Il 17/04/2026 NIST ha annunciato una modifica sostanziale al funzionamento del National Vulnerability Database (NVD), adottando un modello di arricchimento basato sul rischio. In pratica, l’ente ha dichiarato che non tenterà più di fornire analisi complete per ogni CVE ricevuto: solo le vulnerabilità presenti nel catalogo CISA Known Exploited Vulnerabilities (KEV), il software impiegato dal governo federale o il software considerato critico dall’Executive Order 14028 saranno automaticamente arricchite; tutto il resto verrà marcato come Not Scheduled. Questo cambiamento arriva in un contesto di crescita esponenziale delle segnalazioni e di risorse limitate.
La decisione ha un impatto operativo immediato: senza arricchimento non ci sono punteggi CVSS ufficiali né CPE che colleghino le vulnerabilità a prodotti specifici, rendendo i record difficili da usare in modo automatizzato.
NIST ha precisato che gli utenti possono richiedere singoli arricchimenti via email a [email protected], che saranno valutati “se le risorse lo permettono”. La mossa è stata presentata a VulnCon e ha scatenato un acceso dibattito nella comunità della sicurezza.
Le ragioni del cambiamento
Secondo NIST, il cambiamento è dettato dal volume: le segnalazioni di CVE sono aumentate del 263% tra il 2026 e il 2026, e i primi tre mesi del 2026 hanno registrato quasi un terzo in più rispetto allo stesso periodo dell’anno precedente. Pur avendo aumentato la produttività — con quasi 42.000 CVE arricchiti nel 2026, cifra superiore del 45% rispetto a qualsiasi anno precedente — l’agenzia non riesce più a tenere il passo. Per contenere la visibilità del backlog, NVD ha spostato in blocco CVE pre-marzo 2026 nello stato Not Scheduled, riducendo il backlog apparente da oltre 33.000 a circa 4.000, una manovra che alcuni osservatori hanno definito discutibile.
Volume, risorse e responsabilità
La comunità ha risposto con critiche e proposte: il ricercatore Brian Martin ha documentato lo spostamento di circa 29.000 vulnerabilità in “Not Scheduled” e ha evidenziato inefficienze e problemi di budget. Altri, come Michelangelo Sidagni, hanno messo in dubbio la scelta di allineare l’arricchimento in modo così stretto al KEV, ricordando che esistono migliaia di vulnerabilità sfruttate in natura che non compaiono nel catalogo CISA. Il punto cruciale è che l’arricchimento non è soltanto documentazione: è ciò che rende un CVE utilizzabile nei workflow di patching e nei sistemi di difesa automatizzati.
Impatto operativo per aziende e strumenti
Le conseguenze per le organizzazioni sono immediate: senza CPE e CVSS consolidati, molti strumenti di gestione delle vulnerabilità non riescono a correlare in modo affidabile i CVE all’inventario software.
Jerry Gamblin e il progetto Consensus Engine hanno mostrato come esista già una deriva tra punteggi assegnati da NVD e quelli forniti dalle CNA, con discrepanze su circa 1.567 CVE dove NVD ha dato un valore più alto in 885 casi e GitHub in 682. Queste differenze possono trasformare una patch urgente in un intervento rimandabile, con rischi concreti per la sicurezza.
Automazione, AI e il collo di bottiglia
L’arrivo di strumenti di scoperta basati su AI, come le piattaforme annunciate da Anthropic Glasswing e Mythos, potrebbe moltiplicare il flusso di nuovi CVE, aggravando il problema a valle. Commentatori come Brian Martin sottolineano che la vera limitazione non è la scoperta, ma l’intera pipeline: dalla divulgazione coordinata all’assegnazione dei CVE, fino all’arricchimento e alla pubblicazione di dati utilizzabili.
Se l’afflusso di segnalazioni cresce senza che la capacità di arricchimento aumenti, molte vulnerabilità rimarranno difficili da mitigare in pratica.
Reazioni della comunità e prossime mosse
Le critiche arrivano anche da chi propone soluzioni alternative: Ruben Bos parla di arricchimento automatizzato via AI come complemento necessario, mentre Tom Alrich ricorda la contraddizione tra il delegare ai CNA responsabilità che in passato venivano considerate inaffidabili. NIST annuncia piani per maggior automazione e cambi di workflow ma non fornisce timeline concrete; in passato promesse simili sono rimaste vaghe. Nel frattempo, molti team di sicurezza stanno già diversificando le fonti di intelligence, adottando sistemi di analisi indipendenti e configurando processi per richiedere arricchimenti prioritari rispetto a quelli marcati Not Scheduled.
In sintesi, la svolta del 17/04/2026 segna la fine dell’era in cui un’unica fonte centralizzata garantiva un arricchimento esaustivo per tutti i CVE. Le organizzazioni che vogliono restare protette dovranno ora combinare più feed, rafforzare l’automazione interna e prepararsi a gestire discrepanze nei punteggi di gravità e nei dati di correlazione. La sfida è duplice: aumentare la resilienza operativa oggi e spingere per soluzioni collaborative e automatizzate domani, affinché la catena dalla scoperta alla mitigazione non resti il vero collo di bottiglia della sicurezza.
