Il NIST ha annunciato una revisione significativa delle modalità con cui elabora le segnalazioni di CVE nel NVD. Di fronte a un aumento esplosivo delle segnalazioni, l’agenzia ha ridefinito le priorità operative per concentrare l’analisi sulle vulnerabilità che presentano il rischio più immediato. Questo cambiamento promette di influenzare le strategie di patch management e di mitigazione nelle organizzazioni pubbliche e private.
Per capire l’entità della modifica bisogna chiarire che per arricchimento si intende l’aggiunta di informazioni come punteggi di gravità, descrizioni dettagliate e metadati utili per la risposta agli incidenti. Il NIST manterrà l’elenco completo delle CVE nel NVD, ma molte saranno etichettate come “Not Scheduled”, ossia non pianificate per un arricchimento immediato.
Perché questa svolta: numeri e pressione operativa
La scelta del NIST non è casuale: le segnalazioni di CVE sono aumentate in modo drastico, con una crescita del 263% tra il 2026 e il 2026. Nel 2026 l’ente ha arricchito quasi 42.000 voci, ma il flusso in ingresso ha superato la capacità di analisi, creando un backlog consistente. Secondo i tecnici intervenuti a VulnCon, il tiraggio operativo ha portato a un arretrato di decine di migliaia di segnalazioni che il programma non riesce più a smaltire nei tempi precedenti.
Backlog e fattori esponenziali
L’incremento non deriva solo da ricerche tradizionali: strumenti basati su AI e modelli di discovery stanno accelerando la scoperta di vulnerabilità, aumentando il numero di segnalazioni valide e non. Il backlog ha spinto il NIST a riconfigurare i processi per stabilizzare il servizio mentre si sviluppano miglioramenti automatizzati dei flussi di lavoro.
Quali CVE saranno trattate per prime
Il NIST ha descritto tre categorie che riceveranno un trattamento prioritario: le CVE presenti nel catalogo CISA Known Exploited Vulnerabilities (KEV), le vulnerabilità che interessano software utilizzato dal governo federale e quelle considerate critiche ai sensi dell’Executive Order 14028. L’obiettivo operativo è arricchire le voci del KEV entro un giorno lavorativo dalla ricezione per facilitare risposte rapide agli sfruttamenti in corso.
Le altre CVE e le etichette operative
Le CVE che non rientrano nelle categorie prioritarie saranno comunque elencate nel NVD, ma classificate come “Not Scheduled”. Le segnalazioni pubblicate prima del 1° marzo saranno spostate in questa categoria se non rientrano tra le critiche, poiché il NIST ha privilegiato storicamente le istanze ad alto rischio.
Inoltre, l’ente non calcolerà più routineamente punteggi di gravità separati quando ne è già disponibile uno fornito dall’autore della segnalazione.
Automazione, delega e impatti per le organizzazioni
Per gestire volumi crescenti il NIST punta su AI, grandi modelli linguistici (LLM) e RPA per velocizzare l’analisi e l’enrichment. Parte del lavoro verrà anche affidato ai CNAs (CVE Numbering Authorities), ovvero vendor e ricercatori accreditati, per distribuire il carico. Harold Booth, tecnico di riferimento, ha indicato l’automazione e la collaborazione come leve per rendere sostenibile il programma nel lungo periodo.
Per le imprese la novità richiede scelte operative: diventa essenziale mappare gli asset, identificare quali componenti rientrano nella lista prioritaria e adeguare le procedure di triage. La mancanza di un arricchimento immediato su molte CVE implica che i team dovranno integrare fonti alternative o rafforzare l’uso dei CNAs e delle telemetrie interne per valutare il rischio reale.
Raccomandazioni pratiche e conclusione
Per adattarsi alle novità, è consigliabile adottare una politica di sicurezza basata sul rischio: inventario continuo, strumenti di discovery automatizzati, processi di patch prioritizzati e investimenti in automazione. Preparare playbook per le CVE ad alto impatto e consolidare rapporti con i CNAs può ridurre l’esposizione. Il cambiamento del NIST non riduce il volume delle vulnerabilità; semmai costringe il settore a evolvere le proprie pratiche per restare efficaci in uno scenario che diventa sempre più rapido e complesso.
