Het National Institute of Standards and Technology (NIST) heeft aangekondigd dat het de verrijking van cybersecurity kwetsbaarheden en exposures (CVE's) in zijn National Vulnerability Database (NVD) voortaan beperkt tot alleen die CVE's die aan specifieke criteria voldoen. Deze maatregel volgt op een explosieve stijging van 263% in het aantal CVE-meldingen tussen 2020 en 2025. CVE's die niet aan deze voorwaarden voldoen, blijven wel in de NVD opgenomen, maar worden niet automatisch verrijkt door NIST, aldus het instituut.

De nieuwe prioriteringscriteria, die sinds 15 april 2026 van kracht zijn, richten zich op CVE's die voorkomen in de Known Exploited Vulnerabilities (KEV) catalogus van de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), CVE's voor software die binnen de federale overheid wordt gebruikt, en CVE's voor kritieke software zoals gedefinieerd in Executive Order 14028. Dit betreft software die met verhoogde of beheerde privileges draait, toegang heeft tot netwerk- of computerbronnen, toegang tot data of operationele technologie controleert, of buiten normale vertrouwensgrenzen opereert met verhoogde toegang. CVE-meldingen die niet aan deze drempels voldoen, krijgen de status "Not Scheduled" toegewezen.

Volgens NIST is het doel om de focus te leggen op CVE's met het grootste potentieel voor brede impact. Hoewel CVE's die niet aan de criteria voldoen mogelijk wel een aanzienlijke impact kunnen hebben op getroffen systemen, vormen zij doorgaans niet hetzelfde niveau van systemisch risico als de prioritaire categorieën. In de eerste drie maanden van 2026 lag het aantal CVE-meldingen bijna een derde hoger dan in dezelfde periode vorig jaar, en NIST werkt sneller dan ooit om deze meldingen te verrijken. In 2025 verrijkte NIST bijna 42.000 CVE's, een stijging van 45% ten opzichte van eerdere jaren.

Indien een CVE met hoge impact onterecht als niet-gepland is gemarkeerd, kunnen gebruikers een verrijkingsverzoek indienen via e-mail aan "nvd@nist.gov". NIST zal deze verzoeken beoordelen en waar nodig de CVE's alsnog inplannen voor verrijking. Daarnaast zijn er wijzigingen doorgevoerd in andere aspecten van de NVD-operaties. Zo zal NIST niet langer routinematig een aparte ernstscore toekennen aan CVE's waarvoor de CVE Numbering Authority al een score heeft verstrekt. Een gewijzigde CVE wordt alleen opnieuw geanalyseerd als dit een materiële impact heeft op de verrijkingsdata. Ook kunnen gebruikers specifieke CVE's laten heranalyseren via hetzelfde e-mailadres.

Alle CVE's zonder verrijking die vóór 1 maart 2026 in de backlog staan, worden verplaatst naar de "Not Scheduled" categorie, met uitzondering van CVE's die al in de KEV-catalogus zijn opgenomen. Tevens heeft NIST de CVE-statuslabels en beschrijvingen en het NVD Dashboard geüpdatet om de status van alle CVE's en gerelateerde statistieken realtime weer te geven.