O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) anunciou mudanças significativas na forma como gerencia as vulnerabilidades e exposições de cibersegurança (CVEs) em sua base de dados nacional (NVD). Devido a um aumento de 263% nas submissões de CVEs entre 2020 e 2025, o NIST decidiu enriquecer apenas aqueles que atendem a critérios específicos, como a inclusão no catálogo de Vulnerabilidades Conhecidas e Exploitadas (KEV) da CISA e software crítico utilizado pelo governo federal. As CVEs que não se enquadrarem nesses critérios serão marcadas como “Não Programadas”. Essa mudança visa priorizar as vulnerabilidades com maior potencial de impacto generalizado, embora o NIST reconheça que outras CVEs possam ter impactos significativos. Além disso, o NIST não fornecerá mais pontuações de severidade separadas para CVEs já avaliadas por autoridades de numeração de CVE. As mudanças têm como objetivo melhorar a eficiência na gestão de vulnerabilidades em um cenário de crescente volume de novas ameaças. Especialistas alertam que essa nova abordagem exigirá que as organizações adotem uma gestão de riscos mais proativa, focando em dados acionáveis em vez de uma lista abrangente de vulnerabilidades.
Fonte: https://thehackernews.com/2026/04/nist-limits-cve-enrichment-after-263.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
17/04/2026 • Risco: ALTO
VULNERABILIDADE
NIST altera gestão de vulnerabilidades cibernéticas
RESUMO EXECUTIVO
As novas diretrizes do NIST para a gestão de vulnerabilidades exigem que as organizações priorizem suas ações de segurança com base em dados acionáveis, especialmente em um cenário de aumento de vulnerabilidades. A falta de enriquecimento para muitas CVEs pode deixar lacunas significativas na segurança das informações.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis custos associados a falhas de segurança devido à falta de priorização adequada.
Operacional
Aumento significativo no número de vulnerabilidades sem pontuação CVSS.
Setores vulneráveis
['Setores governamentais, tecnologia da informação, serviços financeiros']
📊 INDICADORES CHAVE
Aumento de 263% nas submissões de CVEs entre 2020 e 2025.
Indicador
42.000 CVEs enriquecidos em 2025, 45% a mais que em anos anteriores.
Contexto BR
10.000 vulnerabilidades de 2025 sem pontuação CVSS.
Urgência
⚡ AÇÕES IMEDIATAS
1
Revisar as vulnerabilidades atuais e identificar quais estão na lista KEV da CISA.
2
Implementar medidas de segurança para software crítico identificado.
3
Monitorar continuamente as novas submissões de CVEs e suas classificações.
🇧🇷 RELEVÂNCIA BRASIL
As mudanças na priorização de CVEs pelo NIST exigem que os CISOs brasileiros reavaliem suas estratégias de segurança, focando em vulnerabilidades com maior potencial de impacto.
⚖️ COMPLIANCE
Implicações para a conformidade com a LGPD e outras regulamentações de segurança de dados.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
