Die Zahlen, die NIST vorlegt, verdeutlichen das Ausmaß. In den ersten drei Monaten des Jahres 2026 lagen die Einreichungen nach Angaben des Instituts fast ein Drittel höher als im Vorjahreszeitraum. Zugleich sei man produktiver denn je: 2025 habe man rund 42.000 CVEs angereichert — 45 Prozent mehr als in jedem Jahr zuvor. „Doch diese gesteigerte Produktivität reicht nicht aus, um mit den wachsenden Einreichungen Schritt zu halten", erklärte das Institut.

Die neue Priorisierung greift ab sofort. Schwachstellen, die in den CISA-Katalog aufgenommen werden, sollen binnen eines Tages nach der Benachrichtigung durch die Behörde angereichert werden. NIST will mit dem Schritt Kapazitäten für die wichtigsten CVEs freihalten und parallel „die automatisierten Systeme und Workflow-Verbesserungen entwickeln, die für langfristige Tragfähigkeit nötig sind".

Hintergrund der Lawine sind nach Einschätzung von Sicherheitsfachleuten und KI-Firmen die zunehmend verbreiteten KI-gestützten Werkzeuge zur Codeprüfung, die zu einer Flut neuer, teils aber geringfügiger Schwachstellen in populären Produkten führten. Zudem hätten jüngste Entwicklungen Warnungen vor autonomen Systemen ausgelöst, die Fehler eigenständig entdecken und unmittelbar ausnutzen könnten.

Die NVD steckt nicht zum ersten Mal in der Krise. Personalabbau und Mittelkürzungen führten 2024 dazu, dass 90 Prozent der bei NIST eingereichten Schwachstellen nicht angereichert wurden. CISA sprang ein und bearbeitete Tausende Lücken stellvertretend, während ein Konsortium gegründet wurde. Ein leitender Mitarbeiter der NVD berichtete, der Personalstand sei mit 21 Personen unverändert geblieben, während die Zahl der Schwachstellen weiter stieg. Dutzende Fachleute forderten damals in einem Brief an den Kongress und Handelsministerin Gina Raimondo, die NVD als „kritische Infrastruktur für eine Vielzahl von Cybersicherheitsprodukten" zu finanzieren und zu schützen.

Den über Ende 2024 und 2025 wiederholt versprochenen Abbau des Rückstaus räumte NIST nun als unmöglich ein. Alle aufgestauten CVEs mit einem NVD-Veröffentlichungsdatum vor dem 1. März 2026 werden in die Kategorie „Nicht eingeplant" verschoben; aus dem Altbestand will das Institut nur jene Einträge herausgreifen, die die neuen Kriterien erfüllen.

NIST räumte zugleich ein, dass auch Schwachstellen außerhalb der neuen Kriterien „erhebliche Auswirkungen auf betroffene Systeme haben können" und die Regeln „möglicherweise nicht jeden potenziell folgenschweren CVE erfassen". Forscher können eine Anreicherung per E-Mail beantragen. Außerdem stellt das Institut die eigene Schweregrad-Bewertung für alle eingereichten CVEs ein und verlässt sich künftig vollständig auf die Angaben der Einreicher.

Trey Ford von Bugcrowd kommentierte, NIST erkenne damit an, „was die Forschungsgemeinschaft seit Jahren versteht: Man kann das Triage von Schwachstellen bei diesem Volumen nicht zentralisieren und erwarten, dass es trägt". Das Signal, das die Priorisierung tatsächlich treibe, stamme stets aus der realen Ausnutzbarkeit, nicht aus Datenbank-Metadaten.