feat: add documentation for GDPR, ISO 27001, NIS2, and TISAX, including compliance requirements and Kopexa implementation

Author: juliankoehn

content/docs/catalogs/gdpr.mdx

@@ -0,0 +1,50 @@
+---
+title: DSGVO / GDPR
+description: Datenschutz-Grundverordnung – Dokumentationspflichten mit Kopexa erfüllen
+---
+
+
+Die **DSGVO (GDPR)** ist der EU-Rechtsrahmen zum Schutz personenbezogener Daten.  
+Unternehmen müssen technische und organisatorische Maßnahmen (TOMs) dokumentieren und Nachweise führen.
+
+## Kernpflichten DSGVO
+
+- **Rechenschaftspflicht (Art. 5 Abs. 2)** – Nachweis aller Datenschutzmaßnahmen
+- **Verzeichnis von Verarbeitungstätigkeiten (Art. 30)**
+- **Datenschutz-Folgenabschätzung (Art. 35)**
+- **Auftragsverarbeitung (AVV/DPA)**
+- **Betroffenenrechte (DSARs)**
+- **Meldepflichten bei Datenschutzverletzungen**
+
+---
+
+## Mapping DSGVO → Kopexa
+
+| DSGVO Pflicht               | Kopexa Modul                 |
+|-----------------------------|------------------------------|
+| TOMs / Policies             | Controls + Documents + Verarbeitungstätigkeiten          |
+| VVT (Verarbeitungsverzeichnis)| Verarbeitungstätigkeiten |
+| AVVs / Verträge             | Dokumente + Vendor Mapping   |
+| DSFA                        | Risiko-Modul (Privacy Risks) |
+| DSAR Handling               | Work Items + Templates       |
+
+## Umsetzung in Kopexa
+
+- **Data Assets & Kategorien:** Datenverarbeitungen als Assets mit Zweck, Rechtsgrundlage, Speicherort.
+- **Policies:** Datenschutzrichtlinie, Löschkonzept etc. im Dokumenten-Modul.
+- **Risiken:** Privacy-Risiken erfassen und bewerten.
+- **DSAR-Prozess:** Work Items für Anfragen, Nachweis Bearbeitung.
+
+## Checkliste: DSGVO-Dokumentation
+
+- Datenschutzrichtlinie
+- Verarbeitungsverzeichnis
+- Auftragsverarbeitungsverträge
+- Datenschutzfolgeabschätzungen
+- Schulungsnachweise
+
+## Weiterführende Links
+
+- [EU DSGVO Volltext](https://eur-lex.europa.eu/eli/reg/2016/679)
+- [EDSA Leitlinien](https://edpb.europa.eu)
+- [BSI Datenschutz](https://www.bsi.bund.de)

content/docs/catalogs/index.mdx

@@ -0,0 +1,35 @@
+---
+title: Kataloge
+description: Übersicht der unterstützten Frameworks und Compliance-Kataloge in Kopexa
+---
+
+# Frameworks & Kataloge
+
+Kopexa unterstützt eine Vielzahl an **Compliance-, Sicherheits- und Datenschutz-Frameworks**.  
+Diese Kataloge liefern **Controls (Kontrollen)** und **Best Practices**, um regulatorische und normative Anforderungen strukturiert umzusetzen.
+    
+## Warum Frameworks?
+
+- **Compliance erleichtern:** Vordefinierte Anforderungen für ISO 27001, NIS2, TISAX, GDPR, SOC 2 und mehr.
+- **Nachweisbarkeit:** Controls können mit Assets, Risks, Policies und Evidence verknüpft werden.
+- **Audit-Ready:** Übersichtlicher Reifegrad pro Framework und zentrale Nachweisführung.
+
+## Unterstützte Frameworks (Auswahl)
+
+- [**ISO 27001**](./iso27001/index.mdx) – Informationssicherheitsmanagement
+- [**NIS2**](./nis2/index.mdx) – EU-Netzwerk- und Informationssicherheitsrichtlinie
+- [**TISAX**](./tisax/index.mdx) – Automobilindustrie Informationssicherheit
+- [**GDPR/DSGVO**](./gdpr/index.mdx) – Datenschutz-Grundverordnung
+- [**SOC 2**](./soc2/index.mdx) – Service Organization Controls
+- [**BSI IT-Grundschutz**](./bsi/index.mdx) – BSI-Standards für KRITIS
+
+> Weitere Frameworks können individuell ergänzt oder als Custom-Katalog angelegt werden.
+
+## Wie nutze ich Frameworks in Kopexa?
+
+- **Aktivieren:** Wähle das Framework im Space aus.
+- **Anpassen:** Erweitere oder reduziere Controls nach Bedarf.
+- **Verknüpfen:** Mappe Controls mit Assets, Risks, Policies, Evidence und Work Items.
+- **Überprüfen:** Nutze den Reifegrad-Monitor und Audit-Reports.
+
+> Siehe auch: [Wie funktionieren Controls?](../core/spaces/catalogs-controls/index.mdx)

content/docs/catalogs/iso27001/index.mdx

@@ -0,0 +1,44 @@
+---
+title: ISO 27001
+description: Informationssicherheitsmanagement (ISMS) nach ISO 27001 mit Kopexa umsetzen
+---
+
+**ISO / IEC 27001:2022** ist der weltweit anerkannte Standard für **Informationssicherheits-Managementsysteme (ISMS)**.  
+Er definiert Anforderungen, um Vertraulichkeit, Integrität und Verfügbarkeit von Informationen systematisch zu schützen.
+
+## Kernanforderungen
+
+- **ISMS-Aufbau:** Scope, ISMS-Policy, Risikomanagementprozess
+- **Annex A Controls:** 93 Sicherheitsmaßnahmen (4 Themenfelder: Org., People, Physical, Technological)
+- **Kontinuierliche Verbesserung (PDCA)**
+- **Audits & Management Reviews**
+
+## Mapping ISO 27001 → Kopexa
+
+| ISO 27001 Anforderung       | Kopexa Modul/Funktion                |
+|-----------------------------|--------------------------------------|
+| ISMS-Policy, Leitlinien     | Dokumente + Reviewzyklen             |
+| Risikobewertung (6.1.2)     | Risiko-Modul + Matrix + Work Items   |
+| Annex A Controls            | Vordefinierter Control-Katalog       |
+| SoA (Statement of Applic.)  | Mapping Controls ↔ Policies/Evidence |
+| Audits & Management Reviews | Work Items + Evidenz                 |
+
+## Umsetzung mit Kopexa
+
+- **ISMS-Dokumente**: Policies und Prozesse im Dokumenten-Modul verwalten.
+- **Annex A-Controls**: Kopexa enthält ISO-27001-Controls; verknüpfe mit Assets & Risiken.
+- **Risiken:** ISO-konforme Risikobewertung mit Score-Berechnung.
+- **Audits:** Geplante interne Audits als Work Items inkl. Evidenzberichte.
+
+## Checkliste: Pflichtdokumente ISO 27001
+
+- ISMS-Leitlinie
+- Risikomanagement-Verfahren
+- Annex A SoA (Kontrollübersicht)
+- Interne Auditberichte
+- Management Review Protokolle
+
+## Weiterführende Links
+
+- [ISO 27001:2022 Summary (ISO.org)](https://www.iso.org/standard/82875.html)
+- [BSI IT-Grundschutz vs ISO 27001](https://www.bsi.bund.de)

content/docs/catalogs/meta.json

@@ -0,0 +1,5 @@
+{
+	"title": "Kataloge",
+	"description": "Frameworks & Kataloge",
+	"root": true
+}

content/docs/catalogs/nis2/index.mdx

@@ -0,0 +1,155 @@
+---
+title: NIS2-Richtlinie
+description: Umsetzung der EU NIS2-Anforderungen und Controls in Kopexa
+---
+
+Die **NIS2-Richtlinie (EU 2022/2555)** verschärft die Anforderungen an Cybersicherheit für Unternehmen aus kritischen und wichtigen Sektoren in der EU.  
+Sie löst NIS1 ab und muss bis Oktober 2024 in nationales Recht umgesetzt werden.
+
+## Wer ist betroffen?
+
+- **Betroffene Sektoren:** Energie, Transport, Gesundheit, Digitalanbieter, öffentliche Verwaltung, u.v.m.
+- **Kategorien:** 
+  - *Essential Entities* (kritisch, >250 MA oder Umsatz >50 Mio €)
+  - *Important Entities* (wichtig, KMU bestimmter Sektoren)
+- **Pflichten:** Risiko-Management, technische/organisatorische Sicherheitsmaßnahmen, Meldepflichten.
+- **Fristen:** 
+  - Umsetzung in nationales Recht: [17.10.2024](https://www.openkritis.de/it-sicherheitsgesetz/nis2-umsetzung-gesetz-cybersicherheit.html)  
+  - Erstes Compliance-Audit: je nach Land 2025/26
+
+## Kernanforderungen von NIS2
+
+NIS2 definiert 10 Themenfelder (Art. 21 NIS2). Die wichtigsten:
+
+1. **Governance & Policies**  
+2. **Risikomanagement & Security Measures**  
+3. **Incident Response & Reporting** (Meldung binnen 24h/72h)  
+4. **Business Continuity & DRP**  
+5. **Supply-Chain Security**  
+6. **Zugriffsmanagement & MFA**  
+7. **Schulung & Awareness**  
+8. **Logging, Monitoring & Audits**  
+9. **Kryptografie & Verschlüsselung**  
+10. **Kontinuierliche Verbesserung (PDCA)**
+
+---
+
+## Mapping NIS2 → Kopexa
+
+| NIS2-Anforderung | Kopexa-Modul/Funktion |
+|------------------|-----------------------|
+| Sicherheitsrichtlinien & Management-Zuständigkeit | Dokumente (Policies) + Review-Zyklus + Owner |
+| Risikoanalyse & Behandlung | Risiko-Modul + Risiko-Matrix + Controls + Work Items |
+| Incident Handling (24h/72h Meldung) | Incident-Module + Vorfallsregister (Work Items) |
+| BC/DR-Plan & Backup | Dokument + Work Items + Controls (Backup-Test) |
+| Lieferkettensicherheit | Vendor-Assets + Risikobewertung + Nachweise |
+| Zugriffsmanagement & MFA | Asset-Modul + Access-Policy + MFA-Control |
+| Awareness & Schulungen | Dokument (Policy) + Trainings-Modul + Evidenz |
+| Kontinuierliche Überwachung | Audit-Work Items + Control-Reviews + Reports |
+
+---
+
+## Policy-Lifecycle (Mermaid Diagramm)
+
+<Mermaid chart={`
+graph TD
+    A[Bedarf identifizieren] --> B[Policy Entwurf]
+    B --> C[Stakeholder Review & Genehmigung]
+    C --> D[Veröffentlichung & Schulung]
+    D --> E[Implementierung & Monitoring]
+    E --> F[Review & Verbesserung]
+    F -->|Veraltet| B
+    style A fill:#f1f5f9,stroke:#94a3b8
+    style B fill:#eef2ff,stroke:#6366f1
+    style C fill:#fff7ed,stroke:#fb923c
+    style D fill:#ecfdf5,stroke:#34d399
+    style E fill:#e0f2fe,stroke:#38bdf8
+    style F fill:#f5f3ff,stroke:#a78bfa
+`} />
+
+---
+
+## PDCA-Zyklus für NIS2
+
+<Mermaid chart={`
+graph LR
+    P[Plan] --> D[Do]
+    D --> C[Check]
+    C --> A[Act]
+    A --> P
+    style P fill:#eef2ff,stroke:#6366f1
+    style D fill:#ecfdf5,stroke:#34d399
+    style C fill:#fff7ed,stroke:#fb923c
+    style A fill:#f5f3ff,stroke:#a78bfa
+`} />
+
+- **Plan:** Policies, Risikoanalyse, Controls planen
+- **Do:** Maßnahmen implementieren
+- **Check:** Monitoring, Audits, Tests
+- **Act:** Anpassung & Verbesserung
+
+---
+
+## Praktische Umsetzung mit Kopexa (Beispiele)
+
+### Sicherheitsrichtlinien
+- Erfasse **InfoSec-Policy** als Dokument
+- Owner: CISO, Review jährlich
+- Verknüpfe mit Assets (z. B. Cloud-Plattform) und Controls (z. B. Zugriffskontrolle)
+
+### Risikomanagement
+- Risiken ins Modul eintragen
+- Bewertungs-Skalen (Impact × Likelihood)
+- Maßnahmen als Work Items, z. B. „MFA einführen“
+
+### Incident Response
+- IR-Plan als Dokument
+- Meldungspflicht 24h: Work Item „Incident gemeldet“
+- Evidenz: Incident-Report PDF
+
+### Lieferkettensicherheit
+- Vendor Assets anlegen (AWS, MS Azure)
+- Nachweise (ISO-Zertifikat) hochladen
+- Jährliche Vendor-Review Work Items
+
+---
+
+## Checkliste: NIS2-Pflichtdokumente
+
+- Informationssicherheitsleitlinie
+- Risikoanalyse-Prozess
+- Incident-Response-Plan
+- BC/DR-Plan
+- Awareness- & Schulungsrichtlinie
+- Access-Control-Policy
+- Vendor-Security-Policy
+- Audit-/Review-Protokolle
+
+> Alle als Dokumente + verknüpfte Evidenzen in Kopexa abbilden.
+
+---
+
+## Audit & Nachweispflichten
+
+- **Meldepflicht:** 24h Frühwarnung, 72h Meldung mit Details
+- **Dokumentation:** alle Policies, Tests, Incidents
+- **Aufbewahrung:** Audit-Logs & Nachweise revisionssicher
+
+Kopexa bietet hierfür:
+- Versionierung aller Dokumente
+- Audit-Trail (Wer hat was wann geändert)
+- Reports für Audits (Export als PDF)
+
+---
+
+## Weiterführende Links
+
+- [EU NIS2 Richtlinientext](https://eur-lex.europa.eu/eli/dir/2022/2555)  
+- [ENISA NIS2 Leitfäden](https://www.enisa.europa.eu/topics/nis-directive)  
+- [BSI NIS2 Infos](https://www.bsi.bund.de/NIS2)  
+- [Kopexa Plattform](https://kopexa.com/platform/overview)
+
+---
+
+> **Hinweis:** NIS2-Controls sind in Kopexa bereits als Framework verfügbar.  
+> Du kannst sie aktivieren und mit bestehenden Prozessen mappen.

content/docs/catalogs/tisax.mdx

@@ -0,0 +1,50 @@
+---
+title: TISAX®
+description: TISAX®-Anforderungen und Umsetzung in Kopexa
+---
+
+**TISAX®** (*Trusted Information Security Assessment Exchange*) ist ein vom **Verband der Automobilindustrie e. V. (VDA)** initiiertes Prüf- und Austauschverfahren für **Informationssicherheit in der Automobilindustrie**.  
+Es basiert auf den Anforderungen der **ISO/IEC 27001** und ergänzt diese um branchenspezifische Aspekte wie **Prototypenschutz** und **Datenschutz**.
+
+> **TISAX® ist eine eingetragene Marke der ENX Association.**  
+> Die ENX Association betreibt die TISAX-Plattform als Austauschmechanismus für Prüfergebnisse.  
+> Weitere Informationen unter: [https://enx.com/tisax/](https://enx.com/tisax/)
+
+## Kernelemente von TISAX®
+
+- **VDA ISA Katalog:** Fragenkatalog basierend auf ISO 27001 und VDA-spezifischen Controls.
+- **Prüfziele:** Informationssicherheit, Datenschutz, Prototypenschutz.
+- **Reifegrade:** Bewertung auf Skala 0–5 für jede Anforderung.
+- **Ergebnis-Austausch:** Über die ENX-Plattform werden TISAX-Prüfergebnisse zwischen Partnern ausgetauscht.
+
+## Mapping TISAX® → Kopexa
+
+| TISAX®-Controlbereich    | Kopexa Modul                     |
+|--------------------------|----------------------------------|
+| VDA ISA Fragenkatalog    | Framework-Kontrollkatalog        |
+| Reifegradbewertung       | Control-Bewertung + Evidenz      |
+| Prototypenschutz         | Assets + Risiko-Mapping          |
+| Datenschutz (DSGVO)      | DSGVO-Framework + Policies       |
+
+## Umsetzung mit Kopexa
+
+- Aktiviere den **TISAX®-Framework-Katalog** in deinem Space.
+- Erfasse Policies (z. B. Prototypenschutz, Datenschutz) im Dokumentenmodul.
+- Verknüpfe relevante **Assets** (z. B. Entwicklungsstandorte, Prototypen) mit Risiken und Controls.
+- Dokumentiere **Assessments und Prüfberichte** als Evidenz direkt in Kopexa.
+
+## Audit & Ergebnis-Austausch
+
+- **TISAX®-Label:** Ergebnisse werden über die ENX-Plattform zwischen Unternehmen ausgetauscht.
+- **Kopexa-Vorteil:** Alle Nachweise und Reports werden revisionssicher gespeichert und stehen für interne/externe Auditoren zur Verfügung.
+- Die TISAX®-Bewertung kann so transparent auf Kontrollen, Nachweise und Prozesse in Kopexa zurückgeführt werden.
+
+## Weiterführende Links & Markenhinweis
+
+- [TISAX® – ENX Association](https://enx.com/tisax/) – Offizielle Informationen der ENX Association
+- [VDA ISA Fragenkatalog](https://www.vda.de) – Basis für TISAX®-Anforderungen
+
+> **Rechtlicher Hinweis:**  
+> TISAX® ist eine eingetragene Marke der ENX Association.  
+> Die Erwähnung von TISAX® in dieser Dokumentation dient nur der Beschreibung der Kopexa-Funktionen im Zusammenhang mit TISAX®-Anforderungen.  
+> Kopexa steht in keiner direkten geschäftlichen Beziehung zur ENX Association oder dem VDA.