En nationell plattform för hotdelning
Sverige befinner sig i ett geopolitiskt läge där cyberdomänen är en del av säkerhetspolitiken. Hotaktörer återanvänder sårbarheter och lämnar spår i form av IP-adresser, domännamn och TTP:er (Tactics, Techniques and Procedures). Utpressningsangrepp och DDoS hör till de vanligaste angreppstyperna.
Trots bred samsyn om nyttan av informationsdelning har det saknats en gemensam nationell plattform. Följden har blivit att värdefull hotinformation stannat inom enskilda organisationer.
MISP SE fyller detta strukturella gap och ligger i linje med den nationella cybersäkerhetsstrategin, NIS2-direktivet och den nya cybersäkerhetslagen.
Vad är MISP?
MISP (Malware Information Sharing Platform) är en öppen källkodsplattform utan licenskostnad. Arbetsflödet består av fem steg:
| Steg | Beskrivning |
|---|---|
| 1. Insamling | Samla in hotindikatorer |
| 2. Normalisering | Strukturera data i standardformat |
| 3. Berikning | Lägg till kontext och metadata |
| 4. Korrelering | Hitta samband mellan indikatorer |
| 5. Delning | Distribuera till anslutna organisationer |
Plattformen hanterar:
- IP-adresser och domäner
- Checksummor (hashvärden)
- SSL-certifikat
- MITRE ATT&CK-mappning
- Tidslinjer och sambandsgraf
Du ansluter via webbgränssnitt eller API. Vi rekommenderar API-integration mot SIEM, IDS och brandväggar för operativt värde. Då kan du blockera skadliga indikatorer automatiskt baserat på delad hotinformation.
Tidsplan för MISP SE
Initial lansering med 15 pilotorganisationer för testning och validering.
Öppning för offentlig sektor – kommuner, regioner och myndigheter kan ansöka om anslutning.
Privat sektor välkomnas efter att lagstöd förstärkts. Förslag ligger hos regeringskansliet.
CERT SE:s verksamhet – inklusive MISP SE – flyttas in i det förstärkta NCSC under FRA.
Vem kan ansluta?
Anslutningskrav:
Organisationen ska vara etablerad i Sverige och uppfylla minst ett av följande kriterier:
- Bedriver skyddsvärd verksamhet
- Omfattas av cybersäkerhetslagen
- Är statlig myndighet
- Levererar väsentlig IT-drift eller säkerhet till ovanstående organisationer
Anslutningsmetoder:
- Direkt konto: Åtkomst via webbgränssnitt
- Synkronisering: Egen lokal MISP synkroniseras mot MISP SE (rekommenderas)
Nytta för olika organisationer
MISP SE ger tillgång till Sverige-specifika artefakter som kommersiella threat feeds sällan täcker. Du fångar upp lokala hotaktörer och kampanjer mot svenska mål snabbare.
Kostnadsfri tillgång till hotinformation i realtid, trots knappa resurser. Du kan blockera skadliga indikatorer snabbare och får underlag för riskanalyser och riktade utbildningsinsatser.
Rekommendation för att komma igång
- Förankra internt: Säkra ledningsstöd och förståelse för nyttan
- Utbilda: Se till att rätt kompetens finns för att tolka och agera på hotinformation
- Börja ta emot data: Integrera hotinformation i era säkerhetssystem
- Dela när ni är redo: Bidra med egen hotinformation när förtroendet och förståelsen vuxit
Viktigt: Det är inte tvingande att dela information från dag ett. Börja med att konsumera.
Nya tjänster från CERT SE
Utöver MISP SE lanserar CERT SE ytterligare tjänster:
Scanning Systematisk kartläggning av din organisations angreppsyta. Tjänsten är en vidareutveckling av ENS (Extern nätverksskanning).
Nationell monitorering Kontinuerlig övervakning av svenska organisationers exponering mot internet. Privata aktörer levererar tjänsten med CERT SE:s samordning. Lanseras senare under 2026.
Vanliga frågor
Du ska inte dela personuppgifter i MISP SE. Systemet har inbyggda kontroller. IMY:s tolkning att IP-adresser kan utgöra personuppgifter är under beredning.
Nej, helt frivilligt men starkt rekommenderat av CERT SE och NCSC.
Du som bidragare gör den första granskningen. CERT SE bistår, och systemets inbyggda varningslistor hjälper till att filtrera felaktiga indikatorer.
Ja, MISP SE har API-stöd för integration med SIEM, IDS, brandväggar och andra säkerhetssystem.
Koppling till NIS2 och cybersäkerhetslagen
MISP SE stödjer flera krav i NIS2-direktivet och den svenska cybersäkerhetslagen:
- Incidentrapportering: Dela indikatorer kopplade till incidenter
- Riskhantering: Använd hotinformation för riskbedömningar
- Leverantörskedjans säkerhet: Identifiera hot mot underleverantörer
- Samarbete: Uppfyll krav på informationsdelning med myndigheter
Så kan Securapilot hjälpa
Securapilot hjälper dig att maximera nyttan av MISP SE:
- Incidenthantering: Integrera hotinformation i er incidentprocess
- Riskhantering: Använd MISP-data som underlag för riskbedömningar
- NIS2-efterlevnad: Dokumentera och spåra ert arbete med hotinformation
- Leverantörsgranskning: Bevaka indikatorer kopplade till era leverantörer
Boka en demo och se hur Securapilot kan stärka ert arbete med threat intelligence.
Vanliga frågor
Vad är MISP SE?
MISP SE är Sveriges nationella plattform för delning av cyberhot, baserad på öppen källkod. Den drivs av CERT SE och ger organisationer möjlighet att dela och ta emot hotinformation som IP-adresser, domäner, checksummor och TTP:er.
Vilka kan ansluta till MISP SE?
Organisationer etablerade i Sverige som bedriver skyddsvärd verksamhet, omfattas av cybersäkerhetslagen, är statlig myndighet, eller levererar väsentlig IT-drift/säkerhet till sådana organisationer. Offentlig sektor från 23 februari 2026, privat sektor senare under 2026.
Kostar det att ansluta till MISP SE?
Nej, MISP SE är helt kostnadsfritt. Plattformen bygger på öppen källkod utan licenskostnader.
Måste vi dela information för att ansluta?
Nej, det är frivilligt. Rekommendationen är att börja konsumera data och dela när förtroendet och förståelsen vuxit.
