A Nemzeti Szabványügyi és Technológiai Intézethez (NIST) évről-évre egyre nagyobb mennyiségben érkeznek be újonnan felfedezett sérülékenységek, ezért a nagy leterheltség miatt az Intézet úgy döntött, hogy április 15-től nem végez saját elemzést és súlyossági besorolást az alacsony prioritású sérülékenységek esetén.

A Nemzeti Sebezhetőség Adatbázis (NVD) továbbra is listázni fog minden bejelentett sérülékenységet, viszont az alacsony prioritásúnak minősítettek esetében a súlyossági besorolást csak az a CVE-számozási hatóság (CNA) fogja majd megadni, amely benyújtotta és értékelte azt. A NIST azokról a biztonsági hibákról fog a jövőben elemzést végezni, amelyek megfelelnek az alábbi kritériumoknak:

• szerepelnek a CISA KEV katalógusában,
• érintik az Egyesült Államok kormányzati szoftvereit,
• az 14028-as elnöki rendelet értelmében kritikus infrastruktúrát érintenek.

A NIST elmondása szerint a közelmúltban 263%-kal nőtt a hozzájuk beküldött anyagok száma, amely 2026-ban várhatóan további növekedést fog mutatni. A szigorítások célja, hogy az Intézet azokra a sérülékenységekre összpontosítson, amelyek a legszélesebb kört érintik és amelyeknek a legnagyobb a hatása. A NIST elismeri, hogy az új szabályokkal fennáll annak a lehetősége, hogy néhány potenciálisan nagy hatású CVE kimarad az elemzésből, így az Intézet lehetőséget biztosít, hogy egyes CVE-k esetében előre sorolási kérelmet lehessen benyújtani az nvd[@]nist.gov e-mail címre.