Als Grund nennt NIST einen sprunghaften Anstieg der CVE-Meldungen. Zwischen 2020 und 2025 sei die Zahl der Einreichungen um 263 Prozent gestiegen, und ein Abflauen des Trends sei nicht zu erwarten. In den ersten drei Monaten des Jahres 2026 hätten die Meldungen bereits fast ein Drittel über dem Vergleichszeitraum des Vorjahres gelegen.

Im vergangenen Jahr reicherte das Institut nach eigenen Angaben 42.000 CVEs an, hinkt damit aber weiterhin dem wachsenden Aufkommen hinterher. Vorrangig bearbeitet werden künftig CVEs, die innerhalb eines Tages nach Einreichung in den KEV-Katalog der CISA aufgenommen wurden, sowie Einträge zu Software von Bundesbehörden und zu kritischer Software im Sinne der Executive Order 14028.

Neue CVEs werden zwar weiterhin in die NVD aufgenommen, aber als „Not Scheduled“ (nicht eingeplant) für die Anreicherung markiert, sofern sie die genannten Kriterien nicht erfüllen. Nutzer können das Ergänzen von Detailangaben für solche Einträge jedoch per E-Mail anfordern. Schwachstellen außerhalb der priorisierten Kategorien könnten zwar erhebliche Auswirkungen auf betroffene Systeme haben, stellten aber in der Regel nicht dasselbe systemische Risiko dar wie die priorisierten Einträge, so NIST.

Mit der Einführung der neuen Kriterien wird auch der bestehende Rückstau betroffen: Alle vor dem 1. März 2026 in der NVD veröffentlichten, noch nicht angereicherten CVEs werden in die Kategorie „Not Scheduled“ verschoben.

Darüber hinaus vergibt NIST keinen eigenen Schweregrad mehr für CVEs, für die bereits die zuständige CVE Numbering Authority einen Wert eingereicht hat. Ebenso werden Einträge, die nach der Anreicherung verändert wurden, nicht erneut analysiert – es sei denn, die Änderungen wirken sich wesentlich auf die Anreicherungsdaten aus. Zudem will das Institut die Statusbezeichnungen und Beschreibungen von CVEs überarbeiten, um den Bearbeitungsstand klarer zu kommunizieren.

NIST räumt ein, dass die Änderungen die Nutzer treffen werden. Der risikobasierte Ansatz sei jedoch nötig, um den derzeitigen Anstieg der CVE-Meldungen zu bewältigen. Zugleich verschaffe die Umstellung dem Institut die Ressourcen, um automatisierte Systeme und Verbesserungen der Arbeitsabläufe zu entwickeln, die die langfristige Tragfähigkeit des Programms sichern sollen.