NIST beschreibt den neuen Ansatz als „risikobasiert". Künftig werden vorrangig zwei Kategorien von Schwachstellen analysiert: jene, die in den Known-Exploited-Vulnerabilities-Katalog (KEV) der Cybersecurity and Infrastructure Security Agency (CISA) aufgenommen werden, sowie jene in kritischer Software im Sinne der Executive Order zur Verbesserung der nationalen Cybersicherheit (EO 14028).
Der KEV-Katalog listet aktiv ausgenutzte Schwachstellen in Software auf, die von US-Bundesbehörden eingesetzt wird. Die Executive Order 14028 priorisiert Lücken unter anderem danach, ob die betroffene Software mit erhöhten Rechten läuft und ob sie der Zugriffssteuerung oder der Steuerung von Betriebstechnik dient.
Bislang vergab NIST für jede CVE eine eigene Schweregradbewertung samt Beschreibung und Angabe der betroffenen Produkte. Das ändert sich nun, um „doppelte Arbeit zu vermeiden und unsere Ressourcen wirksamer einzusetzen". Den Rückstau führt die Behörde direkt auf die gestiegenen Einreichungszahlen zurück. Alle aufgestauten Meldungen werden künftig zurückgestellt und als „nicht eingeplant" markiert; ausgenommen bleibt, was im KEV-Katalog enthalten ist.
Als Treiber des explodierenden Schwachstellenaufkommens nennt NIST bessere Erkennungswerkzeuge, künstliche Intelligenz, mehr Bug-Bounty-Programme, stark ausgeweitete Angriffsflächen und das hohe Tempo der Softwareentwicklung. Die Zahl der CVE-Einreichungen sei zwischen 2020 und 2025 um 263 Prozent gestiegen; die ersten drei Monate des Jahres 2026 lägen um nahezu ein Drittel über dem Vergleichszeitraum des Vorjahres.
Fachleute sehen das bisherige Vorgehen als nicht haltbar an. Trey Ford, Chief Strategy and Trust Officer bei Bugcrowd, erklärt, die Forschungsgemeinschaft wisse seit Jahren: Eine zentrale Schwachstellen-Triage lasse sich bei diesem Volumen nicht aufrechterhalten. Das Signal, das die Priorität bei der Behebung tatsächlich bestimme, stamme stets aus der realen Ausnutzbarkeit und nicht aus Datenbank-Metadaten — und dafür brauche es menschliche Forscher mit angreiferischem Gespür, die fortlaufend gegen reale Umgebungen arbeiteten. Die nächste Generation von Schwachstellenprogrammen werde um solche aktiven, verteilten Signale herum gebaut, nicht um vierteljährliche Anreicherungszyklen.
David Lindner, CISO von Contrast Security, wertet den Rückstau als notwendigen Wechsel von reaktiver, an reinen CVSS-Werten orientierter Compliance hin zu einem proaktiven, von Bedrohungsdaten getriebenen Risikomanagement. NIST signalisiere das Ende einer Ära, in der sich Sicherheitsteams auf eine einzige staatliche Datenbank zur Einordnung jeder Software-Lücke verlassen konnten. Moderne Verteidiger müssten ihre begrenzten Ressourcen auf die CISA-KEV-Liste und Ausnutzbarkeitskennzahlen konzentrieren. Der Übergang könne zwar etablierte Audit-Abläufe stören, sei langfristig aber zum Vorteil der Organisationen. Sich auf einen kuratierten Teilbestand verwertbarer Daten zu stützen, sei für die nationale Widerstandsfähigkeit weitaus wirksamer als ein umfassendes, aber unbeherrschbares Archiv jedes kleineren Fehlers.
