# Smart Onboarding Advisor — was der Nutzer sieht (automatisch, ohne Vertrieb) _Eingabe: Unternehmen + Produkte + Zertifizierungen + Ziel. Den Rest macht die Orchestrierung über die bestehenden Engines (Company 2A · RS-005 · Optimization · Completeness). Synthetisch, keine echten Namen._ ## Eingabe > Zertifizierungen: **ISO9001, ISO27001, ISO14001, TISAX** · Produkt: **Parkschein-/Schrankensystem** · Ziel: **CRA** ## Phase 0 — Stille Vorbefüllung (BEVOR eine Frage erscheint) - **Signal Producer (verschiedene Dialekte → ein kanonisches Signal):** `vdp_found`(website), `cyclonedx_found`(repository), `cosign_found`(repository), `risk_assessment_pdf`(document), `cloud_hosted`(product), `plc_detected`(product) > Stille Vorbefüllung: 4 Fähigkeit(en) automatisch erkannt, 2 Produktfakt(en), 4 Nachweis(e) bereits vorhanden. - **Automatisch erkannte Fähigkeiten:** `coordinated_vulnerability_disclosure`, `product_cyber_risk_assessment`, `sbom_creation`, `secure_signed_update_distribution` - **Produktfakten (steuern den Scope):** `connected_to_internet=true`, `is_machine=true` - **Nachweise bereits in der Hand (kein Upload nötig):** cvd_policy, product_risk_assessment, sbom, signing_config ## Was wir erkannt haben > 17 Anforderungen erkannt · 4 automatisch erkannt (Intake) · 5 wahrscheinlich (Zertifikate) · 5 zu klären **Aus Ihren Zertifizierungen abgeleitet (zu bestätigen, nicht automatisch erfüllt):** - ISO9001 legt 1 relevante Fähigkeit(en) nahe — Verifikation erforderlich, nicht automatisch erfüllt - ISO27001 legt 4 relevante Fähigkeit(en) nahe — Verifikation erforderlich, nicht automatisch erfüllt - TISAX legt 4 relevante Fähigkeit(en) nahe — Verifikation erforderlich, nicht automatisch erfüllt - _ISO14001 ist für dieses Ziel nicht relevant — relevance(evidence, target) = 0 — keine geforderte Fähigkeit abgedeckt_ ## Die wenigen offenen Punkte — nur die nächsten besten Fragen **Frage 1 von 5** _(Informationswert 8)_ > protection against corruption of safety functions? — _Warum fragen wir das: Keine Anhaltspunkte im Unternehmensprofil — klären._ **Frage 2 von 5** _(Informationswert 7)_ > exploited vuln and incident reporting? — _Warum fragen wir das: Keine Anhaltspunkte im Unternehmensprofil — klären._ **Frage 3 von 5** _(Informationswert 7)_ > machine safety risk assessment? — _Warum fragen wir das: Keine Anhaltspunkte im Unternehmensprofil — klären._ **Frage 4 von 5** _(Informationswert 7)_ > mechanical safety and guards? — _Warum fragen wir das: Keine Anhaltspunkte im Unternehmensprofil — klären._ **Frage 5 von 5** _(Informationswert 7)_ > operating instructions and safety information? — _Warum fragen wir das: Keine Anhaltspunkte im Unternehmensprofil — klären._ ## Womit zuerst anfangen (größter Hebel) - `protection_against_corruption_of_safety_functions` — schließt 2 Anforderung(en): CRA, MaschinenVO - `exploited_vuln_and_incident_reporting` — schließt 1 Anforderung(en): CRA - `machine_safety_risk_assessment` — schließt 1 Anforderung(en): MaschinenVO - `mechanical_safety_and_guards` — schließt 1 Anforderung(en): MaschinenVO - `operating_instructions_and_safety_information` — schließt 1 Anforderung(en): MaschinenVO ## Vollständigkeit (ehrlich) > Identifiziert 1 · bewertet 1 · offen 0 · Unsicherheiten 0 · Begründung ja --- _Der Vertrieb wählt KEIN Regelwerk und interpretiert nichts — er sieht nur dieses Ergebnis. Jede beantwortete Frage aktualisiert das Capability Profile und verkleinert das Delta._