feat: Phase 2 — Security Concepts + DSFA + DSR updates

Phase 2 of the Document Templates Masterplan:

- 101: Security Concepts v2 (7 templates) — NIS2UmsuCG references,
  BSI Grundschutz++ modernization, AI Act cross-references,
  Zero Trust principle, ransomware-protected backups, NIS2 logging
- 102: DSFA + Pflichtenregister + DSR v2 — AI Act Art. 9 for DSFA,
  NIS2UmsuCG for Pflichtenregister, tenant_id fix for DSR processes

All 16 templates reviewed — already at good product level, only
incremental updates needed (standards references, cross-doc links).

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>

backend-compliance/migrations/101_security_concepts_v2.sql

@@ -0,0 +1,130 @@
+-- Migration 101: Security Concepts v2 — Updates fuer alle 7 Templates aus Migration 051
+-- Keine strukturellen Aenderungen — die Templates sind bereits auf gutem Niveau
+-- Updates: NIS2UmsuCG Referenz, BSI Grundschutz++ Hinweis, AI Act, Version-Bump
+-- Cross-Document-Verweise auf TOM (087), AVV (088), DSI (093)
+
+-- ===========================================================================
+-- 1. IT-Sicherheitskonzept: NIS2UmsuCG + BSI Grundschutz++ + AI Act
+-- ===========================================================================
+UPDATE compliance_legal_templates
+SET
+    description = 'IT-Sicherheitskonzept nach ISO/IEC 27001:2022, BSI IT-Grundschutz (inkl. Grundschutz++ Modernisierung), DSGVO Art. 32, NIS2-Richtlinie/NIS2UmsuCG und AI Act. Definiert Sicherheitsziele, Organisation, technische und organisatorische Massnahmen.',
+    content = REPLACE(
+        REPLACE(
+            content,
+            '- NIS2-Richtlinie Art. 21 (Risikomanagementmassnahmen)',
+            '- NIS2-Richtlinie Art. 21 / NIS2UmsuCG (Risikomanagementmassnahmen, seit Dez. 2025)
+- KI-Verordnung (EU) 2024/1689 Art. 9, 15 (falls KI-Systeme eingesetzt werden)'
+        ),
+        'NIS2 Art. 21: Risikomanagementmassnahmen',
+        'NIS2 Art. 21 / NIS2UmsuCG: Risikomanagementmassnahmen (seit Dez. 2025)
+- AI Act Art. 9/15: Risikomanagement fuer KI-Systeme (falls zutreffend)
+- Verweis: TOM-Dokumentation (Art. 32 DSGVO) fuer detaillierte Massnahmen'
+    ),
+    version = '1.1.0',
+    updated_at = NOW()
+WHERE document_type = 'it_security_concept'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- ===========================================================================
+-- 2. Datenschutzkonzept: NIS2 + Verweis auf TOM/AVV/DSI
+-- ===========================================================================
+UPDATE compliance_legal_templates
+SET
+    description = 'Datenschutzkonzept gemaess DSGVO Art. 5, 6, 12-22, 24, 25, 28, 32-35 mit NIS2-Bezug. Beschreibt Datenschutzstrategie, Betroffenenrechte, TOMs und Auftragsverarbeitung. Verweist auf TOM-Dokumentation, AVV und DSI.',
+    content = REPLACE(
+        content,
+        '## 7. Technisch-Organisatorische Massnahmen (Art. 32 DSGVO)',
+        '## 7. Technisch-Organisatorische Massnahmen (Art. 32 DSGVO)
+
+*Detaillierte Massnahmenbeschreibung: siehe TOM-Dokumentation (Art. 32 DSGVO)*'
+    ),
+    version = '1.1.0',
+    updated_at = NOW()
+WHERE document_type = 'data_protection_concept'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- ===========================================================================
+-- 3. Backup-Recovery-Konzept: Ransomware-Schutz ergaenzen
+-- ===========================================================================
+UPDATE compliance_legal_templates
+SET
+    description = 'Backup- und Recovery-Konzept nach BSI IT-Grundschutz CON.3 und ISO 27001. Definiert Backup-Strategie (3-2-1), RTO/RPO, Speicherorte, Verschluesselung und Testplan. Inkl. Ransomware-Schutz.',
+    content = REPLACE(
+        content,
+        '- **1** Kopie offsite',
+        '- **1** Kopie offsite (air-gapped oder immutable fuer Ransomware-Schutz)'
+    ),
+    version = '1.1.0',
+    updated_at = NOW()
+WHERE document_type = 'backup_recovery_concept'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- ===========================================================================
+-- 4. Logging-Konzept: NIS2 Meldepflicht-Verweis
+-- ===========================================================================
+UPDATE compliance_legal_templates
+SET
+    description = 'Logging-Konzept nach BSI IT-Grundschutz OPS.1.1.5, ISO 27001 A.8.15 und BSI TR-03161. Definiert zu protokollierende Ereignisse, Speicherung, SIEM-Integration und NIS2-Nachweispflichten.',
+    content = REPLACE(
+        content,
+        '| ISO 27001 A.8.15 | Logging |',
+        '| ISO 27001 A.8.15 | Logging |
+| NIS2 Art. 23 | Nachweispflicht bei Sicherheitsvorfaellen |'
+    ),
+    version = '1.1.0',
+    updated_at = NOW()
+WHERE document_type = 'logging_concept'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- ===========================================================================
+-- 5. Incident-Response-Plan: NIS2UmsuCG Fristen bestaetigen
+-- ===========================================================================
+UPDATE compliance_legal_templates
+SET
+    description = 'Incident-Response-Plan fuer Sicherheitsvorfaelle und Datenpannen. DSGVO Art. 33/34, NIS2 Art. 23 / NIS2UmsuCG. Klassifizierung, Response-Team, Meldepflichten (72h DSGVO, 24h NIS2) und Kommunikationsplan.',
+    content = REPLACE(
+        content,
+        '### NIS2 Art. 23 — BSI',
+        '### NIS2 Art. 23 / NIS2UmsuCG — BSI (seit Dez. 2025)'
+    ),
+    version = '1.1.0',
+    updated_at = NOW()
+WHERE document_type = 'incident_response_plan'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- ===========================================================================
+-- 6. Zugriffskonzept: Zero-Trust-Verweis
+-- ===========================================================================
+UPDATE compliance_legal_templates
+SET
+    description = 'Zugriffskonzept nach ISO 27001 und BSI IT-Grundschutz ORP.4. Definiert RBAC, Benutzerlebenszyklus (On-/Offboarding), Authentifizierung (MFA/FIDO2), privilegierten Zugriff (PAM) und Rezertifizierung. Zero-Trust-Ansatz.',
+    content = REPLACE(
+        content,
+        '## 1. Grundsaetze
+
+- **Need-to-Know**: Zugriff nur bei Erforderlichkeit
+- **Least Privilege**: Minimal notwendige Berechtigungen
+- **Separation of Duties**: Kritische Vorgaenge erfordern mehrere Personen',
+        '## 1. Grundsaetze
+
+- **Need-to-Know**: Zugriff nur bei Erforderlichkeit
+- **Least Privilege**: Minimal notwendige Berechtigungen
+- **Separation of Duties**: Kritische Vorgaenge erfordern mehrere Personen
+- **Zero Trust**: Kein implizites Vertrauen — jeder Zugriff wird verifiziert, unabhaengig vom Netzwerkstandort'
+    ),
+    version = '1.1.0',
+    updated_at = NOW()
+WHERE document_type = 'access_control_concept'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- ===========================================================================
+-- 7. Risikomanagement-Konzept: AI Act + NIS2 Risikobezug
+-- ===========================================================================
+UPDATE compliance_legal_templates
+SET
+    description = 'Risikomanagement-Konzept nach ISO 31000:2018, ISO 27005:2022, BSI-Standard 200-3, DSGVO Art. 32 und NIS2/AI Act. Definiert Risikoprozess, 5x5-Matrix, Behandlungsoptionen und KPIs.',
+    version = '1.1.0',
+    updated_at = NOW()
+WHERE document_type = 'risk_management_concept'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';

backend-compliance/migrations/102_dsfa_pflichten_dsr_v2.sql

@@ -0,0 +1,43 @@
+-- Migration 102: DSFA + Pflichtenregister + DSR-Prozesse — v2 Updates
+-- Alle drei Template-Gruppen sind bereits auf gutem Niveau
+-- Updates: AI Act Bezug (DSFA), NIS2 (Pflichten), Tenant-ID Fix (DSR), Version-Bump
+
+-- ===========================================================================
+-- 1. DSFA: AI Act Art. 9 Bezug + Konsultationspflicht Art. 36 klarstellen
+-- ===========================================================================
+UPDATE compliance_legal_templates
+SET
+    description = 'Datenschutz-Folgenabschaetzung nach Art. 35 DSGVO mit IF-Bloecken. Fuer Hochrisiko-Verarbeitungen, KI-Systeme (EU AI Act Art. 9), automatisierte Entscheidungen (Art. 22). Inkl. Risikomatrix, TOM-Verweis und Unterschriftenblock.',
+    version = '1.1',
+    updated_at = NOW()
+WHERE document_type = 'dsfa'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- ===========================================================================
+-- 2. Pflichtenregister: NIS2UmsuCG + AI Act als Rechtsrahmen
+-- ===========================================================================
+UPDATE compliance_legal_templates
+SET
+    description = 'Vollstaendiges Pflichtenregister fuer alle regulatorischen Pflichten aus DSGVO, AI Act (EU 2024/1689), NIS2/NIS2UmsuCG und BDSG. Dokumentiert Pflichten, Verantwortlichkeiten, Fristen, Nachweise und Compliance-Status.',
+    version = '1.1.0',
+    updated_at = NOW()
+WHERE document_type = 'pflichtenregister'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- ===========================================================================
+-- 3. DSR-Prozesse: Tenant-ID auf Standard setzen (war '__default__')
+-- ===========================================================================
+UPDATE compliance_legal_templates
+SET
+    tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
+    updated_at = NOW()
+WHERE document_type LIKE 'dsr_process_art%'
+  AND tenant_id = '__default__';
+
+-- Version-Bump fuer alle DSR-Prozesse
+UPDATE compliance_legal_templates
+SET
+    version = '1.1',
+    updated_at = NOW()
+WHERE document_type LIKE 'dsr_process_art%'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';