feat: Smart Onboarding Advisor — make the knowledge usable in onboarding (ADR-012)

The user-named "right next runtime step": stop building knowledge, start using it automatically in
onboarding — no sales training, no regulation picking. compliance/onboarding/ is an ORCHESTRATOR (not
a new engine) wiring Company 2A -> RS-005 -> optimization -> completeness:

  advisor_start(input, cert_hypotheses, target_requirements, ...) -> AdvisorResult

From (company + products + certifications + target) it returns inferred_assumptions, rejected_
assumptions, next_best_questions (<=5, ranked by information_gain + leverage + unknown_high_risk +
evidence_missing, each self-explaining), capability_delta, top_measures, evidence_requests,
unsupported_domains, completeness_summary. apply_answer() updates the profile (delta shrinks).

Welt-1 throughout: certificates REDUCE questions but satisfy nothing automatically (verification_
required); relevance(evidence,target) keeps ISO 14001 out of the CRA result. Certificate->capability
hypotheses + target requirements are INJECTED (curated knowledge, outsourced; not in code).

All 7 acceptance criteria pass; mypy --strict clean. First app-caller wiring the engines into a
product flow — still no endpoint/persistence, so 0 runtime effect -> no deploy yet (deploys when
POST /onboarding/advisor-start + frontend are wired). check-loc 0.

backend-compliance/reference_scenarios/onboarding_advisor_demo.md

@@ -0,0 +1,44 @@
+# Smart Onboarding Advisor — was der Nutzer sieht (automatisch, ohne Vertrieb)
+
+_Eingabe: Unternehmen + Produkte + Zertifizierungen + Ziel. Den Rest macht die Orchestrierung über die bestehenden Engines (Company 2A · RS-005 · Optimization · Completeness). Synthetisch, keine echten Namen._
+
+## Eingabe
+> Zertifizierungen: **ISO9001, ISO27001, ISO14001, TISAX** · Produkt: **Parkschein-/Schrankensystem** · Ziel: **CRA**
+
+## Was wir erkannt haben
+> 17 Anforderungen erkannt · 6 wahrscheinlich abgedeckt · 5 zu klären
+
+**Aus Ihren Zertifizierungen abgeleitet (zu bestätigen, nicht automatisch erfüllt):**
+- ISO9001 legt 1 relevante Fähigkeit(en) nahe — Verifikation erforderlich, nicht automatisch erfüllt
+- ISO27001 legt 5 relevante Fähigkeit(en) nahe — Verifikation erforderlich, nicht automatisch erfüllt
+- TISAX legt 5 relevante Fähigkeit(en) nahe — Verifikation erforderlich, nicht automatisch erfüllt
+- _ISO14001 ist für dieses Ziel nicht relevant — relevance(evidence, target) = 0 — keine geforderte Fähigkeit abgedeckt_
+
+## Die wenigen offenen Punkte — nur die nächsten besten Fragen
+**Frage 1 von 5** _(Informationswert 8)_
+> product cyber risk assessment? — _Warum fragen wir das: Keine Anhaltspunkte im Unternehmensprofil — klären._
+
+**Frage 2 von 5** _(Informationswert 8)_
+> protection against corruption of safety functions? — _Warum fragen wir das: Keine Anhaltspunkte im Unternehmensprofil — klären._
+
+**Frage 3 von 5** _(Informationswert 8)_
+> secure signed update distribution? — _Warum fragen wir das: Keine Anhaltspunkte im Unternehmensprofil — klären._
+
+**Frage 4 von 5** _(Informationswert 7)_
+> coordinated vulnerability disclosure? — _Warum fragen wir das: Keine Anhaltspunkte im Unternehmensprofil — klären._
+
+**Frage 5 von 5** _(Informationswert 7)_
+> exploited vuln and incident reporting? — _Warum fragen wir das: Keine Anhaltspunkte im Unternehmensprofil — klären._
+
+## Womit zuerst anfangen (größter Hebel)
+- `product_cyber_risk_assessment` — schließt 2 Anforderung(en): CRA, MaschinenVO
+- `protection_against_corruption_of_safety_functions` — schließt 2 Anforderung(en): CRA, MaschinenVO
+- `secure_signed_update_distribution` — schließt 2 Anforderung(en): CRA, MaschinenVO
+- `coordinated_vulnerability_disclosure` — schließt 1 Anforderung(en): CRA
+- `exploited_vuln_and_incident_reporting` — schließt 1 Anforderung(en): CRA
+
+## Vollständigkeit (ehrlich)
+> Identifiziert 1 · bewertet 1 · offen 0 · Unsicherheiten 0 · Begründung ja
+
+---
+_Der Vertrieb wählt KEIN Regelwerk und interpretiert nichts — er sieht nur dieses Ergebnis. Jede beantwortete Frage aktualisiert das Capability Profile und verkleinert das Delta._

backend-compliance/reference_scenarios/onboarding_advisor_demo.py

@@ -0,0 +1,72 @@
+# ruff: noqa
+# mypy: ignore-errors
+"""Smart Onboarding Advisor demo — what the frontend shows, automatically (no sales interpretation).
+
+The user types company + products + certifications + target. The Advisor orchestrates the existing
+engines and returns the next best questions, assumptions and measures. Sales sees only the result.
+Synthetic, no real names. Non-runtime demo of a runtime step.
+Run:  cd backend-compliance && PYTHONPATH=. python3 reference_scenarios/onboarding_advisor_demo.py
+"""
+from __future__ import annotations
+
+import os
+import yaml
+
+from compliance.onboarding import OnboardingInput, advisor_start
+from compliance.transition_reasoning import TargetRequirement
+
+OUT = []
+
+
+def w(s=""):
+    OUT.append(s)
+
+
+CRA = yaml.safe_load(open(os.path.join(os.path.dirname(__file__), "..", "knowledge", "transition_patterns",
+                      "transition_pattern_iso27001_to_cra_maschinenvo_v1.yaml"), encoding="utf-8"))
+infosec = [a["capability"] for a in CRA["likely_covered"]]
+req = [TargetRequirement(capability_id=a["capability"]) for a in CRA["likely_covered"]]
+req += [TargetRequirement(capability_id=d["capability"], question_intent=d.get("needed_information", "verify_existence"),
+                          expected_evidence=d.get("expected_evidence", [])) for d in CRA["delta_requirements"]]
+covers = {d["capability"]: d.get("covers_targets", []) for d in CRA["delta_requirements"]}
+hyp = {"ISO27001": infosec, "TISAX": infosec,
+       "ISO9001": ["ce_conformity_assessment_and_technical_documentation"],
+       "ISO14001": ["environmental_management_documentation"]}
+inp = OnboardingInput(company="synthetisch", industry="machine_builder",
+                      products=["Parkschein-/Schrankensystem"], markets=["EU", "DE"],
+                      certifications=["ISO9001", "ISO27001", "ISO14001", "TISAX"],
+                      known_evidence=["CE process"], target=["CRA"])
+res = advisor_start(inp, hyp, req, target_id="CRA", covers_targets=covers, corpus_status={"CRA": "validated"})
+
+w("# Smart Onboarding Advisor — was der Nutzer sieht (automatisch, ohne Vertrieb)")
+w("")
+w("_Eingabe: Unternehmen + Produkte + Zertifizierungen + Ziel. Den Rest macht die Orchestrierung über die bestehenden Engines (Company 2A · RS-005 · Optimization · Completeness). Synthetisch, keine echten Namen._")
+w("")
+w("## Eingabe")
+w("> Zertifizierungen: **%s** · Produkt: **%s** · Ziel: **%s**" % (", ".join(inp.certifications), inp.products[0], ", ".join(inp.target)))
+w("")
+w("## Was wir erkannt haben")
+w("> %s" % res.headline)
+w("")
+w("**Aus Ihren Zertifizierungen abgeleitet (zu bestätigen, nicht automatisch erfüllt):**")
+for a in res.inferred_assumptions:
+    w("- %s" % a.statement)
+for r in res.rejected_assumptions:
+    w("- _%s — %s_" % (r.statement, r.reason))
+w("")
+w("## Die wenigen offenen Punkte — nur die nächsten besten Fragen")
+for n, q in enumerate(res.next_best_questions, 1):
+    w("**Frage %d von %d** _(Informationswert %.0f)_" % (n, len(res.next_best_questions), q.information_value))
+    w("> %s? — _Warum fragen wir das: %s_" % (q.capability_id.replace("_", " "), q.why))
+    w("")
+w("## Womit zuerst anfangen (größter Hebel)")
+for m in res.top_measures[:5]:
+    w("- `%s` — schließt %d Anforderung(en): %s" % (m.capability_id, m.leverage, ", ".join(m.closes) or "—"))
+w("")
+w("## Vollständigkeit (ehrlich)")
+w("> %s" % res.completeness_summary)
+w("")
+w("---")
+w("_Der Vertrieb wählt KEIN Regelwerk und interpretiert nichts — er sieht nur dieses Ergebnis. Jede beantwortete Frage aktualisiert das Capability Profile und verkleinert das Delta._")
+
+print("\n".join(OUT))