La crescita esponenziale delle segnalazioni di vulnerabilità ha portato il NIST a rivedere il modo in cui arricchisce le voci del NVD. Con numeri che mostrano un aumento del 263% delle submission tra il 2026 e il 2026 e quasi un terzo in più nei primi tre mesi del 2026 rispetto allo stesso periodo dell’anno precedente, l’ente ha deciso di passare da un modello di analisi universale a una prioritizzazione basata sul rischio. Il cambiamento è stato ufficializzato e le nuove regole sono entrate in vigore il 15 aprile 2026.
Questa svolta operativa mira a preservare la sostenibilità del servizio pubblico e a concentrare gli sforzi di arricchimento — ovvero l’integrazione di dati come punteggi di gravità e liste di prodotti colpiti — su quei difetti che presentano il maggior potenziale di impatto sistemico.
Le decisioni adottate da NIST impattano direttamente le attività quotidiane dei team di sicurezza che si affidano alle informazioni del NVD per pianificare le patch e le mitigazioni.
Cosa viene prioritizzato
Il nuovo criterio di selezione definisce tre categorie che riceveranno automaticamente arricchimento: le vulnerabilità inserite nella lista delle CISA Known Exploited Vulnerabilities (KEV), quelle che interessano software utilizzato dal governo federale statunitense e i difetti che colpiscono il software considerato critico secondo l’Executive Order 14028. Puntando su questi insiemi, NIST intende focalizzare le risorse su elementi con maggiore probabilità di sfruttamento diffuso o di impatto sulla collettività digitale.
Conseguenze pratiche per i team di sicurezza
Le voci che non rientrano in queste tre categorie rimarranno pubblicate nel NVD ma saranno classificate come Not Scheduled per l’arricchimento automatico.
Ciò significa che molte segnalazioni continueranno ad esistere senza un punteggio di gravità o un elenco dettagliato dei prodotti affetti, a meno che non venga fatta una richiesta esplicita di revisione. NIST ha comunque previsto meccanismi per gli utenti che desiderano sollecitare l’analisi di specifici CVE.
Modifiche procedurali chiave
Per ottimizzare i processi, NIST ha introdotto altre due regole operative. Primo: non emetterà più di routine un punteggio di gravità quando il CVE Numbering Authority che ha inviato la segnalazione ha già fornito una valutazione. L’obiettivo è ridurre duplicazioni di lavoro. Secondo: i CVE precedentemente arricchiti saranno rianalizzati soltanto se una modifica post-pubblicazione influisce in modo sostanziale sui dati di arricchimento. Anche in questo caso gli utenti potranno richiedere una revisione manuale.
Gestione del backlog
Il backlog accumulato dopo la sospensione delle attività nel 2026 e l’aumento costante delle submission non è stato smaltito. Per questo motivo, NIST ha trasferito tutte le voci del NVD con data di pubblicazione precedente al 1 marzo 2026 nella categoria Not Scheduled. Tali CVE potranno essere considerate per un futuro arricchimento solo se soddisfano i nuovi criteri o su richiesta degli utenti.
Reazioni e implicazioni per il settore
La comunità della sicurezza ha accolto la riforma con reazioni miste. Alcuni operatori, come osservatori di settore, hanno definito il cambiamento inevitabile e pragmatico visto l’aumento delle segnalazioni, anche influenzato dall’uso crescente di strumenti automatizzati e dall’AI nella scoperta di bug. Altri esperti hanno sottolineato rischi legati alla delega eccessiva alle valutazioni dei vendor: quando il produttore assegna un punteggio errato, un bug potrebbe rimanere sottovalutato per mesi, come evidenziato nel caso di una nota vulnerabilità BIG-IP che è stata ricalibrata da 8.7 a 9.8 a seguito di nuove evidenze.
Una critica ricorrente riguarda inoltre la metodologia di punteggio: il modello CVSS valuta i difetti singolarmente e non cattura la chainability, ovvero la possibilità che più difetti di media gravità combinati conducano a un compromesso critico. Per queste ragioni, molti leader di sicurezza vengono invitati a costruire stack di prioritizzazione interni che integrino informazioni pubbliche come la lista KEV, segnali predittivi come EPSS e il contesto ambientale proprio dell’organizzazione.
Cosa devono fare le organizzazioni
Alla luce della riorganizzazione del NVD, le imprese dovrebbero rivedere le proprie strategie di patching: definire fonti alternative di intelligence, automatizzare l’ingestione di feed prioritari come la KEV, e arricchire i processi interni con dati ambientali per valutare il rischio reale. Affidarsi esclusivamente al NVD per la contestualizzazione potrebbe non essere più sufficiente per garantire una difesa tempestiva.
In sintesi, la scelta di NIST di concentrare l’arricchimento sui CVE più critici è una risposta pratica a una pressione crescente. Resta però il compito per le organizzazioni di integrare più segnali e di adattare le proprie procedure per non lasciarsi sorprendere da vulnerabilità che, pur non essendo arricchite automaticamente, possono diventare vettori di attacco significativi.
