Zpět na domů

NIST prioritizuje CVE: co se změnilo v NVD

NIST zavedl prioritizaci zpracování CVE v NVD kvůli prudkému růstu počtu zranitelností. Nyní pouze vysoce rizikové CVE dostávají plnou analýzu. Článek vysvětluje nová kritéria, změny v pracovních procesech a důsledky pro odvětví.

NIST mění pravidla hry: pouze kritické CVE dostanou zpracování
Advertisement 728x90

# NIST zavádí prioritizaci CVE: jak to změní řízení zranitelností

Národní institut standardů a technologií (NIST) oficiálně přešel na model zpracování zranitelností založený na rizicích. Od 15. dubna 2026 budou plnou analytickou analýzu v Národní databázi zranitelností (NVD) dostávat pouze CVE, které splňují přísná kritéria priority. Ostatní budou označeny jako „Neplánováno“. Toto rozhodnutí vyvolal 263% růst počtu žádostí o CVE v období 2020–2025 a nemožnost udržet dřívější úroveň ručního obohacování dat.

Proč NIST změnil přístup k zpracování CVE

Objem dat o nových zranitelnostech dosáhl kritického bodu. V roce 2025 bylo v NVD zaregistrováno přes 42 000 CVE – o 45 % více než v jakémkoli předchozím roce. Za prvních tři měsíce roku 2026 počet žádostí ještě vzrostl o třetinu. Zdroje NIST jsou však omezené a ruční ověřování a obohacování každého záznamu vyžaduje značné časové a personální náklady.

Dříve se NIST snažil zajistit jednotnou a úplnou informaci ke všem zranitelnostem: hodnocení CVSS, technické detaily, odkazy na opravy. Nyní institut uznává, že tento model je zastaralý. Cílem nové strategie je soustředit se na zranitelnosti s největším potenciálem pro široce rozsáhlý dopad na infrastrukturu a bezpečnost.

Google AdInline article slot

Kritéria prioritizace: které CVE dostanou zpracování

Podle aktualizované politiky je plné zpracování v NVD zaručeno pouze pro následující kategorie zranitelností:

  • Zranitelnosti zahrnuté v katalogu Known Exploited Vulnerabilities (KEV) Agentury pro kyberbezpečnost a ochranu infrastruktury USA (CISA);
  • Zranitelnosti v softwaru používaném federální vládou USA;
  • Zranitelnosti v kriticky důležitém softwaru definovaném v souladu s prezidentským výnosem č. 14028. Mezi takový software patří systémy, které:

- Pracují s zvýšenými nebo spravovanými privilegii;

- Mají privilegovaný přístup k síťovým nebo výpočetním zdrojům;

Google AdInline article slot

- Řídí přístup k datům nebo operačním technologiím;

- Fungují mimo běžné hranice důvěry s rozšířenými právy.

Všechny ostatní CVE automaticky získají stav „Neplánováno“. To neznamená jejich vyloučení z databáze – zůstávají v NVD, ale bez další analýzy od NIST.

Google AdInline article slot

Změny v pracovních procesech NVD

Kromě prioritizace provedl NIST řadu technických a procedurálních úprav:

  • Odchod od duplicitních hodnocení CVSS: Pokud CVE Program již poskytl hodnocení závažnosti, NIST už nebude uvádět vlastní.
  • Opakovaná analýza pouze při podstatném dopadu: Změny v již zpracovaném CVE nevyvolávají automatickou revizi, pokud nemají významný vliv na data zpracování.
  • Hromadný přesun starých záznamů: Všechny neregistrované CVE s datem publikace před 1. březnem 2026 byly převedeny do stavu „Neplánováno“, s výjimkou těch, které jsou již v KEV.
  • Aktualizace rozhraní a štítků: Monitorovací panel NVD nyní odráží skutečný stav zpracování každé zranitelnosti v reálném čase.

Uživatelé mohou požádat o zpracování konkrétního CVE e-mailem na [email protected]. NIST si však vyhrazuje právo žádost zamítnout, pokud zranitelnost nesplňuje stanovená kritéria rizika.

Důsledky pro obor a bezpečnostní praxe

Tento krok znamená konec éry centralizovaného státního přístupu k hodnocení všech zranitelností. Jak poznamenává Caitlin Condon (VulnCheck): „Už nežijeme ve světě, kde je ruční obohacování nových zranitelností realizovatelnou strategií.“

Pro organizace to znamená nutnost přechodu k proaktivnímu řízení rizik:

  • Integrace externích zdrojů dat (včetně komerčních platforem a open-source feedů);
  • Automatizace prioritizace na základě kontextu: aktivní exploitů, přítomnosti v KEV, použití ve vlastní infrastruktuře;
  • Odchod od slepého následování skóre CVSS ve prospěch analýzy reálné využitelnosti a dopadu na podnikání.

David Lindner (Contrast Security) zdůrazňuje: „Spoléhání se na pečlivě vybranou sadu užitečných dat je mnohem efektivnější pro zajištění národní odolnosti než udržování všeobsahuícího, ale neřiditelného archivu každé drobné chyby.“

Co je důležité

  • NIST už nezpracovává všechny CVE – pouze ty, které splňují kritéria vysokého rizika.
  • Zranitelnosti mimo prioritní kategorie zůstávají v NVD, ale bez hodnocení CVSS a další analýzy od NIST.
  • Organizace musí přebudovat procesy řízení zranitelností s důrazem na kontext a reálnou hrozbu.
  • Žádosti o zpracování nepriorít CVE jsou možné, ale nezaručují akci ze strany NIST.
  • Trend směřuje k decentralizaci a specializaci v ekosystému kyberbezpečnosti.

— Editorial Team

Advertisement 728x90

Číst dál