NIST har meddelat en stor förändring i hur de hanterar sårbarheter i National Vulnerability Database (NVD). Från och med den 15 april 2026 kommer myndigheten bara att berika CVE:er som uppfyller specifika högriskkriterier, efter en ökning på 263 procent i antalet inlämnade sårbarheter mellan 2020 och 2025.

Vad innebär förändringen?

Alla inlämnade CVE:er kommer fortfarande att listas i NVD, men bara de som uppfyller följande kriterier kommer att berikas med NIST:s analys:

• CVE:er som finns i CISA:s katalog över kända utnyttjade sårbarheter (KEV)
• CVE:er för programvara som används inom den amerikanska federala förvaltningen
• CVE:er för kritisk programvara enligt Executive Order 14028, vilket inkluderar mjukvara som körs med förhöjda behörigheter, har privilegierad åtkomst till nätverks- eller beräkningsresurser, kontrollerar åtkomst till data eller operativ teknik, eller opererar utanför normala tillitsgränser

Sårbarheter som inte uppfyller dessa kriterier markeras som "Not Scheduled" och får ingen automatisk berikning från NIST.

Varför sker detta?

Under de första tre månaderna av 2026 var antalet CVE-inlämningar nästan en tredjedel högre än samma period förra året. NIST berikade nästan 42 000 CVE:er under 2025, vilket var 45 procent mer än något tidigare år, men volymen fortsätter att öka snabbare än kapaciteten.

"Vi förväntar oss inte att denna trend avtar inom kort", skrev NIST i sitt meddelande.

Ytterligare förändringar

NIST inför även andra justeringar: myndigheten kommer inte längre att rutinmässigt ge en separat allvarlighetspoäng när CVE Numbering Authority redan har tillhandahållit en. Alla obesvarade CVE:er med publiceringsdatum före 1 mars 2026 flyttas till kategorin "Not Scheduled", med undantag för de som redan finns i KEV-katalogen.

Organisationer som anser att en specifik CVE bör berikas kan begära det via mejl till nvd@nist.gov.

Vad betyder detta i praktiken?

"En betydande andel sårbarheter verkar nu sakna en tydlig väg till berikning för organisationer som förlitar sig på NIST som sin auktoritativa källa", kommenterade Caitlin Condon, VP för säkerhetsforskning på VulnCheck.

För säkerhetsteam innebär detta att man inte längre kan förlita sig enbart på NVD för fullständig sårbarhetsinformation. Organisationer bör komplettera med andra källor som CISA KEV, leverantörsspecifika säkerhetsbulletiner och kommersiella sårbarhetsdatabaser för att säkerställa att kritiska brister inte missas.