Zusammen mit dem Anforderungskatalog "Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen" des BSI/IDW bieten die ergänzenden Prüfungshandlungen des IDW PH 9.860.2 Betreibern Kritischer Infrastrukturen und prüfenden Stellen eine Orientierung über geeignete Kriterien zur Durchführung einer sachgerechten Prüfung der eingesetzten Sicherheitsvorkehrungen, um die geforderten Nachweise gemäß § 8a Absatz 3 BSIG erbringen zu können. Dennoch obliegt es dem Betreiber sowie der prüfenden Stelle, für den konkreten Anwendungsfall zu entscheiden, ob diese Anforderungen im Rahmen der Organisation passend sind oder ob zusätzliche, weiterführende Anforderungen notwendig sind.

Entsprechend der in der Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG aufgeführten Durchführung von Stichprobenprüfungen ist zu beachten, dass bei der Anwendung des IDW PH 9.860.2 Stichprobenprüfungen ausschließlich im Rahmen von Wirksamkeitsprüfungen erfolgen. Im Gleichlauf zu den Prüfungen außerhalb IDW PH 9.860.2 ist hier parallel darauf zu achten, mittels der Durchführung von Wirksamkeitsprüfungen (unter Berücksichtigung der weiteren vom BSI vorgegebenen Rahmenbedingungen zur Nachweiserbringung) die Erfüllung der Anforderungen aus § 8a Absatz 1 BSIG zu belegen. Nicht gleichwertig ist dementsprechend eine alleinige Durchführung nur der Angemessenheitsprüfungen gemäß IDW PH 9.860.2.