Merge pull request 'docs(spec): Transition Reasoning v1 + MDQ Registry + ADR-002' (#8) from feat/transition-reasoning-spec into main

2026-06-27 07:03:43 +02:00
parent e4695cf289 fe21c2f487
commit f3d3255de1
3 changed files with 317 additions and 0 deletions
@@ -0,0 +1,35 @@
+# ADR-002: Transition = Data, not Architecture
+
+- **Status:** Accepted
+- **Datum:** 2026-06-27
+- **Typ:** Architektur-Entscheidung
+- **Bezug:** [`../transition-reasoning-spec-v1.md`](../transition-reasoning-spec-v1.md), [[regulatory-intelligence-vision]], Architektur-Freeze v1.0
+
+## Kontext
+
+BreakPilot wird von einem Compliance-Fragebogen zu einer **Transition Engine**: sie beantwortet
+`Ausgangszustand → Zielzustand → Delta` (z. B. ISO 27001 → CRA, ISMS → TISAX, MaschRL → MaschVO).
+Das Risiko: jede neue regulatorische „Reise" als Engine- oder Metamodell-Erweiterung zu bauen — das
+würde die Architektur mit jeder Transition aufblähen und genau den Effekt erzeugen, den der
+Architektur-Freeze verhindern soll.
+
+## Entscheidung
+
+1. **BreakPilot modelliert keine vollständigen Regelwerke als Interviews — sondern ausschließlich
+   den minimalen Informationsgewinn, der nötig ist, um einen vorhandenen Unternehmenszustand in
+   einen gewünschten regulatorischen Zielzustand zu überführen.**
+
+2. **Jede neue Transition (z. B. ISO 27001 → CRA oder ISMS → TISAX) muss ausschließlich durch neue
+   Transition Patterns und Capability-/MDQ-Wissen (Daten) entstehen. Weder die Engine noch das
+   Metamodell dürfen dafür erweitert werden.**
+
+## Konsequenzen
+
+- Jede neue regulatorische Reise ist ein **Datenproblem**, kein Architekturproblem — exakt das Ziel
+  des Architektur-Freeze.
+- Eine neue Transition besteht aus: neuen/wiederverwendeten **Master Delta Questions** (MDQ Registry),
+  einem **Transition Pattern** (nur MDQ-Referenzen) und **Required-Capability-Wissen** (Compliance
+  Execution). Kein neuer Code im Reasoning-Kern, keine neue Objektklasse im Metamodell.
+- Wiederverwendung wird zum Normalfall: `IEC 62443 → CRA` teilt die meisten MDQs mit `ISO 27001 → CRA`
+  und ergänzt nur wenige neue.
+- Diese ADR ist non-runtime → kein Deploy (siehe [ADR-001](ADR-001-runtime-deploy-policy.md)).
@@ -0,0 +1,139 @@
+# Transition Reasoning — Spezifikation v1 (zweiter Reasoning-Modus)
+
+- **Status:** Proposal / Spec v1 — 2026-06-27
+- **Scope:** erweitert die Reasoning-Session um einen zweiten Modus; ersetzt nichts.
+- **Freeze-konform:** additiv, **kein** neuer Graph, **keine** Basisklasse, **keine** Meta-Model-Klasse. Nur ein neues Paket + Daten.
+
+## Paradigmenwechsel
+
+BreakPilot beantwortet **Migrationsfragen**, nicht Regelwerk-Fragen. Nicht `Regelwerk → Gap`,
+sondern **`Ausgangszustand → Zielzustand → Delta`**. Der Kunde sagt nicht „Hilf mir beim CRA",
+sondern „Hilf mir von meinem heutigen Zustand zu meinem regulatorischen Zielzustand". Das Ziel ist
+beliebig: `ISMS→TISAX`, `DSGVO→CRA`, `ISO9001→IATF16949`, `MaschRL→MaschVO`, `CRA2025→CRA2028`.
+**Immer dieselbe Engine.**
+
+Die Fragenbibliothek enthält **kein** ISO27001-Wissen, sondern **Wissen über die Differenz**:
+nicht `ISO27001 → 100 Fragen`, sondern `ISO27001 → CRA → 12 Delta-Fragen`. Das ist viel kleiner.
+
+## Verhältnis zur bestehenden Architektur (erweitern, NICHT ersetzen)
+
+- Zweiter Modus **neben** Compliance Reasoning (`Produkt → Applicable → Obligations → Interpretation → Gap`). Neues Paket `backend-compliance/compliance/transition_reasoning/`.
+- **Transition Reasoning ist RCI verallgemeinert.** RCI ist der Spezialfall „start = heute, target = heute + Änderung". Demo `CRA2025→CRA2028` **ist** RCI. `assess_transition` ist Geschwister von `assess_change`.
+- **Wiederverwendung (kein neuer Kern):** Company Capability Profile (Phase 2A) = „habe" · Master Capability Registry (Phase 2C, `MCAP`) = stabile Identitäten + computed status · RCI = Delta-Mechanik · Reference Scenario Suite = Demos/Coverage **und** Lern-Signal für Information Gain.
+
+## Kernobjekte (`compliance/transition_reasoning/`)
+
+- **`TransitionContext`** — `start_state` {company_context, product_profile, known_regulations, known_certifications, declared/inferred/confirmed capabilities (aus Company 2A)} + `target_state` {target_regulation | target_certification | target_framework}.
+- **`TransitionGoal`** — das Ziel; **nicht** regelwerk-beschränkt. Auflösbar zu **Required Capabilities** (Execution-owned, injiziert).
+- **`TransitionAssessment`** (Output, **KEINE** Prozentzahlen) — je Required Capability `status ∈ {already_covered, probably_covered, needs_confirmation, missing, not_applicable, unsupported}` + die nächsten priorisierten MDQs.
+
+## MDQ Registry — das Herzstück (4. Identitätsmaschine-Instanz)
+
+Nach **Master Controls → Master Obligations → Master Capabilities** folgt **Master Delta Questions**.
+Kernumkehr: **Die Frage ist nicht das Primäre — sie ist eine Messsonde, um Unsicherheit über
+Capabilities zu reduzieren.** Jede Frage ist eine **identifizierbare, versionierte Wissenseinheit**.
+
+**`MasterDeltaQuestion` (MDQ)** — stabile Identität, versioniert (genau wie Master Controls):
+
+```yaml
+id: MDQ-00017
+question: "Wie lange stellen Sie Sicherheitsupdates für dieses Produkt bereit?"
+answer_type: duration            # | yes_no_document | enum | ...
+verifies: [MCAP-00042]           # welche Operational Capability(s) — Execution-owned
+supports_obligations: [CRA.OBL.145, CRA.OBL.233]
+transition_patterns: [ISO27001->CRA, IEC62443->CRA, TISAX->CRA]   # nur Referenzen
+expected_evidence: [support_policy, product_lifecycle_policy]
+information_gain: HIGH            # v1 statisch -> v2 computed (Entropy Reduction)
+confidence_impact:               # die Antwort MUTIERT den Trust State (via 2C-Policy)
+  document_uploaded: {MCAP-00042: "inferred -> confirmed"}
+certs_that_reduce_probability: [ISO27001]
+certs_that_do_not_reduce_probability: [ISO9001]
+follow_up:
+  if_unknown: MDQ-00018
+  if_below_required: MDQ-00021
+  if_no: TRANSITION_BLOCK
+# versionierung + lifecycle (wie Master Controls)
+version: 1
+status: active                   # | deprecated
+created: <ts>; deprecated: null; redirect_to: null
+provenance: {author, basis}
+# v2, strukturell vorgesehen (NICHT v1): Lern-Statistik
+observed: {asked: 0, changed_assessment: 0, useless: 0, average_information_gain: null}
+```
+
+- **`verifies → MCAP`:** die MDQ misst eine Operational Capability (Execution-owned `MCAP`-id). **Indexierung nach Capability, NICHT nach Regelwerk** → Wiederverwendung über Transitions.
+- **`confidence_impact` = Bindeglied zur 2A/2C-Trust-Mechanik:** eine Antwort liefert eine Relation + Evidence (z. B. „Dokument hochgeladen" = `confirms` + `artifact`), aus der die bestehende `evaluate_relation`-Policy (Master Capability Registry) den Status **neu berechnet** (`inferred → confirmed`). Die MDQ **speichert keine Confidence** — sie erzeugt den Input, der computed-not-stored ausgewertet wird. Mutiert das Company Capability Profile (2A).
+- **Identitäts-Disziplin = dieselbe wie Controls/Obligations/Capabilities:** `Candidate → Dedup → stabile MDQ-id → Relationen → Versionierung → Lifecycle (merge/deprecate/redirect)`. Ziel: **~300–500 Master Delta Questions** statt tausender Einzelfragen.
+
+## Transition Patterns (nur Referenzen)
+
+Ein Pattern speichert **keine** Fragen-Texte, nur MDQ-Referenzen:
+
+```text
+TransitionPattern  ISO27001 -> CRA  = [MDQ-17, MDQ-21, MDQ-33, MDQ-52, ...]
+```
+
+Folge: eine neue Transition `IEC62443 -> CRA` = großteils Wiederverwendung + wenige neue MDQs
+(z. B. 3 neue statt 30). Patterns liefern **Candidate Questions**; die **Product Map filtert**
+(dieselbe Transition braucht beim Maschinenbauer andere Fragen als beim SaaS-Unternehmen).
+
+## Algorithmus — Delta-Interview als Optimierung
+
+1. `TransitionGoal` → Required Capabilities (MCAP-Set) — **Execution, injiziert**.
+2. `have` = Company Capability Profile (confirmed ∪ inferred ∪ declared) — **2A**.
+3. Delta je Required Capability → status; unsichere (`probably_covered` / `needs_confirmation` / `missing`) bleiben offen.
+4. Candidate-MDQs aus dem/den Transition Pattern(s), **gefiltert durch die Product Map**.
+5. **Nicht sequenziell** — die Engine wählt iterativ die MDQ mit dem **höchsten erwarteten Informationsgewinn** für DIESEN Kunden (Entropy Reduction über die unsicheren Required Capabilities). Antwort → `confidence_impact` → Profil aktualisiert → neu priorisieren. Abbruch, wenn keine MDQ mehr nennenswert Unsicherheit reduziert (**Ziel: 10–20 Fragen, nicht 150**).
+6. Ergebnis: aktualisiertes Capability Profile → `TransitionAssessment`.
+
+**Information Gain (deterministisch + erklärbar):** v1 = `HIGH/MEDIUM/LOW` bzw. deterministischer Score
+= #unsichere Required Capabilities, die die Antwort auflöst × #abhängige Ziel-Obligations (− Redundanz).
+v2 = verfeinert aus `observed`-Statistik (asked / changed_assessment / useless) realer Kunden +
+Reference-Suite — aber **erklärbar, kein opaker ML-Score** (sonst die „0.58-Theater"-Falle). Gespeichert
+werden Statistik-Fakten, **abgeleitet** wird der Score → computed-not-stored.
+
+## Ownership (Freeze- und Domänen-konform)
+
+| Domäne | besitzt |
+|---|---|
+| **Legal Knowledge** | Ziel-Regelwerke + Obligations |
+| **Compliance Execution** | Required Capabilities (`obligation → required MCAP`), MCAP / Capability Registry |
+| **Reasoning (dieser Modus)** | Transition Engine, Priorisierung (Information Gain), Delta Interview, Assessment, **MDQ Registry** (Fragen-Wortlaut + Relationen + Versionierung + Follow-up) |
+
+Reasoning **konsumiert** Required Capabilities (injiziert — wie 2As `EMPTY_MAPPING`, keine
+Required-Capability-Daten im Reasoning-Produktcode). **Keine** neuen Capability-Mappings, **keine**
+neuen Regelwerke, **keine** Meta-Model-Klasse.
+
+## Akzeptanzkriterien (Demos → neue Reference-Suite-Szenarien)
+
+- **ISMS → TISAX:** Engine stellt **< 20 Fragen** (nicht 150).
+- **DSGVO → CRA:** erkennt vorhandenen Datenschutz, fragt gezielt **SBOM / Vulnerability Handling / Security Updates / Product Security**.
+- **ISO9001 → IATF16949:** **nur** Delta-Fragen.
+- **CRA2025 → CRA2028:** RCI liefert das Delta, Transition Engine formuliert daraus das Interview.
+
+Jede Demo wird eine Coverage-Zeile in der [[reference-scenario-suite]] (`Transition` TODO → PASS).
+
+## Architektur-Invariante (→ ADR-002)
+
+1. **BreakPilot modelliert keine vollständigen Regelwerke als Interviews — sondern ausschließlich den minimalen Informationsgewinn, der nötig ist, um einen Ausgangszustand in einen regulatorischen Zielzustand zu überführen.**
+2. **Jede neue Transition entsteht AUSSCHLIESSLICH durch neue Transition Patterns + Capability-/MDQ-Wissen (DATEN). Weder die Engine noch das Metamodell werden dafür erweitert.**
+
+→ Jede neue regulatorische Reise ist ein **Datenproblem**, kein Architekturproblem (= das Ziel des Architektur-Freeze).
+
+## Naming
+
+„Onboarding-Fragen" → **Transition Interview**. Es fragt nicht „Wie arbeiten Sie?", sondern „Was
+müssen wir noch wissen, um Ihren heutigen Zustand zuverlässig in den Zielzustand zu überführen?".
+
+## Sequenzierung / Abhängigkeit (ehrlich)
+
+Voller Wert braucht **Executions Required-Capabilities-pro-Obligation + MCAP-IDs** (dieselbe
+Abhängigkeit wie RS-003 Company-Gap). Baubar als **v0 in der Reasoning-Spur** mit injizierten
+Required-Capabilities + kleiner Seed-MDQ-Library (wie Company 2A injizierte Mappings konsumierte);
+v2 (computed Information Gain + Lern-Statistik) folgt strukturell. = neues Epic **RS-005 Transition
+Reasoning + MDQ Registry**, eng verwandt mit RS-003. **Spec jetzt, Bau pro Go.**
+
+## Anhang
+
+- Master Delta Questions v1 (100 Seed-Fragen): [`transition-reasoning/master-delta-questions-v1.md`](transition-reasoning/master-delta-questions-v1.md).
+- Architektur-Entscheidung: [`adr/ADR-002-transition-is-data-not-architecture.md`](adr/ADR-002-transition-is-data-not-architecture.md).
@@ -0,0 +1,143 @@
+# Master Delta Questions — v1 (Seed-Library)
+
+- **Status:** v1 Seed — 2026-06-27. Gehört zu [`../transition-reasoning-spec-v1.md`](../transition-reasoning-spec-v1.md).
+- **Sortierung nach Operational Capability, nicht nach Regelwerk** — dadurch werden Fragen über
+  Transitions hinweg wiederverwendbar (dieselbe Frage ist für CRA, IEC 62443, NIS2 und teils TISAX relevant).
+
+## Herkunft der Fragen (warum es wenige sind)
+
+- **Regulatorische Pflichten** (CRA, MaschVO, NIS2, Data Act, Umweltrecht …) sagen, **welche
+  Capability benötigt** wird.
+- **Bestehende Zertifizierungen** (ISO 27001, TISAX, ISO 9001, ISO 14001, IATF 16949 …) sagen,
+  **welche Capability wahrscheinlich bereits existiert**.
+- Die Bibliothek schließt **nur die Unsicherheit dazwischen** → dieselbe Frage in vielen Übergängen
+  wiederverwendbar. Erwartung: am Ende **~300–500 Master Delta Questions**, nicht 5.000.
+
+## v1 → v2 (Ziel)
+
+Diese 100 sind v1: noch nach Themen gruppiert, noch **un-indexiert**. v2 hebt jede Frage in das
+MDQ-Schema (siehe Spec): `id (MDQ-xxxxx)` · `verifies: [MCAP-id]` · `supports_obligations` ·
+`transition_patterns` · `expected_evidence` · `information_gain` · `confidence_impact` · `follow_up`
+· `version/status/lifecycle`. Erst dann werden sie zur **MDQ Registry** (4. Identitätsmaschine-Instanz).
+
+---
+
+## Bereich A — Unternehmenskontext (1–10)
+1. Welche Managementsysteme sind aktuell im Unternehmen eingeführt?
+2. Welche Zertifizierungen sind derzeit gültig?
+3. Welche Zertifizierungen befinden sich aktuell in Vorbereitung?
+4. Welche regulatorischen Anforderungen möchten Sie als Nächstes erfüllen?
+5. Welche Länder und Märkte beliefern Sie?
+6. Welche Rolle nehmen Sie ein (Hersteller, Integrator, Importeur, Betreiber, Service)?
+7. Entwickeln Sie eigene Produkte oder integrieren Sie Komponenten Dritter?
+8. Entwickeln Sie eigene Software oder Firmware?
+9. Welche Nachweise können Sie heute bereits unmittelbar bereitstellen?
+10. Welche regulatorischen Themen bereiten Ihnen derzeit die größten Schwierigkeiten?
+
+## Bereich B — Produktentwicklung (11–20)
+11. Gibt es einen dokumentierten Entwicklungsprozess?
+12. Werden Anforderungen versioniert?
+13. Werden Änderungen nachvollziehbar dokumentiert?
+14. Werden Architekturentscheidungen dokumentiert?
+15. Existieren Design Reviews?
+16. Werden Sicherheitsanforderungen bereits in der Entwicklung berücksichtigt?
+17. Gibt es definierte Freigabekriterien?
+18. Existiert ein Releaseprozess?
+19. Werden Softwareversionen eindeutig identifiziert?
+20. Existiert eine Produktstückliste (BOM)?
+
+## Bereich C — Software & Firmware (21–30)
+21. Enthält Ihr Produkt Software?
+22. Enthält Ihr Produkt Firmware?
+23. Werden Firmwareupdates ausgeliefert?
+24. Erfolgen Updates lokal oder remote?
+25. Können Updates automatisiert verteilt werden?
+26. Werden Updatepakete signiert?
+27. Wird die Integrität von Updates geprüft?
+28. Existiert eine Rollback-Strategie?
+29. Werden Softwarekomponenten versioniert?
+30. Werden Drittanbieterbibliotheken dokumentiert?
+
+## Bereich D — SBOM & Komponenten (31–40)
+31. Wird für jede Version automatisch eine SBOM erzeugt?
+32. Welches SBOM-Format verwenden Sie?
+33. Wird die SBOM versioniert?
+34. Enthält die SBOM alle Softwarekomponenten?
+35. Enthält sie Open-Source-Komponenten?
+36. Enthält sie proprietäre Komponenten?
+37. Wird die SBOM Kunden bereitgestellt?
+38. Wird sie intern gepflegt?
+39. Wird sie automatisiert erzeugt?
+40. Wie wird ihre Aktualität sichergestellt?
+
+## Bereich E — Vulnerability Management (41–50)
+41. Existiert ein dokumentierter Vulnerability-Management-Prozess?
+42. Wer bewertet gemeldete Schwachstellen?
+43. Wie werden CVEs verfolgt?
+44. Gibt es definierte Reaktionszeiten?
+45. Werden Schwachstellen priorisiert?
+46. Existiert ein PSIRT?
+47. Gibt es einen Meldeprozess für Kunden?
+48. Werden Security Advisories veröffentlicht?
+49. Werden behobene Schwachstellen dokumentiert?
+50. Wird der Prozess regelmäßig überprüft?
+
+## Bereich F — Security Updates (51–60)
+51. Gibt es eine dokumentierte Update-Richtlinie?
+52. Wie lange liefern Sie Sicherheitsupdates?
+53. Wie informieren Sie Kunden über Updates?
+54. Wie wird die Authentizität von Updates sichergestellt?
+55. Werden Notfallupdates unterstützt?
+56. Können Updates zurückgezogen werden?
+57. Können Kunden Updates ablehnen?
+58. Werden Updatefehler protokolliert?
+59. Gibt es einen definierten Update-Lifecycle?
+60. Wer verantwortet den Updateprozess?
+
+## Bereich G — Lieferanten (61–70)
+61. Werden Lieferanten sicherheitsbezogen bewertet?
+62. Gibt es Sicherheitsanforderungen an Lieferanten?
+63. Werden Softwarelieferanten regelmäßig überprüft?
+64. Werden Lieferantenänderungen dokumentiert?
+65. Werden Sicherheitsvorfälle von Lieferanten verfolgt?
+66. Werden Lieferantenverträge regelmäßig überprüft?
+67. Existieren Mindestanforderungen für Softwarelieferanten?
+68. Werden Lieferanten auditiert?
+69. Gibt es einen Eskalationsprozess?
+70. Wie werden kritische Lieferanten identifiziert?
+
+## Bereich H — Betrieb & Support (71–80)
+71. Existiert ein Incident-Response-Prozess?
+72. Gibt es einen Security-Support?
+73. Werden Sicherheitsvorfälle dokumentiert?
+74. Gibt es definierte Eskalationsstufen?
+75. Werden Kunden über Vorfälle informiert?
+76. Existiert ein Backupkonzept?
+77. Gibt es Wiederherstellungstests?
+78. Werden Supportanfragen klassifiziert?
+79. Gibt es definierte Servicezeiten?
+80. Werden Lessons Learned dokumentiert?
+
+## Bereich I — Nachweise (81–90)
+81. Welche Richtlinien können Sie unmittelbar bereitstellen?
+82. Welche Prozesse sind dokumentiert?
+83. Welche Arbeitsanweisungen existieren?
+84. Welche Auditberichte liegen vor?
+85. Welche Zertifikate liegen aktuell vor?
+86. Welche technischen Nachweise können Sie liefern?
+87. Welche Protokolle werden archiviert?
+88. Welche Nachweise werden versioniert?
+89. Welche Nachweise sind öffentlich verfügbar?
+90. Welche Nachweise fehlen derzeit?
+
+## Bereich J — Neue regulatorische Anforderungen (91–100)
+91. Erzeugen Sie Nutzungsdaten Ihrer Produkte?
+92. Unterstützen Ihre Produkte Fernwartung?
+93. Enthalten Ihre Produkte Funkmodule?
+94. Werden sicherheitsrelevante Ereignisse protokolliert?
+95. Gibt es Umweltaspekte wie Chemikalien oder Abwasser?
+96. Werden Umweltmessdaten dokumentiert?
+97. Gibt es produktspezifische Entsorgungsanforderungen?
+98. Gibt es dokumentierte Cyber-Risikoanalysen?
+99. Welche neuen regulatorischen Anforderungen sehen Sie selbst als größte Herausforderung?
+100. Welche regulatorischen Nachweise möchten Sie innerhalb der nächsten zwölf Monate erstmals oder zusätzlich erfüllen?