Anwendungsbereich bezeichnet den sachlich-inhaltlichen Zuschnitt eines Dokuments, einer Regel oder eines Controls — also worauf es inhaltlich anwendbar ist: welche Prozesse, Assets, Systeme, Tätigkeiten oder Datenarten adressiert werden. Eine Kryptographie-Richtlinie kann beispielsweise den Anwendungsbereich “alle schützenswerten Daten bei Übertragung und Speicherung” haben.
Vom Geltungsbereich unterscheidet sich der Anwendungsbereich durch die Perspektive: Der Geltungsbereich fragt wer und wo (welche Gesellschaften, Standorte, Rollen), der Anwendungsbereich fragt was und worauf (welche Sachverhalte). In der juristischen Terminologie ist “Anwendungsbereich” zudem der etablierte Begriff für die sachlich-persönliche Reichweite eines Gesetzes (etwa Art. 2 DSGVO).
In ISO 27001 selbst wird die Unterscheidung nicht scharf gezogen — Abschnitt 4.3 fasst beide Dimensionen unter scope zusammen. Cenedril-interne Dokumente führen in der Regel nur eine Sektion “Zweck & Geltungsbereich”, die beide Dimensionen abdeckt; der Begriff “Anwendungsbereich” wird verwendet, wenn die sachliche Dimension isoliert betont werden soll.