Il National Institute of Standards and Technology (NIST) ha annunciato una modifica sostanziale al modo in cui gestisce il National Vulnerability Database (NVD), il registro centralizzato che da anni costituisce il punto di riferimento globale per la catalogazione delle vulnerabilità software e hardware. A partire dal 15 aprile 2026, l’agenzia federale americana ha smesso di assegnare punteggi di pericolosità e analisi approfondite per la grande maggioranza delle vulnerabilità ricevute. Il motivo è che il volume di submission è cresciuto del 263% e l’organizzazione non riesce più a stare al passo.

L’NVD continuerà a elencare tutte le Common Vulnerabilities and Exposures (CVE) inviate e nessuna vulnerabilità sparirà dall’archivio, ma quelle considerate a bassa priorità saranno categorizzate dal NIST come “Not Scheduled” e riporteranno esclusivamente il punteggio di severità assegnato dalla CVE Numbering Authority che le ha originariamente valutate, senza alcun arricchimento aggiuntivo. Da notare che lo scorso anno l’agenzia ha completato l’analisi di 42.000 CVE, una cifra significativa ma evidentemente insufficiente rispetto a un flusso di nuove segnalazioni che nel 2026 ha continuato ad accelerare.

Il nuovo framework stabilisce tre categorie di vulnerabilità che continueranno a ricevere trattamento prioritario e analisi completa:

  • CVE presenti nel catalogo CISA delle vulnerabilità attivamente sfruttate (Known Exploited Vulnerabilities)
  • CVE che riguardano software utilizzato dal governo federale americano
  • CVE che coinvolgono software critico così come definito dall’Executive Order 14028, il decreto presidenziale del 2021 che ha ridisegnato le priorità di cybersecurity per le infrastrutture federali statunitensi

La logica è quella della triage, ovvero concentrare le risorse disponibili sulle vulnerabilità con il maggiore potenziale di impatto sistemico, lasciando che il resto del catalogo rimanga accessibile ma privo di contestualizzazione tecnica approfondita. Il NIST riconosce esplicitamente che questa scelta permetterà ad alcune CVE potenzialmente pericolose di sfuggire all’analisi prioritaria e, per questo motivo, ha aperto un canale email dedicato attraverso cui è possibile richiedere l’arricchimento manuale di specifiche vulnerabilità a bassa priorità.

nist cve

Crediti: Shutterstock

Per capire il peso di questa decisione, occorre chiarire cosa significa concretamente “enrichment” nel contesto NVD. Una CVE nella sua forma base è essenzialmente un identificativo univoco accompagnato da una descrizione sintetica. L’arricchimento che il NIST aggiunge trasforma quell’identificativo in uno strumento operativo assegnando un punteggio CVSS, identificando le versioni specifiche del prodotto affette, classificando il tipo di debolezza secondo il framework CWE e fornendo riferimenti a patch, advisory e ricerche correlate.

È proprio questo strato informativo che rende l’NVD così importante per il risk management aziendale, per i sistemi di vulnerability scanning automatizzato e per le pipeline di sicurezza che le organizzazioni di tutto il mondo hanno costruito attorno al database.

Senza questo livello di dettaglio, una vulnerabilità presente nel NVD diventa molto meno “azionabile” per chi deve decidere se e con quale urgenza applicare una patch. Il problema non riguarda solo i team di sicurezza interni alle aziende, ma anche strumenti commerciali e open source di vulnerability management, SIEM e piattaforme di threat intelligence attingono sistematicamente ai dati NVD come fonte primaria. Un database con copertura analitica parziale introduce asimmetrie informative che possono avere conseguenze concrete sulla prioritizzazione delle remediation.

La situazione non è emersa improvvisamente. Il rallentamento nell’arricchimento delle CVE era già evidente nel 2024, con ritardi sempre più marcati che la comunità della sicurezza aveva segnalato con crescente preoccupazione. Il NIST ha ora formalizzato quello che nei fatti era già diventato un sistema a due velocità, trasformando un problema operativo in una policy esplicita.

La trasparenza nell’annuncio è apprezzabile (meglio una regola chiara che un’ambiguità gestita in modo opaco), ma la sostanza rimane quella di un’infrastruttura critica per la cybersecurity globale che fatica a tenere il ritmo con la proliferazione delle vulnerabilità, senza che siano stati annunciati investimenti aggiuntivi per affrontare il problema alla radice.

(Immagine in apertura: Shutterstock)