
O National Institute of Standards and Technology (NIST) anunciou uma mudança profunda na forma como trata e avalia problemas de cibersegurança a nível global. De acordo com o comunicado oficial do NIST, a agência norte-americana vai deixar de atribuir pontuações de gravidade às falhas de menor prioridade, respondendo assim ao volume insustentável de relatórios submetidos.
A partir do dia 15 de abril, o serviço focar-se-á apenas na análise e no fornecimento de dados adicionais — como a atribuição de níveis de gravidade e as listas de produtos afetados — para os problemas de segurança que cumpram critérios de risco muito específicos. As restantes ameaças continuarão a constar na National Vulnerability Database (NVD), mas apresentarão apenas a classificação base submetida pela entidade avaliadora (CNA) original.
Os novos critérios de classificação
Para que um problema receba a análise detalhada da agência, terá agora de se enquadrar num de três cenários rigorosos: fazer parte do catálogo de vulnerabilidades conhecidas e exploradas (KEV) da CISA, afetar diretamente o software utilizado pelas infraestruturas do governo federal dos Estados Unidos da América, ou envolver sistemas críticos ao abrigo da ordem executiva 14028.
Esta reestruturação nasce de uma necessidade de recursos. A agência explicou que o volume de submissões registou um crescimento de 263% em tempos recentes, uma tendência de aceleração que se manteve no arranque de 2026. Apenas durante o ano de 2025, a organização enriqueceu os detalhes de 42.000 identificadores CVE, um ritmo que a própria assume não conseguir manter face ao crescimento exponencial do mercado.
O impacto na comunidade tecnológica
A base de dados NVD é uma ferramenta essencial e centralizada, utilizada diariamente por investigadores, fornecedores, profissionais de tecnologias de informação e até jornalistas para a correta gestão de riscos e desenvolvimento de correções. Com a nova abordagem, os relatórios que não cumpram os requisitos prioritários passarão a ser categorizados com o estado de "Não Agendado", libertando a agência para se focar nos incidentes com maior potencial de destruição sistémica.
Apesar de a nova estratégia apertar a malha, a agência tem noção de que alguma vulnerabilidade com impacto considerável possa escapar à categorização primária. Como salvaguarda, foi estabelecido um canal onde é possível solicitar a revisão e enriquecimento de relatórios de baixa prioridade através de correio eletrónico. A decisão formaliza e responde aos visíveis atrasos na análise de dados que a comunidade de cibersegurança já vinha a registar desde 2024.












Nenhum comentário
Seja o primeiro!