O National Institute of Standards and Technology (NIST) anunciou mudanças na forma como lida com vulnerabilidades de cibersegurança (CVEs) listadas na National Vulnerability Database (NVD).
A partir de agora, o órgão passará a realizar o enriquecimento de dados apenas em casos que atendam a critérios específicos, em resposta ao crescimento acelerado no número de submissões.
Os CVEs que não se enquadrarem nesses critérios continuarão sendo listados na NVD, mas não receberão enriquecimento automático por parte do NIST.
Segundo a instituição, a decisão foi motivada por um aumento de 263% nas submissões de CVEs entre 2020 e 2025, tendência que não deve desacelerar no curto prazo.
As novas regras de priorização entraram em vigor em 15 de abril de 2026 e incluem três categorias principais: CVEs presentes no catálogo Known Exploited Vulnerabilities (KEV) da CISA; vulnerabilidades relacionadas a softwares utilizados pelo governo federal dos Estados Unidos; e falhas que afetem softwares críticos, conforme definido pela Executive Order 14028.
Nessa última categoria estão incluídos programas que operam com privilégios elevados, possuem acesso privilegiado a recursos de rede ou computação, controlam dados ou ambientes de tecnologia operacional, ou atuam fora dos limites tradicionais de confiança.
Qualquer submissão que não atenda a esses critérios será marcada como “não agendada”.
O objetivo, segundo o NIST, é concentrar esforços nas vulnerabilidades com maior potencial de impacto em larga escala.
O órgão também ressalta que, embora CVEs fora dessas categorias possam afetar sistemas específicos de forma relevante, em geral não representam o mesmo nível de risco sistêmico das vulnerabilidades priorizadas.
O NIST informou ainda que as submissões de CVEs nos três primeiros meses de 2026 estão quase um terço acima do volume registrado no mesmo período do ano anterior.
A instituição afirma estar trabalhando em ritmo acelerado para enriquecer as entradas recebidas.
Em 2025, o NIST declarou ter enriquecido quase 42 mil CVEs, um volume 45% maior do que em qualquer ano anterior.
Nos casos em que um CVE de alto impacto for classificado como não agendado, usuários poderão solicitar o enriquecimento por meio de contato direto com o NIST, que avaliará a inclusão conforme aplicável.
Outras mudanças também foram implementadas na operação da NVD.
O NIST deixará de fornecer, de forma rotineira, uma pontuação de severidade própria quando a autoridade responsável pela numeração do CVE já tiver atribuído esse dado.
Além disso, um CVE modificado só será reanalisado caso a alteração impacte de forma relevante os dados já enriquecidos.
Todos os CVEs ainda não enriquecidos e com data de publicação anterior a 1º de março de 2026 serão movidos para a categoria “não agendada”, com exceção daqueles já presentes no catálogo KEV.
O NIST também atualizou os rótulos de status dos CVEs, suas descrições e o painel da NVD para refletir com mais precisão, em tempo real, o status de cada registro e outras estatísticas.
Especialistas apontam que a mudança não chega a surpreender, já que o NIST já vinha sinalizando a adoção de um modelo de priorização baseado em risco.
Por um lado, a medida traz mais clareza sobre como a instituição pretende lidar com o crescimento contínuo no volume de vulnerabilidades.
Por outro, levanta preocupações de que uma parcela significativa dos CVEs passe a não ter um caminho claro para enriquecimento, especialmente para organizações que dependem do NIST como principal fonte de dados.
Dados do setor indicam que ainda existem cerca de 10 mil vulnerabilidades de 2025 sem pontuação CVSS, enquanto aproximadamente 32% dos CVEs desse ano receberam algum nível de enriquecimento.
Especialistas também destacam que o cenário atual reforça a necessidade de abordagens mais distribuídas e automatizadas para análise de vulnerabilidades, com uso de inteligência de ameaças e priorização baseada em risco real.
A mudança marca uma transição importante, em que organizações passam a depender menos de uma única base centralizada e precisam adotar estratégias mais proativas e orientadas por contexto para gestão de risco em cibersegurança.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...