# NIST zavádí prioritizaci CVE: jak to změní řízení zranitelností
Národní institut standardů a technologií (NIST) oficiálně přešel na model zpracování zranitelností založený na rizicích. Od 15. dubna 2026 budou plnou analytickou analýzu v Národní databázi zranitelností (NVD) dostávat pouze CVE, které splňují přísná kritéria priority. Ostatní budou označeny jako „Neplánováno“. Toto rozhodnutí vyvolal 263% růst počtu žádostí o CVE v období 2020–2025 a nemožnost udržet dřívější úroveň ručního obohacování dat.
Proč NIST změnil přístup k zpracování CVE
Objem dat o nových zranitelnostech dosáhl kritického bodu. V roce 2025 bylo v NVD zaregistrováno přes 42 000 CVE – o 45 % více než v jakémkoli předchozím roce. Za prvních tři měsíce roku 2026 počet žádostí ještě vzrostl o třetinu. Zdroje NIST jsou však omezené a ruční ověřování a obohacování každého záznamu vyžaduje značné časové a personální náklady.
Dříve se NIST snažil zajistit jednotnou a úplnou informaci ke všem zranitelnostem: hodnocení CVSS, technické detaily, odkazy na opravy. Nyní institut uznává, že tento model je zastaralý. Cílem nové strategie je soustředit se na zranitelnosti s největším potenciálem pro široce rozsáhlý dopad na infrastrukturu a bezpečnost.
Kritéria prioritizace: které CVE dostanou zpracování
Podle aktualizované politiky je plné zpracování v NVD zaručeno pouze pro následující kategorie zranitelností:
- Zranitelnosti zahrnuté v katalogu Known Exploited Vulnerabilities (KEV) Agentury pro kyberbezpečnost a ochranu infrastruktury USA (CISA);
- Zranitelnosti v softwaru používaném federální vládou USA;
- Zranitelnosti v kriticky důležitém softwaru definovaném v souladu s prezidentským výnosem č. 14028. Mezi takový software patří systémy, které:
- Pracují s zvýšenými nebo spravovanými privilegii;
- Mají privilegovaný přístup k síťovým nebo výpočetním zdrojům;
- Řídí přístup k datům nebo operačním technologiím;
- Fungují mimo běžné hranice důvěry s rozšířenými právy.
Všechny ostatní CVE automaticky získají stav „Neplánováno“. To neznamená jejich vyloučení z databáze – zůstávají v NVD, ale bez další analýzy od NIST.
Změny v pracovních procesech NVD
Kromě prioritizace provedl NIST řadu technických a procedurálních úprav:
- Odchod od duplicitních hodnocení CVSS: Pokud CVE Program již poskytl hodnocení závažnosti, NIST už nebude uvádět vlastní.
- Opakovaná analýza pouze při podstatném dopadu: Změny v již zpracovaném CVE nevyvolávají automatickou revizi, pokud nemají významný vliv na data zpracování.
- Hromadný přesun starých záznamů: Všechny neregistrované CVE s datem publikace před 1. březnem 2026 byly převedeny do stavu „Neplánováno“, s výjimkou těch, které jsou již v KEV.
- Aktualizace rozhraní a štítků: Monitorovací panel NVD nyní odráží skutečný stav zpracování každé zranitelnosti v reálném čase.
Uživatelé mohou požádat o zpracování konkrétního CVE e-mailem na [email protected]. NIST si však vyhrazuje právo žádost zamítnout, pokud zranitelnost nesplňuje stanovená kritéria rizika.
Důsledky pro obor a bezpečnostní praxe
Tento krok znamená konec éry centralizovaného státního přístupu k hodnocení všech zranitelností. Jak poznamenává Caitlin Condon (VulnCheck): „Už nežijeme ve světě, kde je ruční obohacování nových zranitelností realizovatelnou strategií.“
Pro organizace to znamená nutnost přechodu k proaktivnímu řízení rizik:
- Integrace externích zdrojů dat (včetně komerčních platforem a open-source feedů);
- Automatizace prioritizace na základě kontextu: aktivní exploitů, přítomnosti v KEV, použití ve vlastní infrastruktuře;
- Odchod od slepého následování skóre CVSS ve prospěch analýzy reálné využitelnosti a dopadu na podnikání.
David Lindner (Contrast Security) zdůrazňuje: „Spoléhání se na pečlivě vybranou sadu užitečných dat je mnohem efektivnější pro zajištění národní odolnosti než udržování všeobsahuícího, ale neřiditelného archivu každé drobné chyby.“
Co je důležité
- NIST už nezpracovává všechny CVE – pouze ty, které splňují kritéria vysokého rizika.
- Zranitelnosti mimo prioritní kategorie zůstávají v NVD, ale bez hodnocení CVSS a další analýzy od NIST.
- Organizace musí přebudovat procesy řízení zranitelností s důrazem na kontext a reálnou hrozbu.
- Žádosti o zpracování nepriorít CVE jsou možné, ale nezaručují akci ze strany NIST.
- Trend směřuje k decentralizaci a specializaci v ekosystému kyberbezpečnosti.
— Editorial Team
Zatím žádné komentáře.