feat(cra,agent): readiness copy refinement + Track B (CompanyProfile prefill)

Readiness check: legally tighter + sales-sharper copy per review — names both
regulations cleanly (CRA + Machinery Reg 2023/1230 in plain language), frames CRA
Art. 13 as "more than a yearly pentest: assess/document/handle cyber risk across
the lifecycle" (not over-claiming a "continuously documented risk assessment"),
adds the "we turn regulation into code" positioning, and reorders the 8 questions
in CRA order (machine -> connectivity -> software -> updates -> remote -> app ->
personal data -> critical env).

Track B: the Compliance Agent Pre-Scan wizard now detects the shared
CompanyProfile and offers "Aus Profil übernehmen" — tolerant mapping (legal_form,
industry, employee_count) across the differing module vocabularies, user-
triggered (never silent), so company context isn't re-asked.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>

admin-compliance/app/sdk/agent/_components/PreScanWizard.tsx

@@ -110,6 +110,34 @@ export function isContextComplete(ctx: ScanContext): boolean {
   )
 }
 
+// Track B — consolidation: prefill from the shared CompanyProfile instead of
+// re-asking. Vocabularies differ across modules, so map tolerantly (only fields
+// that map cleanly; the rest the user fills). User-triggered, never silent.
+const DEV_TENANT = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
+const _VALID_LEGAL = new Set(['ag', 'gmbh', 'gmbh_co_kg', 'kg', 'ohg', 'ug', 'ek', 'verein', 'stiftung', 'behoerde'])
+const _INDUSTRY_ALIAS: Record<string, string> = {
+  maschinenbau: 'manufacturing', industrie: 'manufacturing', manufacturing: 'manufacturing',
+  automotive: 'automotive', oem: 'automotive', saas: 'saas', software: 'saas',
+  ecommerce: 'ecommerce', handel: 'ecommerce', banking: 'banking', finance: 'banking',
+  insurance: 'insurance', versicherung: 'insurance', healthcare: 'healthcare', gesundheit: 'healthcare',
+  bildung: 'education', education: 'education', medien: 'media', media: 'media',
+  verwaltung: 'public', public: 'public',
+}
+const _SIZE_TO_EMP: Record<string, string> = {
+  micro: 'lt10', small: '20_49', medium: '50_249', large: '250_499', enterprise: '1000_plus',
+}
+
+function mapProfileToScanContext(p: any): Partial<ScanContext> {
+  const out: Partial<ScanContext> = {}
+  const lf = String(p.legal_form || '').toLowerCase().replace(/[^a-z_]/g, '')
+  if (_VALID_LEGAL.has(lf)) out.legal_form = lf
+  const ind = String(Array.isArray(p.industry) ? p.industry[0] : (p.industry || '')).toLowerCase().trim()
+  if (_INDUSTRY_ALIAS[ind]) out.industry = _INDUSTRY_ALIAS[ind]
+  const size = String(p.company_size || '').toLowerCase()
+  if (_SIZE_TO_EMP[size]) out.employee_count = _SIZE_TO_EMP[size]
+  return out
+}
+
 export function PreScanWizard({
   value,
   onChange,
@@ -117,6 +145,14 @@ export function PreScanWizard({
   value: ScanContext
   onChange: (ctx: ScanContext) => void
 }) {
+  const [profile, setProfile] = useState<any>(null)
+  useEffect(() => {
+    fetch(`/api/sdk/v1/company-profile?tenant_id=${DEV_TENANT}`)
+      .then((r) => (r.ok ? r.json() : null))
+      .then((p) => { if (p && p.company_name) setProfile(p) })
+      .catch(() => {})
+  }, [])
+
   const update = <K extends keyof ScanContext>(key: K, val: ScanContext[K]) => {
     onChange({ ...value, [key]: val })
   }
@@ -149,6 +185,24 @@ export function PreScanWizard({
         Einschätzung statt pauschaler Verstoss-Listen.
       </p>
 
+      {profile && (
+        <div style={{ background: '#ecfdf5', border: '1px solid #a7f3d0', borderRadius: 8,
+                      padding: '8px 12px', marginBottom: 12, fontSize: 11, color: '#065f46' }}>
+          <strong>Unternehmensprofil erkannt:</strong> {profile.company_name}
+          {profile.industry ? ` · ${Array.isArray(profile.industry) ? profile.industry.join(', ') : profile.industry}` : ''}
+          {profile.legal_form ? ` · ${profile.legal_form}` : ''}
+          {profile.company_size ? ` · ${profile.company_size}` : ''}
+          {' '}— diese Angaben müssen Sie nicht erneut eingeben.
+          <button
+            onClick={() => onChange({ ...value, ...mapProfileToScanContext(profile) })}
+            style={{ marginLeft: 8, padding: '2px 10px', borderRadius: 6, border: '1px solid #059669',
+                     background: '#059669', color: '#fff', cursor: 'pointer', fontSize: 11 }}
+          >
+            Aus Profil übernehmen
+          </button>
+        </div>
+      )}
+
       <div style={{ display: 'grid', gridTemplateColumns: 'repeat(2, 1fr)', gap: 10 }}>
         <Field label="1. Branche*">
           <select value={value.industry} onChange={e => update('industry', e.target.value)} style={inputStyle}>

admin-compliance/app/sdk/cra/_components/ReadinessCheck.tsx

@@ -54,29 +54,42 @@ export function ReadinessCheck({ onCreateProject }: { onCreateProject?: () => vo
   }
 
   const QUESTIONS: { k: string; label: string }[] = [
-    { k: 'is_machinery', label: 'Ist es eine Maschine/Anlage (CE nach Maschinenrecht)?' },
-    { k: 'connected_to_internet', label: 'Hängt das Produkt am Internet (oder soll es)?' },
-    { k: 'user_parameter_app', label: 'Gibt es eine App, mit der Nutzer Parameter einstellen?' },
-    { k: 'remote_maintenance', label: 'Bietet ihr Fernwartung an?' },
-    { k: 'has_software_updates', label: 'Hat es Software-/Firmware-Updates?' },
-    { k: 'has_firmware', label: 'Enthält es Firmware (Embedded/IoT)?' },
-    { k: 'processes_personal_data', label: 'Verarbeitet es personenbezogene Daten?' },
-    { k: 'is_critical_infra_supplier', label: 'Wird es in kritischer Infrastruktur eingesetzt?' },
+    { k: 'is_machinery', label: 'Ist das Produkt eine Maschine oder Anlage?' },
+    { k: 'connected_to_internet', label: 'Ist das Produkt mit Netzwerken oder dem Internet verbunden?' },
+    { k: 'has_firmware', label: 'Enthält das Produkt Software oder Firmware?' },
+    { k: 'has_software_updates', label: 'Werden Software- oder Firmware-Updates bereitgestellt?' },
+    { k: 'remote_maintenance', label: 'Gibt es Fernwartungszugänge?' },
+    { k: 'user_parameter_app', label: 'Gibt es eine App oder Weboberfläche für Nutzer?' },
+    { k: 'processes_personal_data', label: 'Werden personenbezogene Daten verarbeitet?' },
+    { k: 'is_critical_infra_supplier', label: 'Wird das Produkt in kritischen Umgebungen oder Infrastrukturen eingesetzt?' },
   ]
 
   return (
     <div className="rounded-xl border border-purple-200 dark:border-purple-800 bg-purple-50/50 dark:bg-purple-900/20 p-5 mb-6">
       <h2 className="text-lg font-semibold text-gray-900 dark:text-gray-100">CRA-Readiness-Check</h2>
       <p className="text-sm text-gray-600 dark:text-gray-300 mt-1">
-        Vernetzte Maschinen/Anlagen treffen ab 2027 gleich <span className="font-medium">zwei Verordnungen</span>: der
-        {' '}<span className="font-medium">Cyber Resilience Act</span> (Hersteller-Pflichten ab 11.12.2027) und die
-        {' '}<span className="font-medium">neue Maschinen-VO 2023/1230</span> (ab 20.01.2027 — Cybersecurity mit
-        Safety-Bezug). Ein paar Fragen → sofort eine auf Ihren Scope zugeschnittene Übersicht (Code, Prozesse, Dokumentation).
+        Vernetzte Produkte und Maschinen treffen ab 2027 gleich zwei neue regulatorische Anforderungen:
       </p>
-      <p className="text-xs text-gray-500 mt-1 mb-4">
-        Der CRA will kein jährliches Pentest-Häkchen, sondern eine <span className="font-medium">fortlaufend dokumentierte
-        Cyber-Risikobeurteilung</span> über den Lebenszyklus (Art. 13 + Anhang I/VII). <span className="italic">Wir analysieren —
-        und setzen es mit Ihnen um, als laufendes System (versionierte Snapshots), nicht als Einmal-Check.</span>
+      <ul className="text-sm text-gray-600 dark:text-gray-300 mt-1 ml-1 space-y-0.5">
+        <li>• <span className="font-medium">Cyber Resilience Act (CRA)</span> — Herstellerpflichten ab 11.12.2027</li>
+        <li>• <span className="font-medium">Maschinenverordnung (EU) 2023/1230</span> — Anwendung ab 20.01.2027</li>
+      </ul>
+      <p className="text-sm text-gray-600 dark:text-gray-300 mt-2">
+        Während der CRA die Cybersecurity vernetzter Produkte über ihren gesamten Lebenszyklus regelt, verlangt die
+        neue Maschinenverordnung Schutzmaßnahmen gegen <span className="font-medium">digitale Manipulationen, soweit diese
+        Auswirkungen auf die Sicherheit von Personen</span> haben können.
+      </p>
+      <p className="text-xs text-gray-500 mt-2">
+        Mit wenigen Fragen erhalten Sie eine erste Einschätzung, welche Anforderungen für Ihr Produkt relevant werden
+        und welche Maßnahmen in den Bereichen Entwicklung, Dokumentation, Risikobeurteilung, Updates und Prozesse erforderlich sind.
+      </p>
+      <p className="text-xs text-gray-600 dark:text-gray-300 mt-2">
+        Der CRA verlangt mehr als einen jährlichen Penetrationstest: Hersteller müssen Cyber-Risiken über den gesamten
+        Produktlebenszyklus bewerten, dokumentieren und behandeln — von der Entwicklung bis zur Bereitstellung von Sicherheitsupdates.
+      </p>
+      <p className="text-xs text-purple-700 dark:text-purple-300 font-medium mt-2 mb-4">
+        Wir prüfen nicht nur die CRA-Konformität — wir übersetzen regulatorische Anforderungen direkt in Risiken,
+        Maßnahmen, Tickets, Evidenzen und technische Umsetzungsaufgaben. (We turn regulation into code.)
       </p>
 
       <textarea