O NIST anunciou uma mudança significativa na forma como gerencia e enriquece os registros de vulnerabilidades no banco de dados global CVE, após enfrentar um crescimento acelerado no número de falhas reportadas. A decisão marca uma ruptura com o modelo tradicional, no qual todas as vulnerabilidades recebiam análise detalhada e classificação de risco.

A medida impacta diretamente o funcionamento da NVD, uma das principais bases de dados utilizadas globalmente por empresas, governos e ferramentas de segurança para priorização de correções e resposta a incidentes.

Crescimento exponencial pressiona capacidade operacional

Segundo o próprio NIST, o volume de vulnerabilidades submetidas ao sistema cresceu de forma insustentável. Apenas nos três primeiros meses de 2026, houve um aumento de quase um terço em comparação com o mesmo período do ano anterior. Em 2025, foram cerca de 42 mil CVEs analisados — um aumento de 45% em relação a anos anteriores —, mas ainda insuficiente para acompanhar o ritmo atual.

O problema estrutural é agravado por limitações de recursos: a equipe responsável pela NVD permanece com apenas 21 profissionais, mesmo diante da escalada contínua de novas vulnerabilidades sendo descobertas e reportadas.

Nova abordagem: priorização baseada em risco real

Diante desse cenário, o NIST adotará uma estratégia de priorização. A partir de agora, apenas vulnerabilidades consideradas críticas ou com alto impacto terão seus registros “enriquecidos” — ou seja, receberão detalhes técnicos adicionais, como descrição completa e pontuação de severidade.

Entre os critérios definidos, terão prioridade:

• Vulnerabilidades incluídas no catálogo de falhas exploradas ativamente da CISA

• Falhas presentes em softwares utilizados pelo governo dos Estados Unidos

• Vulnerabilidades classificadas como críticas em sistemas amplamente utilizados

As demais vulnerabilidades continuarão sendo registradas, mas sem informações adicionais detalhadas — o que pode impactar diretamente processos de análise e priorização em empresas que dependem desses dados.

Impacto direto na cadeia de defesa cibernética

A mudança levanta preocupações na comunidade de segurança. O enriquecimento de CVEs é um componente essencial para diversas soluções de segurança, incluindo:

• Ferramentas de gestão de vulnerabilidades

• Sistemas de priorização de patches

• Plataformas de threat intelligence

• Soluções de detecção e resposta (SIEM, XDR, etc.)

Sem essas informações, organizações podem enfrentar dificuldades para avaliar corretamente o risco de determinadas falhas e priorizar ações de mitigação.

Além disso, o NIST informou que deixará de atribuir pontuações de severidade para todos os CVEs, passando a depender das avaliações fornecidas pelos próprios responsáveis pela submissão — o que pode gerar inconsistência e falta de padronização.

Backlog e limitações estruturais continuam sendo desafio

Outro ponto crítico é o backlog acumulado desde 2024, quando cortes de orçamento impactaram a operação do NIST. Na época, cerca de 90% das vulnerabilidades submetidas deixaram de ser analisadas.

Agora, o órgão admite que não conseguirá processar esse volume acumulado. Como consequência, todos os CVEs pendentes com data anterior a março de 2026 serão movidos para a categoria “Not Scheduled”, indicando que não há previsão de análise.

Embora o NIST afirme que continuará revisando esse backlog e priorizando casos críticos, especialistas alertam que vulnerabilidades potencialmente relevantes podem ficar sem análise detalhada.

Papel da inteligência humana e novas tendências

A decisão também reflete uma mudança mais ampla no cenário de cibersegurança. Com o aumento do uso de inteligência artificial para análise de código, há uma explosão no número de vulnerabilidades identificadas — muitas delas de baixo impacto, mas que ainda assim consomem recursos operacionais.

Especialistas apontam que o modelo centralizado de triagem de vulnerabilidades pode não ser mais viável. Em vez disso, o futuro tende a priorizar sinais baseados em exploração real e inteligência ativa, conduzida por Pesquisadores e equipes de segurança atuando diretamente em ambientes reais.

Infraestrutura crítica sob pressão

A própria comunidade de segurança já classificou a NVD como uma “infraestrutura crítica” para o ecossistema global de cibersegurança, dado seu papel central na defesa contra exploração de vulnerabilidades.

A redução na capacidade de análise pode ter efeitos em cadeia, impactando desde pequenas empresas até grandes organizações governamentais que dependem dessas informações para proteger seus sistemas.