Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
NIST cambia l’NVD: dal 15 aprile 2026 molte CVE senza enrichment automatico, rischio caos nella prioritizzazione vulnerabilità
Il NIST ha annunciato un cambio di rotta importante nella gestione delle vulnerabilita informatiche nel National Vulnerability Database (NVD), il database di riferimento per molte organizzazioni che tracciano le CVE. A partire dal 15 aprile 2026, il NIST non arricchira piu automaticamente tutte le CVE con dati aggiuntivi come contesto tecnico, metriche e informazioni utili alla prioritizzazione.
La decisione nasce da un aumento enorme delle segnalazioni: tra il 2020 e il 2025 le sottomissioni di CVE sono cresciute del 263 percento e il trend continua a salire.
Il nuovo modello e basato su priorita e criteri di impatto. Le CVE che non rientrano nelle categorie definite resteranno visibili nell NVD, ma saranno etichettate come Not Scheduled e non riceveranno enrichment automatico. In pratica, molte vulnerabilita potrebbero non avere subito dettagli completi o punteggi aggiornati, con conseguenze per chi usa l NVD come fonte principale per vulnerability management e risk management.
Quali CVE continueranno a essere arricchite
Le CVE che continueranno a essere arricchite dal NIST sono quelle con maggiore rischio sistemico. Rientrano in questa lista:
- Vulnerabilita presenti nel catalogo CISA Known Exploited Vulnerabilities (KEV)
- Vulnerabilita che riguardano software usato all interno del governo federale
- Vulnerabilita legate al critical software definito dall Executive Order 14028
In questo contesto, critical software include componenti che operano con privilegi elevati, controllano accesso a dati o risorse, gestiscono tecnologia operativa o agiscono fuori dai normali confini di fiducia.
Modifiche operative annunciate dal NIST
Il NIST ha anche comunicato modifiche operative aggiuntive:
- Niente punteggio di severita separato: non verra piu fornito un punteggio di severita separato quando la CVE Numbering Authority ha gia assegnato un punteggio.
- Rianalisi solo in caso di impatto materiale: una CVE modificata verra rianalizzata solo se il cambiamento impatta in modo materiale i dati di enrichment.
- Gestione del backlog: le vulnerabilita non arricchite in backlog con data di pubblicazione precedente al primo marzo 2026 verranno spostate in Not Scheduled, tranne quelle gia presenti nel KEV.
Come richiedere l enrichment e impatti per le aziende
Per le CVE ad alto impatto finite tra le non programmate, e possibile richiedere l enrichment tramite email al canale ufficiale NVD. Questa evoluzione spinge le aziende a integrare threat intelligence, metriche di sfruttabilita e liste come CISA KEV per decidere cosa correggere prima, riducendo il rumore del volume totale di CVE.