Die NVD vergibt nicht nur die eindeutigen CVE-Kennungen, die von CVE Numbering Authorities wie Herstellern oder der gemeinnützigen The MITRE Corporation zugeteilt werden, sondern liefert darüber hinaus Beschreibungen und Analysen. Diese Anreicherung soll CVE-Einträge für das Risikomanagement nutzbar machen: durch Schweregrade, die Angabe betroffener Produktversionen, die Klassifizierung von Schwachstellen sowie Verweise auf Sicherheitshinweise, Patches oder weiterführende Forschung.

Ab dem 15. April liefert das NIST solche Zusatzdetails nur noch für Schwachstellen, die bestimmte risikobezogene Kriterien erfüllen. Lücken, die diese Kriterien nicht erfüllen, werden als „Not Scheduled" eingestuft. „Alle eingereichten CVEs werden weiterhin in die NVD aufgenommen. Diejenigen, die die genannten Kriterien nicht erfüllen, werden jedoch als ‚Not Scheduled’ kategorisiert", erklärt das NIST.

Die nicht regulierende Bundesbehörde begründet das Vorgehen mit der angestrebten Konzentration der Ressourcen. „Das erlaubt uns, uns auf CVEs mit dem größten Potenzial für eine breite Auswirkung zu konzentrieren. CVEs, die diese Kriterien nicht erfüllen, können zwar erhebliche Folgen für die betroffenen Systeme haben, stellen aber in der Regel nicht dasselbe Maß an systemischem Risiko dar wie jene in den priorisierten Kategorien", heißt es weiter.

Das NIST räumt ein, dass durch die neuen Regeln einzelne potenziell folgenschwere CVEs durchrutschen können. Aus diesem Grund nimmt die Behörde Anfragen zur Anreicherung „beliebiger CVEs niedrigster Priorität" per E-Mail unter der Adresse nvd@nist.gov entgegen.

Fehlende Anreicherungen oder spürbare Verzögerungen waren bereits seit 2024 zu beobachten. Mit der aktuellen Ankündigung erklärt das NIST nun formell, sich künftig auf die wichtigsten Einträge zu konzentrieren.