L’Institut Nacional d’Estàndards i Tecnologia (NIST) ha anunciat canvis en la manera com gestiona les vulnerabilitats i exposicions de ciberseguretat (CVE) que figuren a la seva Base de Dades Nacional de Vulnerabilitats (NVD), i ha afirmat que només enriquirà aquelles que compleixin certes condicions a causa d’una explosió en les presentacions de CVE.

«Les CVE que no compleixin aquests criteris continuaran apareixent a la llista de NVD, però no seran desenvolupades referencialment pel NIST», va anunciar. «Aquest canvi està impulsat per un augment en les sol·licituds de CVE, que van augmentar un 263 % entre el 2020 i el 2025. No esperem que aquesta tendència disminueixi aviat.»

Els criteris de priorització descrits pel NIST, que van entrar en vigor el 15 d’abril de 2026, són els següents:

• Vulnerabilitats explotades conegudes (KEV) de l’Agència de Ciberseguretat i Seguretat d’Infraestructures dels Estats Units (CISA).
• CVE per a programari utilitzat dins del govern federal.
• CVE per a programari crític tal com es defineix a l’Ordre Executiva 14028: això inclou programari dissenyat per executar-se amb privilegis elevats o privilegis gestionats, que té accés privilegiat a recursos de xarxa o informàtics, controla l’accés a les dades o a la tecnologia operativa i que funciona fora dels límits de confiança normals amb accés elevat.

Qualsevol presentació de CVE que no compleixi aquests llindars es marcarà com a «No programada». La idea, segons el NIST, és centrar-se en les CVE que tenen el màxim potencial d’impacte generalitzat.

«Si bé els CVE que no compleixen aquests criteris poden tenir un impacte significatiu en els sistemes afectats, generalment no presenten el mateix nivell de risc sistèmic que els de les categories prioritzades», va afegir.

El NIST va dir que les presentacions de CVE durant els primers tres mesos del 2026 són gairebé un terç més altes que les de l’any passat, i que està treballant més de pressa que mai per desenvolupar les presentacions. També va dir que va desenvolupar gairebé 42.000 CVE el 2025, un 45 % més que qualsevol any anterior.

En els casos en què una CVE d’alt impacte s’ha classificat com a no programada, els usuaris tenen l’opció de sol·licitar el desenvolupament enviant un correu electrònic a “nvd@nist[.]gov”. S’espera que el NIST revisi aquestes sol·licituds i programi les CVE per al seu desenvolupament segons correspongui.

També s’han introduït canvis en diversos altres aspectes de les operacions de l’NVD. Aquests inclouen:

• El NIST ja no proporcionarà rutinàriament una puntuació de gravetat separada per a un CVE on l’Autoritat de Numeració CVE ja hagi proporcionat una puntuació de gravetat.
• Un CVE modificat només es tornarà a analitzar si «té un impacte material» en les dades de desenvolupament. Els usuaris poden sol·licitar que es tornin a analitzar CVE específics mitjançant l’enviament d’un correu electrònic a la mateixa adreça que s’indica més amunt.
• Tots els CVE no enriquits que actualment estan en espera amb una data de publicació de NVD anterior a l’1 de març de 2026 es traslladaran a la categoria «No programada». Això no s’aplica als CVE que ja són al catàleg de KEV.
• El NIST ha actualitzat Etiquetes i descripcions d’estat de CVE (CVE status labels and descriptions), així com el Tauler de control NVD, per reflectir amb precisió l’estat de tots els CVE i altres estadístiques en temps real.

«L’anunci del NIST no és una gran sorpresa, atès que anteriorment ja havia transmès la seva intenció de passar a un model de priorització ‘basat en el risc’ per a al desenvolupament del CVE», va dir Caitlin Condon, vicepresidenta d’investigació de seguretat de VulnCheck, en un comunicat compartit amb The Hacker News.

«La part positiva és que el NIST està establint clarament i públicament expectatives per a la comunitat enmig d’un augment enorme i creixent de noves vulnerabilitats. D’altra banda, una part important de les vulnerabilitats ara sembla que no tenen un camí clar cap al desenvolupament per a les organitzacions que confien en el NIST com a font autoritària (o única) de dades de desenvolupament de CVE.»

Les dades de l’empresa de ciberseguretat mostren que encara hi ha aproximadament 10.000 vulnerabilitats del 2025 sense una puntuació CVSS. Es calcula que el NIST ha desenvolupat 14.000 vulnerabilitats «CVE-2025», que representen aproximadament el 32 % de la població CVE del 2025.

«Aquest anunci subratlla el que ja sabem: ja no vivim en un món on el desenvolupament manual de noves vulnerabilitats és una estratègia factible o eficaç», va dir Condon.

«Fins i tot sense que el descobriment de vulnerabilitats impulsat per la IA acceleri els reptes de volum i validació de CVE, el clima d’amenaces actual exigeix ​​inequívocament enfocaments distribuïts i a velocitat de màquina per a la identificació i el desenvolupament de vulnerabilitats, juntament amb una perspectiva genuïnament global sobre el risc que reconegui la naturalesa interconnectada i interdependent de l’ecosistema mundial de programari, i els atacants que l’ataquen. Al cap i a la fi, allò que no prioritzem per a nosaltres mateixos, els adversaris ho prioritzaran per a nosaltres.»

David Lindner, director de seguretat de la informació de Contrast Security, va dir que la decisió del NIST de prioritzar només les vulnerabilitats d’alt impacte marca el final d’una era en què els defensors podien aprofitar una única base de dades gestionada pel govern per avaluar els riscos de seguretat, cosa que obligava les organitzacions a adoptar un enfocament proactiu de la gestió de riscos basat en la intel·ligència d’amenaces.

«Els defensors moderns han d’anar més enllà del soroll del volum total de CVE i, en canvi, centrar els seus recursos limitats en la llista CISA KEV i les mètriques d’explotabilitat», va dir Lindner.

«Si bé aquesta transició pot interrompre els fluxos de treball d’auditoria tradicionals, en última instància fa madurar el sector tot exigint que prioritzem l’exposició real per sobre de la gravetat teòrica. Confiar en un subconjunt curat de dades accionables és molt més eficaç per a la resiliència nacional que mantenir un arxiu complet però ingestionable de tots els errors menors.»