npm - @aegis-scan/skills - Versions diffs - 0.5.0 → 0.5.1 - Mend

@aegis-scan/skills 0.5.0 → 0.5.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (346) hide show

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/CRA-2024-2847/articles.md ADDED Viewed

@@ -0,0 +1,87 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847
+last-checked: 2026-05-02
+purpose: Cyber Resilience Act — Sicherheitspflichten fuer Produkte mit digitalen Elementen.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen eur-lex.europa.eu Volltext verifizieren"
+last-verified: 2026-05-05
+---
+# CRA — VO 2024/2847
+> Schrittweise ab 11.12.2024 (Reporting), volle Anwendung **11.12.2027**.
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847
+## Anwendungsbereich
+Pflicht fuer **Produkte mit digitalen Elementen** = Hardware + Software die in EU vertrieben werden:
+- IoT-Geraete (Smart-Home, Wearables, Industrial IoT)
+- Software-Produkte (ausser SaaS — separate Cloud-Regeln)
+- Komponenten (z.B. Microcontroller, Firmware, Libraries)
+NICHT erfasst:
+- SaaS / Cloud-Dienste (separat NIS2 / DORA)
+- Free + Open-Source Software (FOSS) AUSSER kommerziell vertrieben
+- Bereits-regulierte Produkte (Medizinprodukte, KFZ, Luftfahrt etc.)
+## Klassifikation (Art. 6 + Anhang III + IV)
+| Klasse | Beispiel | Compliance-Pfad |
+|---|---|---|
+| Default | LED-Lampen, viele IoT-Sensoren | Self-Assessment + CE-Mark |
+| Important Class I | Browser, Passwort-Manager, VPN-Clients | Self-Assessment / Konformitaetspruefung |
+| Important Class II | Smart-Cards, Hypervisors, Container-Runtime | Konformitaetspruefung Pflicht |
+| Critical | Identity-Management Systems | volle Pruefung + Zertifizierung |
+## Pflichten
+### Cybersecurity-by-Design (Art. 13 + Anhang I)
+- Default-Sicherheitskonfiguration
+- Vulnerability-Management
+- Authentifizierung + Zugriffskontrolle
+- Verschluesselung
+- Datenminimierung
+- Update-Mechanismus
+### Vulnerability-Reporting (Art. 14)
+- Aktive Vulnerability-Pflicht
+- 24-Stunden-Erstmeldung an ENISA + Behoerde
+- Updates + Patches Pflicht
+### Update-Verpflichtung (Art. 13 + Anhang I)
+- Update-Bereitstellung waehrend Erwartungs-Lebensdauer
+- Mind. 5 Jahre
+## Sanktionen (Art. 64)
+- Wesentliche Verstoesse: bis 15 Mio. EUR oder 2,5% globaler Jahresumsatz
+- Sonstige Verstoesse: bis 10 Mio. EUR oder 2%
+- Falsche Informationen: bis 5 Mio. EUR oder 1%
+## Audit-Relevanz
+Wenn Site-Operator IoT-Hardware oder Software-Produkt vertreibt: kompletter CRA-Stack.
+Wenn nur SaaS: NICHT direkt CRA, aber NIS2 / DORA / DSGVO-Layer.
+## Audit-Pattern
+```
+**Finding**: IoT-Hersteller ohne Vulnerability-Reporting-Prozess
+**Wahrsch.**: 60% (ENISA + BSI Pruefungen ab 2025)
+**§**: Art. 14 CRA
+**€-Range KMU**: 50.000-2.000.000 EUR
+**Fix**:
+- security.txt nach RFC 9116
+- Coordinated Vulnerability Disclosure Policy
+- Update-Mechanismus-Doku
+- 24h-ENISA-Reporting-Procedure
+```
+## Source
+- [eur-lex.europa.eu — VO 2024/2847](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847)
+- [ENISA CRA-Page](https://www.enisa.europa.eu/topics/cyber-resilience-act)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/CSDDD-2024-1760/articles.md ADDED Viewed

@@ -0,0 +1,43 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024L1760
+last-checked: 2026-05-02
+purpose: CSDDD — Lieferketten-Sorgfalt EU. Skeleton + Defer-Marker.
+status: skeleton
+---
+# CSDDD — RL 2024/1760 (Skeleton)
+> **Umsetzungsfrist 26.07.2027.** Stufenweise Anwendung 2027-2029 nach Unternehmensgroesse.
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024L1760
+## Anwendungsbereich
+Stufenweise:
+- ab 2027: > 5.000 MA + > 1,5 Mrd. EUR Umsatz (EU)
+- ab 2028: > 3.000 MA + > 900 Mio. EUR Umsatz
+- ab 2029: > 1.000 MA + > 450 Mio. EUR Umsatz
+## Sorgfalt entlang der Lieferkette
+- Identifikation von Menschenrechts- + Umwelt-Risiken
+- Praeventionsmassnahmen
+- Beschwerde-Mechanismus
+- Klimaplan + 1,5°C-Ziel
+## Audit-Relevanz
+KMU-Vibecoder: nicht direkt anwendbar (KMU-Privileg). Aber als Lieferant grosser Unternehmen koennen Pflichten kaskadieren.
+## Defer-Marker
+> **Vollstaendige Bearbeitung in v4.2** wenn KMU-relevante Klauselsketten klar.
+## DE-Pendant
+LkSG (Lieferkettensorgfaltsgesetz) — bereits in Kraft seit 01.01.2023 fuer > 1.000 MA.
+## Source
+- [eur-lex.europa.eu — RL 2024/1760](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024L1760)
+- [LkSG (DE)](https://www.gesetze-im-internet.de/lksg/)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/CSRD-2022-2464/articles.md ADDED Viewed

@@ -0,0 +1,42 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2464
+last-checked: 2026-05-02
+purpose: CSRD — ESG-Reporting-Pflicht. Skeleton + Defer-Marker.
+status: skeleton
+---
+# CSRD — RL 2022/2464 (Skeleton)
+> **Stufenweise Anwendung ab 2024.**
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2464
+## Anwendungsbereich
+Stufenweise:
+- 2024 (fuer Geschaeftsjahr 2024): > 500 MA + grosse-EU-Public-Interest-Entitaeten
+- 2025: > 250 MA + > 40 Mio. EUR Umsatz / > 20 Mio. EUR Bilanzsumme
+- 2026: alle EU-borderlinhen + KMUs (mit reduzierten Pflichten)
+- 2028: Drittland-Unternehmen mit EU-Aktivitaet > 150 Mio. EUR
+## Pflicht-Inhalte
+ESRS (European Sustainability Reporting Standards):
+- E1-E5: Umwelt-Themen (Klimawandel, Verschmutzung, Wasser, Biodiversitaet, Kreislaufwirtschaft)
+- S1-S4: Soziale Themen (Arbeitskraefte, Lieferkette, Verbraucher, betroffene Communities)
+- G1: Governance + Geschaeftsethik
+## Audit-Relevanz
+KMU-Vibecoder: nicht direkt (KMU-Privileg). Indirekt:
+- Lieferant grosser Unternehmen → Daten-Anforderungen kaskadieren
+- Marketing-Claim „klimaneutral" / „nachhaltig" → CSRD-Konsistenz pruefen + UWG-Greenwashing-Verbot
+## Defer-Marker
+> **Vollstaendige Bearbeitung in v4.2**.
+## Source
+- [eur-lex.europa.eu — RL 2022/2464](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2464)
+- [EFRAG ESRS](https://www.efrag.org/lab6)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/DGA-2022-868/articles.md ADDED Viewed

@@ -0,0 +1,53 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R0868
+last-checked: 2026-05-02
+purpose: DGA (Data Governance Act) — Skeleton + Defer-Marker fuer v4.1.
+status: skeleton
+---
+# DGA — VO 2022/868 (Skeleton)
+> **Anwendbar seit 24.09.2023.**
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R0868
+## Anwendungsbereich
+DGA reguliert:
+- **Daten-Vermittler** (Data Intermediation Services Provider)
+- **Daten-Altruismus-Organisationen** (Data Altruism Organisations)
+- **Wiederverwendung von Public-Sector-Daten**
+## Kernregelungen
+### Daten-Vermittler (Art. 10-15)
+Pflicht-Notifikation bei Behoerde:
+- Geschaeftsmodell offenlegen
+- Strukturelle Trennung von Mehrwertdiensten
+### Daten-Altruismus (Art. 16-25)
+Anerkannte Daten-Altruismus-Organisation:
+- Non-Profit-Status
+- Spezielle Compliance-Pflichten
+- EU-Register-Eintragung
+### Public-Sector-Daten (Art. 3-9)
+Wiederverwendung kostenlos / mit Gebuehr / kommerziell.
+## Audit-Relevanz
+KMU-Vibecoder: meist nicht relevant. Ausnahme:
+- Site bietet **Daten-Vermittlungs-Service** (z.B. Datenmarktplatz, B2B-Daten-Portal)
+- Site nutzt **Public-Sector-Daten** (z.B. Open-Government-Data)
+## Defer-Marker
+> **Vollstaendige Bearbeitung in v4.1**: Pflicht-Inhalt fuer Daten-Vermittler-Notifikation, Daten-Altruismus-Anerkennung-Verfahren, Public-Sector-Daten-Lizenz-Klauseln. Skeleton hier ausreichend bis konkreter Use-Case auftaucht.
+## Source
+- [eur-lex.europa.eu — VO 2022/868](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R0868)
+- [European Data Strategy](https://digital-strategy.ec.europa.eu/de/policies/data-governance-act)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/DMA-2022-1925/articles.md ADDED Viewed

@@ -0,0 +1,55 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R1925
+last-checked: 2026-05-02
+purpose: DMA (Digital Markets Act) — Skeleton + Defer-Marker fuer v4.1.
+status: skeleton
+---
+# DMA — VO 2022/1925 (Skeleton)
+> **Anwendbar seit 07.03.2024.**
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R1925
+## Anwendungsbereich
+DMA gilt fuer **Gatekeeper** mit:
+- >= 75 Mrd. EUR Marktkapitalisierung ODER
+- >= 7,5 Mrd. EUR Jahresumsatz EU
+- >= 45 Mio. monatlich aktive End-Nutzer EU
+- >= 10.000 jaehrlich aktive Geschaeftsnutzer EU
+Aktuelle Gatekeeper (Stand 2026-05): Apple, Google, Meta, Amazon, Microsoft, Booking.com, ByteDance.
+## Kernregelungen (Art. 5-6)
+- Verbot Self-Preferencing eigener Dienste
+- Verbot Combining-Data ueber Plattformen ohne Consent
+- Verbot Tying / Bundling von Diensten
+- Pflicht Interoperabilitaets-APIs (z.B. Messaging)
+- Pflicht Sideloading-Erlaubnis (Apple AppStore)
+- Pflicht Suchergebnis-Neutralitaet
+- Pflicht Daten-Portabilitaets-Tools
+## Sanktionen (Art. 30)
+- bis 10% globaler Jahresumsatz
+- bei Wiederholung bis 20%
+## Audit-Relevanz
+**KMU/SMB-Vibecoder**: in der Praxis nicht direkt betroffen. Indirekt:
+- Gatekeeper-API-Nutzung (z.B. Apple Pay, Google Pay) — Vertragsklauseln entsprechen jetzt DMA-Pflichten
+- Interoperabilitaets-API-Verfuegbarkeit (z.B. cross-platform Messaging)
+Skill-Layer fuer KMU/SMB: knapp anwenden, ggf. nur als „Hintergrund-Information" in Audit-Output.
+## Defer-Marker
+> **Vollstaendige Bearbeitung in v4.1**: Detaillierte Pflicht-Inhalte je Gatekeeper-Pflicht (Art. 5-6) + DE-Umsetzung + Code-of-Conduct + Behoerden-Mechanismus mit konkreten Beispielen (z.B. Apple Pay Open-API-Pflicht, Google Search-Neutralitaet, Meta Cross-Service-Combining-Verbot). Aktuell als Skeleton-Marker fuer KMU/SMB-Vibecoder ausreichend — direkter Use-Case selten.
+## Source
+- [eur-lex.europa.eu — VO 2022/1925](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R1925)
+- [European Commission — DMA Page](https://digital-markets-act.ec.europa.eu/)
+- [DMA Designated Gatekeepers](https://digital-markets-act.ec.europa.eu/gatekeepers_en)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/DORA-2022-2554/articles.md ADDED Viewed

@@ -0,0 +1,164 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2554
+last-checked: 2026-05-02
+purpose: DORA (Digital Operational Resilience Act) — IKT-Risikomanagement fuer Finanzbranche.
+verification-status: verified
+skill-output-disclaimer: "Top-Layer-verifiziert (eur-lex.europa.eu) — Art. 19-Frist-Kaskade + Anwendbarkeit primaer-verifiziert"
+last-verified: 2026-05-05
+---
+# DORA — VO 2022/2554
+> **Anwendbar seit 17.01.2025.** Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2554
+> Verordnung ueber digitale operationelle Resilienz im Finanzsektor.
+## Anwendungsbereich (Art. 2)
+Gilt fuer:
+- Kreditinstitute (KWG-Erlaubnis)
+- Zahlungsdienstleister (PSD2)
+- E-Geld-Institute
+- Wertpapierfirmen (WpHG)
+- Krypto-Asset-Service-Provider (CASP, MiCA)
+- Zentralverwahrer
+- Versicherer + Rueckversicherer
+- Pensionsfonds
+- Ratingagenturen, Datenbereitstellungsdienste
+- Crowdfunding-Dienstleister
+- IKT-Drittanbieter (subsidiaer)
+**KMU-Privileg**: kleine oder unverflochtene Wertpapierfirmen sind teilweise befreit (Art. 16).
+## Art. 5-15 — IKT-Risikomanagement
+### Art. 5 — Governance
+- Geschaeftsleitung bestaetigt + ueberwacht IKT-Risikomanagement-Rahmen
+- Persoenliche Verantwortlichkeit der Geschaeftsleitung
+### Art. 6 — IKT-Risikomanagement-Rahmen
+Pflicht-Inhalte:
+- Strategie, Ziele, Policies
+- Risk-Tolerance-Statement
+- Incident-Response-Plan
+- Backup + Recovery-Plan
+- Klassifikation der IKT-Funktionen
+### Art. 7 — IKT-Systeme + Kontrollen
+- Inventarisierung kritischer IKT-Systeme
+- Verschluesselung at-rest + in-transit
+- Zugriffskontrolle (RBAC, MFA, Privilege-Management)
+- Capacity-Management
+### Art. 8-9 — Identifikation + Schutz
+- Asset-Inventar
+- Threat-Intelligence-Feed
+- Verwundbarkeits-Management
+### Art. 10 — Detection
+- Real-time Monitoring
+- Anomaly-Detection
+- Logging Pflicht (mind. 12 Monate Aufbewahrung)
+### Art. 11 — Response + Recovery
+- Recovery-Time-Objective (RTO)
+- Recovery-Point-Objective (RPO)
+- Business-Continuity-Plan
+- Disaster-Recovery-Plan
+### Art. 12 — Backup-Policies
+- Mind. 1 Kopie offline / immutable
+- Test der Wiederherstellbarkeit jaehrlich
+### Art. 13 — Lerne-aus-Vorfaellen
+- Post-Incident-Review
+- Lessons-Learned-Doku
+### Art. 14 — Kommunikation
+- Krisenkommunikations-Plan
+- Behoerden-Kommunikations-Pflicht
+## Art. 17-23 — IKT-Vorfall-Meldung
+### Art. 17 Abs. 1 — Klassifikation
+Vorfall-Klassifizierung nach:
+- Anzahl betroffener User
+- Dauer der Stoerung
+- Geographische Reichweite
+- Daten-Verlust
+- Wirtschaftliche Auswirkung
+### Art. 19 — Meldepflichten
+| Stufe | Frist | Empfaenger |
+|---|---|---|
+| **Erstmeldung** | spaetestens **4h** ab Klassifizierung als „major" UND max. **24h** ab Kenntnisnahme des Vorfalls | Zustaendige Behoerde (BaFin in DE) |
+| **Zwischenbericht** | binnen **72h** ab Erstmeldung | BaFin |
+| **Abschlussbericht** | binnen **1 Monat** ab Loesung des Vorfalls | BaFin |
+> Konkretisiert in den Joint-RTS/ITS der ESAs (JC 2024/33, finalisiert 17.07.2024).
+> Fristen wurden mit NIS2 harmonisiert.
+## Art. 24-27 — Threat-Led Penetration Testing (TLPT)
+Fuer wichtige Finanzdienstleister: alle 3 Jahre TLPT (TIBER-EU-konform).
+## Art. 28-44 — IKT-Drittanbieter-Risiko
+### Art. 28 — Drittanbieter-Strategie
+Geschaeftsleitung verantwortlich fuer Auswahl, Steuerung, Ueberwachung von IKT-Drittanbietern.
+### Art. 30 — Vertragspflichtinhalte
+Bei jedem IKT-Drittanbieter-Vertrag:
+- Beschreibung Funktionen
+- Service-Level-Agreement
+- Datenstandort
+- Sub-Outsourcing-Bedingungen
+- Audit-Rechte
+- Exit-Strategie
+- Sicherheitsanforderungen
+### Art. 31 — Kritische IKT-Drittanbieter
+EU-Kommission designiert „kritische" IKT-Drittanbieter (z.B. Hyperscaler AWS / Azure / GCP).
+Diese unterliegen direkter EU-Aufsicht.
+## Art. 45-49 — Information Sharing
+Cybersecurity-Informationen koennen unter Finanzdienstleistern ausgetauscht werden (in Tatbestaenden geregelt).
+## Sanktionen
+DE-Umsetzung in BaFin-Zustaendigkeit + KWG / WpHG / VAG nach Branche:
+- bis 1% Jahresumsatz fuer schwere Verstoesse (Art. 50)
+- bis 10% bei Wiederholung
+- Plus: Veroeffentlichung des Verstosses
+## Audit-Relevanz fuer Skill
+DORA betrifft Finanzdienstleister-Sites direkt. KMU-Vibecoder als Operator selten Finanz-Lizenz, aber als Sub-Auftragsverarbeiter (z.B. SaaS fuer Banken) → DORA-Pflichten kaskadieren via Vertrag (Art. 30).
+Skill-Output bei Finanz-Branche-Detection:
+```
+**Finding**: Site bietet Service an Finanzdienstleister → DORA-Sub-Auftragsverarbeiter
+**Pflicht**: Vertrag muss Art. 30 DORA-Klauseln erfuellen
+**Audit**: AVV / DPA gegen Art. 30-Pflichtinhalt mappen
+```
+## Source
+- [eur-lex.europa.eu — VO 2022/2554](https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2554)
+- [BaFin — DORA-Aufsicht](https://www.bafin.de/DE/Aufsicht/RisikenManagement/Cyber/cyber_node.html)
+- [Lamfalussy ESA — DORA RTS](https://www.eba.europa.eu/regulation-and-policy/operational-resilience)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/DORA-2022-2554/audit-relevance.md ADDED Viewed

@@ -0,0 +1,86 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2554
+last-checked: 2026-05-02
+purpose: DORA — Audit-Trigger und Pflicht-Surfaces fuer Skill.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen eur-lex.europa.eu Volltext verifizieren"
+last-verified: 2026-05-05
+---
+# DORA — Audit-Relevance
+## Wann triggert dieser Skill den DORA-Layer?
+Auto-Loading-Trigger:
+```
+1. Branchen-Detection:
+   - URL-Pattern: *-bank.*, *-fintech.*, *-versicherung.*, *-trading.*, *-exchange.*
+   - schema.org @type: BankOrCreditUnion, FinancialService, InsuranceCompany
+   - Tech-Stack: Aktien-Trading-Frameworks, MiCA-CASP-spezifische SDKs
+2. Customer-Indication:
+   - Site bewirbt: "fuer Banken / Versicherer / Trading"
+   - DPA-Liste enthaelt Finanz-Kunden
+3. Compliance-Hint:
+   - SOC 2 / ISO 27001 / BSI-Grundschutz-Erwaehnung
+   - "BaFin-konform" / "DORA-konform" Marketing-Claim
+```
+## Pflicht-Surfaces nach Status
+### Status A — Site selbst ist Finanzdienstleister
+Vollstaendiger DORA-Stack:
+- Art. 5-15 IKT-Risikomanagement
+- Art. 17-23 Incident-Reporting (24h/72h/1M Fristen)
+- Art. 24-27 TLPT (alle 3 Jahre)
+- Art. 28-44 Drittanbieter-Risiko
+### Status B — Site ist Sub-Auftragsverarbeiter fuer Finanzdienstleister
+Pflichten kaskadieren via Vertrag (Art. 30 DORA):
+| Vertragsklausel | Pflichtinhalt |
+|---|---|
+| SLA | Verfuegbarkeit + Response-Times definiert |
+| Datenstandort | EU-Region oder Sondervereinbarung |
+| Sub-Outsourcing | Operator-Vorab-Genehmigung |
+| Audit-Rechte | Onsite-Audit + Document-Zugriff |
+| Exit-Strategie | Migration-Pfad + Daten-Rueckgabe |
+| Sicherheitsanforderungen | mind. ISO 27001 / SOC 2 / BSI-Grundschutz |
+| Incident-Reporting | 24h-Erstmeldung an Operator |
+### Status C — Site bietet Finanz-Themen-Beratung an
+(z.B. Robo-Advisor, Fintech-Comparison-Tool):
+Pflichten je nach KWG/WpHG-Status:
+- Erlaubnispflicht KWG / WpHG / ZAG?
+- Anlegerinformations-Pflichten
+## Audit-Pattern (Skill-Output-Vorschlag)
+```
+**Finding**: SaaS bietet Hosted-Service fuer Versicherungs-Kunden ohne DORA-konformen Vertrag
+**Wahrsch.**: 60% (BaFin-Pruefungen 2025+ angelaufen, Sub-Auftragsverarbeiter im Fokus)
+**Kritikalitaet**: 🟡 HOCH
+**§**: Art. 30 DORA + indirekt KWG / WpHG / VAG je nach Operator
+**€-Range**: Vertragsstrafe bei Audit-Fail durch Operator + Reputations-Schaden
+**Fix**:
+- Vertragsklauseln gemaess Art. 30 DORA ergaenzen (SLA / Datenstandort / Sub-Outsourcing / Audit-Rechte / Exit / Sicherheit / Incident-Reporting)
+- ISO 27001 / SOC 2-Zertifizierung anstreben (Audit-Trail)
+- Sub-Liste an Finanz-Kunden offen-halten
+```
+## Cross-References
+- ISO 27001 / BSI IT-Grundschutz: `references/it-recht.md`
+- Branche Banking/Fintech/Versicherung: `references/branchenrecht.md`
+- BaFin: https://www.bafin.de/
+## Source
+- [eur-lex.europa.eu — VO 2022/2554](https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2554)
+- [BaFin DORA-Page](https://www.bafin.de/DE/Aufsicht/RisikenManagement/Cyber/cyber_node.html)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/DSA-2022-2065/articles.md CHANGED Viewed

@@ -3,6 +3,9 @@ license: CC BY 4.0 (EUR-Lex)
 source: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2065
 last-checked: 2026-05-01
 purpose: Digital Services Act (VO 2022/2065) — Pflichten für Online-Plattformen + UGC-Hosting.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen eur-lex.europa.eu Volltext verifizieren"
+last-verified: 2026-05-05
 ---
 # DSA (VO 2022/2065) — Audit-relevante Artikel

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/DSA-2022-2065/audit-relevance.md ADDED Viewed

@@ -0,0 +1,110 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2065
+last-checked: 2026-05-02
+purpose: DSA Audit-Relevance — Auto-Loading-Trigger und Pflicht-Surfaces.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen eur-lex.europa.eu Volltext verifizieren"
+last-verified: 2026-05-05
+---
+# DSA — Audit-Relevance fuer brutaler-anwalt
+## Wann triggert dieser Skill den DSA-Layer?
+Auto-Loading-Trigger:
+```
+1. URL-Pattern-Detection:
+   - /forum, /community, /board (UGC-Forum)
+   - /marketplace, /kleinanzeigen, /shop-by-trader (Marketplace)
+   - /profile/[user], /u/[user] (User-Profil)
+   - /post/[id], /article/[id], /thread/[id] (User-Generated-Content)
+   - /comments, /reviews (User-Comments)
+2. Page-Content-Detection:
+   - "User-Reviews" / "Inserate" / "Anbieter" / "kostenlos einstellen"
+   - DOM-Probe: `<form action*="report">`
+3. Tech-Stack-Detection:
+   - Strapi / Sanity / Contentful (CMS mit User-Submission)
+   - WordPress + Forum-Plugin
+   - Reddit-Style-Plattform-Frameworks
+```
+## Pflicht-Surfaces nach Plattform-Typ
+### Surface 1 — Vermittlungsdienst (Mere Conduit / Caching)
+| Pflicht | Quelle |
+|---|---|
+| AGB (Art. 14) | DDG § 14 |
+| Pruefung auf Hosting-Privileg (DDG §§ 7-10) | bgh-urteile.md C-682/18 YouTube |
+### Surface 2 — Hosting-Provider (alle)
+| Pflicht | Quelle | Verify |
+|---|---|---|
+| AGB-Inhaltsmoderations-Kriterien | DSA Art. 14 | grep agb |
+| Notice-and-Action-Endpoint | DSA Art. 16 | curl POST |
+| Statement of Reasons | DSA Art. 17 | UI-Audit |
+| Strafverdacht-Meldung | DSA Art. 18 | interne Procedure |
+### Surface 3 — Online-Plattform (Hosting + Public-Distribution, > KMU)
+zusaetzlich:
+| Pflicht | Quelle |
+|---|---|
+| Internes Beschwerdemanagement | Art. 20 |
+| Aussergerichtliche Streitbeilegung | Art. 21 |
+| Trusted Flaggers | Art. 22 + `trusted-flaggers.md` |
+| Suspension-bei-Missbrauch | Art. 23 |
+| Transparenzbericht | Art. 24 |
+| Dark-Pattern-Verbot | Art. 25 |
+| Werbe-Transparenz | Art. 26 |
+| Empfehlungs-System Erklaerung | Art. 27 |
+| Kinderschutz | Art. 28 |
+### Surface 4 — Marketplace
+zusaetzlich:
+| Pflicht | Quelle |
+|---|---|
+| Trader-KYC | Art. 30 |
+| Trader-Compliance-by-Design | Art. 31 |
+| Information an Verbraucher | Art. 32 |
+### Surface 5 — VLOP (>= 45 Mio. EU-User)
+zusaetzlich Art. 33-43 — siehe `vlop-vlose.md`
+## Audit-Pattern (Skill-Output-Vorschlag)
+```
+**Finding**: UGC-Plattform ohne Notice-and-Action-Endpoint
+**Wahrsch.**: 90% (DSC-Behoerdenpruefung seit 2024 angelaufen, jeder Hosting-Provider Pflicht)
+**Kritikalitaet**: 🔴 KRITISCH
+**§**: Art. 16 DSA + § 18 DDG
+**€-Range KMU**: 5.000–50.000 EUR (nach DDG-Bussgeldrahmen)
+**Belege**:
+- VO 2022/2065 Art. 16
+- DDG § 18 (DE-Umsetzung)
+**Fix**: API-Route `/api/<board>/<id>/report` implementieren mit Pflicht-Feldern
+(reason, url, goodFaithDeclaration). Code-Pattern siehe `references/gesetze/EU-Verordnungen/DSA-2022-2065/notice-and-action.md`
+```
+## Cross-References
+| Wenn HUNTER findet... | Lade zusaetzlich... |
+|---|---|
+| UGC-Plattform mit Public-PII | `audit-patterns.md` Phase 5c |
+| Marketplace mit Multi-Trader | `branchenrecht.md` Marketplace-Section + Art. 30 |
+| Influencer / Affiliate-Werbung | `audit-patterns.md` Phase 6 + `branchenrecht.md` Influencer-Section |
+| KI-gestuetzte Empfehlungen | Cross zu AI-Act + DSA Art. 27 |
+| Kinder-adressierte Plattform | DSA Art. 28 + JuSchG/JMStV (siehe `gesetze/JuSchG-JMStV/`) |
+## Source
+- [eur-lex.europa.eu — VO 2022/2065](https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2065)
+- [DDG (DE-Umsetzung)](https://www.gesetze-im-internet.de/ddg/)
+- [DSA Transparency Database](https://transparency.dsa.ec.europa.eu/)