Americký národní úřad pro standardy a technologie (NIST) od dubna 2026 přestává automaticky zpracovávat většinu nově hlášených bezpečnostních zranitelností. Příčinou je nebývalý nárůst jejich počtu — a organizace po celém světě, které se spoléhaly na jedinou centrální databázi, teď musejí přehodnotit svůj přístup.
NIST provozuje NVD (National Vulnerability Database), nejrozsáhlejší veřejnou databázi zranitelností na světě. Ke každé přijaté zranitelnosti (tzv. CVE) pracovníci NVD doplňují klíčové informace: závažnost, typ útoku, dopad a takzvané CVSS skóre — číslo, které říká, jak nebezpečná daná chyba je. Právě na tato hodnocení se spoléhají bezpečnostní nástroje, správci systémů i firemní IT týmy po celém světě.
Problém je prostý: počet nahlášených zranitelností roste mnohem rychleji, než je možné je zpracovat. Mezi lety 2020 a 2025 se počet CVE submissions zvýšil o 263 %. V prvním čtvrtletí roku 2026 přišlo o třetinu více hlášení než ve stejném období loňského roku. NIST sice v roce 2025 zpracoval téměř 42 000 zranitelností — o 45 % více než kdykoli dříve — přesto zhruba 10 000 zranitelností z roku 2025 stále čeká na přidělení CVSS skóre.
Od 15. dubna 2026 proto NIST přechází na model prioritizace. Plné zpracování garantuje pouze třem kategoriím: zranitelnostem, které se již aktivně zneužívají a jsou vedeny v katalogu CISA KEV (Known Exploited Vulnerabilities), chybám v softwaru používaném federální vládou USA a zranitelnostem v tzv. kritickém softwaru podle prezidentského výnosu EO 14028 — tedy softwaru běžícím s vyššími oprávněními, spravujícímu přístup k datům nebo síťové infrastruktuře. Vše ostatní dostane označení „Not Scheduled“ — zranitelnost bude v databázi existovat, ale bez hodnocení a bez jasného termínu zpracování.
Správci systémů mají jednu možnost: požádat o prioritní zpracování e-mailem na adresu nvd@nist.gov. Zejména jde o zranitelnosti, které se týkají konkrétního softwaru dané organizace a zatím nesplňují jiná kritéria.
Caitlin Condon z bezpečnostní firmy VulnCheck to shrnula jasně: „Žijeme v době, kdy ruční zpracování zranitelností přestalo být proveditelnou strategií.“ David Lindner ze Contrast Security dodává, že NIST svým krokem uzavírá éru, kdy mohla jediná vládní databáze sloužit jako kompletní zdroj bezpečnostního hodnocení. Firmy a organizace musejí přejít k proaktivní správě rizik — primárně se orientovat na seznam aktivně zneužívaných zranitelností CISA KEV a sledovat, co útočníci skutečně využívají.
Pro české organizace, školy a firmy to znamená jednu praktickou poučku: CVSS skóre z NVD nestačí jako jediné vodítko pro rozhodování o záplatách. Pokud nemáte k dispozici vlastní threat intelligence nebo komerční nástroj, CISA KEV katalog je zdarma dostupný a přehledný základ, od kterého má smysl začít.
Zdroj: The Hacker News