programmier-anfang()

Für Unternehmen

Einstellen

Entwickler einstellenDesigner einstellenMarketer einstellenProduktmanager einstellenProjektmanager einstellenAssistenten einstellen

Lernen

So funktioniert'sErsparnis berechnenFallstudienPreiseRessourcen

Für Talente

ÜbersichtJobsUnternehmenRessourcen

NIST stoppt CVE-Anreicherung vor Maerz 2026: Was bedeutet das fuer deutsche Entwickler und CISOs?

Anna Schmidt

Anna Schmidt

Tech Recruiting Analystin Berlin · 18. April 2026 · 11 Min. Lesezeit

Auf Google News folgenZusammenfassen:ChatGPTClaudePerplexity

TL;DR

  • • Am 17. April 2026 hat das NIST offiziell den Stopp der NVD-Anreicherung fuer CVEs vor dem 1. Maerz 2026 bestaetigt.
  • • Grund: +263 % CVE-Einreichungen zwischen 2020 und 2025 uebersteigen die Kapazitaet des NIST.
  • • Nur CVEs in der CISA KEV-Liste oder in US-Bundesregierungs-/EO-14028-Software werden weiter angereichert.
  • • Deutsche Entwickler muessen jetzt auf OSV.dev, EU-VDB (ENISA), GitHub Security Advisories umstellen. NIS2- und BSI-Audits werden ab Q3 2026 danach fragen.
CVE-Einreichungen 2020 - 2025 (NVD)2020 18K2021 20K2022 25K2023 29K2024 40K2025 65K+263 %

Was das NIST am 17. April 2026 bekannt gegeben hat

Am Freitag, dem 17. April 2026, hat Harold Booth, Informatiker beim NIST, die Aenderungen offiziell gemacht, die viele Sicherheitsteams seit Monaten erwartet hatten: Die National Vulnerability Database kann das Tempo der weltweiten CVE-Einreichungen nicht mehr halten. Mit einem Anstieg von 263 Prozent zwischen 2020 und 2025 ist die Anreicherungskapazitaet des NIST ueberlastet. Die Loesung: ein Risk-based Triage-Modell.

Konkret: Alle CVEs mit NVD-Publikationsdatum vor dem 1. Maerz 2026, die noch nicht angereichert wurden, werden in die Kategorie Not Scheduled verschoben. Sie bleiben gelistet, aber ohne automatische Anreicherung: kein vom NIST berechneter CVSS-Score, kein CWE-Mapping, keine geprueften Referenzen. Nur CVEs in einer der drei folgenden Kategorien werden weiterhin priorisiert angereichert:

  • CVEs im Known Exploited Vulnerabilities Catalog der CISA;
  • CVEs in Software, die die US-Bundesregierung nutzt;
  • CVEs in kritischer Software gemaess Executive Order 14028.

Fuer alle anderen CVEs - und das ist die Mehrheit der Open-Source-Welt - wird der CVSS-Score zu dem Wert, den die ausstellende CVE Numbering Authority (CNA) angibt, ohne unabhaengige NVD-Pruefung.

Konsequenzen fuer deutsche Entwickler und Open-Source-Projekte

Wer in Berlin, Muenchen, Hamburg oder Frankfurt ein groesseres Open-Source-Projekt pflegt, hat seine Schwachstellen-Pipeline bisher oft auf Dependabot, Renovate, Snyk, Trivy oder Grype gestuetzt - alle nutzen die NVD als zentrale Quelle. Ab April 2026 muss dieser Ansatz erweitert werden. Drei sofortige Massnahmen:

  1. Pipeline auf mehrere Quellen umstellen: osv-scanner (Google) ergaenzt OSV.dev mit GitHub-Advisories. Die EU-VDB der ENISA wird nach dem Cyber Resilience Act ab 2027 verpflichtend europaeische Schwachstellen aggregieren - jetzt einbinden.
  2. Interne CVE-Triage-Policy dokumentieren: welche Quelle hat Vorrang bei abweichenden CVSS-Werten? Wann darf ein Patch verzoegert werden? Auditoren werden danach fragen.
  3. Ueber den CNA Druck machen: wenn Sie merken, dass eine Schwachstelle aktiv ausgenutzt wird, melden Sie diese ueber Ihren CNA an die CISA, damit sie in die KEV aufgenommen wird.
“Das NIST signalisiert klar: Die NVD bleibt offizielle Referenz, aber kein Echtzeit-SOC mehr. Deutsche Open-Source-Teams haben jetzt drei Monate Zeit, um auf OSV.dev und EU-VDB umzusteigen, ohne Abdeckungsluecken zu riskieren.” — Anna Schmidt, Tech Recruiting Analystin Berlin

Auswirkung auf NIS2 und BSI-Compliance

Seit Oktober 2024 sind tausende deutsche Unternehmen NIS2-pflichtig. Das BSI verlangt fuer KRITIS-Betreiber ein dokumentiertes Schwachstellenmanagement. Wenn das NIST seine Anreicherung reduziert, muss die interne CVE-Triage explizit mehrere Quellen einbeziehen. Erwartete Audit-Fragen ab Q3 2026:

  • Wie verifizieren Sie CVSS-Scores, die nur vom CNA stammen?
  • Welche europaeischen Quellen (EU-VDB, BSI Warn- und Informationsdienst) sind in Ihrem SOC integriert?
  • Wie behandeln Sie CVEs, die in der CISA KEV-Liste aufgefuehrt sind, vs. nicht-KEV-CVEs?

Unternehmen ohne dokumentierte Antworten riskieren NIS2-Findings. Das BSI hat im Maerz 2026 angedeutet, dass bei systemischen Pipeline-Luecken Bussgelder bis 10 Millionen EUR oder 2 Prozent des Jahresumsatzes greifen koennen.

Hiring-Auswirkungen: Welche Profile braucht es jetzt?

Diese NVD-Aenderung loest einen kleinen, aber realen Hiring-Schub fuer drei Profile in Deutschland aus:

  • Application Security Engineer mit OSV / EU-VDB-Erfahrung: Pipeline-Umstellung, Triage-Automatisierung. Gehaltsband Berlin: 75.000 - 110.000 EUR brutto/Jahr.
  • NIS2-Compliance-Engineer: dokumentiert Policies, baut Audit-Reporting auf. Frankfurt: 85.000 - 130.000 EUR.
  • DevSecOps-Engineer mit SBOM-Erfahrung: SBOM-Generierung mit Syft / Grype, Integration in CI/CD. Muenchen: 78.000 - 115.000 EUR.

Fuer Berliner Startups, die in Q1 2026 (siehe unseren Q1-Bericht) Funding gesammelt haben, sind diese Profile in der naechsten Hiring-Runde unverzichtbar.

💡 Empfehlung der Redaktion

Wer noch keinen osv-scanner in der CI-Pipeline hat, sollte das im April 2026 erledigen. Es ist gratis, von Google gepflegt, deckt OSV.dev ab und funktioniert offline. Der naechstgelegene Ersatz fuer das, was die NVD bisher kostenlos geleistet hat.

Auswirkungen ueber Deutschland hinaus

Red Hat, SUSE und Canonical haben in der Woche vom 14. April 2026 alle bestaetigt, dass sie ihre eigenen Security-Tracker ausbauen. Die Python Software Foundation pusht PyPA-Advisories jetzt vorrangig nach OSV statt NVD. Aehnliche Verschiebungen sind in der UAE-Cybersicherheitsszene und im Singapur-Markt sichtbar.

“Fuer mittelstaendische deutsche Unternehmen ist die Botschaft klar: Wer Schwachstellenmanagement nur auf einer Quelle aufbaut, hat keinen Schutz mehr. Multi-Source-Pipelines und EU-VDB-Integration sind ab sofort Standard.” — Markus Hoffmann, BSI-zertifizierter IT-Grundschutz-Berater

Aktionsplan fuer einen deutschen CTO im April 2026

  1. KW 17 (21. - 27. April 2026): Audit der CVE-Quellen in allen CI/CD-Pipelines. Identifikation reiner NVD-Abhaengigkeiten.
  2. KW 18 (28. April - 4. Mai 2026): osv-scanner installieren, Renovate / Dependabot auf Multi-Source-Konfiguration umstellen.
  3. Mai 2026: interne CVE-Triage-Policy dokumentieren (Schwellen, Patch-Fristen, Eskalation, Ausnahmen).
  4. Juni 2026: EU-VDB in den SOC integrieren fuer europaeische Native-Coverage.
  5. September 2026: vierteljaehrliches Review zur Pruefung der Coverage gegen tatsaechliche Alerts.

Brauchen Sie Application Security oder DevSecOps Engineers?

Programmier-Anfang vermittelt deutsche Tech-Talente an Berliner, Muenchner und Frankfurter Tech-Teams. Schnelle Pipelines, BSI-konforme Profile.

Anfrage stellen →

FAQ

Was hat das NIST am 17. April 2026 angekuendigt?

Stopp der NVD-Anreicherung fuer CVEs vor dem 1. Maerz 2026 (Kategorie Not Scheduled). Grund: +263% CVE-Einreichungen zwischen 2020 und 2025.

Welche CVEs werden noch angereichert?

CVEs in CISA KEV, US-Bundesregierungs-Software, oder kritischer Software gemaess EO 14028.

Welche Konsequenzen fuer deutsche Entwickler?

Tools auf OSV.dev, GitHub Advisories und EU-VDB umstellen. CVSS-Scores ohne unabhaengige Pruefung muessen interne Triage durchlaufen.

Wie wirkt sich das auf BSI-Compliance und NIS2 aus?

Audits ab Q3 2026 werden Multi-Source-Pipelines verlangen. EU-VDB-Integration und dokumentierte Triage-Policies sind erforderlich.

NIS2-konformes Schwachstellenmanagement aufbauen

Programmier-Anfang vermittelt zertifizierte Application Security und DevSecOps Engineers fuer Berliner und Muenchner Teams. Erste Anfrage in 24 Stunden.

Jetzt anfragen →