Nach Darstellung des NIST liegt die Zahl der CVE-Meldungen in den ersten drei Monaten des Jahres 2026 fast ein Drittel höher als im Vorjahreszeitraum. Zugleich arbeite man so schnell wie nie zuvor: 2025 habe man knapp 42.000 CVEs angereichert – 45 Prozent mehr als in jedem Jahr zuvor.

Wird eine Schwachstelle mit hoher Wirkung dennoch als nicht eingeplant eingestuft, können Nutzer eine Anreicherung anfordern, indem sie eine E-Mail an „nvd@nist.gov" senden. Das NIST will solche Anfragen prüfen und die betreffenden CVEs gegebenenfalls zur Anreicherung einplanen. Daneben hat die Behörde weitere Anpassungen an verschiedenen Aspekten des NVD-Betriebs vorgenommen.

Caitlin Condon, Vice President of Security Research bei VulnCheck, zeigte sich gegenüber The Hacker News wenig überrascht: Das NIST habe bereits zuvor angekündigt, zu einem „risikobasierten" Priorisierungsmodell für die CVE-Anreicherung übergehen zu wollen. Positiv sei, dass das NIST der Fachöffentlichkeit angesichts der stark steigenden Zahl neuer Schwachstellen klare und öffentliche Erwartungen setze. Auf der anderen Seite habe ein erheblicher Teil der Schwachstellen nun keinen klaren Weg mehr zur Anreicherung – für Organisationen, die sich auf das NIST als maßgebliche oder einzige Quelle verlassen.

Daten von VulnCheck zufolge gibt es weiterhin rund 10.000 Schwachstellen aus dem Jahr 2025 ohne CVSS-Bewertung. Schätzungen zufolge hat das NIST etwa 14.000 Schwachstellen mit der Kennung „CVE-2025" angereichert, was rund 32 Prozent aller CVEs des Jahres 2025 entspricht.

Die Ankündigung unterstreiche, dass die manuelle Anreicherung neuer Schwachstellen keine tragfähige oder wirksame Strategie mehr sei, so Condon. Die heutige Bedrohungslage verlange verteilte, maschinengeschwindigkeitsnahe Verfahren zur Identifizierung und Anreicherung von Schwachstellen sowie eine global ausgerichtete Risikobetrachtung. „Was wir nicht für uns selbst priorisieren, das werden die Angreifer für uns priorisieren", sagte sie.

David Lindner, Chief Information Security Officer von Contrast Security, sieht in der Entscheidung das Ende einer Ära, in der sich Verteidiger zur Risikobewertung auf eine einzige staatlich verwaltete Datenbank stützen konnten. Organisationen seien nun gezwungen, zu einem proaktiven, von Bedrohungsinformationen getriebenen Risikomanagement überzugehen. Moderne Verteidiger müssten sich vom Rauschen des gesamten CVE-Volumens lösen und ihre begrenzten Ressourcen auf die CISA-KEV-Liste und Metriken zur Ausnutzbarkeit konzentrieren.

Dieser Übergang möge zwar etablierte Audit-Abläufe stören, mache die Branche aber reifer, indem er tatsächliche Exponiertheit über theoretische Schwere stelle. Sich auf eine kuratierte Teilmenge handlungsrelevanter Daten zu stützen, sei für die nationale Widerstandsfähigkeit weitaus wirksamer als ein umfassendes, aber nicht handhabbares Archiv jedes kleineren Fehlers.