### NIST aktualisiert NVD-Betriebsabläufe **NIST** hat angekündigt, dass es aufgrund einer explosionsartigen Zunahme von Einreichungen nur noch CVEs in seiner **NVD** anreichern wird, die bestimmte Bedingungen erfüllen. Laut ihrer Ankündigung werden CVEs, die diese Kriterien nicht erfüllen, weiterhin gelistet, aber nicht automatisch von **NIST** angereichert. Diese Entscheidung resultiert aus einem Anstieg der CVE-Einreichungen um 263 % zwischen 2020 und 2025. ### Priorisierungskriterien Die Priorisierungskriterien, die ab dem 15. April 2026 gelten, umfassen: * CVEs, die im Katalog der bekannten ausgenutzten Schwachstellen (**Known Exploited Vulnerabilities - KEV**) der **U.S. Cybersecurity and Infrastructure Security Agency (CISA)** aufgeführt sind. * CVEs für Software, die innerhalb der Bundesregierung verwendet wird. * CVEs für kritische Software gemäß Executive Order 14028, einschließlich Software mit erhöhten Berechtigungen, privilegiertem Zugriff auf Netzwerk- oder Computerressourcen, Kontrolle über Daten oder Betriebstechnologie und Betrieb außerhalb normaler Vertrauensgrenzen. CVE-Einreichungen, die diese Schwellenwerte nicht erreichen, werden als "Nicht geplant" ("Not Scheduled") markiert, sodass **NIST** sich auf hochwirksame Schwachstellen konzentrieren kann. ### Auswirkungen der Änderungen **NIST** gab an, dass die CVE-Einreichungen in den ersten drei Monaten des Jahres 2026 fast ein Drittel höher sind als im Vorjahr, obwohl bereits fast 42.000 CVEs im Jahr 2025 angereichert wurden, was einem Anstieg von 45 % gegenüber den Vorjahren entspricht. Benutzer können die Anreicherung für hochwirksame CVEs, die als unscheduled kategorisiert sind, beantragen, indem sie eine E-Mail an "nvd@nist[.]gov" senden. ### Weitere Änderungen an den NVD-Betriebsabläufen Weitere Änderungen umfassen: * **NIST** wird keine separaten Schweregradbewertungen mehr routinemäßig bereitstellen, wenn die CVE Numbering Authority dies bereits getan hat. * Modifizierte CVEs werden nur dann erneut analysiert, wenn sie die Anreicherungsdaten wesentlich beeinflussen. Anforderungsanfragen für erneute Analysen können per E-Mail gesendet werden. * Nicht angereicherte CVEs im Backlog mit einem Veröffentlichungsdatum vor dem 1. März 2026 werden in die Kategorie "Nicht geplant" ("Not Scheduled") verschoben, ausgenommen diejenigen im KEV-Katalog. * **NIST** hat die CVE-Statusbezeichnungen und -beschreibungen sowie das **NVD Dashboard** aktualisiert, um die CVE-Status und Statistiken in Echtzeit genau widerzuspiegeln. ### Branchenreaktion **Caitlin Condon**, Vizepräsidentin für Sicherheitsforschung bei **VulnCheck**, merkte an, dass **NIST** angesichts der steigenden Anzahl von Schwachstellen die Erwartungen festlegt. Ein erheblicher Teil der Schwachstellen könnte jedoch keinen klaren Anreicherungspfad für Organisationen haben, die sich ausschließlich auf **NIST**-Daten verlassen. Die Daten von **VulnCheck** zeigen, dass etwa 10.000 Schwachstellen aus dem Jahr 2025 keinen CVSS-Score haben, während **NIST** etwa 14.000 'CVE-2025'-Schwachstellen angereichert hat, was etwa 32 % der CVE-Population von 2025 ausmacht. **David Lindner**, Chief Information Security Officer von **Contrast Security**, schlägt vor, dass die Entscheidung von **NIST** das Ende der Abhängigkeit von einer einzigen Regierungsdatenbank für die Sicherheitsrisikobewertung markiert. Organisationen müssen nun einen proaktiven, auf Threat Intelligence basierenden Ansatz verfolgen. Lindner rät dazu, sich auf die **CISA KEV**-Liste und Ausnutzbarkeitsmetriken zu konzentrieren und die tatsächliche Exposition gegenüber der theoretischen Schwere für eine verbesserte nationale Widerstandsfähigkeit zu priorisieren.