Stanovení rozsahu regulovaných služeb je na první pohled obdobné, jaké bylo dle původního zákona nebo dle ISO 27001. Není to tak. Pokud regulovaná osoba žádná aktiva neurčí nebo nevede evidenci, stává se regulovaným rozsahem celá organizace.