feat(cra,agent): readiness copy refinement + Track B (CompanyProfile prefill)

Readiness check: legally tighter + sales-sharper copy per review — names both
regulations cleanly (CRA + Machinery Reg 2023/1230 in plain language), frames CRA
Art. 13 as "more than a yearly pentest: assess/document/handle cyber risk across
the lifecycle" (not over-claiming a "continuously documented risk assessment"),
adds the "we turn regulation into code" positioning, and reorders the 8 questions
in CRA order (machine -> connectivity -> software -> updates -> remote -> app ->
personal data -> critical env).

Track B: the Compliance Agent Pre-Scan wizard now detects the shared
CompanyProfile and offers "Aus Profil übernehmen" — tolerant mapping (legal_form,
industry, employee_count) across the differing module vocabularies, user-
triggered (never silent), so company context isn't re-asked.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>

admin-compliance/app/sdk/cra/_components/ReadinessCheck.tsx

@@ -54,29 +54,42 @@ export function ReadinessCheck({ onCreateProject }: { onCreateProject?: () => vo
   }
 
   const QUESTIONS: { k: string; label: string }[] = [
-    { k: 'is_machinery', label: 'Ist es eine Maschine/Anlage (CE nach Maschinenrecht)?' },
-    { k: 'connected_to_internet', label: 'Hängt das Produkt am Internet (oder soll es)?' },
-    { k: 'user_parameter_app', label: 'Gibt es eine App, mit der Nutzer Parameter einstellen?' },
-    { k: 'remote_maintenance', label: 'Bietet ihr Fernwartung an?' },
-    { k: 'has_software_updates', label: 'Hat es Software-/Firmware-Updates?' },
-    { k: 'has_firmware', label: 'Enthält es Firmware (Embedded/IoT)?' },
-    { k: 'processes_personal_data', label: 'Verarbeitet es personenbezogene Daten?' },
-    { k: 'is_critical_infra_supplier', label: 'Wird es in kritischer Infrastruktur eingesetzt?' },
+    { k: 'is_machinery', label: 'Ist das Produkt eine Maschine oder Anlage?' },
+    { k: 'connected_to_internet', label: 'Ist das Produkt mit Netzwerken oder dem Internet verbunden?' },
+    { k: 'has_firmware', label: 'Enthält das Produkt Software oder Firmware?' },
+    { k: 'has_software_updates', label: 'Werden Software- oder Firmware-Updates bereitgestellt?' },
+    { k: 'remote_maintenance', label: 'Gibt es Fernwartungszugänge?' },
+    { k: 'user_parameter_app', label: 'Gibt es eine App oder Weboberfläche für Nutzer?' },
+    { k: 'processes_personal_data', label: 'Werden personenbezogene Daten verarbeitet?' },
+    { k: 'is_critical_infra_supplier', label: 'Wird das Produkt in kritischen Umgebungen oder Infrastrukturen eingesetzt?' },
   ]
 
   return (
     <div className="rounded-xl border border-purple-200 dark:border-purple-800 bg-purple-50/50 dark:bg-purple-900/20 p-5 mb-6">
       <h2 className="text-lg font-semibold text-gray-900 dark:text-gray-100">CRA-Readiness-Check</h2>
       <p className="text-sm text-gray-600 dark:text-gray-300 mt-1">
-        Vernetzte Maschinen/Anlagen treffen ab 2027 gleich <span className="font-medium">zwei Verordnungen</span>: der
-        {' '}<span className="font-medium">Cyber Resilience Act</span> (Hersteller-Pflichten ab 11.12.2027) und die
-        {' '}<span className="font-medium">neue Maschinen-VO 2023/1230</span> (ab 20.01.2027 — Cybersecurity mit
-        Safety-Bezug). Ein paar Fragen → sofort eine auf Ihren Scope zugeschnittene Übersicht (Code, Prozesse, Dokumentation).
+        Vernetzte Produkte und Maschinen treffen ab 2027 gleich zwei neue regulatorische Anforderungen:
       </p>
-      <p className="text-xs text-gray-500 mt-1 mb-4">
-        Der CRA will kein jährliches Pentest-Häkchen, sondern eine <span className="font-medium">fortlaufend dokumentierte
-        Cyber-Risikobeurteilung</span> über den Lebenszyklus (Art. 13 + Anhang I/VII). <span className="italic">Wir analysieren —
-        und setzen es mit Ihnen um, als laufendes System (versionierte Snapshots), nicht als Einmal-Check.</span>
+      <ul className="text-sm text-gray-600 dark:text-gray-300 mt-1 ml-1 space-y-0.5">
+        <li>• <span className="font-medium">Cyber Resilience Act (CRA)</span> — Herstellerpflichten ab 11.12.2027</li>
+        <li>• <span className="font-medium">Maschinenverordnung (EU) 2023/1230</span> — Anwendung ab 20.01.2027</li>
+      </ul>
+      <p className="text-sm text-gray-600 dark:text-gray-300 mt-2">
+        Während der CRA die Cybersecurity vernetzter Produkte über ihren gesamten Lebenszyklus regelt, verlangt die
+        neue Maschinenverordnung Schutzmaßnahmen gegen <span className="font-medium">digitale Manipulationen, soweit diese
+        Auswirkungen auf die Sicherheit von Personen</span> haben können.
+      </p>
+      <p className="text-xs text-gray-500 mt-2">
+        Mit wenigen Fragen erhalten Sie eine erste Einschätzung, welche Anforderungen für Ihr Produkt relevant werden
+        und welche Maßnahmen in den Bereichen Entwicklung, Dokumentation, Risikobeurteilung, Updates und Prozesse erforderlich sind.
+      </p>
+      <p className="text-xs text-gray-600 dark:text-gray-300 mt-2">
+        Der CRA verlangt mehr als einen jährlichen Penetrationstest: Hersteller müssen Cyber-Risiken über den gesamten
+        Produktlebenszyklus bewerten, dokumentieren und behandeln — von der Entwicklung bis zur Bereitstellung von Sicherheitsupdates.
+      </p>
+      <p className="text-xs text-purple-700 dark:text-purple-300 font-medium mt-2 mb-4">
+        Wir prüfen nicht nur die CRA-Konformität — wir übersetzen regulatorische Anforderungen direkt in Risiken,
+        Maßnahmen, Tickets, Evidenzen und technische Umsetzungsaufgaben. (We turn regulation into code.)
       </p>
 
       <textarea