### NIST Atualiza Operações da NVD O **NIST** anunciou que irá enriquecer apenas os CVEs listados em seu **NVD** que atendem a certas condições devido a uma explosão nas submissões. De acordo com o anúncio, CVEs que não atendem a esses critérios ainda serão listados, mas não serão enriquecidos automaticamente pelo **NIST**. Essa decisão decorre de um aumento de 263% nas submissões de CVEs entre 2020 e 2025. ### Critérios de Priorização Os critérios de priorização, efetivos a partir de 15 de abril de 2026, incluem: * CVEs que aparecem no catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da **U.S. Cybersecurity and Infrastructure Security Agency (CISA)**. * CVEs para software utilizado no governo federal. * CVEs para software crítico, conforme definido pela Ordem Executiva 14028, abrangendo software com privilégios elevados, acesso privilegiado a recursos de rede ou computação, controle sobre dados ou tecnologia operacional e operação fora dos limites normais de confiança. Submissões de CVEs que não atingirem esses limites serão marcadas como "Não Agendado", permitindo que o **NIST** se concentre em vulnerabilidades de alto impacto. ### Impacto das Mudanças O **NIST** declarou que as submissões de CVEs nos primeiros três meses de 2026 são quase um terço maiores do que no ano passado, apesar de já terem enriquecido quase 42.000 CVEs em 2025, um aumento de 45% em relação aos anos anteriores. Os usuários podem solicitar o enriquecimento de CVEs de alto impacto categorizados como não agendados enviando um e-mail para "nvd@nist[.]gov". ### Mudanças Adicionais nas Operações da NVD Outras mudanças incluem: * O **NIST** não fornecerá mais rotineiramente pontuações de severidade separadas se a Autoridade de Numeração de CVE já o fez. * CVEs modificados só serão reanalisados se impactarem materialmente os dados de enriquecimento. Solicitações de reanálise podem ser enviadas por e-mail. * CVEs não enriquecidos no backlog com data de publicação anterior a 1º de março de 2026 serão movidos para a categoria "Não Agendado", excluindo aqueles no catálogo KEV. * O **NIST** atualizou os rótulos e descrições do status do CVE, juntamente com o **NVD Dashboard**, para refletir com precisão os status e estatísticas do CVE em tempo real. ### Reação da Indústria **Caitlin Condon**, vice-presidente de pesquisa de segurança na **VulnCheck**, observou que o **NIST** está definindo expectativas em meio ao aumento dos números de vulnerabilidades. No entanto, uma parcela significativa de vulnerabilidades pode não ter um caminho claro de enriquecimento para organizações que dependem exclusivamente dos dados do **NIST**. Os dados da **VulnCheck** indicam que aproximadamente 10.000 vulnerabilidades de 2025 não possuem pontuação CVSS, enquanto o **NIST** enriqueceu cerca de 14.000 vulnerabilidades 'CVE-2025', representando aproximadamente 32% da população de CVEs de 2025. **David Lindner**, chief information security officer da **Contrast Security**, sugere que a decisão do **NIST** marca o fim da dependência de um único banco de dados governamental para avaliação de risco de segurança. As organizações agora devem adotar uma abordagem proativa e orientada por inteligência de ameaças. Lindner aconselha o foco na lista **CISA KEV** e em métricas de explorabilidade, priorizando a exposição real sobre a severidade teórica para uma resiliência nacional aprimorada.