Booth begründete den Schritt damit, dass die Priorisierungskriterien die Bedürfnisse der meisten Nutzer abdecken sollen, indem man sich auf CVEs mit dem größten Potenzial für weitreichende Auswirkungen konzentriert. Gegenüber Dark Reading betonte er, dass Organisationen weiterhin Zugriff auf sämtliche CVEs in der NVD behielten. CVSS-Bewertungen blieben über die CVE Numbering Authority (CNA), die Cybersecurity and Infrastructure Security Agency (CISA) oder die NVD verfügbar; zudem könnten Nutzer für einzelne CVEs weiterhin eine Anreicherung oder Bewertung anfordern. NIST arbeite an automatisierten Systemen und verbesserten Arbeitsabläufen, um die Anforderungen langfristig besser zu erfüllen.
Die Größenordnung verdeutlicht das Problem: MITRE und derzeit 504 CNAs in 42 Ländern — eine Stelle ohne Länderzugehörigkeit — sammeln Schwachstellenmeldungen, vergeben CVE-Nummern und legen Einträge an. 2025 entstanden so rund 40.000 CVE-Einträge. Laut Lindsey Cerovnik, zuständig für Vulnerability Response bei CISA, könnten es bis Ende 2026 bis zu 60.000 werden. Die Anreicherung umfasst die Prüfung beigefügter Referenzen sowie eine manuelle Internetrecherche nach öffentlich verfügbaren Exploit-Details — bei dieser Menge nicht mehr von Hand zu bewältigen.
Erschwerend kommt hinzu, wie wenig Information für das Anlegen einer CVE nötig ist. Alec Summers, CVE/CWE-Projektleiter bei MITRE, verwies darauf, dass lediglich eine ID, eine kurze Beschreibung und ein Verweis auf das betroffene Produkt verlangt werden. Cerovnik will mehr Angaben zum Zeitpunkt der Einreichung verpflichtend machen und den Prozess standardisieren — diese Änderungen befinden sich allerdings noch in Prüfung.
Der frühere CISA-Berater Bob Lord teilt diese Einschätzung: Jedes Element, das die NVD nachträglich ergänze — Anwendungsname, Klasse des Programmierfehlers, Metriken zur Ausnutzbarkeit — könne und solle die CNA bereits vorab liefern. CVE-Einträge sollten zum Zeitpunkt ihrer Veröffentlichung vollständig, korrekt und aktuell sein.
Dick Brooks, Mitgründer von Business Cyber Guardian, kritisiert die verzögerte Veröffentlichung durch Softwarehersteller. Viele reservierten CVEs und publizierten Sicherheitshinweise, versäumten es aber, die zugehörigen CVE-Einträge innerhalb der vorgeschriebenen 24 Stunden zu aktualisieren. Besonders bei Google blieben Einträge oft wochenlang unvollständig, während Apple sich in der Regel an die Frist von 24 bis 48 Stunden halte.
Jessica Sica, CISO beim Telekommunikations-Softwareanbieter Weave, hält manche Änderungen für sinnvoll — warum solle man sich um eine nicht ausnutzbare oder geringfügige Schwachstelle sorgen. Der Wegfall der Anreicherungsdaten sei dennoch gravierend: Vieles werde durchrutschen, weil zahlreiche Sicherheitsanbieter die NVD als Quelle nutzten. Seit einem Jahr werde diskutiert, dass die Privatwirtschaft oder der Open-Source-Bereich einspringen müsse.
Für den Weg nach vorn empfiehlt Shane Fry, CTO bei RunSafe Security, Abwehrmechanismen direkt in die Software einzubauen, um Exploits und Zero-Days bereits vor verfügbaren Patches zu verhindern. Er verweist auf Anthropics Mythos: KI-gestützte Werkzeuge zur Schwachstellensuche würden die Zahl offengelegter Schwachstellen weiter erhöhen. Brooks rät Sicherheitsteams zu proaktiverem Vorgehen, da sich betroffene Produkte im Einsatz oft nur durch Nachfrage beim Hersteller eindeutig bestimmen ließen. Adam Shostack fordert, das Einspielen von Patches deutlich zu beschleunigen und die potenziell betroffenen Bereiche konsequent einzugrenzen. Brooks schlägt zudem vor, Anforderungen an die Schwachstellenmeldung in Beschaffungsbedingungen zu verankern — ein Ansatz, den er derzeit mit dem US-Energiesektor verfolgt.
