NIST limita il NVD: solo i bug critici verranno analizzati

Scopri anche

• Mythos e la Casa Bianca: quando la cybersecurity diventa questione di sicurezza nazionale
• Tre zero-day di Microsoft Defender sfruttati attivamente: le vulnerabilità BlueHammer, RedSun e UnDefend
• Claude Mythos Preview: il modello AI che Anthropic rifiuta di rilasciare al pubblico
• Vulnerabilità zero-day in Microsoft Defender: exploit BlueHammer e RedSun sfruttati in attacchi reali
• Aggiornamenti software e cybersecurity: analisi dei rischi e strategie di mitigazione
• Attacco hacker a Booking.com: dati utenti esposti e rischio phishing mirato
• Vulnerabilità di prompt injection colpiscono Microsoft Copilot e Salesforce Agentforce
• Microsoft Patch Tuesday aprile 2026: corrette 167 vulnerabilità con due zero-day
• Patch Tuesday aprile 2026: Microsoft corregge due zero-day con exploit attivi su SharePoint e Defender
• Samsung Galaxy: patch di sicurezza aprile 2026 e beta One UI 8.5 per pieghevoli e serie S
• BlueHammer e il Patch Tuesday di febbraio 2026: sei zero-day sotto attacco attivo minacciano Windows e Office
• Microsoft Patch Tuesday aprile 2026: 167 vulnerabilità corrette, due zero-day
• Apple espande aggiornamento iOS 18.7.7 per bloccare gli exploit DarkSword
• CVE-2026-35616: Fortinet corregge vulnerabilità zero-day critica in FortiClient EMS
• Malware e minacce digitali: l'evoluzione delle tecniche di attacco e le strategie di difesa
• Claude Code: dal leak del codice sorgente alla creazione autonoma di exploit kernel
• Apple rilascia iOS 18.7.7 per bloccare l'exploit DarkSword: analisi della minaccia
• Anthropic blocca il rilascio di Claude Mythos: il modello AI che trova vulnerabilità zero-day
• La settimana che ha cambiato la sicurezza informatica: Claude Code, il leak e l'exploit FreeBSD
• Apple rilascia iOS 18.7.7 per bloccare l'exploit DarkSword

NIST limita il NVD: solo i bug critici verranno analizzati

Il 15 aprile 2026, durante la conferenza Vulncon, il National Institute of Standards and Technology (NIST) ha annunciato un cambio radicale nella gestione del National Vulnerability Database (NVD). L'istituto americano ha ammesso di non poter più tenere il passo con l'aumento record delle segnalazioni CVE e ha introdotto un modello basato sul rischio che limita l'arricchimento dettagliato alle sole vulnerabilità considerate prioritarie.

Un database sommerso dai dati

Le sottomissioni di vulnerabilità nei primi tre mesi del 2026 sono risultate quasi un terzo più alte rispetto allo stesso periodo del 2025. Un incremento che ha costretto il NIST a ripensare l'intero approccio operativo. Secondo i dati forniti dall'agenzia, tra il 2020 e il 2025 si è registrato un aumento del 263% nelle sottomissioni CVE, una tendenza che il NIST non prevede si attenui nel breve termine.

Il team del NVD rimane composto da sole 21 persone, un numero invariato nonostante la crescita esponenziale dei bug da analizzare. Nel 2025 l'agenzia è comunque riuscita ad arricchire quasi 42.000 CVE, con un incremento di produttività del 45% rispetto a qualsiasi anno precedente. Ma non è bastato.

La crisi del 2024 come campanello d'allarme

Nel corso del 2024, il NIST aveva già affrontato una crisi significativa che aveva lasciato il 90% delle sottomissioni senza arricchimento a causa di tagli al personale e ai finanziamenti. Quel episodio aveva messo in luce l'insostenibilità del modello centralizzato di analisi manuale.

Trey Ford, di Bugcrowd, ha commentato la situazione con parole dirette: Non è possibile centralizzare il triage delle vulnerabilità a questo volume e aspettarsi che regga.

I nuovi criteri di priorità

A partire dal 15 aprile 2026, il NIST esegue analisi dettagliate (arricchimento) solo per le CVE che rientrano in tre categorie specifiche: quelle presenti nel catalogo KEV (Known Exploited Vulnerabilities) di CISA, quelle relative a software utilizzati dal governo federale americano, e quelle che riguardano software considerati critici. L'agenzia si è prefissata l'obiettivo di arricchire i bug del catalogo CISA entro un giorno lavorativo dalla notifica.

Per tutte le altre vulnerabilità, il NIST ha deciso di smettere di fornire i propri punteggi di gravità quando queste hanno già ricevuto una valutazione dalle organizzazioni mittenti (le CVE Numbering Authorities). Le CVE che non soddisfano i criteri di priorità vengono comunque elencate nel database, ma inserite nella categoria "Not Scheduled" per l'arricchimento dei dettagli.

Il backlog trasferito nella categoria Not Scheduled

Una delle decisioni più rilevanti riguarda il trattamento del backlog accumulato. Il NIST ha trasferito tutte le voci del NVD con data di pubblicazione precedente al 1° marzo 2026 nella categoria Not Scheduled. Questo significa che decine di migliaia di vulnerabilità "storiche" non riceveranno mai l'arricchimento dettagliato da parte dell'istituto americano.

Secondo i dati disponibili, restano circa 10.000 vulnerabilità del 2026 senza punteggio CVSS assegnato dal NIST, mentre soltanto 14.000 delle CVE-2026 risultano arricchite, pari a circa il 32% del totale delle vulnerabilità registrate quest'anno.

Implicazioni per chi gestisce la cybersecurity

La decisione del NIST rappresenta un cambiamento significativo per le organizzazioni che si affidavano al database come fonte primaria per la valutazione delle vulnerabilità. Senza l'arricchimento automatico del NIST, i team di sicurezza dovranno fare maggiore affidamento sulle valutazioni fornite direttamente dai vendor o dalle CVE Numbering Authorities, che potrebbero utilizzare criteri di severità differenti.

In una dichiarazione ufficiale, il NIST ha motivato la scelta: Questo approccio basato sul rischio è necessario per gestire l'attuale ondata di sottomissioni CVE. L'istituto riconosce implicitamente che il modello di analisi centralizzata universale non è più sostenibile in un panorama dove le vulnerabilità crescono a ritmi esponenziali, alimentati anche dall'uso dell'intelligenza artificiale nella ricerca di bug.

Per le imprese, questo significa dover sviluppare capacità interne di triage più sofisticate o affidarsi a fonti terze per le valutazioni di rischio. L'era del database universale e completamente arricchito sembra essersi chiusa, lasciando spazio a un approccio frammentato ma più gestibile.

Domande frequenti

Le CVE non prioritarie scompariranno dal NVD?

No. Tutte le CVE continuano a essere elencate nel database. Semplicemente, quelle non prioritarie non riceveranno l'arricchimento dettagliato (analisi approfondita, punteggi CVSS aggiuntivi) da parte del NIST.

Quali vulnerabilità ricevono ancora l'arricchimento del NIST?

Solo le CVE presenti nel catalogo KEV di CISA, quelle relative a software usati dal governo federale americano, e quelle che riguardano software critici. L'obiettivo è arricchire le CVE del catalogo CISA entro un giorno lavorativo.

Cosa significa la categoria "Not Scheduled"?

Indica che il NIST non prevede di arricchire quella specifica voce del database. La vulnerabilità resta visibile e consultabile, ma senza i dettagli aggiuntivi che il NIST tradizionalmente forniva.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

La decisione del NIST segna un punto di non ritorno nella gestione centralizzata delle vulnerabilità, con conseguenze che potrebbero ridefinire l'intero ecosistema del vulnerability management.

• Scenario 1: Le organizzazioni potrebbero sviluppare capacità interne di triage più robuste, riducendo la dipendenza dal NIST come fonte unica di verità per la valutazione dei rischi.
• Scenario 2: È plausibile una maggiore eterogeneità nelle valutazioni, con vendor e CVE Numbering Authorities che potrebbero applicare criteri di severità tra loro divergenti.
• Scenario 3: Il backlog trasferito in "Not Scheduled" potrebbe creare zone d'ombra informative, rendendo più complessa l'analisi di vulnerabilità storiche ancora potenzialmente rilevanti.

Cosa monitorare

• L'eventuale emergere di database alternativi o iniziative comunitarie che colmino il vuoto lasciato dal NIST.
• La capacità dell'istituto di rispettare l'obiettivo dichiarato di un giorno lavorativo per le CVE del catalogo CISA.
• L'evoluzione del rapporto tra CVE totali e CVE arricchite nei prossimi trimestri.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

• https://www.think.it/nist-adotta-una-triage-basata-sul-rischio-per-il-nvd-cosa-cambia-per-chi-patcha/
• https://www.think.it/perche-il-nist-ha-limitato-larricchimento-delle-cve-cosa-cambia-per-chi-gestisce-le-patch/
• https://www.helpnetsecurity.com/2026/04/16/nist-national-vulnerability-database-nvd-enrichment/
• https://thehackernews.com/2026/04/nist-limits-cve-enrichment-after-263.html
• https://cyberscoop.com/nist-narrows-cve-analysis-nvd/