A Nemzeti Szabványügyi és Technológiai Intézethez (NIST) évről-évre egyre nagyobb mennyiségben érkeznek be újonnan felfedezett sérülékenységek, ezért a nagy leterheltség miatt az Intézet úgy döntött, hogy április 15-től nem végez saját elemzést és súlyossági besorolást az alacsony prioritású sérülékenységek esetén.
A Nemzeti Sebezhetőség Adatbázis (NVD) továbbra is listázni fog minden bejelentett sérülékenységet, viszont az alacsony prioritásúnak minősítettek esetében a súlyossági besorolást csak az a CVE-számozási hatóság (CNA) fogja majd megadni, amely benyújtotta és értékelte azt. A NIST azokról a biztonsági hibákról fog a jövőben elemzést végezni, amelyek megfelelnek az alábbi kritériumoknak:
- szerepelnek a CISA KEV katalógusában,
- érintik az Egyesült Államok kormányzati szoftvereit,
- az 14028-as elnöki rendelet értelmében kritikus infrastruktúrát érintenek.
A NIST elmondása szerint a közelmúltban 263%-kal nőtt a hozzájuk beküldött anyagok száma, amely 2026-ban várhatóan további növekedést fog mutatni. A szigorítások célja, hogy az Intézet azokra a sérülékenységekre összpontosítson, amelyek a legszélesebb kört érintik és amelyeknek a legnagyobb a hatása.