NIST past NVD aan: niet elke CVE gaat onder vergrootglas

In dit artikel:

Het Amerikaanse NIST past de National Vulnerability Database (NVD) ingrijpend aan omdat de stroom aan CVE-meldingen onhoudbaar is geworden. Tussen 2020 en 2025 steeg het aantal ingediende CVE’s met 263 procent; in de eerste drie maanden van 2026 kwamen bijna een derde meer meldingen binnen dan een jaar eerder. NIST verwerkte in 2025 ongeveer 42.000 CVE’s, maar kon de instroom niet bijbenen, mede door een financieringsgat dat in 2024 ontstond en in april 2025 zelfs leidde tot een tijdelijke instorting van het CVE-systeem. Dat laatste leidde ook tot de opkomst van alternatieven in Europa.

Wat verandert: NIST introduceert nieuwe prioritering. Kwetsbaarheden die in de CISA Known Exploited Vulnerabilities (KEV)-catalogus staan, krijgen absolute voorrang en moeten binnen één werkdag volledig geanalyseerd zijn. Ook software die door de Amerikaanse federale overheid wordt gebruikt en software die onder Executive Order 14028 als kritiek is aangemerkt, wordt versneld behandeld. Alle overige CVE’s krijgen voortaan het label ‘Not Scheduled’ en krijgen niet automatisch de gebruikelijke “enrichment” — de aanvullende analyses en context die NIST normaliter toevoegt. Daarnaast stelt NIST geen eigen ernstscore meer op als de oorspronkelijke indiener (CVE Numbering Authority) al een score heeft geleverd. Backlog-items met een publicatiedatum vóór 1 maart 2026 worden eveneens naar ‘Not Scheduled’ verplaatst.

Gevolgen voor gebruikers: alle CVE-entries blijven beschikbaar, maar veel missen gedetailleerde verrijking waardoor de fijnmazigheid van de database afneemt en er blinde vlekken kunnen ontstaan. Organisaties die blind op CVSS-scores patch-strategieën baseren lopen extra risico. NIST biedt wel een e-mailprocedure om handmatig verrijking aan te vragen en werkt aan geautomatiseerde oplossingen om de NVD op langere termijn houdbaar te maken.