Національний інститут стандартів і технологій США (NIST) оголосив про суттєву зміну підходу до ведення National Vulnerability Database (NVD). Починаючи з квітня 2026 року, повноцінний аналіз та «обогащення» будуть виконуватися лише для пріоритетних записів CVE, тоді як решта вразливостей залишатимуться в базі з мінімальним набором даних.
Чому NIST змінює модель роботи з NVD
Головний драйвер реформи — стрімке зростання кількості публічних вразливостей. За даними NIST, з 2020 по 2025 рік потік нових CVE зріс на 263%. Уже в першому кварталі 2026 року кількість записів збільшилася ще приблизно на третину порівняно з аналогічним періодом попереднього року.
Навіть за умов масштабування процесів аналізу інститут вийшов на межу можливостей. У 2025 році NIST зміг детально опрацювати близько 42 000 CVE — це на 45% більше, ніж будь-коли раніше. Однак при поточних темпах зростання ручне обогащення кожної вразливості стає практично нереалістичним.
Під «обогащенням» у NVD розуміють доповнення сирої CVE-інформації структурованими даними: оцінкою критичності за CVSS, переліком уражених продуктів і версій (CPE), розширеними описами, посиланнями на патчі та бюлетені, а також іншим контекстом. Саме ці дані дозволяють командам безпеки формувати пріоритети виправлення вразливостей.
Нова пріоритизація CVE: статуси «Priority» та «Not Scheduled»
З квітня 2026 року NIST зосередиться лише на пріоритетних CVE, які підпадають під один чи кілька визначених критеріїв. Деталізований перелік критеріїв опублікований в офіційній документації NIST, але загальний вектор зрозумілий: фокус на вразливостях із найбільшим потенційним впливом на безпеку.
Усі інші записи отримають статус «Not Scheduled». Для таких CVE в NVD буде доступна лише базова інформація з першоджерела (CVE-опис, ідентифікатор, дата), без додаткового аналізу NIST, без власних оцінок CVSS і мапінгу на продукти.
Окремо зазначено, що NIST припиняє самостійно перераховувати оцінку CVSS, якщо її вже надав CNA (CVE Numbering Authority) — вендор або інший уповноважений орган. Таким чином, основний акцент переноситься на оцінки ризику від виробників продуктів та спеціалізованих центрів.
Значний бэклог невідпрацьованих записів CVE, опублікованих до 1 березня 2026 року, також буде переведений у статус «Not Scheduled», за винятком вразливостей, включених до каталогу Known Exploited Vulnerabilities (KEV). Повторний аналіз уже обогащених записів проводитиметься лише за умови суттєвих змін даних. Водночас NIST залишає можливість запросити обогащення конкретної CVE через електронну пошту [email protected].
Що означає статус «Not Scheduled» для організацій
Зростання частки CVE зі статусом «Not Scheduled» означає, що значна кількість вразливостей залишиться без централізованої аналітики NIST. Для компаній, які сприймали NVD як єдине або основне джерело інформації про вразливості, це створює додаткові ризики та навантаження.
Без офіційної оцінки CVSS, переліку уражених продуктів і деталізованих описів організації будуть змушені самостійно проводити оцінку ризиків або покладатися на альтернативні джерела: комерційні фіди, галузеві ініціативи, внутрішні команди Threat Intelligence чи сторонні платформи з управління вразливостями.
Реакція ринку кібербезпеки на зміни в NVD
Представники індустрії сприйняли новини неоднозначно. Кейтлін Кондон (Caitlin Condon), віцепрезидент з досліджень у VulnCheck, наголосила, що таке рішення NIST було прогнозованим, але воно суттєво ускладнить життя тим, хто побудував процеси управління вразливостями виключно навколо NVD. За оцінками VulnCheck, близько 10 000 вразливостей 2025 року досі не мають оцінки CVSS, а серед усіх CVE з префіксом CVE-2025 обогащено лише приблизно 32% записів.
Девід Лінднер (David Lindner), CISO Contrast Security, назвав те, що відбувається, «кінцем епохи єдиної бази для оцінки ризиків». На його думку, фокус має зміщуватися в бік каталогу KEV і метрик експлуатованості, щоб команди безпеки зосереджувалися насамперед на вразливостях, які реально використовуються в атаках, а не на теоретично критичних, але практично неексплуатованих збоях.
Як адаптувати управління вразливостями до нової ролі NVD
Використання кількох джерел даних про вразливості
Організаціям доцільно переглянути архітектуру своїх процесів управління вразливостями та не обмежуватися лише NVD. Варто інтегрувати каталог KEV, офіційні повідомлення від вендорів, галузеві інформаційно-аналітичні центри (ISAC), а також комерційні Threat Intelligence-фіди. Така мультиджерельна модель зменшує залежність від одного реєстру.
Фокус на експлуатованості та бізнес-контексті
Оцінка ризику має базуватися не тільки на балі CVSS, а й на фактичній експлуатованості: наявності публічних експлойтів, активності в атаках, рівні експонування системи в інтернет, а також критичності бізнес-процесів, які залежать від уражених активів. Це дозволяє вибудувати пріоритезацію навіть для тих CVE, які в NVD позначені як «Not Scheduled».
Автоматизація, інвентаризація та контекст активів
В умовах зростаючого обсягу вразливостей особливо важливо мати актуальний реєстр активів та автоматизовані інструменти, що зіставляють нові CVE з конкретними системами. Поєднання сканерів вразливостей, CMDB, засобів виявлення хмарних та інтернет-експонованих активів допомагає швидко зрозуміти, які вразливості справді релевантні вашій інфраструктурі і потребують оперативної реакції.
Перехід NIST до пріоритезованої обробки CVE в NVD — це симптом перевантаженої екосистеми вразливостей і сигнал для бізнесу. Компаніям варто вже зараз переосмислити свою залежність від NVD, додати нові джерела даних, інвестувати у власну експертизу з аналізу вразливостей та будувати пріоритезацію на основі реальних загроз і бізнес-контексту. Ті, хто встигне адаптуватися раніше, отримають відчутну перевагу в протидії сучасним кіберзагрозам.
