breakpilot-compliance/docs-src/development/mapping-methodology.md

# BreakPilot Mapping Methodology

> Interne Methodik-Doku für Due Diligence, Kunden-, Anwalts- und Lizenzfragen.
> Stand 2026-06-16. Kern: **Wir modellieren gemeinsame Konzepte (Szenario C),
> nicht Normstrukturen.**

## Grundprinzip: Idee vs. Ausdruck

Urheberrecht schützt die **konkrete Formulierung** (den Normtext), **nicht** Ideen,
Fakten oder Themen. Daraus folgt unsere Linie:

- **Normtext** wird **nicht gespeichert** und **nicht reproduziert**.
- **Fundstellen** (Klausel-/Control-IDs, Artikel-Nummern, Titel) sind **Fakten** und
  als Quellenhinweis zitierbar — wie ein Buch-Kapitelverweis.
- **Mappings** sind **Tatsachenaussagen über Bezüge** ("dieselbe Anforderungsidee
  taucht in CRA, NIST, IEC 62443 auf").

## Unser Modell ist Szenario C, nicht A oder B

```
Cybersecurity-/Safety-Realität
        ↓
Master Control / Maßnahme   ← eigenständig formuliert (unser Werk)
        ↓
Normen referenzieren darauf  ← CRA · MaschinenVO · NIST · OWASP · ETSI · BSI · IEC 62443 · ENISA
```

Wir behaupten **nicht** „die Norm sagt X" (mit Normwortlaut), sondern „diese
Maßnahme adressiert dieselbe Anforderungsidee, die auch in mehreren Standards
auftaucht". Je mehr Quellen auf dasselbe Konzept verweisen (Least Privilege,
Logging, Updates, Authentisierung …), desto klarer ist es ein **eigenständiges
Wissensmodell**, kein Norm-Derivat.

Vergleichbar mit Beck/Juris/Wolters: nicht „§ 823 BGB sagt …", sondern „nach
herrschender Meinung folgt daraus …" — eigene redaktionelle Leistung.

## Quellen-Lizenzklassen (siehe `compliance/data/norm_sources.py`)

| Klasse | Beispiele | Umgang |
|---|---|---|
| `eu_law` | CRA (2024/2847), MaschinenVO (2023/1230), NIS2, DSGVO | EU-Recht, öffentlich — reproduzierbar (EUR-Lex) |
| `public_domain` | NIST SP 800-53/218, NIST CSF, NIST OLIR, NTIA, CISA | US-Gov, gemeinfrei — reproduzierbar |
| `open` | OWASP (CC), ETSI EN 303 645, BSI IT-Grundschutz, SPDX, CycloneDX | offen lizenziert — mit Quellenangabe nutzbar |
| `paid_reference` | ISO/IEC, EN/DIN, IEC 62443, ISO 27002, ISO/IEC 15408, EN ISO 13849 … | **nur Verweis** auf Klausel-/Control-ID — KEIN Text gespeichert |

Crosswalk-Wissen stammt überwiegend aus **publizierten, autoritativen Quellen**
(NIST OLIR = öffentliche Crosswalk-Datenbank, ENISA CRA-Mapping, Norm-Annexe,
EU-Normungsauftrag) plus gemeinfreien Inhalten — nicht aus kostenpflichtigem
Normtext.

## Rolle der KI

KI ist **Skalierer**, nicht Quelle: sie schlägt semantische Zuordnungen vor und
normalisiert; das Fundament sind publizierte Crosswalks + gemeinfreie Quellen, und
die tragenden Zuordnungen werden expertengeprüft. Jede Zuordnung trägt daher
**Provenienz + Tier**: `core` (belegt/expertengeprüft) vs. `review`
(KI-vorgeschlagen, indikativ). Indikative Zuordnungen werden als solche gekennzeichnet
("mit DSB/Auditor verifizieren").

## Die 6 Methodik-Aussagen (Kurzform)

1. Normtexte werden **nicht gespeichert**.
2. Normtexte werden **nicht reproduziert**.
3. Master Controls / Maßnahmen sind **eigenständig formuliert**.
4. Mappings entstehen als **semantische Zuordnung** (Experte/KI), mit Provenienz/Tier.
5. Die Plattform **ersetzt keine Norm** und ermöglicht **keine Rekonstruktion** der Norm.
6. Normreferenzen dienen ausschließlich als **Quellenhinweis** (Klausel-/Control-ID).

## Roter Faden / kritischer Bereich

Risiko ist **nicht** das Mapping, sondern das **Aufkumulieren von Normstruktur**
(viele Kapitelüberschriften + Original-Requirement-IDs + Originaltext + Tabellen),
sodass sich die Originalnorm rekonstruieren ließe. Solange wir auf der Ebene
**Master Control → Maßnahme → Evidenz → Referenzen** bleiben (Szenario C), ist die
Position robust.