaltsabrechnungen). Die Banken führen eine standardmäßige Due-Diligence-Prüfung durch, können eine lokale Adresse verlangen und eine Mindestgebühr oder monatliche Gebühren erheben. Verwenden Sie Online-Banking und Mehrwährungskonten, um grenzüberschreitende Aktivitäten zu vereinfachen.

Steuerliche Aspekte: Sie werden in Zypern steuerpflichtig, wenn Sie sich mehr als 183 Tage im Jahr hier aufhalten oder wenn Sie die 60-Tage-Regel erfüllen, wenn Sie keinen anderen Staat haben, in dem Sie steuerpflichtig sind, und Sie drei Bedingungen erfüllen: Sie haben ein zypriotisches Eigenheim, sind in Zypern beschäftigt oder betreiben ein Unternehmen und verbringen den Rest des Jahres außerhalb Zyperns. Nicht-domizilierte Einwohner vermeiden Verteidigungsbeiträge auf Dividenden und Zinsen für bis zu 17 Jahre. Die Sätze der persönlichen Einkommensteuer betragen 0 % bis zu 19.500 €; 20 % bis 28.000 €; 28 % bis 36.300 €; 30 % bis 60.000 €; darüber 35 %. Die Körperschaftssteuer beträgt 12,5 %; der Mehrwertsteuersatz beträgt 19 %. Die Kapitalertragssteuer wird mit 20 % auf Gewinne aus der Veräußerung von unbeweglichem Vermögen in Zypern erhoben. Zypern hat mit vielen Ländern Doppelbesteuerungsabkommen, um die grenzüberschreitende Planung zu erleichtern.