Nyt direktiv og NVD-ændringer følger samme logik

Eskil Sørensen

06.22.2026 10:47

BOD 26-04 og NIST’s nedprioritering af mindre kritiske sårbarheder er ikke direkte koblet, men udspringer af samme skaleringsproblem

Indførelsen af CISA’s BOD 26-04 sker samtidig med et markant skifte i den måde, National Vulnerability Database (NVD) håndterer sårbarheder på. De to beslutninger er ikke formelt forbundne, men de peger i samme retning.

Begge er reaktioner på en udvikling, hvor mængden af sårbarheder har overhalet den kapacitet, som både myndigheder og organisationer har til at analysere og håndtere dem.

Antallet af CVE’er er steget med mere end 260 procent siden 2020, og væksten fortsætter. Det har skabt et pres, som især har ramt NVD, der i årevis har fungeret som global reference for berigede sårbarhedsdata. [cert.dk]

NVD skærer fra – men stopper ikke

Som konsekvens har NIST valgt at ændre praksis. Fremover fokuserer NVD primært på:

Sårbarheder i CISA’s KEV-katalog
Software anvendt i den føderale administration
Kritisk software defineret af myndighederne

Andre sårbarheder registreres stadig, men uden den fulde berigelse med CVSS-score, analyse og kontekst. [cert.dk]

Det er ikke et strategisk fravalg af mindre kritiske sårbarheder, men et forsøg på at håndtere en voksende backlog og en datamængde, der ikke længere kan behandles fuldt ud.

BOD som operationelt svar

Hvor NVD ændrer måden sårbarheder beskrives på, ændrer BOD 26-04 måden de håndteres på.

Direktivet gør det eksplicit, at organisationer ikke længere skal forsøge at håndtere alle sårbarheder ens. Prioritering skal i stedet ske efter:

Kendt udnyttelse (KEV)
Eksponering
Mulighed for automatiseret udnyttelse
Teknisk konsekvens

Dermed operationaliserer BOD den samme erkendelse, som ligger bag ændringerne i NVD: At fuld dækning ikke længere er realistisk – og heller ikke nødvendig.

KEV som fælles referencepunkt

Den tydeligste forbindelse mellem de to initiativer er KEV-kataloget. Det spiller en central rolle i begge:

NVD prioriterer berigelse af sårbarheder i KEV
BOD 26-04 bruger KEV som trigger for handling og deadlines

Det gør KEV til det punkt, hvor data og handling mødes. En sårbarhed, der optages i kataloget, bevæger sig samtidig fra informationskategori til operativ prioritet.

Et skifte i hele sårbarhedsmodellen

Samlet peger udviklingen på et bredere paradigmeskifte.

Hvor målet tidligere var at skabe et komplet overblik over alle kendte sårbarheder, er fokus nu flyttet til at identificere og håndtere dem, der reelt udgør en risiko her og nu.

Det betyder:

Mindre fokus på fuldstændighed
Mere fokus på handlingsrelevans
Større ansvar hos den enkelte organisation

BOD 26-04 og ændringerne i NVD er dermed ikke to isolerede tiltag, men forskellige udtryk for samme bevægelse: fra at registrere alt til at prioritere det vigtigste.

Læs mere

https://cert.dk/news/2026-06-15/USA-indfoerer-risikobaseret-patchkrav-Nye-regler-tilpasser-sig-de-mange-saarbarheder

Information