O NIST anunciou uma mudança relevante na operação da National Vulnerability Database, a NVD, e passará a enriquecer automaticamente apenas parte das novas CVEs recebidas.
A decisão foi motivada pelo crescimento acelerado no volume de registros e pelo descompasso entre a capacidade de processamento atual e a demanda gerada pelo ecossistema de divulgação de vulnerabilidades.
Segundo o instituto, as submissões de CVEs cresceram 263% entre 2020 e 2025.
Apenas nos três primeiros meses de 2026, o volume já estava quase um terço acima do mesmo período do ano anterior, sinalizando que a pressão sobre a base tende a continuar aumentando.
Mesmo com a aceleração do trabalho interno, o NIST reconheceu que o ganho de produtividade não foi suficiente para acompanhar a expansão.
A entidade informou ter enriquecido quase 42 mil CVEs em 2025, número 45% superior ao de qualquer ano anterior, mas ainda insuficiente para impedir novo acúmulo de itens pendentes.
Com a nova política, em vigor desde 15 de abril de 2026, a priorização automática passa a cobrir CVEs presentes no catálogo KEV da CISA, vulnerabilidades que afetem softwares usados no governo federal dos Estados Unidos e falhas ligadas a softwares críticos definidos pela Executive Order 14028.
As demais CVEs continuarão listadas na NVD, mas serão tratadas como de prioridade mais baixa e não receberão enriquecimento imediato por padrão.
Esse enriquecimento inclui dados que ajudam equipes de segurança a classificar impacto, contexto técnico e urgência de resposta, algo muito usado em processos de triagem e gestão de exposição.
