核心摘要
- ESMA(欧洲证券和市场管理局)于2026年7月8日正式启动针对加密资产服务提供商(CASP)托管运营韧性的共同监管行动(Common Supervisory Action, CSA),系MiCA过渡期(2026年7月1日结束)后的首轮专项执法审查。
- 审查聚焦七项核心控制领域:治理安排、密钥与存储管理、交易控制、事件检测与响应、智能合约风险、第三方服务提供商依赖,以及分布式账本技术(DLT)固有风险。
- 各成员国主管当局(NCA)将以风险导向抽样方式选取已获授权的CASP展开实地评估,时间跨度为2026年下半年至2027年上半年,最终报告将于2027年下半年提交ESMA监事会。
- 本次CSA与DORA(数字运营韧性法案)监管框架形成制度叠加效应——2026年是DORA全面适用的首个完整年度,ESMA此前已将第三方依赖与ICT架构列为CASP监管的高压领域。
- 对加密基金管理人而言,CSA将实质性地重塑欧盟交易对手托管合规评估标准:托管服务商的密钥管理成熟度、智能合约审计记录与事件响应能力将从”自愿披露”升级为”监管审查要素”。
📑 文章目录
- ESMA专项审查的发起背景与制度动因 — MiCA过渡期结束后监管工具箱的首次激活
- 七项审查重点的逐一拆解 — 从密钥管理到第三方依赖的完整监管视图
- 加密基金需要关注哪些实际影响? — 交易对手评估框架的更新与托管人选择逻辑的重构
本文由 Aiying 艾盈基金合规团队原创。艾盈持有香港信托或公司服务提供者牌照(TCSP),专注加密基金架构与离岸合规。转载需授权。
MiCA过渡期刚于2026年7月1日正式结束,ESMA(欧洲证券和市场管理局)随即启动了过渡期后的首轮专项执法行动——一项聚焦加密资产托管运营韧性的共同监管行动(CSA)。这标志着欧盟加密监管从”牌照授权”阶段正式进入”运营合规审查”阶段。对于已将欧盟CASP纳入交易对手白名单的加密基金管理人而言,CSA将实质性改变托管服务商的合规评估维度。
一、ESMA专项审查的发起背景与制度动因
MiCA过渡期结束后的监管补位
2026年7月1日,MiCA(加密资产市场法规)过渡期正式终止,所有在欧盟境内提供加密资产服务的实体必须持有完整的CASP牌照方可继续运营。据ESMA截至过渡期结束的统计,已有超过280家实体获得CASP授权(相关阅读:ESMA发布MiCA过渡期结束后首份CASP注册名单更新)。然而,牌照授权仅解决了”准入门槛”问题——持牌机构在实际运营中的内控成熟度与风险抵御能力,仍需通过后续的专项审查加以验证。
本次CSA正是在这一制度逻辑下的产物。ESMA在官方声明中明确指出,该行动是对其风险导向监管优先事项的响应——数字运营韧性与CASP监管已被并列为关键风险领域(据ESMA官方公告,2026年7月8日)。
DORA框架下的运营韧性制度叠加
值得关注的是,2026年是DORA(数字运营韧性法案)全面适用的首个完整年度。DORA对金融机构的ICT风险管理、事件报告、渗透测试及第三方服务商监督提出了系统性要求,而CASP作为DORA的适用主体,其托管运营实质上面临MiCA与DORA的双重制度约束。ESMA此前已在多项监管文件中将第三方依赖和ICT架构识别为CASP监管的薄弱环节(据TradeInformer,2026年7月8日),本次CSA可视为这一制度关注的落地执行。
二、七项审查重点的逐一拆解
密钥与存储管理——托管安全的制度基石
CSA将密钥与存储管理列为首要审查领域。在加密资产托管中,私钥的生成、存储、使用与销毁流程直接决定了资产安全边界。ESMA要求NCA评估CASP的密钥管理框架成熟度,涵盖以下方面:密钥生成环境的安全隔离、多签与MPC(多方计算)方案的部署比例、冷热钱包的资产分配策略、以及密钥生命周期管理(生成→分发→轮换→撤销)的书面政策完整性。
对于加密基金管理人,这一审查方向的实操含义在于:托管服务商能否提供经独立审计的密钥管理SOC 2报告或同等证明,将从”加分项”转变为准入级要求。若某CASP在CSA评估中被发现密钥管理存在实质性缺陷,其运营牌照可能面临限制条件甚至暂停风险——基金需同步评估该场景下的资产迁移预案。
智能合约风险与第三方依赖——被低估的薄弱环节
CSA将智能合约风险单列为独立审查领域,这在欧盟加密监管工具中尚属首次。审查要点包括:CASP在托管架构中使用的智能合约是否经独立安全审计、审计报告是否覆盖重入攻击/整数溢出/访问控制等常见漏洞向量、以及针对智能合约升级(proxy pattern)的治理控制。
同时,第三方服务提供商依赖也是CSA的重点关注方向。许多CASP的托管基础设施依赖外部云服务商(如AWS、Azure)、区块链节点服务商(如Infura、Alchemy)以及专业密钥管理方案商(如Fireblocks、Copper)。CSA将评估CASP对这些第三方供应商的尽职调查深度、替代方案可用性及集中度风险。这与DORA框架下对”关键ICT第三方服务提供商”的监管要求一脉相承。
治理、交易控制与事件响应
CSA同时覆盖治理安排(董事会/高管层对托管运营风险的监督机制)、交易控制(交易审批流程、异常交易监控规则、白名单地址管理)和事件检测与响应(安全事件的分级分类标准、上报时间窗口、根因分析与整改闭环流程)。这三大领域共同构成了托管运营韧性的”管理基础设施”——密钥管理保护的是资产安全的技术底线,治理与事件响应保护的则是组织层面的容错能力。
三、加密基金需要关注哪些实际影响?
交易对手合规评估框架的维度升级
对于在欧盟设立或持有欧盟交易对手敞口的加密基金,CSA将推动交易对手合规评估从”牌照核查”升级为”运营能力验证”(据CoinTelegraph,2026年7月8日)。基金运营团队应在现有尽职调查问卷中新增以下评估维度:
- 密钥管理成熟度:是否使用MPC/多签方案?冷热钱包比例?密钥轮换频率?
- 智能合约审计记录:托管相关合约是否经独立第三方审计?最近一次审计日期?
- 第三方依赖映射:托管基础设施依赖哪些外部供应商?是否存在单点故障风险?
- 事件响应能力:安全事件的平均检测时间(MTTD)与平均响应时间(MTTR)?
值得注意的是,CSA以风险导向抽样方式选取审查对象,而非全量覆盖。这意味着未入选CSA样本的CASP不自动等同于”合规安全”——基金仍需基于上述维度进行独立评估。
托管人选择逻辑的结构性影响
CSA的落地将在中长期重塑欧盟加密托管市场的竞争格局。那些在密钥管理、智能合约安全和第三方治理方面已建立成熟框架的CASP(如已持有MiCA牌照的BitGo、FalconX、渣打银行旗下Zodia等),有望通过CSA评估进一步巩固市场信任(据CoinTelegraph,2026年6月)。相比之下,在以上领域存在治理短板的CASP,可能面临客户流失与监管约束的双重压力。
对于加密基金管理人,CSA还带来一个制度性机遇:CSA最终报告(预计2027年下半年发布)将成为行业基准——基金可依据该报告中的评估发现与最佳实践,系统性地校准自身的托管人遴选标准与持续监控机制。从这个意义上说,CSA不仅是一次执法行动,更是一次行业标准的集体定义。
常见问题(FAQ)
CSA审查是否适用于所有已获MiCA授权的CASP?
不适用全量覆盖。CSA采用风险导向抽样方式,由各成员国NCA根据CASP的规模、业务复杂度、托管资产量及历史合规记录等因素,选取具有代表性的机构进行审查。但未被抽中的CASP不应被视为”免检”——ESMA明确表示,CSA旨在促进监管趋同,最终报告中的审查发现与最佳实践将适用于整个行业。
加密基金是否需要主动向NCA披露其托管服务商信息?
本轮CSA的审查对象为CASP本身,而非基金实体。加密基金目前无需主动向NCA披露托管服务商使用情况。然而,若基金在欧盟境内以AIFM(另类投资基金管理人)身份运营,或委托欧盟持牌托管人提供资产保管服务,该托管人若被纳入CSA审查范围并发现缺陷,基金需评估由此产生的资产安全风险与合同补救措施。建议基金运营团队将CSA纳入交易对手年度审查的议程事项。
相关阅读:MiCA过渡期正式结束进入执法阶段:EBA拟将罚款上限提至年营业额12.5% | ESMA发布MiCA过渡期结束后首份CASP注册名单更新:新增37家机构总数达280家
来源
- ESMA官方公告:Common Supervisory Action on CASPs’ Digital Operational Resilience for Custody(2026年7月8日)
- CoinTelegraph:ESMA turns spotlight on crypto custody risks after MiCA transition(2026年7月8日)
- TradeInformer:ESMA launches EU-wide sweep of crypto custody operational resilience(2026年7月8日)
初版日期:2026-07-08 | 最后更新:2026-07-08

