Die Entscheidung von NIST, die am 15. April 2026 in Kraft trat, markiert einen Wendepunkt in der Verwaltung von Sicherheitslücken. Das Institut enriched künftig nur noch jene CVE-Einträge automatisch, die nach vordefinierten Kriterien eine maximale Auswirkung auf IT-Systeme haben könnten. CVE-Meldungen, die diese Schwellwerte nicht erreichen, werden zwar weiterhin in der Datenbank gelistet, erhalten aber keine zusätzliche Analyse durch NIST.
Die Zahlen unterstreichen die Dringlichkeit: 2025 bearbeitete NIST knapp 42.000 CVE-Einträge — 45 Prozent mehr als in jedem Vorjahr. Trotzdem: In den ersten drei Monaten 2026 war die Anzahl der Neueinträge bereits um ein Drittel höher als im Vorjahreszeitraum. Diese Dynamik ist kaum noch zu bewältigen.
“Wir konzentrieren uns auf CVEs mit dem größten Risikopotenzial”, begründet NIST seine Strategie. Vulnerabilities, die nicht in die Priorisierungskategorien fallen, können über eine E-Mail an nvd@nist.gov zur Nachbearbeitung angefordert werden.
Für die Sicherheitsbranche ist diese Entwicklung ambivalent. “NIST schafft Klarheit und kommuniziert offen”, sagt Caitlin Condon, Vice President of Security Research bei VulnCheck. “Aber: Ein großer Teil der Schwachstellen hat nun keine klare Anreicherungsperspektive für Unternehmen, die sich auf NIST als primäre Quelle verlassen.”
VulnCheck zufolge blieben 2025 noch rund 10.000 Schwachstellen ohne CVSS-Score. NIST enriched nur etwa 32 Prozent aller CVEs aus 2025.
David Lindner von Contrast Security sieht hierin das Ende einer Ära: “Verteidiger können sich nicht mehr auf eine einzige staatliche Datenbank verlassen.” Stattdessen müssen Unternehmen künftig die CISA Known Exploited Vulnerabilities (KEV)-Liste und Exploitability-Metriken in den Fokus rücken.
Für deutsche Organisationen bedeutet das konkret: Eigene Risikobewertungen, automatisierte Monitoring-Tools und ein verteiltes, risikobasiertes Schwachstellenmanagement werden zur Notwendigkeit. Die Zeit der reinen NIST-Abhängigkeit ist vorbei.