Ein B3S stellt keine Prüfgrundlage dar, sondern stellt Maßnahmen und Vorgehensweisen zur Verfügung, mit deren Umsetzung KRITIS-Betreiber der jeweiligen Branche die Anforderungen des § 8a Absatz 1 BSIG erfüllen können. Die Wahl einer geeigneten Prüfgrundlage für Prüfungen gemäß § 8a Absatz 3 BSIG obliegt generell den durchführenden Auditoren. Die Auditoren müssen dabei selbst sicherstellen, dass die verwendete Prüfgrundlage zur Bewertung geeignet ist, ob ein KRITIS-Betreiber ein hinreichendes IT-Sicherheitsniveau im Sinne des § 8a Absatz 1 BSIG erreicht hat. Da ein B3S den Stand der Technik für eine Branche abbildet und vom BSI diesbezüglich geprüft wurde, liegt es nahe, diesen zur Erstellung einer Prüfgrundlage heranzuziehen.
Ist die Eignung eines B3S formal abgelaufen, bedeutet dies nicht, dass der B3S aus Sicht des BSI nicht länger den Stand der Technik abbildet, sondern ausschließlich dass das BSI seine positive Aussage bzgl. der Eignung aufgrund der verstrichenen Frist nicht länger aufrecht erhält. Daher können auch von ihm abgeleitete Prüfgrundlagen weiterhin geeignet sein, um Prüfungen gemäß § 8a Absatz 3 BSIG durchzuführen.
Da Prüfer die Eignung ihrer Prüfgrundlage selbst kontinuierlich prüfen und verifizieren müssen, dass diese ausreichend und aktuell sind, entstehen hier ggf. höhere Aufwände, da keine positive Aussage des BSI bzgl. der Eignung des B3S mehr vorliegt. Das BSI verbindet hiermit jedoch keine Aussage bzgl. der Nicht-Eignung des B3S. Existieren aktuellere B3S, sollten diese zur Erstellung einer Prüfgrundlage verwendet werden.