Instituti Kombëtar i Standardeve dhe Teknologjisë (NIST) ka njoftuar ndryshime në mënyrën se si trajton dobësitë dhe ekspozimet e sigurisë kibernetike (CVE) të listuara në bazën e tij Kombëtare të Vulnerabilitetit (NVD), duke deklaruar se do të pasurojë vetëm ato që plotësojnë kushte të caktuara për shkak të një shpërthimi në paraqitjet CVE.

“CVE-të që nuk i plotësojnë këto kritere do të jenë ende të listuara në NVD, por nuk do të jenë automatikisht pasuruar nga NIST“ajo tha. “Ky ndryshim është nxitur nga një rritje në paraqitjet e CVE, të cilat u rritën me 263% midis 2020 dhe 2025. Ne nuk presim që ky trend të pushojë së shpejti.”

Kriteret e prioritizimit të përshkruara nga NIST, të cilat hynë në fuqi në 15 Prill 2026, janë si më poshtë –

  • CVE që shfaqen në katalogun e Vulnerabiliteteve të Shfrytëzuara të Njohura (KEV) të Agjencisë së Sigurisë Kibernetike dhe Sigurisë së Infrastrukturës së SHBA-së (CISA).
  • CVE për softuerin e përdorur brenda qeverisë federale.
  • CVE për softuer kritik siç përcaktohet nga Urdhri Ekzekutiv 14028: ky përfshin softuer që është krijuar për të ekzekutuar me privilegje të ngritura ose privilegje të menaxhuara, ka akses të privilegjuar në burimet e rrjetit ose kompjuterit, kontrollon aksesin në të dhëna ose teknologjinë operacionale dhe operon jashtë kufijve normalë të besimit me akses të lartë. 

Çdo paraqitje CVE që nuk i plotëson këto pragje do të shënohet si “Nuk është planifikuar”. Ideja, tha NIST, është të fokusohet në CVE që kanë potencialin maksimal për ndikim të gjerë.

“Ndërsa CVE-të që nuk i plotësojnë këto kritere mund të kenë një ndikim të rëndësishëm në sistemet e prekura, ato në përgjithësi nuk paraqesin të njëjtin nivel rreziku sistemik si ato në kategoritë e prioritizuara,” shtoi ai.

NIST tha se dorëzimet e CVE gjatë tre muajve të parë të 2026 janë gati një të tretën më të larta se sa ishin vitin e kaluar dhe po punon më shpejt se kurrë për të pasuruar paraqitjet. Ai gjithashtu tha se pasuroi gati 42,000 CVE në 2025, që ishte 45% më shumë se çdo vit më parë.

Në rastet kur një CVE me ndikim të lartë është kategorizuar si e paplanifikuar, përdoruesit kanë mundësinë të kërkojnë pasurim duke dërguar një email te “nvd@nist[.]gov.” NIST pritet të rishikojë ato kërkesa dhe të planifikojë CVE-të për pasurim sipas rastit.

Ndryshime janë krijuar edhe për aspekte të tjera të ndryshme të operacioneve NVD. Këto përfshijnë –

  • NIST nuk do të ofrojë më në mënyrë rutinore një pikë të veçantë ashpërsie për një CVE ku Autoriteti i Numeracionit CVE ka dhënë tashmë një pikë ashpërsie.
  • Një CVE e modifikuar do të rianalizohet vetëm nëse “ndikon materialisht” në të dhënat e pasurimit. Përdoruesit mund të kërkojnë që CVE të veçanta të rianalizohen duke dërguar një email në të njëjtën adresë të listuar më sipër.
  • Të gjitha CVE-të e papasuruara aktualisht në ngecje me një datë publikimi NVD më herët se 1 marsi 2026, do të zhvendosen në kategorinë “Jo i planifikuar”. Kjo nuk vlen për CVE-të që janë tashmë në katalogun KEV.
  • NIST ka përditësuar Etiketat dhe përshkrimet e statusit CVE, si dhe Paneli i NVD, për të pasqyruar me saktësi statusin e të gjitha CVE-ve dhe statistikave të tjera në kohë reale.

“Njoftimi nga NIST nuk vjen si një surprizë e madhe, duke qenë se ata kanë telegrafuar më parë synimin për të kaluar në një model prioritizimi “të bazuar në rrezik” për pasurimin e CVE,” tha Caitlin Condon, nënkryetare e kërkimit të sigurisë në VulnCheck, në një deklaratë të ndarë me The Hacker News.

“Nga ana pozitive, NIST është duke vendosur qartë dhe publikisht pritshmëri për komunitetin mes një rritjeje të madhe dhe në rritje të dobësive të reja. Nga ana tjetër, një pjesë e konsiderueshme e dobësive tani duket se nuk kanë një rrugë të qartë drejt pasurimit për organizatat që mbështeten në NIST si burimin e tyre autoritar (ose të vetëm) të të dhënave të pasurimit të CVE.”

Të dhënat nga kompania e sigurisë kibernetike tregojnë se ka ende rreth 10,000 dobësi nga viti 2025 pa një rezultat CVSS. NIST vlerësohet të ketë pasuruar 14,000 dobësi ‘CVE-2025’, që përbëjnë rreth 32% të popullsisë CVE 2025.

“Ky njoftim nënvizon atë që ne tashmë e dimë: Ne nuk jetojmë më në një botë ku pasurimi manual i dobësive të reja është një strategji e realizueshme ose efektive,” tha Condon.

“Edhe pa zbulimin e cenueshmërisë së drejtuar nga AI që përshpejton volumin CVE dhe sfidat e vlefshmërisë, klima e sotme e kërcënimit kërkon pa mëdyshje qasje të shpërndara, me shpejtësi të makinës për identifikimin dhe pasurimin e cenueshmërisë, së bashku me një perspektivë të vërtetë globale mbi rrezikun që pranon ndërlidhjen, natyrën e ndërvarur të softuerit që synon të gjithë botën. Mos i jepni përparësi vetes, kundërshtarët do të kenë përparësi për ne.”

David Lindner, shefi i sigurisë së informacionit në Contrast Security, tha se vendimi i NIST për t’i dhënë përparësi vetëm dobësive me ndikim të lartë shënon fundin e një epoke ku mbrojtësit mund të përdorin një bazë të dhënash të vetme të menaxhuar nga qeveria për të vlerësuar rreziqet e sigurisë, duke i detyruar organizatat të drejtohen në një qasje proaktive për menaxhimin e rrezikut që nxitet nga inteligjenca e kërcënimit.

“Mbrojtësit modernë duhet të lëvizin përtej zhurmës së vëllimit total të CVE dhe në vend të kësaj të përqendrojnë burimet e tyre të kufizuara në listën e CISA KEV dhe metrikat e shfrytëzimit,” tha Lindner.

“Ndërsa ky tranzicion mund të prishë flukset e punës së auditimit të trashëguar, ai përfundimisht maturon industrinë duke kërkuar që ne t’i japim përparësi ekspozimit aktual mbi ashpërsinë teorike. Mbështetja në një nëngrup të kuruar të të dhënave vepruese është shumë më efektive për qëndrueshmërinë kombëtare sesa mbajtja e një arkivi gjithëpërfshirës, ​​por të pamenaxhueshëm të çdo defekti të vogël.”