breakpilot-compliance/backend-compliance/reference_scenarios/reference_scenario_suite_v1.md

Reference Scenario Suite v1

Kein Doku-Artefakt — die erste Ground Truth / Living Reference Suite. Erzeugt aus den REALEN deployten Engines (aktueller deployter main) via reference_scenarios/generate.py. Jede Architecture Coverage-Zelle ist aus dem echten Lauf ABGELEITET; sobald eine Domaene landet, kippt die Zelle automatisch (z. B. Sz2/Environmental UNSUPPORTED -> PASS). Beantwortet dauerhaft: „Ist BreakPilot besser als vor sechs Monaten?" — anhand echter Kundensituationen, nicht LOC.

Synthetische Cert->Capability-Mappings sind als ILLUSTRATIV markiert; die echte Tabelle gehoert Compliance Execution (siehe Master Capability Registry).

Szenario 1 — Maschinenbauer mit ISMS + SBOM + Remote Access

Frage: „Was gilt fuer uns, und reicht das?"

Input: Maschine, vernetzt (Remote/Cloud), Firmware, Rolle Hersteller, Maerkte EU/DE; Company: ISMS (ISO27001) + SBOM + Incident Response.

Expected Regulatory Map

Für Industrielle Verpackungsmaschine (machinery) — Maschine; vernetzt; Firmware; Rolle: manufacturer; Märkte: EU, DE gelten nach derzeitigem Stand wahrscheinlich: CRA, MaschinenVO, EMV. Unsicher (fehlende Fakten): RED, DataAct, NIS2. Ausgeschlossen: keine. Nicht abgedeckt (Regelkorpus fehlt): keine. Ermittelt: 12 registry-verlinkte Pflichten. Es wurden keine weiteren Regelwerke im aktuellen Korpus identifiziert.

• CRA (Cyber Resilience Act (EU) 2024/2847) — Pflichten: sbom_creation, provide_security_updates, support_period_maintenance, signed_update_integrity, vuln_handling_process, coordinated_vulnerability_disclosure, exploited_vuln_reporting_authorities, user_authentication_required, no_default_credentials, event_logging_security_events, remote_access_attack_surface_min, remote_access_confidentiality_integrity
• MaschinenVO (Maschinenverordnung (EU) 2023/1230) — Pflichten: Pflichten für dieses Regelwerk sind noch nicht registry-verlinkt.
• EMV (EMV-Richtlinie 2014/30/EU) — Pflichten: Pflichten für dieses Regelwerk sind noch nicht registry-verlinkt.
• unsicher RED — fehlt: Besitzt das Produkt ein Funkmodul (WLAN, Bluetooth, Mobilfunk)?
• unsicher DataAct — fehlt: Erzeugt das vernetzte Produkt nutzbare Produkt-/Nutzungsdaten?
• unsicher NIS2 — fehlt: Unternehmensgröße (Mitarbeiterzahl / Umsatz)?, In welchem Sektor ist das Unternehmen tätig (Anhang I/II)?, Fällt das Unternehmen als wesentliche/wichtige Einrichtung unter NIS2?
• Overlap VULNERABILITY_HANDLING: vuln_handling_process, coordinated_vulnerability_disclosure
• Overlap SECURITY_UPDATES: provide_security_updates, signed_update_integrity
• 1 Nachweis repo_scan => 2 Pflichten
• 1 Nachweis policy => 5 Pflichten
• 1 Nachweis ticket => 3 Pflichten
• 1 Nachweis test_report => 3 Pflichten
• 1 Nachweis config_export => 6 Pflichten
• 1 Nachweis pentest => 3 Pflichten

Input — Company Context (ILLUSTRATIVES Mapping: ISO27001 -> incident_response, supplier_management, asset_management)

• candidate: cap_patch_management — declared (declaration:maschinenbau)
• candidate: cap_incident_response — inferred (certification:ISO27001)
• candidate: cap_supplier_management — inferred (certification:ISO27001)
• candidate: cap_asset_management — inferred (certification:ISO27001)
• CONFIRMED: cap_sbom_management — confirmed (Nachweis: sbom.json)

Expected Interpretation

Auslegung „5 Jahre Updates -> CRA erfuellt" -> uncertain Ihre Interpretation ist wahrscheinlich unsicher. Kein bekanntes Auslegungsmuster erkannt — bewusst keine Scheinsicherheit. Diese Auslegung betrifft kein Regelwerk Ihrer aktuellen Produkt-Map.

Expected RCI (CRA-Novelle gegen gespeicherte Baseline)

affects_product = True — 1 neu, 2 geändert, 0 entfällt, 0 bereits abgedeckt, 2 zu prüfen, 0 nicht relevant.

• cra_new_disclosure_duty -> new (fehlende Nachweise: -)
• sbom_creation -> changed (fehlende Nachweise: repo_scan)
• vuln_handling_process -> changed (fehlende Nachweise: policy, ticket)

Expected Unsupported Domains

• keine — alle getriggerten Domaenen sind im Korpus

Known Gaps: Interpretation kennt kein CRA-Muster (RS-001) · MaschinenVO/EMV-Pflichten nicht registry-verlinkt (RS-004) · cap/MCAP/Pflicht-Evidence nicht gejoint = Company-Gap (RS-003).

Architecture Coverage

Layer	Status	Hinweis
Company Context	PASS	ISO27001 + SBOM + Declaration
Product Profile	PASS	Maschine, vernetzt, Firmware
Navigator	PASS	ready_for_scope
Scope	PASS	CRA/MaschinenVO/EMV + 3 unsicher
Regulatory Map	PASS	Overlaps + 1-Nachweis-N-Pflichten
CRA Obligations	PASS	12 registry-verlinkt
MaschinenVO/EMV Obligations	PARTIAL	Scope ja, Pflichten nicht verlinkt → RS-004
Interpretation	PARTIAL	kein CRA-Muster → RS-001
RCI	PASS	1 neu, 2 geaendert
Company Gap	TODO	cap↔MCAP↔Pflicht nicht gejoint → RS-003
Environmental	N/A	keine Umwelt-Trigger

Szenario 2 — Industriespuelmaschine mit Abwasser/Chemikalien

Frage: „Welche Umweltbereiche sind noch nicht abgedeckt?"

Input: Maschine mit Chemikalien-Dosierung + Abwasserauslass; Umwelt-Trigger gesetzt.

Expected Regulatory Map

Für Industriespuelmaschine (machinery) — Maschine; Firmware; Rolle: manufacturer; Märkte: EU, DE gelten nach derzeitigem Stand wahrscheinlich: CRA, MaschinenVO, EMV. Unsicher (fehlende Fakten): RED, DataAct, NIS2. Ausgeschlossen: keine. Nicht abgedeckt (Regelkorpus fehlt): environment_water, chemicals, energy_resources. Ermittelt: 10 registry-verlinkte Pflichten. Es wurden keine weiteren Regelwerke im aktuellen Korpus identifiziert.

• CRA (Cyber Resilience Act (EU) 2024/2847) — Pflichten: sbom_creation, provide_security_updates, support_period_maintenance, signed_update_integrity, vuln_handling_process, coordinated_vulnerability_disclosure, exploited_vuln_reporting_authorities, user_authentication_required, no_default_credentials, event_logging_security_events
• MaschinenVO (Maschinenverordnung (EU) 2023/1230) — Pflichten: Pflichten für dieses Regelwerk sind noch nicht registry-verlinkt.
• EMV (EMV-Richtlinie 2014/30/EU) — Pflichten: Pflichten für dieses Regelwerk sind noch nicht registry-verlinkt.
• unsicher RED — fehlt: Besitzt das Produkt ein Funkmodul (WLAN, Bluetooth, Mobilfunk)?
• unsicher DataAct — fehlt: Erzeugt das vernetzte Produkt nutzbare Produkt-/Nutzungsdaten?
• unsicher NIS2 — fehlt: Unternehmensgröße (Mitarbeiterzahl / Umsatz)?, In welchem Sektor ist das Unternehmen tätig (Anhang I/II)?, Fällt das Unternehmen als wesentliche/wichtige Einrichtung unter NIS2?
• Overlap VULNERABILITY_HANDLING: vuln_handling_process, coordinated_vulnerability_disclosure
• Overlap SECURITY_UPDATES: provide_security_updates, signed_update_integrity
• 1 Nachweis policy => 5 Pflichten
• 1 Nachweis ticket => 3 Pflichten
• 1 Nachweis test_report => 3 Pflichten
• 1 Nachweis config_export => 4 Pflichten

Expected Unsupported Domains

• environment_water (Trigger: discharges_to_wastewater) -> Abwasser-/Gewässerrecht (z. B. AbwV, WRRL) — noch nicht im Korpus.
• chemicals (Trigger: uses_cleaning_chemicals) -> Chemikalienrecht (REACH/CLP/Detergenzien/Biozide) — noch nicht im Korpus.
• energy_resources (Trigger: consumes_energy_or_water) -> Energie-/Ökodesign-Recht — noch nicht im Korpus.

Expected Interpretation (Umwelt -> bewusst nicht bewertet)

Ihre Interpretation ist wahrscheinlich unsicher. Kein bekanntes Auslegungsmuster erkannt — bewusst keine Scheinsicherheit. Für environment_water, chemicals liegt noch kein Regelkorpus vor — diese Aspekte werden nicht bewertet (future_corpus_needed).

Known Gaps: Abwasser/Chemikalien/Energie sind unsupported_domain — Environmental Corpus fehlt (RS-002).

Architecture Coverage

Layer	Status	Hinweis
Product Profile	PASS	Maschine + Umwelt-Komponenten
Scope	PASS
Regulatory Map	PASS	CRA/MaschinenVO/EMV
Environmental (Abwasser/Chemikalien/Energie)	UNSUPPORTED	ehrlich „noch nicht im Korpus" → RS-002
Interpretation (Umwelt)	PARTIAL	future_corpus_needed statt Scheinsicherheit

Szenario 3 — ISO27001-zertifiziertes Unternehmen

Frage: „Welche Capabilities sind inferred, declared oder confirmed?"

ILLUSTRATIVES Mapping: ISO27001 -> incident_response, supplier_management, asset_management

Expected Company Capability Profile (4-Zustands-Trust-Model)

• cap_incident_response — inferred (Quelle: certification:ISO27001)
• cap_supplier_management — inferred (Quelle: certification:ISO27001)
• cap_asset_management — inferred (Quelle: certification:ISO27001)
• cap_patch_management — confirmed (Nachweis: patch-policy.pdf)

Expected Master Capability Registry (computed confidence, policy-versioniert)

• ISO27001 supports MCAP-00001 -> inferred/low (policy capability-policy-v0) — computed, nicht gespeichert
• ir-runbook.pdf confirms MCAP-00001 -> confirmed/high — nur echtes Artefakt erreicht confirmed

Known Gaps: cap_* (Company 2A) und MCAP-* (Registry) sind noch nicht verlinkt (RS-003).

Architecture Coverage

Layer	Status	Hinweis
Company Context	PASS	ISO27001 + Declaration + Evidence
Trust-State (declared/inferred/confirmed)	PASS	Zertifizierung nie confirmed
Master Capability Registry	PASS	computed confidence, policy-versioniert
cap ↔ MCAP Linking	TODO	zwei Vokabulare unverbunden → RS-003

Gaps → Epics (Backlog — nur erfasst, NICHT implementiert)

Epic	Titel	schliesst Coverage-Luecke
RS-001	Interpretation Pattern Library	Sz1 Interpretation PARTIAL -> PASS (CRA-Muster)
RS-002	Environmental Corpus (Pilotdomaene)	Sz2 Environmental UNSUPPORTED -> PASS
RS-003	Capability Linking (cap↔MCAP) + Company-Gap	Sz1/Sz3 Company Gap TODO -> PASS
RS-004	MaschinenVO/EMV Registry Linking	Sz1/Sz2 MaschinenVO/EMV PARTIAL -> PASS

Suite-Status (Roll-up)

• Coverage-Zellen gesamt: 20
• PASS: 13 · PARTIAL: 3 · UNSUPPORTED: 1 · TODO: 2 · N/A: 1 · NEEDS_FACTS: 0
• Fortschritt = PASS-Anteil steigt, wenn Epics RS-001…004 landen (objektiver Maßstab, kein LOC).