Der Bericht des Generalinspekteurs, über den zuerst CyberScoop berichtete, fällt ein hartes Urteil: „NIST verfügt nicht über nachhaltige Prozesse, um die Eingänge der NVD zu verwalten, und wird ohne erhebliche Änderungen weder den Rückstand abbauen noch künftige Verzögerungen verhindern können." NIST reagierte zunächst nicht auf eine Bitte um Stellungnahme.

Neben der schwachen strategischen Planung kritisiert der Bericht fehlende Abstimmung mit der Cybersicherheitsbehörde CISA. Zwischen Mai 2024 und Dezember 2025 hätten beide Stellen in mindestens 21.000 Fällen doppelte Arbeit geleistet. CISA hatte im Mai 2024 sein eigenes Programm Vulnrichment gestartet, doch NIST koordinierte sich nicht mit der Behörde, nachdem es die Auftragnehmer für seine Datenbank wieder eingestellt hatte. Zeitweise beauftragten beide Behörden denselben Dienstleister mit identischer Arbeit. Die fehlende Zusammenarbeit zeigte sich laut Bericht erstmals, als NIST eine Einladung der CISA zur Kooperation ablehnte.

Die Entscheidung, bereits von CISA bearbeitete Schwachstellen erneut zu verarbeiten, habe seit Mai 2024 rund 200.000 Dollar verschwendet. Die unzureichende Kommunikation habe „die Beteiligten frustriert und das Vertrauen in die NVD verringert".

Der Generalinspekteur empfiehlt, beim Vergeben von Schweregraden und beim Kennzeichnen betroffener Produkte effizienter zu werden. Würde NIST weniger Zeit auf die Bewertung verwenden, ließen sich über zwei Jahre etwa 800.000 Dollar einsparen. Die Bewertungsarbeit sei kaum von Wert: 80 Prozent der eingereichten Schwachstellen enthielten bereits bei der ersten Vorlage einen Schweregrad, und die von NIST vergebenen Werte stimmten nur in 12 Prozent der Fälle mit denen unabhängiger Prüfer überein.

Auch gegenüber den Beteiligten habe die Behörde versagt. Der Bericht verweist auf einen offenen Brief, den 50 Cybersicherheitsfachleute im April 2024 an den Kongress und den Handelsminister richteten. Weder NIST noch das Handelsministerium hätten je geantwortet – ein Beleg für die im Brief beklagte „mangelnde transparente Kommunikation" über den „Rückschritt im Betrieb der NVD".

Der Bericht fordert von NIST einen Plan zum Abbau des Rückstands, eine effizientere Kommunikation mit den Beteiligten, weniger Aufwand bei der Schweregradbewertung und eine Zusammenarbeit mit CISA gegen Doppelarbeit. Die Behörde stimmte den Empfehlungen zu und kündigte in einem Schreiben des kommissarischen Direktors Craig Burkhardt vom April an, ihre Abläufe umgehend zu verbessern.

Michael Daniel, Präsident und Geschäftsführer der Cyber Threat Alliance, plädiert dafür, die Verantwortung für die NVD an CISA zu übergeben. „Der Betrieb eines langfristigen, laufenden operativen Programms wie der NVD passt besser zum Auftrag der CISA", schrieb Daniel. „NIST hat erhebliche Ressourcenengpässe."