Het aantal kwetsbaarheden wordt onbehapbaar. Het Amerikaanse NIST gaat daarom zijn National Vulnerability Database aanpassen. Een volledige analyse gaat uitblijven voor kwetsbaarheden die aanvankelijk niet tot de meest kritieke CVE’s lijken te horen. Daarmee ontstaat mogelijk een blinde vlek, al is vervanging al nabij.
Het aantal nieuw ingediende CVE’s (Common Vulnerabilities and Exposures) is tussen 2020 en 2025 met 263 procent gestegen, laat NIST weten. In de eerste drie maanden van 2026 kwamen er bovendien bijna een derde meer meldingen binnen dan in dezelfde periode een jaar eerder. NIST verwerkte in 2025 al bijna 42.000 CVE’s, een stijging van 45 procent ten opzichte van eerdere jaren, maar zelfs dat bleek niet genoeg om de instroom bij te houden.
De National Vulnerability Database (NVD) geldt al jaren als een centraal referentiepunt voor cybersecurityprofessionals. Via de database kunnen organisaties kwetsbaarheden opzoeken, ernstscores raadplegen en productlijsten inzien om te bepalen welke systemen gevaar lopen. Die informatie is niet automatisch aanwezig: NIST zelf voegt die toe, een proces dat intern ‘enrichment’ heet. Dat proces staat nu onder druk. Een gat in de financiering in 2024 verergerde de bestaande achterstand verder, waardoor NIST de backlog sindsdien nooit volledig kon wegwerken.
In april 2025 werd het geldtekort nog drastischer. Het gehele CVE-systeem was even compleet zonder subsidie, waardoor het feitelijk ten onder zou gaan. Een Europees alternatief verscheen al gauw. De storm waaide over, maar nu is duidelijk dat er nog steeds drastische beslissingen nodig zijn.
Recordgroei dwingt tot keuzes
Sinds deze week hanteert NIST nieuwe prioriteringscriteria. CVE’s die voorkomen in de CISA Known Exploited Vulnerabilities (KEV) Catalog krijgen voorrang en moeten binnen één werkdag van volledige analyse zijn voorzien. Daarnaast worden kwetsbaarheden voor software die de Amerikaanse federale overheid gebruikt en software die onder Executive Order 14028 als kritiek wordt aangemerkt, versneld verwerkt. CVE’s die buiten deze categorieën vallen, worden voortaan gelabeld als ‘Not Scheduled’ en krijgen niet automatisch de gebruikelijke analyses.
Hierdoor kunnen we de CVE-database expliciet gaan zien als een bovenal reactief systeem. Het betekent niet dat er minder kwetsbaarheden zichtbaar zijn in de catalogus, maar de fijnmazigheid neemt af. Een strategie om te patchen op de CVSS-scores vanaf een bepaald getal is hoe dan ook funest, en nu nog riskanter.
Wat verandert voor gebruikers
Alle ingediende CVE’s blijven dus ‘gewoon’ beschikbaar in de NVD, maar de verrijking ontbreekt voor het merendeel. Bovendien stopt NIST met het standaard opstellen van een eigen ernstscore als de indiener, de CVE Numbering Authority, al een score heeft meegegeven. Dat vermindert dubbel werk, aldus NIST.
Backlog-CVE’s met een publicatiedatum van vóór 1 maart 2026 worden eveneens naar ‘Not Scheduled’ verplaatst. Gebruikers kunnen via een aanvraagproces per e-mail toch verrijking opvragen voor specifieke CVE’s. NIST wil intussen werken aan geautomatiseerde systemen om de NVD op de lange termijn vol te houden.