Negli ultimi anni il flusso di segnalazioni di vulnerabilità è cresciuto in modo esponenziale e, di fronte a questo aumento, il NIST ha annunciato modifiche sostanziali al processo di gestione delle CVE nel suo National Vulnerability Database (NVD). La decisione, resa pubblica il 17/04/2026 e applicata dal 15/04/2026, introduce una selezione delle voci destinatarie di un vero e proprio arricchimento informativo, lasciando molte altre segnalazioni elencate ma non approfondite.
Il cambiamento è la risposta a numeri impressionanti: le segnalazioni sono aumentate del 263% tra il 2026 e il 2026, e nel 2026 il NVD ha arricchito quasi 42.000 CVE, un incremento del 45% rispetto all’anno precedente. Nei primi tre mesi del 2026 il volume è risultato circa un terzo superiore rispetto al periodo analogo del 2026, imponendo una riorganizzazione operativa.
Perché NIST ha reso l’arricchimento selettivo
La scelta di prioritizzare l’attività di arricchimento nasce dalla necessità di concentrare risorse limitate su rischi con potenziale di impatto sistemico. Il NIST ha esplicitato che le CVE che non soddisfano i nuovi parametri saranno comunque pubblicate nel NVD, ma etichettate come Not Scheduled se non rientrano nelle categorie prioritarie. Questo approccio mira a bilanciare trasparenza e sostenibilità operativa, evitando di diluire l’attenzione su segnalazioni che, pur valide, non hanno lo stesso grado di esposizione collettiva.
Criteri di priorità introdotti
I criteri che il NIST ha adottato includono tre raggruppamenti principali: voci presenti nel catalogo KEV gestito da CISA, vulnerabilità di software impiegato nelle agenzie federali statunitensi, e quelle riconosciute come software critico ai sensi dell’Executive Order 14028.
Quest’ultima categoria comprende applicazioni che funzionano con privilegi elevati, che controllano accesso a dati o risorse operative, o che operano oltre i confini di fiducia convenzionali, ossia con potenziale per danni diffusi se sfruttate.
Regole operative e limiti pratici
Tra le novità operative il NIST ha specificato che non fornirà più automaticamente un punteggio di gravità separato quando il CVE Numbering Authority (CNA) ha già messo a disposizione tale valutazione. Inoltre, una CVE modificata verrà ri-analizzata solo se le modifiche materialmente impattano i dati di arricchimento. Tutte le CVE senza arricchimento pubblicate prima del 01/03/2026 saranno spostate nello stato Not Scheduled, eccezion fatta per quelle già nel catalogo KEV.
Impatto pratico su aziende e team di sicurezza
La nuova linea del NIST cambia il modello di dipendenza delle organizzazioni verso il NVD. Molte imprese che si affidavano al database come fonte unica di arricchimento e scoring potrebbero trovarsi con lacune informative: secondo i dati diffusi, restano circa 10.000 vulnerabilità del 2026 senza punteggio CVSS, mentre soltanto 14.000 delle CVE-2026 risultano arricchite, pari a circa il 32% del totale del 2026. Questo scenario spinge a delegare più spazio a pratiche di threat intelligence condivisa e ad approcci automatizzati.
Azioni consigliate per chi gestisce patch e rischio
Per mitigare l’effetto delle nuove regole, i team di sicurezza devono integrare fonti multiple: utilizzare database commerciali e open source che eseguono arricchimento automatico, adottare metriche di exploitability e sfruttare feed come il KEV di CISA come base di priorità.
È inoltre possibile richiedere manualmente l’arricchimento di una specifica CVE contattando [email protected], una procedura utile quando una vulnerabilità non pianificata mostra indicazioni di sfruttabilità reale.
Conclusioni e prospettive
La trasformazione operativa decisa dal NIST rappresenta una risposta pragmatica a una crescita esponenziale delle segnalazioni: selezionare cosa arricchire permette di focalizzare risorse su ciò che può causare danni sistemici, ma impone alle organizzazioni di evolvere i propri processi. L’ecosistema deve spostarsi verso strumenti che operino a velocità macchina e una collaborazione internazionale per garantire una copertura efficace del rischio informatico, dato che ciò che non viene arricchito centralmente potrebbe comunque essere sfruttato dagli avversari.
