En nationell plattform för hotdelning
Sverige befinner sig i en geopolitisk kontext där cyberdomänen är en integrerad del av säkerhetspolitiken. Hotaktörer – främst via utpressningsangrepp och DDoS – återanvänder sårbarheter och lämnar spår i form av IP-adresser, domännamn och TTP:er (Tactics, Techniques and Procedures).
Trots bred samsyn om nyttan av informationsdelning har det saknats en gemensam nationell plattform. Resultatet har varit att värdefull hotinformation stannat inom enskilda organisationer.
MISP SE adresserar denna strukturella brist och ligger i linje med den nationella cybersäkerhetsstrategin, NIS2-direktivet och den nya cybersäkerhetslagen.
Vad är MISP?
MISP (Malware Information Sharing Platform) är en öppen källkodsplattform utan licenskostnad. Arbetsflödet består av fem steg:
| Steg | Beskrivning |
|---|---|
| 1. Insamling | Samla in hotindikatorer |
| 2. Normalisering | Strukturera data i standardformat |
| 3. Berikning | Lägg till kontext och metadata |
| 4. Korrelering | Hitta samband mellan indikatorer |
| 5. Delning | Distribuera till anslutna organisationer |
Plattformen hanterar:
- IP-adresser och domäner
- Checksummor (hashvärden)
- SSL-certifikat
- MITRE ATT&CK-mappning
- Tidslinjer och sambandsgraf
Anslutning sker via webbgränssnitt eller API. API-integration mot SIEM, IDS och brandväggar rekommenderas för operativt värde – då kan blockeringar ske automatiskt baserat på delad hotinformation.
Tidsplan för MISP SE
Initial lansering med 15 pilotorganisationer för testning och validering.
Öppning för offentlig sektor – kommuner, regioner och myndigheter kan ansöka om anslutning.
Privat sektor välkomnas efter att lagstöd förstärkts. Förslag ligger hos regeringskansliet.
CERT SE:s verksamhet – inklusive MISP SE – flyttas in i det förstärkta NCSC under FRA.
Vem kan ansluta?
Anslutningskrav:
Organisationen ska vara etablerad i Sverige och uppfylla minst ett av följande kriterier:
- Bedriver skyddsvärd verksamhet
- Omfattas av cybersäkerhetslagen
- Är statlig myndighet
- Levererar väsentlig IT-drift eller säkerhet till ovanstående organisationer
Anslutningsmetoder:
- Direkt konto: Åtkomst via webbgränssnitt
- Synkronisering: Egen lokal MISP synkroniseras mot MISP SE (rekommenderas)
Nytta för olika organisationer
MISP SE ger tillgång till Sverige-specifika artefakter som kommersiella threat feeds sällan täcker. Lokala hotaktörer och kampanjer mot svenska mål fångas upp snabbare.
Kostnadsfri tillgång till realtidshotinformation trots knappa resurser. Snabbare blockering av skadliga indikatorer och underlag för riskanalyser samt riktade utbildningsinsatser.
Rekommendation för att komma igång
- Förankra internt: Säkerställ ledningsstöd och förståelse för nyttan
- Utbilda: Se till att rätt kompetens finns för att tolka och agera på hotinformation
- Börja konsumera: Ta emot data och integrera i era säkerhetssystem
- Dela när redo: Bidra med egen hotinformation när förtroendet och förståelsen vuxit
Viktigt: Det är inte tvingande att dela information från dag ett. Börja med att konsumera.
Nya tjänster från CERT SE
Utöver MISP SE lanserar CERT SE ytterligare tjänster:
Scanning Systematisk identifiering av organisationens angreppsyta – en vidareutveckling av tjänsten ENS (Extern nätverksskanning).
Nationell monitorering Kontinuerlig övervakning av svenska organisationers exponering mot internet. Leverans via privata aktörer med CERT SE:s samordning. Lanseras senare under 2026.
Vanliga frågor
Personuppgifter ska inte delas i MISP SE. Systemet har inbyggda kontroller. IMY:s tolkning att IP-adresser kan utgöra personuppgifter är under beredning.
Nej, helt frivilligt men starkt rekommenderat av CERT SE och NCSC.
Bidragaren gör första granskningen, CERT SE bistår, och systemets inbyggda warning lists hjälper till att filtrera felaktiga indikatorer.
Ja, MISP SE har API-stöd för integration med SIEM, IDS, brandväggar och andra säkerhetssystem.
Koppling till NIS2 och cybersäkerhetslagen
MISP SE stödjer flera krav i NIS2-direktivet och den svenska cybersäkerhetslagen:
- Incidentrapportering: Dela indikatorer kopplade till incidenter
- Riskhantering: Använd hotinformation för riskbedömningar
- Leverantörskedjans säkerhet: Identifiera hot mot underleverantörer
- Samarbete: Uppfyll krav på informationsdelning med myndigheter
Så kan Securapilot hjälpa
Securapilot stödjer organisationer som vill maximera nyttan av MISP SE:
- Incidenthantering: Integrera hotinformation i er incidentprocess
- Riskhantering: Använd MISP-data som input till riskbedömningar
- NIS2-compliance: Dokumentera och spåra ert arbete med hotinformation
- Leverantörsgranskning: Bevaka indikatorer kopplade till era leverantörer
Boka en demo och se hur Securapilot kan stärka ert arbete med threat intelligence.
Vanliga frågor
Vad är MISP SE?
MISP SE är Sveriges nationella plattform för delning av cyberhot, baserad på öppen källkod. Den drivs av CERT SE och ger organisationer möjlighet att dela och ta emot hotinformation som IP-adresser, domäner, checksummor och TTP:er.
Vilka kan ansluta till MISP SE?
Organisationer etablerade i Sverige som bedriver skyddsvärd verksamhet, omfattas av cybersäkerhetslagen, är statlig myndighet, eller levererar väsentlig IT-drift/säkerhet till sådana organisationer. Offentlig sektor från 23 februari 2026, privat sektor senare under 2026.
Kostar det att ansluta till MISP SE?
Nej, MISP SE är helt kostnadsfritt. Plattformen bygger på öppen källkod utan licenskostnader.
Måste vi dela information för att ansluta?
Nej, det är frivilligt. Rekommendationen är att börja konsumera data och dela när förtroendet och förståelsen vuxit.
